问题标签 [sqlmap]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - sqlmap中的“将原始POST数据重新发送到新位置”是什么意思?
使用 sqlmap 时,我有以下内容:
sqlmap 获得了 302 重定向到“ http://localhost/sqlmap/index.php ”。你想跟随吗?[是/否] 是
我了解我的 POST 响应正在重定向到 index.php。下一个问题是:
重定向是 POST 请求的结果。是否要将原始 POST 数据重新发送到新位置?[是/否] 是
但我不明白将原始数据重新发送到新位置意味着什么。
任何人都可以帮忙吗?
c# - 端口 80 的安全问题
请看下面的代码:
我已将其部署到本地 PC 上的 IIS。请参阅下面的 SQLMap 命令:
如果我执行这个命令,那么 SQLMap 会返回我本地服务器上所有数据库的名称。
如果我将 IIS 端口绑定从 80 更改为 81,那么它不会,即如果我运行下面的命令(将端口从 80 更改为 81 之后),那么它说没有问题(我已经确认它可以在端口 81):
这似乎表明我的本地开发 PC 上的端口 80 存在安全问题。
问题可能是什么?
php - 如何将用户名和密码添加到 sqlmap?
我正在使用 sqlmap 运行 SQLInjection。我的页面有一个 sql 错误,但是一旦您登录您的帐户就会显示该错误(例如:page.com/login.php,当您登录时,您转到 page.com/index.php?id=1,这里是 sql错误很明显)。当我在 page.com/index.php?id=1 上运行 sqlmap 时,页面将 sqlmap 重定向到 page.com/login.php。可以为 sqlmap 提供用户和密码以使 sqlmap 登录帐户然后执行SQL注入?感谢您的时间
mysql - SQLMap succesul 注入查询浏览
我想知道是否有一种方法可以浏览 SQLMap 在注入时使用的 SQL 查询,以便我可以将此查询粘贴到我的浏览器中并观察它自己工作,而无需自动化工具。示例:我使用该sqlmap -u vulnerableparameters.com/php?id=5 --dbs命令,它返回可用的数据库。如何找出用于访问此数据的查询 SQLMap?先谢谢了,我会继续研究的。
php - 如何使用 xampp 设置 sqlmap 注入?
现在我使用 xampp 模拟服务器,我不知道如何发布我的代码 stackoverflow 不允许我这样做。
所以我下载了 Python ver2.7 和 sqlmap 来尝试注入我的网站 (.php)。
我在 Internet 上搜索教程并使用此命令“sqlmap.py -u”link”获取结构。我的问题是关于教程中链接的末尾有一个“.php?id=1”,他们通过搜索找到了 id在谷歌中。但我的服务器是 xampp 我也无法在谷歌中搜索。那么“id =”是什么意思?无论如何要注入并获取该网站的所有数据库。
因为我输入sqlmap.py -u "http://localhost/secure/sc.php" or even I put--level=3 --risk=3` 输出仍然是
[CRITICAL] 所有测试参数似乎都不可注射。
xampp 可以做这个注入 sqlmap 还是我应该尝试另一个服务器模拟器?
python - 如何将 sqlmap 与我自己的脚本链接
我目前正在使用 python 编程:
- 图形界面
- 我自己的基于套接字的简单客户端-服务器(也在 python 中)。
这里的主要目的是接收消息(由几个字段组成),对其应用任何更改,然后将消息发送回客户端。
我想要实现的是将此消息的字段的修改与任何脚本链接(我刚刚看到可以完成这项工作的 radamsa,我仍然需要对其进行测试。
例如消息:John/smith/London 将是 John /(脚本请求)/伦敦。
我不知道是否可以只使用 sqlmap 之类的代码的一部分(或其他东西,我不介意),而不使用整个代码。
我希望我已经提供了足够的细节,如果没有,请随时询问 =)
编辑: sqlmap 的使用不是强制性的,它只是我知道的为数不多的模糊测试脚本之一
python - 打印sqlmap中注入参数的值
我使用 sqlmap 进行注入,并且 URL 看起来像 python sqlmap.py -u " http://localhost/utility/?site_name=30 " 所以我只想知道 sqlmap 尝试为 site_name 提供输入以进行注入的值是什么。
java - java Object null 在实例之后调用内部方法
谁能帮我解决这个问题,我正在使用 SQLMap(ibatis) 使用 java。我有 3 个类,即 MainConfiguration、SQLMap、DBUtility。
- 主要配置(该类用于在 SQLMap 类中设置对象)
- SQL Map(这个类是and对象的getter和setter)
DBUtility(这个类是对象实例和从 SQLMap 类获取对象的地方)
/li>
记录器给我这个:
SQLMap 获取实例 = com.ibatis.sqlmap.engine.impl.SqlMapClientImpl@76707e36
SQLMap 获取实例 = null
即使我有实例对象,第二个日志怎么给我null?
mysql - 如何在浏览器中手动使用 sqlmap 有效负载?
当我们使用sqlmap时,它会自动完成所有查找sql injection网站的工作。我对直接在浏览器中发送恶意查询并在其中获取结果感兴趣,但是当我找不到任何东西时,我会使用它sqlmap来查找恶意查询。我使用sqlmap提供给我的有效负载并将其输入到浏览器中网站的易受攻击字段中。我想在我的浏览器中获取该网站的所有数据库,但我无法获取它们。虽然sqlmap使用了有效载荷并给了我网站的所有数据库。现在我的问题是如何sqlmap在浏览器中手动使用有效载荷?
penetration-testing - 在 sqlmap 中是否有可能在 --data (post) 中为参数提供多个值
我必须检查同一个帖子参数的多个值。
示例:matrix_id是我的参数--data。
我有价值matrix_id=5896,
我需要检查一下matrix_id=5896,5893,5847,5893。需要检查所有这些指定的值。
代码将是sqlmap.py -u"myurl" --data"matrix_id=5896,5893,5847,5893" --dbs