云安全技术——云端应用SQL注入攻击

【实验目的】

1.掌握SQL注入的原理与基本注入步骤
2.掌握Kali Linux中的SQLmap各类功能及参数配置

【实验要求】

1.使用啊D工具进行网络攻击;
2.利用SQLmap对目标站点进行渗透攻击;

【实验环境】

1.Windows Server 2008环境下的啊D工具;
2.搭建SQL注入漏洞的web网站,该站点后台数据库为ACCESS 2003,且与啊D工具在同一虚拟机中;
3.搭建好测试网站DVWA;
4.正常连接互联网并且两台虚拟机那个ping 通;

项目四 云端应用SQL注入攻击

任务一 使用啊D工具实施注入攻击

1.安装失败:
在这里插入图片描述

任务二 使用SQLmap对目标站点进行渗透攻击

1.打开测试站点的主页面,并设置其安全级别为low;
在这里插入图片描述

2.打开Burp Suite,开启数据包捕获功能,打开网站SQL Injection,填入123点击提交:
在这里插入图片描述
3.捕捉到的数据包如下所示,包含Referer以及cookie:
在这里插入图片描述
4.输入如下命令,路径为referer中的内容,cookie为上图中生成的cookie,执行完成后出现网站数据库的名称:
在这里插入图片描述
在这里插入图片描述
5.在上述命令的基础上加上–tables来探测数据库中的表,如下图所示:
在这里插入图片描述
在这里插入图片描述

6.针对其中的一个表users,猜测其中的字段:
在这里插入图片描述
7.对users表中的所有字段的值进行探测:
在这里插入图片描述
8.利用上述结果,使用DVWA网站的主页进行验证,比如用户名为1337,密码为charley,如下图所示:
在这里插入图片描述

【问题】

问题一:执行第一句命令时出现错误如下:
在这里插入图片描述
【解决方法】

经检查发现,路径出现错误,修改后执行成功。


版权声明:本文为weixin_43361166原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。