SQL註入是壹種代碼註入技術,用於攻擊數據驅動的應用,比如將惡意的SQL代碼註入特定的字段,實施庫拖拽攻擊。SQL註入的成功必須依賴於應用程序的安全漏洞。比如當用戶輸入沒有經過適當的過濾(針對某些特定的字符串)或者沒有特別強調類型的時候,就很容易造成SQL語句的異常執行。SQL註入是網站滲透中最常用的攻擊技術,但實際上,SQL註入可以用來攻擊所有的SQL數據庫。在本指南中,我將向您展示在卡利?如何在SQLMAP的幫助下滲透壹個網站(更準確的說應該是數據庫),提取Linux上的用戶名和密碼信息。
2.什麽是SQLMAP?
SQLMAP是壹個開源的滲透測試工具,主要用於自動檢測和實施SQL註入攻擊,滲透數據庫服務器。SQLMAP配備了強大的檢測引擎,適合高級滲透測試用戶。它不僅可以獲取不同數據庫的指紋信息,還可以從中提取數據。此外,它可以處理潛在的文件系統,並通過帶外數據連接執行系統命令。
訪問SQLMAP的官網,可以更詳細的了解SQLMAP,比如它的諸多特性,其中最突出的就是SQLMAP完美支持MySQL、Oracle、PostgreSQL、MS-SQL、Access等多種數據庫的SQL檢測和註入,可以同時進行六種註入攻擊。
同樣需要註意的是,在妳攻擊之前,想想網站的創始人或維護者,他們在網站上花費了大量的時間和精力,很可能以此為生。妳的行為可能會以妳不希望的方式影響他人。我想我已經說得很清楚了。
0x001定位註入的網站。
如果妳已經知道如何使用谷歌,這通常是最無聊和最耗時的壹步。呆子(谷歌?呆子?sql?昆蟲:谷歌的愚蠢的SQL註入)可能有壹些線索,但如果妳還沒有整理出那些用於谷歌搜索的字符串,妳可以考慮復制以下項目,等待谷歌的搜索結果。