没有合适的资源?快使用搜索试试~ 我知道了~
e-1-6-通过sqlnamp检测sql注入漏洞-随堂笔记 .doc
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 56 浏览量
2022-10-23
18:25:49
上传
评论
收藏 1.18MB DOC 举报
温馨提示
试读
15页
e-1-6-通过sqlnamp检测sql注入漏洞-随堂笔记 .doc
资源推荐
资源详情
资源评论
本节所讲内容:
• 安装 SQLmap 漏洞查看工具
• 安装渗透测试演练系统 DVWA
• 实战:使用 SQLmap 进行 sql 注入并获得后台管理员 adnim 帐号和密码
安装 SQLmap:xuegod64.cn IP:192.168.1.64
渗透测试演练系统 DVWA:xuegod63.cn IP:192.168.1.63
实战环境:
sql 注入概述:
所谓 SQL 注入,就是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终
达到欺骗服务器执行恶意的 SQL 命令。
它是利用现有应用程序,可以通过在 Web 表单中输入(恶意)SQL 语句得到一个存在安全漏洞的网站上
的数据库。
比如先前的很多影视网站泄露 VIP 会员密码大多就是通过 WEB 表单递交查询字符暴出的,这类表单特别
容易受到 SQL 注入式攻击
例:12306.cn 帐号和密码泄露。
什么是 SQLmap?
SQLmap 是一款用来检测与利用 SQL 注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用
的自动化处理(数据库指纹、访问底层文件系统、执行命令)。
官方网站下载 http://sqlmap.org/
xuegod64 上安装 sqlmap
1.安装 Python 环境
我系统中已经安装过了,没有的可以使用下面这条命令安装
[root@xuegod64 ~]# yum install python -y
[root@xuegod63 ~]# python -V
Python 2.6.6
2.sqlmap 的安装比较简单,主要是把源码下载下来就可以了
把 sqlmapproject-sqlmap-1.0.9-87-g7eab1bc.tar.gz 上传到 Linux 系统中
[root@xuegod63 ~]# tar zxvf sqlmapproject-sqlmap-1.0.9-87-g7eab1bc.tar.gz
[root@xuegod63 ~]# cd /root/sqlmapproject-sqlmap-7eab1bc
[root@xuegod63 sqlmapproject-sqlmap-7eab1bc]# ls
doc lib procs shell sqlmap.conf tamper txt waf
extra plugins README.md sqlmapapi.py sqlmap.py thirdparty udf xml
注: python 是解释型语言,不需要编译,就是 shell 脚本, c 语言是编译型语言
运行 sqlmap
[root@xuegod63 sqlmapproject-sqlmap-7eab1bc]# ./sqlmap.py
可以执行,说安装成功了。只是咱们没有指定对应的参数,报了个小错。
3.设置环境变量
上面安装的 sqlmap 每次运行的时候都需要输入相应的路径用起来比较麻烦,可以通过设置环境变量的方
式来直接使用 sqlmap 命令
方法 1:修改环境变量: PATH
方法 2:创建软链接 ln -n
方法 3:创建一个别名
[root@xuegod63 ~]# vim /etc/profile 在文件最后添加如下代码(路径根据自己的来定)
alias sqlmap='python /root/sqlmapproject-sqlmap-7eab1bc/sqlmap.py'
[root@xuegod63 ~]# source /etc/profile 这样就可以直接使用了
[root@xuegod63 ~]# sqlmap
二、安装渗透测试演练系统 DVWA
DVWA (Dam Vulnerable Web Application)DVWA 是用 PHP+Mysql 编写的一套用于常规 WEB 漏
洞教学和检测的 WEB 脆弱性测试程序。包含了 SQL 注入、XSS、盲注等常见的一些安全漏洞。
官方网站:链接地址:http://www.dvwa.co.uk 由于是国外的网站,有时可能会打不开。
这里下载最新版本:DVWA-1.9.zip
注: .uk 是英国的域名后缀。
英国的全称是大不列颠及北爱尔兰联合王国,又简称英国〔United Kingdom,UK〕
实战:在 xuegod63 上部署 DVWA 网站
1.使用 rpm 包,快速搭建 LAMP 环境:
[root@xuegod63 ~]# yum install -y httpd mysql-server mysql php php-mysql php-gd
注:php-gd 库:gd 库是 php 处理图形的扩展库,gd 库提供了一系列用来处理图片的 API,使用 GD
库可以处理图片,或者生成图片。 在网站上 GD 库通常用来生成缩略图或者用来对图片加水印或者对网站
数据生成报表及验证码。
剩余14页未读,继续阅读
资源评论
罗四强
- 粉丝: 15w+
- 资源: 286
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功