sqlmap的学习很难诶,看了一点视频教程,只讲到了获取数据库表名、列名,没说到获取数据库地址的问题。
不获取到地址有啥用啊?
------解决思路----------------------
------解决思路----------------------
数据库地址这么私隐的东西
怎么可以告诉你呢~
好像~要对一个数据库操作的前提提交就是知道数据库的地址~
------解决思路----------------------
sql注入指的是利用SQL漏洞(一般是拼写)来攻击数据库
比如你页面上有个输入框要求用户输入用户名,用户可以输入任意值 比如 ' or userName = 'bbb,如果你后台是通过拼接sql的方式进行数据库查询,假如拼接代码如下
sql="select * from tableName where userName='"+userName+"'"
那这样子之后,实际传入待执行数据库的Sql就是
select * from tableName where userName='' or userName = 'bbb'
这还是没啥杀伤力的攻击,仅仅只想多查其它的
那如果传入下面的值呢,这是直接删表的节奏啊
' ;delete from tableName;select * from otherTable where '1'='1
------解决思路----------------------
所谓攻击数据库,指的就是非法对数据库进行修改啊,否则你觉得攻击什么东西,攻击数据库软件本身吗
比如你拼接了一个sql语句,类似这样:select * from 表 where id=?
那么别人可能将?替换成另一个sql语句实现对数据库操作,而不仅仅是查询
------解决思路----------------------
删数据库都可以了,还不能增删改?不都是sql语句吗?
------解决思路----------------------
其实攻击数据库
首先你得知道能进行怎样的攻击
然后你需要分析人的心理,攻击数据库用来干嘛
能进行的攻击就是执行非法的SQL语句,也就是说并不是你设计好的想让用户执行的SQL语句,而是任意SQL语句
而攻击了来干嘛,删除数据只是用来搞破坏,这其实没啥意义,用户又跟你没有仇
攻击数据库无非就是以下2个目的
1.获取信息,比如其他用户的用户名和密码
2.修改数据,比如我给自己论坛积分修改增加个几十万分等等
------解决思路----------------------
不一定要写进登陆框里
反正最终提交的是表单,完全可以修改html,或自己做程序模拟post或get请求,而不使用浏览器自身的提交功能
------解决思路----------------------
看来是那种以为学几个软件就想成为黑客的娃~
我以前有个同学也有这种思想~
电脑的一切都是二进制~ 谁能操作二进制 那就是可以改变电脑原本的一切
不要说sql注入了~ 要提款机吐钱都可以~但很少人能成为电脑世界的上帝~
说说你的目的是什么~
如果你连sql都不懂~ 说什么注入~