我试图使用 POST 方法运行 sqlmap,但出现此错误:
[CRITICAL] no parameter(s) found for testing in the provided data (e.g. GET parameter 'id' in 'www.site.com/index.php?id=1')
现在,我知道对于 POST 方法,我必须使用数据标志(例如--data="name=value")运行 sqlmap,
但我的表单输入数据没有名称,并且数据作为字符串发送。
在这种情况下如何使用 sqlmap?
您可以使用星号*来指定您的注入点。试试这个:
python sqlmap.py -u "http://www.example.com/index.php?id=1" --data="POST_STRING_HERE*" --dbs
注意*数据字符串中的 。SQL map 会询问你是否要处理通配符,输入Y那里。它将忽略所有参数并注入有效负载来代替*.
从文档:
将星号 * 附加到 sqlmap 应检查 URI 本身中的注入的位置。例如, ./sqlmap.py -u " http://target.tld/id1/1*/id2/2 ",sqlmap 将在标有 * 字符的地方注入其有效负载。此功能也适用于 POST 数据。支持多个注入点,并将按顺序进行评估。