靶场科普 | SQL注入之SQLMap使用练习

本文由“网络安全检测与防护技术国家地方联合工程研究中心深圳分中心——东塔网络安全学院”总结归纳

靶场介绍

SQL注入之SQLMap使用练习

今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“SQL注入之SQLMap使用练习”。

一、实验介绍

1.sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞。它由python语言开发而成,因此运行需要安装python环境。

2.当给 sqlmap 这么一个 url 的时候,它会:

(1)判断可注入的参数

(2)判断可以用那种 SQL 注入技术来注入

(3)识别出哪种数据库

(4)根据用户选择,读取哪些数据

3.sqlmap 支持五种不同的注入模式:

(1)基于布尔的盲注,即可以根据返回页面判断条件真假的注入。

(2)基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。

(3)基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。

(4)联合查询注入,可以使用 union 的情况下的注入。

(5)堆查询注入,可以同时执行多条语句的执行时的注入。

4.sqlmap 支持的数据库有:

MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase 和 SAP MaxDB。

二、实验目的

1.掌握sqlmap工具的注入方法

2.了解sqlmap工具常用功能

三、实验步骤

1.打开实验地址,查看实验环境,输入要攻击的网站;

2.使用sqlmap命令进行一系列的操作

(0)

相关推荐

  • SQL注入实战篇

    今天要介绍的是SQL注入实验.SQL注入攻击的学习,我们更多的目的是为了学习攻击技术和防范策略,而不是刻意去攻击数据库. 首先我们先进入实验地址<SQL 注入>. SQL注入是一种代码注入 ...

  • SQL注入漏洞有什么特点?

    什么是SQL注入漏洞?SQL注入漏洞有什么特点?SQL注入漏洞是一种常见的Web安全漏洞,通过这个漏洞可以访问和修改数据,也可以利用潜在的数据库漏洞进行攻击. 什么是SQL注入漏洞? SQL是操作数据 ...

  • 安全测试工具sqlmap

    时间主题11.27(周三)20:00 DevOps体系11.28(周四)20:00安全测试&sqlmap 在周四的测试运维试听课程中,芒果给大家介绍了安全测试工具sqlmap的使用,这里我们来 ...

  • web安全-sqlmap的使用

    sqlmap工具的使用 一.前言 二.参数说明 三.注入演示 1.寻找注入点 2.查库 3.查表 4.出数据 一.前言   sqlmap是一款非常好用的自动化的sql注入工具,本文演示中的目标是靶机的 ...

  • SQL注入攻击的类型有哪些?网络安全教程

    网络安全攻击方式有很多种,其中包括SQL注入.XSS等,今天主要为大家介绍一下SQL注入攻击.那么什么是SQL注入?SQL注入攻击的类型有哪些? 什么是SQL注入? SQL注入是一种注入攻击,可以执行 ...

  • Spring MVC防御CSRF、XSS和SQL注入攻击

    本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击). 说说CSRF 对CSRF来 ...

  • 彻底干掉恶心的 SQL 注入漏洞, 一网打尽!

    来源: b1ngz b1ngz.github.io/java-sql-injection-note/ 简介 文章主要内容包括: Java 持久层技术/框架简单介绍 不同场景/框架下易导致 SQL 注入 ...

  • 某学院系统sql注入到服务器沦陷(bypss)

    前言 前一段时间都在挖edu src,为了混几个证书,中间陆陆续续也挖到好几枚系统的通杀吧,不过资产都不多,都是黑盒测试出来的,没啥技术含量.只有这次挖到的这枚通杀稍微有那么一点点价值,从外网web一 ...

  • 渗透测试之SQL注入基础

    渗透测试之SQL注入基础 SQL注入类型 按照数据类型类型来分类 按照执行效果来分类(页面回显效果) 按照数据提交的方式来分类 判断注入类型的方法 MySQL注入基础 联合查询注入 布尔注入 时间盲注 ...

  • 某团购CMS的SQL注入漏洞代码审计

    0x00 SQL注入漏洞: 简单介绍一下SQL语句:通俗来理解就是开发者盲目相信用户,没有严格检查用户输入,导致用户可以输入恶意参数进入程序逻辑,最终拼接恶意参数改变原本的SQL语句逻辑,造成SQL注 ...

  • 动态调试|Maccms SQL 注入分析(附注入盲注脚本)

    0x01 前言 已经有一周没发表文章了,一个朋友叫我研究maccms的代码审计,碰到这个注入的漏洞挺有趣的,就在此写一篇分析文. 0x02 环境 Web: phpstudy System: Windo ...

  • 部分sql注入总结

    前言 本人ctf选手一名,在最近做练习时遇到了一些sql注入的题目,但是sql注入一直是我的弱项之一,所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用. 可回显注入 联合注入 在可以联合查询的 ...