【笔记】使用Sqlmap对目标站点进行渗透攻击【基础实验】

使用Sqlmap对目标站点进行渗透攻击

使用kali Linux环境中的sqlmap实现对目标靶机网站的注入猜解。

打开测试站点DVWA的主页面，并设置安全级别为low

单击左边的SQL Injection,打开如下图所示界面在User ID框中输入任意数字。

输入123456，运用burpsuite抓到的数据包如下：

在kali linux虚拟机的命令行状态下运行Sqlmap,并输入语句

得到网站数据库的名称

在上述命令的基础上，后面加上–tables来探测该数据库中的表

探测结果如下：

针对其中一个表users,探测其中的字段图中命令有点问题后面的命令选项应为columns

探测结果如下：

执行以下命令，对users表中所有字段的值进行探测

在探测过程中用到其自带的字典，得到的结果如图所示

利用上述结果，登录DVWA网站主页进行验证，比如用户名为gordond密码为abc123