初步熟悉掌握使用burpsuit,预习sql注入漏洞,重现皮卡丘课程的实验过程**

最新推荐文章于 2025-02-07 01:00:00 发布
最新推荐文章于 2025-02-07 01:00:00 发布
阅读量540 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43858799/article/details/88615856
本文介绍初步掌握使用Burpsuite,包括主界面和intruder界面功能。阐述SQL注入漏洞,它是黑客攻击数据库常用手段,会导致刷库等风险,可通过数据库安全防护技术防护。还重现皮卡丘课程实验过程,最终测试出用户名和密码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

初步熟悉掌握使用burpsuit,预习sql注入漏洞,重现皮卡丘课程的实验过程

一,初步熟悉掌握使用burpsuite
1.burpsuite主界面在这里插入图片描述
2.proxy 用于监控网络流量
在这里插入图片描述
forward:对包放行
Drop:丢包
intercept is on :对流量监控
Action:执行操作
intercept is off:取消流量监控

如果不对网络流量放行,网页将不会打开,数据也不会由burpsuite代理出去

2.intruder界面
在这里插入图片描述

主要用于对某个网页通过字典进行暴力破解
target:用于设置破解的网页及其使用的端口
positions:用于设置破解测试方式
payloads:用于使用的弱口令存储
options:用于设置破解的频率及尝试次数

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

二,sql注入漏洞
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
SQL注入攻击属于数据库安全攻击手段之一,可以通过数据库安全防护技术实现有效防护,数据库安全防护技术包括:数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。
SQL注入攻击会导致的数据库安全风险包括:刷库、拖库、撞库。
例子编辑
某个网站的登录验证的SQL查询代码为:
1
strSQL = “SELECT * FROM users WHERE (name = '” + userName + “’) and (pw = '”+ passWord +"’);"
恶意填入
1 userName = “1’ OR ‘1’='1”;

1 passWord = “1’ OR ‘1’='1”;时,将导致原本的SQL字符串被填为
1 strSQL = “SELECT * FROM users WHERE (name = ‘1’ OR ‘1’=‘1’) and (pw = ‘1’ OR ‘1’=‘1’);”
也就是实际上运行的SQL命令会变成下面这样的
1 strSQL = “SELECT * FROM users;”
因此达到无账号密码,亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏。

三,pikachu实验
在这里插入图片描述
1.先点开此界面
2.打开burpsuite,点击HTTP history
在这里插入图片描述
找到127.0.0.1这个包
将其导入到intruder中
在这里插入图片描述

设置端口
3.在positions paloads options中分别设置字典 破解方式
破解频率 扫描方式等
4.点击start attack进行测试
测试结果为
用户名:admin
密码:123456

Pikachu的渗透测试
Cper的博客
10-29 1211
Pikachu靶场渗透测试的实践与总结
墨者学院--SQL注入漏洞测试(HTTP头注入)
Routine_limon的博客
07-19 997
这道题需要使用到Burp suite这个工具。先简单的说下使用步骤: 简述下4个按钮的作用: ①Forward的功能是当你查看过消息或者重新编辑过消息之后,点击此按钮,将发送消息至服务器端。 ②Drop的功能是你想丢失当前拦截的消息,不再forward到服务器端。 ③Interception is on表示拦截功能打开,拦截所有通过Burp Proxy的请求数据;Interception is ...
作业1:Burp Suite 环境配置及 SQL 注入实验
diligent_lee的博客
07-20 2212
Burp Suite 环境配置及 SQL 注入实验 1. 环境准备 1.1. phpStudy 和 DVWA 首先将老师提供好的 phpstudy2018 解压到合适目录,这里我的解压目录为:D:\Dev\phpStudy。然后将 DVMA 解压并放到 phpstudy 的 WWW目录下,具体目录为:D:\Dev\phpStudy\PHPTutorial\WWW。 启动 phystudy2018,点击“MySQL管理器”,然后点击 “phyMyAdmin”,电脑的默认浏览器会打开数据库的登陆界面,由
Burp Suite插件开发之SQL注入检测(已开源)
Criss@陈磊
11-16 1万+
作者:bsmali4 预估稿费:400RMB(不服你也来投稿啊!) 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 前言 前段时间和某师傅了解到。现在漏洞越来越难挖,但有些老司机总能挖到别人挖不到的漏洞。于是就问了下,大概是什么类型的漏洞,他说是盲注。好吧,的确是,尤其是延时注入,这类东西真的不好测试。好多次我在sqlmap下面都没有测
通过 HTTP 头进行 SQL 注入
xiaoshan812613234的专栏
08-14 760
漏洞评估和渗透测试中,确定目标应用程序的输入向量是第一步。这篇文章解释了别人是如何通过HTTP头部对你的数据库进行SQL注入攻击的,以及讨论下选择哪种漏洞扫描器测试SQL注入。 在漏洞评估和渗透测试中,确定目标应用程序的输入向量是第一步。有时,当做web应用程序测试时,SQL注入漏洞的测试用例通常局限于特殊的输入向量GET和POST变量。那么对于其他的HTTP头部参数呢?难道他们不是潜在的SQ
【pikachu皮卡丘渗透测试靶场】远程命令、代码执行漏洞原理及案例演示
algae
04-17 2347
37.6-1 远程命令、代码执行漏洞原理及案例演示(Av96582332,P37) RCE(remote command/code execute)概述 RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 ...
大一汇编语言课程资料,包含课程实验代码、课程资料、gdb命令调试和使用
02-26
在大一的汇编语言课程中,学生通常会学习如何编写、理解和使用汇编指令,这些指令直接对应于计算机硬件的操作。汇编语言的每一个指令都代表着处理器的一个特定操作,如移动数据、执行算术运算、控制流程等。 **课程...
【人工智能导论】实验1-八数码难题-预习报告
最新发布
05-19
此外,实验预习过程要求学生通过文字、图表记录自己的设计思想、设计步骤,并制作程序流程图、伪代码等,以确保实验前有充分的准备。同时,需要准备预定的测试数据和预期结果,便于在实验过程中进行对比分析。通过...
中国科学技术大学OSH课程实验.zip
06-01
【标题】"中国科学技术大学OSH课程实验.zip"所涉及的是一个与开源硬件(Open Source Hardware, OSH)相关的课程实验项目。这个压缩包包含了不同阶段的实验内容,旨在帮助学生理解和掌握OSH的基本概念、设计原则以及...
学生课程实验的流程.doc
05-01
### 学生课程实验流程详解 #### 一、实验前准备 **1.1 预习实验内容** - **目的**: 帮助学生理解实验的目的、要求、原理等核心概念,为后续实验操作打下坚实的理论基础。 - **方法**: 认真阅读实验教材及相关资料...
pikachu靶场(通关教程-保姆级)(完结)
Blanks的博客
10-21 8145
pikachu靶场通关教程保姆级
实验一:如何利用Burp Suite工具初步入门皮卡丘
qq_44720671的博客
03-17 573
如何利用Burp Suite工具初步入门皮卡丘 需要工具:Java JDK,Burp Suite,PHP study,Firefox浏览器 安装过程: 一、Java JDK:在网上自行下载,配置成功标志:win+R,在运行界面输入cmd,出现Java运行界面,再输入Java,出现如图效果即为成功。 二、Burp Suite:分为free和profreeional两种,其中“free”不需付费,下...
pikachu[皮卡丘] 靶场全级别通关教程答案 以及 学习方法 如何通过渗透测试靶场挑战「pikachu」来精通Web渗透技巧? 一篇文章搞完这些问题
热门推荐
浩策盾悟
02-07 1万+
破解mysql:简单来说就是将密码进行逐个推算直到找出真正的密码为止暴力破解分类:暴力破解需要考虑的问题:持续不断发送尝试登录的请求用户名 字典。破解mysql:简单来说就是将密码进行逐个推算直到找出真正的密码为止暴力破解分类:暴力破解需要考虑的问题:持续不断发送尝试登录的请求用户名 字典。比如说我们本地搭建了一个程序 编写了一个webshell,然后通过远程文件包含漏洞访问本地搭建的服务中的webshell文件,实现对肉鸡的控制。:一些版本的Pikachu靶场是开源的,用户可以自行部署,进行自定义配置。
小破站【pikachu 皮卡丘渗透靶场】 之 SQL注入 自学全套笔记
algae
04-16 4481
sql.txt大纲 数字型测试: $id=$_POST['id'] select 字段1,字段2 from 表名 where id = 1 or 1=1; 字符型测试: $uname=$_GET['username'] select 字段1,字段2 from 表名 where username='kobe' or 1=1#'; 搜索型测试: like '%%' ...
BurpSuit官方实验室之SQL注入
tpaer的博客
11-13 6226
BurpSuit官方实验室靶场-SQL注入通关记录。
pikachu靶场,复现暴力破解漏洞
WSGWZlz的博客
11-20 397
pikachu靶场的搭建及暴力破解通关
网络安全-靶机pikachu之xss注入与代码分析(XSStrike实战)_反序列入漏洞工具+pikachu+xss(1)
2401_84264662的博客
05-09 447
使用第2个吧,burpsuite拦截,修改post数据。
Pikachu(皮卡丘)web漏洞练习平台记录(5)
SSDZLDL的博客
04-10 804
今天把皮卡丘弄完。
pikachu皮卡丘靶机伪协议文件包含
weixin_41689182的博客
02-25 295
pikachu靶机伪协议
SQL2008数据库实验指导:存储过程与操作
"该资源是一份关于SQL 2008数据库存储过程实验指导书,旨在帮助用户理解和掌握不同类型的存储过程。这份文档详细介绍了从基础的数据库和表的操作到复杂的视图、安全性控制、存储过程、触发器以及ODBC数据库编程的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值