0

我目前正在尝试在本地 Web 服务器上显然很容易注入 SQLMap :

SELECT * from table WHERE `col` LIKE 'VULN_HERE';

我正在使用以下命令:

sqlmap -u http://localhost/?i=1 --dbms mysql --level 5 --risk 3 -p i --dbs -v 2 --technique 'T'

运行此命令时,sqlmap 正确识别注入但在以下位置阻塞:

[14:36:43] [INFO] checking if the injection point on GET parameter 'i' is a false positive

怎么了 ?

4

2 回答 2

2

我认为您的网址应被引用:

sqlmap -u "http://localhost/?i=1" ....

于 2015-08-19T05:57:39.257 回答
0

嗨检查你的语法,看看:

SQLmap
您需要您的URL始终在引号内,否则命令提示符将i=1URL之外并作为不同的参数。
希望它能解决你的问题。

于 2015-08-19T06:29:16.560 回答