国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網首頁
  2. >Toy博客

使用burpsuite抓包 + sql工具注入 dvwa初級靶場

2年前作者:Afanbird分類:Toy博客閱讀(19)違法舉報

這篇具有很好參考價值的文章主要介紹了使用burpsuite抓包 + sql工具注入 dvwa初級靶場。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

使用burpsuite抓包 + sql工具注入 dvwa靶場

記錄一下自己重新開始學習web安全之路②。

一、準備工作

1.工具準備 sqlmap + burpsuite

2.瀏覽器準備 火狐瀏覽器 + 設置代理。

首先,先設置一下火狐瀏覽器的代理

burpsuite掃描dvwa,web,網絡,數(shù)據(jù)庫,系統(tǒng)安全

http代理地址為127.0.0.0.1 ,端口為8080

3.burpsuite 準備 將burpsuite的抓包功能打開。

注:burpsuite 不抓127.0.0.1 /dvwa-master的包,所以需要用本地網卡 ip/dvwa-master 訪問

怎么查到本地網卡ip?

在cmd中輸入ipconfig

burpsuite掃描dvwa,web,網絡,數(shù)據(jù)庫,系統(tǒng)安全

得到本地網卡ip 192.168.92.1

如果是無線網,那么找無線網適配器的IPV4地址

burpsuite掃描dvwa,web,網絡,數(shù)據(jù)庫,系統(tǒng)安全

通過本地網卡ip進入dvwa,把安全等級改為low等級,,設置代理之后。

burpsuite掃描dvwa,web,網絡,數(shù)據(jù)庫,系統(tǒng)安全

在搜索框輸入之后,點擊submit。

通過burpsuite抓包得到

burpsuite掃描dvwa,web,網絡,數(shù)據(jù)庫,系統(tǒng)安全

注:抓到的包必須是注入點的包。

如:
(GET /dvwa-master/vulnerabilities/sqli/?id=2&Submit=Submit HTTP/1.1)即有?id=1,2等

然后在burpsuite中 點擊Action — Save item 保存到本地。

保存之后,利用sqlmap工具。首先要在cmd中先來到sqlmap的文件路徑下。

目標:拿賬號密碼(數(shù)據(jù))

1.查詢數(shù)據(jù)庫的名稱 (dvwa)

python sqlmap.py -r “C:\Users\86131\Desktop\11111.txt” --current-db

burpsuite掃描dvwa,web,網絡,數(shù)據(jù)庫,系統(tǒng)安全

burpsuite掃描dvwa,web,網絡,數(shù)據(jù)庫,系統(tǒng)安全

-r // 指定讀取本地文件

–current-db //列出當前網站數(shù)據(jù)庫名稱

2.查詢數(shù)據(jù)表的名稱 (guestbook 、users)

python sqlmap.py -r “C:\Users\86131\Desktop\11111.txt” -D dvwa --tables

burpsuite掃描dvwa,web,網絡,數(shù)據(jù)庫,系統(tǒng)安全

burpsuite掃描dvwa,web,網絡,數(shù)據(jù)庫,系統(tǒng)安全

-D //指定數(shù)據(jù)庫名稱

–tables //數(shù)據(jù)表

3.查詢數(shù)據(jù)列的名稱 (user 、password)

python sqlmap.py -r “C:\Users\86131\Desktop\11111.txt” -D dvwa -T users --columns

burpsuite掃描dvwa,web,網絡,數(shù)據(jù)庫,系統(tǒng)安全

burpsuite掃描dvwa,web,網絡,數(shù)據(jù)庫,系統(tǒng)安全

-T //指定數(shù)據(jù)表的名稱

–columns //列出數(shù)據(jù)列的名稱

4.讀取數(shù)據(jù) (user、password)

python sqlmap.py -r “C:\Users\86131\Desktop\11111.txt” -D dvwa -T users -C user,password --dump

burpsuite掃描dvwa,web,網絡,數(shù)據(jù)庫,系統(tǒng)安全

burpsuite掃描dvwa,web,網絡,數(shù)據(jù)庫,系統(tǒng)安全

-C //指定數(shù)據(jù)列的名稱

–dump // 讀取數(shù)據(jù)

拿賬號密碼時遇到的問題:

1.首先是burpsuite抓包時 火狐瀏覽器顯示

burpsuite掃描dvwa,web,網絡,數(shù)據(jù)庫,系統(tǒng)安全

通過百度得到解決辦法:

burpsuite掃描dvwa,web,網絡,數(shù)據(jù)庫,系統(tǒng)安全文章來源地址http://www.zghlxwxcb.cn/news/detail-729973.html

2.sqlmap,更新問題,可以不用管,但是一開始看到有警告,去官網下了一個新的sqlmap即可。

到了這里,關于使用burpsuite抓包 + sql工具注入 dvwa初級靶場的文章就介紹完了。如果您還想了解更多內容,請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章,希望大家以后多多支持TOY模板網!

本文來自互聯(lián)網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如若轉載,請注明出處: 如若內容造成侵權/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經查實,立即刪除!

領支付寶紅包贊助服務器費用

相關文章

  • 【網絡安全】DVWA靶場實戰(zhàn)&BurpSuite內網滲透

    【網絡安全】DVWA靶場實戰(zhàn)&BurpSuite內網滲透

    我們先來認識一下BurpSuite中有哪些攻擊模式,然后開始實戰(zhàn)操作 下面攻擊案例即將使用,對單個參數(shù)進行攻擊破解 聯(lián)想戰(zhàn)爭中狙擊手的作用,一次只能擊殺一名敵人 聯(lián)想古代的攻城錘,特點就是攻擊范圍比狙擊手大,但是效率不一定高 可以設置多個攻擊字段,但是payload值

    2024年02月13日
    瀏覽(18)
  • 超細DVWA靶場搭建--(小黑棧滲透測試初級篇1)

    超細DVWA靶場搭建--(小黑棧滲透測試初級篇1)

    前言:對于滲透測試這塊,最初階段建議先學習一下前、后端知識,然后再學習一到兩門語言,這樣子方便后續(xù)的成為大佬做好基石。滲透測試的方向上建議先web滲透?--? APP滲透 --內網滲透,多打靶場多理解漏洞的原理和工具的利用,在學習的過程中遇到的問題多做筆記和記

    2024年01月21日
    瀏覽(23)
  • Day1使用Burpsuite抓包工具抓包,改變UA頭使得手機和pc端界面互相轉換

    Day1使用Burpsuite抓包工具抓包,改變UA頭使得手機和pc端界面互相轉換

    1.前期工作:安裝Burpsuite工具這里網上有許多教程,大致步驟如下: 找到安裝包然后解壓縮,然后雙擊 安裝jdk,然后就是配置環(huán)境變量,如果是默認jdk安裝路徑沒有更改路徑的話就是跟如下一樣 配置如下: (1)JAVA_HOME 變量值填寫JAVA安裝的路徑,我的是C:Program FilesJavajd

    2024年02月10日
    瀏覽(31)

  • DVWA——SQL注入+盲注

    目的:執(zhí)行特定sql語句,獲得其他相關內容。 攻擊方式:動態(tài)構造SQL語句 影響:數(shù)據(jù)庫的脫褲、修改、甚至影響到操作系統(tǒng)。 漏洞原理:直接使用原始sql語句,沒有代碼審查 漏洞利用: 步驟1:判斷是否存在注入漏洞: 步驟2:判斷當前表字段個數(shù)?:通過order by 排序字段

    2024年02月07日
    瀏覽(88)
  • DVWA之sql注入——盲注

    DVWA之sql注入——盲注

    1.1?布爾盲注 布爾很明顯的Ture跟Fales,也就說它只會根據(jù)你的注入信息返回Ture跟Fales,也就沒有了之前的報錯 信息。 1.判斷是否存在注入,注入的類型 不管輸入框輸入為何內容,頁面上只會返回以下2種情形的提示: 滿足查詢條件則返回\\\"User ID exists in the database.\\\",不滿足查詢

    2024年02月05日
    瀏覽(88)
  • DVWA之SQL注入漏洞

    DVWA之SQL注入漏洞

    1、先確定正常和不正常的回顯 回顯,就是顯示正在執(zhí)行的批處理命令及執(zhí)行的結果等。 輸入1時,有回顯,是正常的 數(shù)據(jù)庫語句: select * from table where id =1 輸入5時,有回顯,是正常的 數(shù)據(jù)庫語句: select * from table where id =5 輸入6時,沒有回顯 數(shù)據(jù)庫語句: select * from table

    2024年02月08日
    瀏覽(17)
  • DVWA-----SQL Injection(SQL手工注入)

    DVWA-----SQL Injection(SQL手工注入)

    一、SQL注入 1.SQL注入原理 ?2.SQL注入分類 3.SQL注入思路 4.SQL注入繞過方法 二、SQL注入漏洞的分析 ????????1. 定義 2. 原因 3.危害 三、Web 程序三層架構 四、SQL Injection 1.LOW 2.Medium ?3.High ?4.Impossible ?????????通過把惡意的sql命令插入web表單遞交給服務器,或者輸入域名或

    2024年02月02日
    瀏覽(17)
  • DVWA-SQL Injection SQL注入

    DVWA-SQL Injection SQL注入

    SQL注入,是指將特殊構造的惡意SQL語句插入Web表單的輸入或頁面請求的查詢字符串中,從而欺騙后端Web服務器以執(zhí)行該惡意SQL語句。 成功的 SQL 注入漏洞可以從數(shù)據(jù)庫中讀取敏感數(shù)據(jù)、修改數(shù)據(jù)庫數(shù)據(jù)(插入/更新/刪除)、對數(shù)據(jù)庫執(zhí)行管理操作 (例如關閉 DBMS),恢復 DBM

    2024年02月08日
    瀏覽(23)
  • DVWA 之 SQL注入(非盲注)

    DVWA 之 SQL注入(非盲注)

    步驟: 1.判斷是否存在注入,注入是字符型還是數(shù)字型 2.猜解SQL查詢語句中的字段數(shù) 3.確定顯示的字段順序 4.獲取當前數(shù)據(jù)庫 5.獲取數(shù)據(jù)庫中的表 6.獲取表中的字段名 7.下載數(shù)據(jù) 輸入1,查詢成功: 輸入1’and ‘1’ =’2,查詢失敗,返回結果為空: 輸入1’or ‘1 ’=’1,查詢

    2024年02月04日
    瀏覽(19)
  • DVWA平臺搭建+SQL注入實驗詳解

    DVWA平臺搭建+SQL注入實驗詳解

    實現(xiàn)1: 實現(xiàn)DVWA平臺的搭建,為后續(xù)的SQL注入提供練習環(huán)境; 實現(xiàn)2: 進行SQL注入的練習,目的是了解因web應用程序對用戶輸入數(shù)據(jù)的合法性沒有判斷或過濾不嚴,而造成的危害,以便后續(xù)更好地掌握對其的防御手段,提高網絡安全意識; 1、下載phpstudy安裝包 (注意:如果

    2024年02月05日
    瀏覽(33)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領取紅包,優(yōu)惠每天領

二維碼1

領取紅包

二維碼2

領紅包