web安全

sqlmap检测post表单提交注入的办法

Admin 2

  检测post的注入的时候可以查看注册和登录表单的地方,例如注册的时候用户名admin加一个引号就是admin'。后面点击提交的时候如果闪现出报错提示,那这里就可能有post注入。

  工具:穿山甲、sqlmap

  下面我们来看下sqlmap检测的语法:

  sqlmap.py -u "192.168.0.1/login.php" --form

  让自己加载表单...

  第二种办法如下:

  sqlmap.py -u "192.168.0.1/login.php" --data "username=admin&password=123123" --flush-session

  抓包获取username和password的值,然后加到语句找检测,后面的--flush-session是刷新缓存。

  第三种是直接跑burb抓的包:

  抓包内容我们放到一个文本文档然后用sqlmap去读如下(此方法也适用于搜索注入,中文):

  sqlmap.py -r c:\p.txt

标签: sqlmap,post注入

留言与评论(共有 0 条评论)
验证码: