PDF《N B R C》

WEB安全-SQL注入之Sqlmap入门 ? N B R C 西安电子科技大学网络与信息安全学院 ? 网络行为研究中心 崔艳鹏 ? ypcui@mail.

xidian.edu.cn IMC 写在前面 ? 1.? WEB安全问题以SQL注入、XSS攻击为最,因此,本课 程主要授课内容实施以网络行为研究中心靶场Sqli -?\labs_nbrc靶场为对象,进行原理介绍和实践练习 . ? 2.? Lesson-?\1将详细讲解第一个SQL注入例子,给初学者一 个初步思路的引导,后面的课程给出提示. 3.? 推荐使用火狐浏览器,非必需,但火狐的一些插件会 大大提高注入的效率,以下教程默认使用火狐浏览器. ? 4.? 教程难免会有的纰漏和局限,欢迎指正和讨论.联系 方式微信号wwwbird520. ? 网络行为研究中心 ? hFp://nbrc.xidian.edu.cn IMC 本课程的主要知识点: ? n??Sqlmap的基本参数 ? n??Sqlmap的基本使用方法 ? ? 网络行为研究中心 ? hFp://nbrc.xidian.edu.cn IMC 1. ?sqlmap ? n?? Sqlmap是自动化sql注入 工具,使用方法如下. ? n?? 首先切换到 sqlmap的目 录下,会发现 Sqlmap.py 文件. ? n?? Sqlmap的使用方法就是 执行这个python文件. ? Python ?sqlmap.py ?C参数 ? ? 网络行为研究中心 ? hFp://nbrc.xidian.edu.cn IMC 2. ?Sqlmap基本参数 ? n??-?\u URL" ?:指定url ? n??-?\-?\dbs 查询数据库 ? n??-?\-?\tables 查询所有表名 ? n??-?\-?\columns 查询所有列名 ? n??-?\D ? ?DB_name 指定数据库 ? n??-?\T Table_name 指定表 ? n??-?\C ? ?column_name 指定列 ? 网络行为研究中心 ? hFp://nbrc.xidian.edu.cn IMC 3. ?Sqlmap注入 ? n?? Sqlmap命令: ? python ?sqlmap.py u ip/sqli-?\labs/Less-?\1/?id=1" dbs tables ?Ccolumns ? n?? 命令意为对sqli-?\labs的less 1进行注入,查询所有的 数据库,表名和列名. ? n?? Sqlmap打开如图. ? n?? 在扫描过程中出现的选 择按提示输入y或n即可. 网络行为研究中心 ? hFp://nbrc.xidian.edu.cn IMC 3. ?Sqlmap注入 ? n??Sqlmap扫描结果如图 ? n??给出了注入参数,注 入类型,注入使用 的payload,数据库的 基本信息等. ? n??查询结果也都给出. ? 网络行为研究中心 ? hFp://nbrc.xidian.edu.cn IMC 3. ?Sqlmap注入 ? 网络行为研究中心 ? hFp://nbrc.xidian.edu.cn IMC 3. ?Sqlmap注入 ? n?? Sqlmap命令: ? python ?sqlmap.py u ip/sqli-?\labs/Less-?\1/?id=1" D ? ?security C ? ?users ? ? columns ? n?? 命令意为查询security数据 库的users表的列名. ? n?? 执行结果如图. 网络行为研究中心 ? hFp://nbrc.xidian.edu.cn IMC Thanks! 卓越品质 ?,我们到追求! ? 微信:? 微博:****** ? 扫一下,有更多惊喜! 崔艳鹏 ? ?