zoukankan      html  css  js  c++  java
  • sqlmap自动注入 --REQUEST

     --delay=“参数”

    每次http(s)请求之间的延迟时间,浮点数,单位为秒,默认无延迟

    --timeout=“参数”

    请求超时,浮点数,默认为30秒

    --retries=“参数”

    http(s)连接超时重试次数 ,默认为3次

    --randomize=“参数”

    长度,类型与原始值保持一致的前提下,指定每次请求随机取值的参数名

    --scope 是解释后面的那个.的

    过滤日志内容,通过正则表达式筛选扫描对象  加上level提高等级

    sqlmap.py -l burp.log --scope="(19)?.168.6.(1|11|121|221)" --level=3

    在尝试log里面的每一个url

    --safe-url/--safe-freq

    检测和盲注阶段会产生大量的错误 为了防止服务端注意 这里指定 错误几次后就给一次正确的请求

    --skip-urlencode

    --eval

    每次请求之前 执行指定的Python代码(对url地址里的请求啊内容啊进行修改啊添加的)

    每次请求更改或增加新的参数值

    通过找回密码功能 只要知道你的邮箱 把邮箱换成hash 然后就可以构造改密码的url

     SQLmap的性能优化

    --predict-output

    output.txt在kali下面的路径

    /usr/share/sqlmap/txt/common-output.txt

    与--threads参数不兼容

    --keep-alive

    使用http(s)长连接 ,性能好

    与-proxy参数不兼容

    --null-connection

    只获取相应页面的大小值,而非页面具体内容

    与--text-only不兼容

    -O 开启前三个性能参数 除了--threads参数以外

  • 相关阅读:
    mybatis LIKE模糊查询若干写法
    OKR和KPI区别和适用对象
    谈谈 Puppeteer
    jq
    tput
    nodejs + ffmpeg 实现视频转动图
    Golang IO操作
    golang 三个点的用法
    Golang Package 与 Module 简介
    Python合并字典组成的列表
  • 原文地址:https://www.cnblogs.com/-zhong/p/10858844.html
Copyright © 2011-2022 走看看