sqlmap注入后，获取到的数据库很多，表也很多，怎么知道账号和密码在哪个地方

如题所述

举报该问题

推荐答案 2018-12-02

【sqlmap从数据库中搜索字段语句】

-D 数据库–-search -C admin,password

–dbms mysql -D baidu –-search -C admin,password

在baidu数据库中搜索字段admin或者password

温馨提示：答案为网友推荐，仅供参考

当前网址：http://66.wendadaohang.com/zd/nDsiDUpvsUUi2piiiD.html

其他回答

第1个回答 2017-12-27

注入语句如下：Username: jonnybravo’ or 1=1; –该注入语句要做的就是从数据库查询用户jonnybravo，获取数据后立刻终止查询（利用单引号），之后紧接着一条OR语句，由于这是一条“if状态”查询语句，而且这里给出 “or 1＝1”，表示该查询永远为真。1=1表示获取数据库中的所有记录，之后的;–表示结束查询，告诉数据库当前语句后面没有其它查询语句了。追问

我是说用工具，比如sqlmap注入工具，在注入点注入后，获取很多的数据库和数据表，怎么才能知道管理员账号和密码在哪个数据库的那张表下，总不能一个一个数据库，数据表去查看数据吧

。

本回答被提问者和网友采纳

相似回答

怎么用sqlmap中的指令找到数据库文件的物理地址答：输入命令sqlmap-u+“风险网址”检测是否存在sql注入漏洞。看到返回了服务器的类型，web环境，数据库类型。确定存在漏洞我们开始下一步的注入。根据返回的数据库类型我们确定数据库为access数据库。使用--tables猜解表。猜解完表格后我们进一步猜解表的内容。命令：pythonsqlmap.py-uURL-Tadmin--columns注意...

mqlmap注入后,猜出的用户名 和密码,是数据库的账号密码,还是网页后台...答：是sqlmap吧根据您的描述应该是“网站”后台的密码。请合法使用该安全检测工具，根据《中华人民共和国网络安全法》任何个人和组织使用网络应当遵守宪法和法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、宣扬恐怖主义和极端主义、宣扬民族仇恨和民族歧视、传播淫秽色情信...

sqlmap post注入怎么获取注入的参数答：有两种方法来进行post注入，一种是使用--data参数，将post的key和value用类似GET方式来提交。二是使用-r参数，sqlmap读取用户抓到的POST请求包，来进行POST注入检测。查看payload 之前一直是加本地代理，然后用burpsuit来看sqlmap的payload，到现在才发现用-v参数就可以实现。一直认为-v实现的只是控制警告，...

sqlmap是一款功能强大的sql注入工具答：SQLmap支持多种扫描和攻击技术，包括盲注、延迟注入、存储注入等，可以快速地发现和利用SQL注入漏洞，并能够自动化的攻击和防御。它

如何利用SQL注入制造一个后门答：假设我们已经猜解到了用户名和密码root和toor(通过Blind SQL暴力猜解mysql.user表)。现在我们反问Web shell并传递一个命令:mysql -u<USERNAME> -p<PASSWORD> <DB NAME> < /var/www/test/g2现在我们再来看一下数据库。看到了我们的触发器。现在我们来运行一个INSERT查询来检查我们的触发器是否会运行。然后所有...

sqlmap怎么批量进行sql注入答：Linux上如何借助SQLMAP来渗透一个网站（更准确的说应该是数据库），以及提取出用户名和密码信息。2.什么是SQLMAP？SQLMAP是一个开源的渗透测试工具，它主要用于自动化地侦测和实施SQL注入攻击以及渗透数据库服务器。SQLMAP配有强大的侦测引擎，适用于高级渗透测试用户，不仅可以获得不同数据库的指纹信息，还...

大家正在搜

sqlmap怎么cookie注入 sqlmapsql注入漏洞 sqlmap测试sql注入 sql注入点寻找sqlmap sqlmap查看当前数据库 sqlmap指定数据库类型 sqlmap连接数据库 sqlmap跑不出数据库信息如何防止sqlmap查出数据库