利用sqlmap简单注入dvwa
1配置dvwa
参考https://blog.csdn.net/qq_42077227/article/details/88587978
2
1.首先启动mysql和apache2服务
2.然后进入http://127.0.0.1/dvwa/setup.php,点击Create/Reset Database 进入(http://127.0.0.1/dvwa/login.php)username默认为admin, Password为password 点击login in进入(http://127.0.0.1/dvwa/index.php)。
3. 然后点击DVWA Security,将Security Level 改为Low,点击submit提交。
4点击PHP info,在Apache Environment或者HTTP Headers Information找到cookie,并复制。
5点击SQL Injection,输入user ID为1,然后点击提交,然后复制此时的网络连接即为所要注入的URL
6 然后打开shell,输入sqlmap –u 和刚刚复制的URL和cookie。可以看出参数id是可以注入的。
7 然后在上一次命令的基础上增—dbs显示所有的数据库名称。其中数据库information_schema为mysql数据库自带。
8 –-tables为扫描所有数据库的表 这里用-D dvwa –-tables扫描dvwa数据库里面的表
9可以看出有2个表而用户信息应该在users表中,然后利用-D dvwa -T users –columns查看users表中字段信息。
10 而我们想要知道里面的user和password字段,然后通过dump导出这两个字段列的信息,命令为-D dvwa –T users –C user, password –dump。中途会询问是否将哈希存储到临时文件中,已经是否用字典进行破解。最终得出来所有用户名和密码。(其中admin和password为DVWA系统的口令 )
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 深入理解 Mybatis 分库分表执行原理
· 如何打造一个高并发系统?
· .NET Core GC压缩(compact_phase)底层原理浅谈
· 现代计算机视觉入门之:什么是图片特征编码
· .NET 9 new features-C#13新的锁类型和语义
· Spring AI + Ollama 实现 deepseek-r1 的API服务和调用
· 《HelloGitHub》第 106 期
· 数据库服务器 SQL Server 版本升级公告
· 深入理解Mybatis分库分表执行原理
· 使用 Dify + LLM 构建精确任务处理应用