返回
sql注入实验报告

sql注入实验报告

ID:29980185

大小:17.39 KB

页数:6页

时间:2018-12-25

sql注入实验报告_第1页
sql注入实验报告_第2页
sql注入实验报告_第3页
sql注入实验报告_第4页
sql注入实验报告_第5页
资源描述:

《sql注入实验报告》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划sql注入实验报告  课程名称网络信息安全综合实验一、实验要求  实验项目名称SQL注入攻击  在虚拟机环境查找SQL注入漏洞,通过Metasploit平台的sqlmap攻击实施SQL注入,了解防御措施  二、实验环境  攻击机:BT5r3,IP地址:  URL:http:///004_zhnews/search/?id=10832三、实验步骤  1.打开终端,进入Sqlmap目录:cd/pentest/database/sqlma

2、p  2.通过Sqlmap进行注入攻击。  上图可知:sqlmap探测出URL中的id参数存在着SQL注入点,并包含了基于错误的SQL注入点以及UNION查询注入点。  由上图可知后台数据库的版本是MySQL,Web应用平台为PHP/Apache。3.通过Sqlmap获取数据库名。  4.通过Sqlmap获取表名。本实验以efair数据库为例:  5.通过Sqlmap获取列名。以efair数据库里的auth_user为例:课看到有password一列:  6.通过Sqlmap导出password列的内容。目的-通过该培训员工可对保安行业有初步

3、了解,并感受到安保行业的发展的巨大潜力,可提升其的专业水平,并确保其在这个行业的安全感。为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划  由图可知,获取这个web应用后台数据库的所有作者用户账户和口令哈希,并保存为一个本地的txt文件。该文件如下图:  7.查看Sqlmap支持的Shell。  四、实验小结  本次实验过程中,在寻找可进行注入的URL过程中,尝试着对多个URL进行SQL注入,  使用“and1=1”及“and1=2”确认网站是否有SQL注入漏洞,试验过程中大部分

4、网站都禁止非法语句,最终实验使用URL为乌云网上提供的一个可进行SQL注入的网站。通过本次  SQL注入实例  如果你想要入侵一个网站,那么你首先要知道你将要入侵的网站是哪一种类型的。  方法是:打开一个网页,右键—>属性,从“地址”查看网站属于哪种类型。  有五种类型的网站页面URL标准。  相关文档:.cn/news_?id=47  如果你想要试验一次,但是这个网站已经不能被修复的话,那么你可以搜索类似的网站。  搜索语句可以是:inurl:?id=  或inurl:?id=目的-通过该培训员工可对保安行业有初步了解,并感受到安保行业的发

5、展的巨大潜力,可提升其的专业水平,并确保其在这个行业的安全感。为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划  下面是我找的一个例子,供大家参考:  实验演示:  第一步:寻找可以入侵的网站。  方法是:打开PHP类型的网址,在注入点后加一个单引号按回车。如果网页出错,那么该网站有漏洞。  下面是我选的网站的截图比较,正常网页如图1所示,加(‘)出现的错误网页如图2所示。  图  1  图2  第二步:进一步验证此链接是可以注入的。  在注入点后加“+and+1=1”页面显示正

6、常,如图3所示。  图3  在注入点后加“+and+1=0”,页面显示错误,如图4所示。  图4  第三步:获得字段数  在注入点后面加入“+order+by+1”,页面显示正常,如图5所示。  图5  注入点后面换成“+order+by+20”,出现错误界面,,如图6所示。目的-通过该培训员工可对保安行业有初步了解,并感受到安保行业的发展的巨大潜力,可提升其的专业水平,并确保其在这个行业的安全感。为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划  图6  用二分法进一步判断出现

7、错误的字段数,再注入点后面换成:“+order+by+10”,“+order+by+5”,“+order+by+8”,“+order+by+9”,页面均显示正常,说明,正确的字段是1,2,3,4,5,6,7,8,9。如图7所示。  图7  北京理工大学珠海学院实验报告  ZHUHAICAMPAUSOFBEIJINGINSTITUTEOFTECHNOLOGY  班级:学号:姓名:  指导教师:成绩  实验题目实验四SQL注入实验实验时间  一、实验目的:  (1)理解SQL注入获取后台用户名、密码的方法  (2)理解SQL注入获取后台数据库架构

8、的方法  二、实验内容以及步骤:  1、获取后台用户名、密码的方法  以动网论坛为例,在地址栏中输入http://实验台的IP/page6/访问论坛首页,通过下图可

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。