云端应用SQL注入攻击
实训环境:
在VMware中创建Windows Server 2008和Kali Linux虚拟机以构成局域网,Windows Server 2008和Kali Linux虚拟机的IP地址分别为192.168.43.99和192.168.43.46。并在Windows Server 2008虚拟机中搭建测试网站dvwa。
1、 打开测试站点Dvwa的主页面,并设置其安全级别为low
2、单击左边的SQL injection
3、在“User ID”文本框中随意输入一串数字,比如1234,同时开启Burp Suite的数据包捕获功能
4、在Kali Linux虚拟机的命令行状态下运行Sqlmap
输入如下命令执行,执行完该命令后,可得到网站数据库的名称
5、在上述命令的基础上,后面加上—tables来探测该数据库中的表
6、针对其中的一个表users,猜测其中的字段
7、执行如下命令,对users表中所有字段的值进行探测,在探测过程中用到其自带的字典
8、利用上述结果,登录DVWA网站主页进行验证,比如用户名为1337,密码为charely
如有想法,欢迎评论!