KaLi sqlmap 简单入侵
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统
首先输入在控制台输入sqlmap -h 查看相关参数,可以看到以下参数
接着先找一个可利用的网址,这里就不公布测试的连接了,大家可以自行百度或谷歌寻找目标。现在是判断网站数据库类型,命令格式 :sqlmap -u 目标网址,如图所示
回车确定查看目标数据库信息,已经用矩形框起来了,已查处目标数据库为,mysql 5.0.12确定数据库类型为MySQL后,我们就可以查看存在的数据库了
命令格式:sqlmap -u 目标网址 --dbs回车,就可以查看到目标存在的数据库
知道数据库以后,我们就可以查看指定数据库中存在的表了,这里我们以上一步第一个数据库为例命令格式 : sqlmap -u 目标网址 --tables -D 数据库名
这时我们已经得到了表,现在开始获取第一个表中的字段命令格式:sqlmap -u 目标网址 --columns -T 表名 -D 数据库名
如图所示,已经猜解出字段。最后就要查看表里存储的内容了。命令格式:sqlmap -u 目标网址 --dump -C 字段名称 -T 表名 -D 数据库名回车。就可以查看你想要得到的数据了。
这篇日志的 t.cn 短域名为:http://t.cn/EAZrupK