SQLMAPポストデータ

Question

私のフォーム入力データには名前がなく、データは文字列として送信されます。

どのようにこの状況でsqlmapを使用できますか？

Answer 1

アスタリスク*を使用して注入ポイントを指定できます。これを試してみてください：

python sqlmap.py -u "http://www.example.com/index.php?id=1" --data="POST_STRING_HERE*" --dbs 

注意データ列で*。ワイルドカードを処理するかどうか尋ねるSQLマップは、Yと入力します。すべてのパラメータを無視し、*の代わりにペイロードを注入します。 docsから

：

Append an asterisk, *, to the place where sqlmap should check for injections in URI itself. For example, ./sqlmap.py -u " http://target.tld/id1/1*/id2/2 ", sqlmap will inject its payloads at that place marked with * character. This feature also applies to POST data. Multiple injection points are supported and will be assessed sequentially.