云安全技术——云端应用SQL注入攻击

【实验目的】

1.掌握SQL注入的原理与基本注入步骤
2.掌握Kali Linux中的SQLmap各类功能及参数配置

【实验要求】

1.使用啊D工具进行网络攻击；
2.利用SQLmap对目标站点进行渗透攻击；

【实验环境】

1.Windows Server 2008环境下的啊D工具；
2.搭建SQL注入漏洞的web网站，该站点后台数据库为ACCESS 2003，且与啊D工具在同一虚拟机中；
3.搭建好测试网站DVWA；
4.正常连接互联网并且两台虚拟机那个ping 通；

项目四 云端应用SQL注入攻击

任务一 使用啊D工具实施注入攻击

1.安装失败：

任务二 使用SQLmap对目标站点进行渗透攻击

1.打开测试站点的主页面，并设置其安全级别为low；

2.打开Burp Suite，开启数据包捕获功能，打开网站SQL Injection，填入123点击提交：

3.捕捉到的数据包如下所示，包含Referer以及cookie：

4.输入如下命令，路径为referer中的内容，cookie为上图中生成的cookie，执行完成后出现网站数据库的名称：


5.在上述命令的基础上加上–tables来探测数据库中的表，如下图所示：

6.针对其中的一个表users，猜测其中的字段：

7.对users表中的所有字段的值进行探测：

8.利用上述结果，使用DVWA网站的主页进行验证，比如用户名为1337，密码为charley，如下图所示：

【问题】

问题一：执行第一句命令时出现错误如下：

【解决方法】

经检查发现，路径出现错误，修改后执行成功。