为什么sqlmap注入没表
发布网友
发布时间:2022-04-22 08:23
共1个回答
热心网友
时间:2022-04-08 11:19
POST注入
两种进行post注入种使用--data参数postkeyvalue用类似GET式提交二使用-r参数sqlmap读取用户抓POST请求包进行POST注入检测
查看payload
前直加本代理用burpsuit看sqlmappayload现才发现用-v参数实现直认-v实现控制警告debug信息级别实际使用-v 3显示注入payload4,5,6显示HTTP请求HTTP响应页面
使用google搜索
sqlmap测试google搜索结sql注入强功能吧使用参数-g觉实际使用用少
请求延
注入程请求太频繁能防火墙拦截候--delay参数起作用设定两HTTP请求间延web程序错误访问屏蔽所请求导致所测试进行绕策略使用--safe-url每隔段间访问页面
伪静态页面
些web服务器进行url rewrite或者网站伪静态直接提供测试参数使用*代替要测试参数
执行系统命令
数据库支持并且前用户权限候执行系统命令使用--os-cmd或者--os-shell具体讲执行语句候尝试用UDF(MySQLPostgrepSQL)或者xp_cmdshell(MSSQL)执行系统命令能执行语句仍尝试创建webshell执行语句候需要web绝路径总体说功率偏低功经验~
测试等级
sqlmap使用--level参数进行同全面性测试默认1同参数影响使用哪些payload2进行cookie注入检测3进行useragent检测
