iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 15
0
Security

資安x系統x絕對領域系列 第 18

[Day14]滲透測試x驗證工具xsqlmap

  • 分享至 

  • xImage
  •  

sqlmap,使用方式如其名,就是拿來做SQL Injection 漏洞驗證的。
我們一樣要以目標授權給我們做滲透測試之後,小心驗證我們的弱點。
使用前請參考:[Day09]絕對領域x道德駭客x刑罰新聞

說明:

是一套可以用來測試 SQL Injection並利用此漏洞的強大工具

支援資料庫:

MySQLOracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB
//來源請參考官方網站

  • 判斷可注入的參數
  • 判斷可用哪種技術注入
  • 識別出攻擊目標的資料庫
  • 選擇要讀取哪些數據

(1) 安裝Python 2.7 版本 //我嘗試安裝 3.5 版本無法正常執行

(2) 至sqlmap官網:下載sqlmap
這裡也有提供git方式下載:
git clone https://github.com/sqlmapproject/sqlmap.git sqlmap-dev
//補充:請勿存放在中文路徑下 & 使用於中文網址

(3) 修改環境變數(非必要)
PATH 增加以下內容:;c:\python27(版本)
PATHEXT 增加內容:;.PY;.PYM
//可能會需要重新開機(?

準備好了,我們就來開始選定目標吧!
教學文當然不敢找真的網站玩呀哭哭,我們是做純的!
//只好先找找有沒有網路資源可以當教學了(尋找中)

接下來,指令怎麼下呢?
sqlmap常用參數:
– u : 網址URL
– cookie : 設定cookie or session
– dbs : 取得資料庫
– tables : 取得資料表
– columns : 取得資料表的欄位
– dump : 取的欄位資料
– D : 設定顯示的資料庫
– T : 設定顯示的資料表

範例:
http://ithelp.ithome.com.tw/upload/images/20170209/201036474ZllYl3VlU.jpg

這個就是使用 sqlmap 的新聞啦…
新聞來源:http://www.ithome.com.tw/news/97854
使用說明請參閱官方網站 =v=+


上一篇
[Day13]駭客思維x教育不能等x預設密碼篇
下一篇
[Day15]滲透測試xXXS驗證工具xCSP
系列文
資安x系統x絕對領域47
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
Kathy Lai
iT邦新手 5 級 ‧ 2016-12-20 17:17:30

/images/emoticon/emoticon34.gif
期待

我要留言

立即登入留言