码迷,mamicode.com
首页 > 数据库 > 详细

一次对真实网站的SQL注入———SQLmap使用

时间:2017-07-16 16:36:55      阅读:255      评论:0      收藏:0      [点我收藏+]

标签:手工注入   手工   info   语句   自动   nbsp   mysql   使用   blog   

网上有许多手工注入SQL的例子和语句,非常值得我们学习,手工注入能让我们更加理解网站和数据库的关系,也能明白为什么利用注入语句能发现网站漏洞。

因为我是新手,注入语句还不太熟悉,我这次是手注发现的注点,然后利用SQLmap实现注入,获得管理员账户密码。

网站:http://www.xxxxxx.com/info.php

技术分享

当我们利用?id=1或者?id=2时,网站介绍部分发生了变化。则发现了注点

技术分享

 

 接下来利用SQLmap自动化扫描

1.寻找注入点)(也可以利用SQLmap发现注点)

 技术分享

2.发现利用id=1’,可能是注入点

 技术分享

 

3.跑到数据库信息 mysql5.0.11

 技术分享

4.—dbs 命令找数据库

 技术分享

5.发现3个数据库

 技术分享

 

 

6.跑表

 技术分享

 

 

7.12个表

 技术分享

 

8.跑管理员表

 技术分享

 

9.有4个信息 查看id pwd uid

 技术分享

 

10.跑出用户名和password的MD5

 技术分享

 

一次对真实网站的SQL注入———SQLmap使用

标签:手工注入   手工   info   语句   自动   nbsp   mysql   使用   blog   

原文地址:http://www.cnblogs.com/HsinTsao/p/7190782.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!