关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


sqlmap之POST注入的两种姿势(-r 和--data)

2017-10-03 10:24 推荐: 浏览: 240字号:

摘要: 用sqlmap进行做post注入测试的时候,发现这么一种情况: 对POST请求,之前一直用 “-r txt文件”的形式,进行注入测试; 发现还有另一种POST,用“-r txt文件”的形式进行却无效,原来可以通过“--data="key=value"”来进行...

用sqlmap进行做post注入测试的时候,发现这么一种情况:

对POST请求,之前一直用 “-r txt文件”的形式,进行注入测试;

发现还有另一种POST,用“-r txt文件”的形式进行却无效,原来可以通过“--data="key=value"”来进行测试注入。

故以上两种情况都是post的,却还是有区别的

故此记录如下:

1:POST注入时,什么时候用“-r txt文件”的形式

post的body是这种形式:

参数1=value1&参数2=value2.....

即用 -> sqlmap -r "d://postrequest.txt"

2:POST注入时,什么时候用 -> sqlmap -u url --data="name=value" 的形式

post的body是这种形式的:

--c7eb38bf-7ea1-4fbc-836a-47ceafdfd30a
Content-Disposition: form-data; name="page"
Content-Length: 1

1
--c7eb38bf-7ea1-4fbc-836a-47ceafdfd30a
Content-Disposition: form-data; name="search"
Content-Length: 1
qqqqq
--c7eb38bf-7ea1-4fbc-836a-47ceafdfd30a--

原文地址:http://blog.sina.com.cn/s/blog_13afdb2130102x034.html

联系站长租广告位!

中国首席信息安全官
Copy link