Tengo un parámetro en una solicitud POST que está en el siguiente formato:
ParamName = < r username="123" password="456" x="" y=""/>
y quiero probar el nombre de usuario y la contraseña, que son dos controles de entrada HTML en la página web usando SQLmap. ¿Cómo debo usar sqlmap para este tipo de solicitudes o, por ejemplo, los parámetros JSON que son como parametername = {username: value1, password: value2}?
Simplemente puede usar un archivo de texto con su solicitud HTTP y agregar un * a donde desee que sqlmap realice la inyección. Luego inicie sqlmap con la opción -r http_request.txt .
Como ejemplo para el archivo:
POST / HTTP/1.1
Host: www.example.com
parametername={username:*, password:*}
Aquí esta es una herramienta más sencilla para las pruebas de inyección de SQL
También puede jugar de nuevo a prueba, cambiando la solicitud como en barbecho (y con diferentes variaciones utilizando hojas de trucos disponibles en Internet)
ParamName = < r username="123" y ""="## password=" 456 "x=" "y=" "/ >
los hashtags (sí, no es más el signo de número ni la tecla de número :() le indicarán a sql que ignore el resto para que lo tome como correcto.
el usuario también puede ingresar (123 "y" "=") desde la interfaz para el nombre de usuario y su código agregará el final "que haría el mismo efecto con el ejemplo anterior
etc ... Hoja de trucos y ejemplos de inyección de Google SQL ...
Lea otras preguntas en las etiquetas sql-injection