利用SQLi 进行数据库注入爆破爆库获取信息

SQLi数据库注入分析工具的使用

  • 目录
    • 什么是SQL注入?
    • 第一步,通过Dorks寻找网站的可爆破点
    • 找到可爆破的网站
    • 进一步筛选可爆破的网站
    • 进行数据库的读取
    • 选择其中一个数据库,读取里面的表类目
    • 成功爆破到用户信息
    • 注意事项

目录

本文仅供学习使用,请勿非法使用计算机系统进行网路攻击,这是不被法律所允许的!本文使用数据库SQL注入的方式 读取日本网站数据库的资料。

什么是SQL注入?

SQL注入是一种代码注入技术,过去常常用于攻击数据驱动性的应用,比如将恶意的SQL代码注入到特定字段用于实施拖库攻击等。SQL注入的成功必须借助应用程序的安全漏洞,例如用户输入没有经过正确地过滤(针对某些特定字符串)或者没有特别强调类型的时候,都容易造成异常地执行SQL语句。SQL注入是网站渗透中最常用的攻击技术,但是其实SQL注入可以用来攻击所有的SQL数据库。在这个指南中我会向你展示在Kali Linux上如何借助SQLMAP来渗透一个网站(更准确的说应该是数据库),以及提取出用户名和密码信息。

第一步,通过Dorks寻找网站的可爆破点

利用Google Dorks字符串找到可注入的网站利用SQLi 进行数据库注入爆破爆库获取信息_第1张图片
这里我们使用工具自动生成一些Dorks 来进行可爆破网站的搜寻

找到可爆破的网站

利用SQLi 进行数据库注入爆破爆库获取信息_第2张图片
经过一段时间的等待以后,我们找到了上千条疑似可爆破网站的链接

进一步筛选可爆破的网站

利用SQLi 进行数据库注入爆破爆库获取信息_第3张图片
短暂筛选过后 我们找到了2个可以进行数据库爆破的网站,我们注意到网址都是经过了DORKS注入的。

进行数据库的读取

我们选择其中一个网站,进行数据库的读取
利用SQLi 进行数据库注入爆破爆库获取信息_第4张图片
好的,这里我们看到数据库是比较完整的,根据表名,可以大概看到数据库里面会有哪些信息,那我们来找一个内容比较劲爆的来读取一下吧!

选择其中一个数据库,读取里面的表类目

利用SQLi 进行数据库注入爆破爆库获取信息_第5张图片
这张图就不打码了,可以看到我们选择了一个应该是保存网站会员信息的数据库,我们选择爆破数据库内的用户邮箱,用户姓名,用户手机号码还有他的地址,那我们现在来试试吧!

成功爆破到用户信息

-利用SQLi 进行数据库注入爆破爆库获取信息_第6张图片
接下来我们成功爆破到数据库内的信息了,导出成TXT文件,就可以将信息进行保存了。

注意事项

教程到此结束。请注意!!!!进行非法的网络攻击是会受到法律制裁的!本文仅供学习使用,欢迎各路大神交流。一起交流可以 V:SHUFFLEWZC

你可能感兴趣的:(sql,数据库,sqlite,mysql)