阅读背景:

CTF之利用sqlmap获取后台数据_小伟锅的博客_sqlmap查后台

来源:互联网 

    在攻防阶段利用kali系统中的owasp zap和sqlmap工具配合使用获取网站后台数据库中数据,在攻防阶段有可能在网站数据库表中有一条数据是flag{},即数据表中有flag记录;但在挑战赛阶段若为kali环境下的挑战题目可以利用sqlmap工具实现sql注入,从而获取后台管理员登陆用户名及密码(当然也可以利用burpsuite做代理实现暴力破解获得用户名和密码,但暴力破解需要合适的字典 由于本地字典不能拷贝到比赛环境中 因此暴力破解方法在比赛中不太实用),若为windows环境下需要sql注入不可利用相关工具,此时需了解sql注入相关语句(在尝试简单sql注入之后,简单sql注入命令显示错误,此时建议放弃此sql注入的题目,因为网站对sql语句进行了相关的限制,破解此限制需不断尝试各种隐藏方法 较麻烦费事)。    在攻防阶段利用kali系统中的owasp zap和sqlmap工具配合使用获取网站后台




你的当前访问异常,请进行认证后继续阅读剩余内容。

分享到: