云安全技术——云端应用SQL注入攻击

【实验目的】

1.掌握SQL注入的原理与基本注入步骤
2.掌握Kali Linux中的SQLmap各类功能及参数配置

【实验要求】

1.使用啊D工具进行网络攻击;
2.利用SQLmap对目标站点进行渗透攻击;

【实验环境】

1.Windows Server 2008环境下的啊D工具;
2.搭建SQL注入漏洞的web网站,该站点后台数据库为ACCESS 2003,且与啊D工具在同一虚拟机中;
3.搭建好测试网站DVWA;
4.正常连接互联网并且两台虚拟机那个ping 通;

项目四 云端应用SQL注入攻击

任务一 使用啊D工具实施注入攻击

1.安装失败:
云安全技术——云端应用SQL注入攻击_第1张图片

任务二 使用SQLmap对目标站点进行渗透攻击

1.打开测试站点的主页面,并设置其安全级别为low;
云安全技术——云端应用SQL注入攻击_第2张图片

2.打开Burp Suite,开启数据包捕获功能,打开网站SQL Injection,填入123点击提交:
云安全技术——云端应用SQL注入攻击_第3张图片
3.捕捉到的数据包如下所示,包含Referer以及cookie:
云安全技术——云端应用SQL注入攻击_第4张图片
4.输入如下命令,路径为referer中的内容,cookie为上图中生成的cookie,执行完成后出现网站数据库的名称:
在这里插入图片描述
云安全技术——云端应用SQL注入攻击_第5张图片
5.在上述命令的基础上加上–tables来探测数据库中的表,如下图所示:
云安全技术——云端应用SQL注入攻击_第6张图片
云安全技术——云端应用SQL注入攻击_第7张图片

6.针对其中的一个表users,猜测其中的字段:
云安全技术——云端应用SQL注入攻击_第8张图片
7.对users表中的所有字段的值进行探测:
云安全技术——云端应用SQL注入攻击_第9张图片
8.利用上述结果,使用DVWA网站的主页进行验证,比如用户名为1337,密码为charley,如下图所示:
云安全技术——云端应用SQL注入攻击_第10张图片

【问题】

问题一:执行第一句命令时出现错误如下:
云安全技术——云端应用SQL注入攻击_第11张图片
【解决方法】

经检查发现,路径出现错误,修改后执行成功。

你可能感兴趣的:(#,云安全技术实训,安全,linux,web安全,sql)