SQL注入之小试牛刀（—）（大神请绕行）

enew · 发表于 2016-12-7 11:39:24

本帖最后由 enew 于 2016-12-7 11:43 编辑

今天用sqlmap工具来渗透一个有后端WAF的网站，先上图。

以前做渗透的时候，就是用工具胡乱的写上简单的sqlmap自带的参数，这样不仅不能提高自己的技术，如果要是遇到了具有防护能力的站点的话，会对自身的信心造成一定的影响。所以，前期的失败是提升后期经验的必须条件，要多想多做多记。现在虽然还是小白，只要努力，都可以达到自己想要达到的目标。

废话不多说，介绍参数（如有错误，请大神指正！）

-u：要注入的url链接

-v：详细信息等级

--dbs “MySQL”列出mysql数据库

--technique:选定sqlmap探测模式

-U:用UNION请求注入

-p:注入参数是id

--tamper:“charunicodeencode.py”调用脚本charunicodeencode.py

更多参数查看

获取数据库之后，进行猜表

然后获取可用表的列

最后，就是破译用户名个密码啦！！

enew · 发表于 2016-12-8 16:24:27

自己先顶下

现实与网络741 · 发表于 2016-12-8 16:56:55

支持下支持下支持下

一度三 · 发表于 2016-12-11 20:46:17

学习

yer兮 · 发表于 2016-12-21 12:29:56

学习。。。什么叫waf呢

_Marine · 发表于 2016-12-23 10:12:39

markmarkmark

SQL注入之小试牛刀（—）（大神请绕行）

相关帖子

指导单位

旗下站点

联系我们