使用Sqlmap对目标站点进行渗透攻击
使用kali Linux环境中的sqlmap实现对目标靶机网站的注入猜解。
打开测试站点DVWA的主页面,并设置安全级别为low
单击左边的SQL Injection,打开如下图所示界面在User ID框中输入任意数字。
输入123456,运用burpsuite抓到的数据包如下:
在kali linux虚拟机的命令行状态下运行Sqlmap,并输入语句
得到网站数据库的名称
在上述命令的基础上,后面加上–tables来探测该数据库中的表
探测结果如下:
针对其中一个表users,探测其中的字段图中命令有点问题后面的命令选项应为columns
探测结果如下:
执行以下命令,对users表中所有字段的值进行探测
在探测过程中用到其自带的字典,得到的结果如图所示
利用上述结果,登录DVWA网站主页进行验证,比如用户名为gordond密码为abc123