Sqli-labs靶场第19关详解[Sqli-labs-less-19]自动化注入-SQLmap工具注入

Sqli-labs-Less-19

通过测试发现,在登录界面没有注入点,通过已知账号密码admin,admin进行登录发现:

返回了Referer ,设想如果在Referer 尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。

#自动化注入-SQLmap工具注入

SQLmap用户手册:文档介绍 - sqlmap 用户手册

由于这题是post请求,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件

在Referer 处加上*代表注入点

复制代码
python sqlmap.py -r data.txt  --current-db --batch
爆出当前数据库名

成功管理用漏洞!!!

相关推荐
小皮侠7 分钟前
nginx的使用
java·运维·服务器·前端·git·nginx·github
一只fish16 分钟前
MySQL 8.0 OCP 1Z0-908 题目解析(16)
数据库·mysql
Maki Winster38 分钟前
在 Ubuntu 下配置 oh-my-posh —— 普通用户 + root 各自使用独立主题(共享可执行)
linux·运维·ubuntu
泊浮目1 小时前
未来数据库硬件-网络篇
数据库·架构·云计算
静若繁花_jingjing1 小时前
Redis线程模型
java·数据库·redis
翻滚吧键盘1 小时前
debian及衍生发行版apt包管理常见操作
运维·debian
薄荷椰果抹茶2 小时前
【网络安全基础】第六章---Web安全需求
安全·web安全
叁沐2 小时前
MySQL 07 行锁功过:怎么减少行锁对性能的影响?
mysql
Charlene Fung2 小时前
vs code远程自动登录服务器,无需手动输入密码的终极方案(windows版)
运维·服务器·vscode·ssh
碣石潇湘无限路2 小时前
【部署与总结】从本地运行到公网服务器的全过程
运维·服务器