SQL Injection attack 快要變成古老傳說了,但是還是有人犯低級的錯誤,知道怎麼可以造成sql injection,但是有自動程式可以幫忙看,當然要用看看

環境準備

被攻擊的網站 metasplositable 2 VM 載點

文件 https://docs.rapid7.com/metasploit/metasploitable-2-exploitability-guide/

解壓縮安裝完要設定資料庫名稱改為owasp10 很重要,浪費我一些時間除錯

sudo nano /var/www/mutilidae/config.inc

系統預設帳密

Burp suite community 和web browser的設定可以參考這篇

要設定payload的地方只有username

Payload Options > Load

/usr/share/wordlists/wfuzz/injections/SQL.txt

執行結果,照文章的說法,都是找內容變化比較大的結果,這裡是在Request 39,連其他username password都找出來了 XD

最後修改日期: 28/09/2020

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。