创意新生活_最新创意新奇好玩的资讯网欢迎您!
当前位置: 主页 > 手机 > Android手机搭建渗透环境演示用手机做网站脱库
Android手机搭建渗透环境演示用手机做网站脱库
创意新生活_最新创意新奇好玩的资讯网  发布时间: 2020-03-26 01:43

  下文演示过程:利用Android手机下的终端(Termux),盗取网站数据库数据,也就是脱库。

  手机上同样可以玩kali linux里的玩意儿,先安装一个之前文章中用到过的Termux(官网下载),并更新:

  之前讲的sql注入其实是可以依靠工具来自动化脱库的,比如sqlmap,此处用sqlmap来做演示,先安装git,以方便从github中下载工具,git安装命令为:

  红框标注出的sqlmap.py文件便是要执行的脚本,此脚本必须保证安装了python2,所以在图中可以看到,通过命令

  安装了python2的环境,此处注意,必须为python2,python和python3是无法正确执行此脚本的。

  成功运行,环境便准备妥当了,接下来使用google hacking寻找一个存在sql注入漏洞的网站做实验,打开google搜索,输入搜索内容:

  之前讲的sql盲注所用的url中,都是带有这种格式的字符串的,因此这样搜索可以在结果中更高概率的找到存在sql注入漏洞的网站。搜索结果如图:

  可以看到提示了sql语法错误,便确定存在sql注入漏洞,接下来使用sqlmap来脱库,先用sqlmap命令:

  在主机中有不少数据库和表,很明显网站的数据库是这里的ubrain,我们最感兴趣的也是后台账号密码,从名字上看应该是authorised_users表,接下来继续使用sqlmap命令来获取这张表中的内容,命令为:

  可以看到这张表定义的4个字段:id,邮箱,用户名,密码,同时里面记录了4条数据,如果能找到后台地址,这4条数据兴许能登入成功,说起来,如图中所示用户名和密码都为admin的真是万年老大。

  除了sqlmap,其他很多工具如nmap等,同样可以在termux下安装使用,termux跟linux下的终端体验也是一样的,试想,晚上躺床上用手机就可以玩渗透,神器当之无愧。

下一篇:Apple爆品领券立减3000元 京东手机1111秒杀日来袭
首页 | 网站地图 | 网站声明 | 联系我们 | 关于我们
主办单位:创意新生活_最新创意新奇好玩的资讯网                    承办单位:创意新生活_最新创意新奇好玩的资讯网办公室
运维单位:创意新生活_最新创意新奇好玩的资讯网互联网信息办公室        
网站标识码:1411270001                 联系电话:0358-6722104

晋公网安备 14112702000005号