SQL注入之小试牛刀(—)(大神请绕行)
本帖最后由 enew 于 2016-12-7 11:43 编辑今天用sqlmap工具来渗透一个有后端WAF的网站,先上图。
以前做渗透的时候,就是用工具胡乱的写上简单的sqlmap自带的参数,这样不仅不能提高自己的技术,如果要是遇到了具有防护能力的站点的话,会对自身的信心造成一定的影响。所以,前期的失败是提升后期经验的必须条件,要多想多做多记。现在虽然还是小白,只要努力,都可以达到自己想要达到的目标。
废话不多说,介绍参数(如有错误,请大神指正!)
-u:要注入的url链接
-v:详细信息等级
--dbs “MySQL”列出mysql数据库
--technique:选定sqlmap探测模式
-U:用UNION请求注入
-p:注入参数是id
--tamper:“charunicodeencode.py”调用脚本charunicodeencode.py
更多参数查看
获取数据库之后,进行猜表
然后获取可用表的列
最后,就是破译用户名个密码啦!!
自己先顶下 支持下支持下支持下 学习:):lol 学习。。。什么叫waf呢
markmarkmark
页:
[1]