Soy un estudiante que está aprendiendo php & desarrollo de mysql. tengo la instalación de un laboratorio privado ( VM ) dentro de mi equipo a prueba de & aprender de inyección de sql obras. Cuando las cosas se ponen más difíciles yo uso sqlmap para explotar y más tarde en el estudio de las solicitudes que hizo de mi aplicación de prueba utilizando el modo detallado & mediante la captura de paquetes a través de wireshark. Me encontré con un pequeño problema y eso es para especificar el parámetro en una dirección URL para el sqlmap para probar.

http://localhost/vuln/test.php?feature=music&song=1

quiero sqlmap para escanear el parámetro canción, así que he intentado estas soluciones

-u http://localhost/vuln/test.php?feature=music&song=1 --skip feature
-u http://localhost/vuln/test.php? --data="feature=music&song=1" -p song

Intentado diferentes variaciones agregando y quitando las comillas y los signos de igual , no funcionó. Incluso traté de establecer el riesgo a nivel máximo, pero todavía no recoge el último parámetro.

Estaré muy agradecido si un experto me puede ayudar con esto.
Gracias.

OriginalEl autor DriverBoy | 2013-03-27

5 Comentarios

  1. 11

    la p opción se puede utilizar de la siguiente manera

    -u "http://localhost/vuln/test.php?feature=music&song=1" -p song

    También hay que tener cuidado sin comillas el comando no está funcionando adecuadamente.

    OriginalEl autor Muhammad Fahim Mandvia

  2. 3

    Tengo este problema también. Creo que sqlmap inyectar el primer parámetro. Si tipo :

    -u http://localhost/vuln/test.php?feature=music&song=1

    sqlmap inyectará de la «característica» de parámetro. Para hacer inyectar ‘canción’ parámetro necesita reordenar el parámetro de la siguiente manera :

    -u http://localhost/vuln/test.php?song=1&feature=music

    No te olvides de añadir ‘&’ entre cada parámetro. A mí me funcionó.

    OriginalEl autor Yusufmm

  3. 1

    Me di cuenta también de que puede escanear varios parámetros usando esta :

    -u "http://localhost/vuln/test.php?feature=music&song=1" -p 'song,feature'

    Esto analizar la song parámetro, entonces el feature parámetro.
    Si sqlmap encontrar un vulnerables parámetro, se le preguntará si desea continuar con los demás.

    OriginalEl autor Sidahmed

Dejar respuesta

Please enter your comment!
Please enter your name here