记一次sql注入实战
Posted 南岸青栀*
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了记一次sql注入实战相关的知识,希望对你有一定的参考价值。
记录一下第一次拿站
偶然的时间,偶然的网址我看到了偶然的一次sql注入,苦苦寻找的小网站在那一瞬间被找到,一个字爽。
首次看到这个后台管理页面,没有验证码,所以尝试sql注入。简单试了试,决定查看是否存在POST注入。
首先使用代理Brupsuite进行抓包,抓取请求包。
将请求包中的内容,粘贴到文本中。
之后使用sqlmap进行注入
python sqlmap.py -r "test.txt"
然后查看当前所在的数据库,查看当前用户
python sqlmap.py -r "test.txt" --current-user --current-db
找到当前数据库后,查看数据库中存在的表项
python sqlmap.py -r "test.txt" --tables -D "expmpleDatabase"
。。。很多操作后
找到用户名密码
尝试登入
登入成功
最后在查看数据库的过程中发现五六月份,也是有好几个白帽子告诉站主存在sql漏洞。恰巧遇到这么一个简单注入的网站,记录一下
以上是关于记一次sql注入实战的主要内容,如果未能解决你的问题,请参考以下文章