云端应用SQL注入攻击之Sqlmap学习
云端应用SQL注入攻击之Sqlmap学习
实验介绍
SQL注入漏洞是由于Web应用程序没有对用户输入数据的合法性进行判断,攻击者通过Web页面的输入区域,通过精心构造的SQL语句插入特殊字符和指令,通过和数据库交互获得私密信息或者篡改数据库信息。SQL注入攻击主要是将巧妙构造的SQL语句同网页提交的内容结合起来进行攻击。Sqlmap是一款用来检测与利用SQL注入漏洞的免费开源工具,结合BurpSuite抓取Web端扫描到的cookie内容,通过获取到的信息使用Sqlmap获取数据库中表数据,暴力猜解数据及实现用户登录等操作。
实验目的及要求
(1) 掌握Kali Linux中的Sqlmap各类功能及参数配置
(2) 使用Sqlmap对目标站点进行渗透攻击
(3) 使用Kali Linux环境中的Sqlmap实现对目标靶机网站的注入猜测
(1)在VMvare中创建Windows Server 2008与Kali Linux虚拟机,并配置这两台虚拟机构成局域网,设置Windows Server 2008虚拟机的IP地址为10.4.92.29,Kali Linux虚拟机的IP地址为10.4.7.34。
(2)在Windows Server 2008虚拟机中配置IIS,并创建好测试网站dvwa。
任务一 使用Sqlmap对目标站点进行渗透攻击
- 打开测试网站DVWA的主网页,并设置其安全级别为low
- 单击左边的SQL Injection
- 在”User ID”文本框中随机输入一串数字,开启Burp Suite的数据包捕获功能
- 在Kali linux虚拟机的命令行状态下运行Sqlmap,并输入以下命令
- 在上条命令后加—tables探测该数据库中的表
- 针对其中的一个表users,猜测其中的字段
- 执行如下命令,对users表中所有字段的值进行探测,在探测过程中会用到自带的字典
- 利用上述结果,登录DVWA网站主页进行验证,比如用户名为pablo,密码为letmein
搭建DVWA网站在本人之前的博客,想学习的话去看看