检测post的注入的时候可以查看注册和登录表单的地方,例如注册的时候用户名admin加一个引号就是admin'。后面点击提交的时候如果闪现出报错提示,那这里就可能有post注入。
工具:穿山甲、sqlmap
下面我们来看下sqlmap检测的语法:
sqlmap.py -u "192.168.0.1/login.php" --form
让自己加载表单...
第二种办法如下:
sqlmap.py -u "192.168.0.1/login.php" --data "username=admin&password=123123" --flush-session
抓包获取username和password的值,然后加到语句找检测,后面的--flush-session是刷新缓存。
第三种是直接跑burb抓的包:
抓包内容我们放到一个文本文档然后用sqlmap去读如下(此方法也适用于搜索注入,中文):
sqlmap.py -r c:\p.txt
标签: sqlmap,post注入
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。