查看: 18989|回复: 5

SQL注入之小试牛刀(—)(大神请绕行)

[复制链接]
  • TA的每日心情
    奋斗
    2016-12-22 09:38
  • 签到天数: 14 天

    [LV.3]偶尔看看II

    发表于 2016-12-7 11:39:24 | 显示全部楼层 |阅读模式
    本帖最后由 enew 于 2016-12-7 11:43 编辑

    今天用sqlmap工具来渗透一个有后端WAF的网站,先上图。

    1.png

    以前做渗透的时候,就是用工具胡乱的写上简单的sqlmap自带的参数,这样不仅不能提高自己的技术,如果要是遇到了具有防护能力的站点的话,会对自身的信心造成一定的影响。所以,前期的失败是提升后期经验的必须条件,要多想多做多记。现在虽然还是小白,只要努力,都可以达到自己想要达到的目标。

    废话不多说,介绍参数(如有错误,请大神指正!)

    -u:要注入的url链接

    -v:详细信息等级

    --dbs “MySQL”列出mysql数据库

    --technique:选定sqlmap探测模式

    -U:用UNION请求注入

    -p:注入参数是id

    --tamper:“charunicodeencode.py”调用脚本charunicodeencode.py

    更多参数查看

    获取数据库之后,进行猜表
    2.png
    然后获取可用表的列
    3.png
    最后,就是破译用户名个密码啦!!
    5.png
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2016-12-22 09:38
  • 签到天数: 14 天

    [LV.3]偶尔看看II

     楼主| 发表于 2016-12-8 16:24:27 | 显示全部楼层
    自己先顶下
    回复 支持 1 反对 0

    使用道具 举报

  • TA的每日心情
    开心
    2021-4-18 16:22
  • 签到天数: 199 天

    [LV.7]常住居民III

    发表于 2016-12-8 16:56:55 | 显示全部楼层
    支持下支持下支持下
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    难过
    2016-12-11 19:54
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2016-12-11 20:46:17 | 显示全部楼层
    学习
    回复

    使用道具 举报

  • TA的每日心情

    2017-7-21 11:40
  • 签到天数: 55 天

    [LV.5]常住居民I

    发表于 2016-12-21 12:29:56 | 显示全部楼层
    学习。。。什么叫waf呢
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2017-1-11 09:42
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2016-12-23 10:12:39 | 显示全部楼层
    markmarkmark
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-22 09:01 , Processed in 0.029710 second(s), 16 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部