inyección de SQL con un parámetro de incremento automático

Question

inyección de SQL con un parámetro de incremento automático

#1 de Matthew (3 votos)

1

Actualmente estoy realizando una API Pentest y sospecho que un SQLi en una de las llamadas a la API. Actualiza un determinado elemento del servicio web y requiere un aumento del número de versión para cada solicitud.

El cuerpo de la solicitud es básicamente:

{"id":"1234","version":2,"name":"sqli-here*"}

La siguiente solicitud debe ser:

{"id":"1234","version":3,"name":"sqli-here*"}

Podría usar mitmproxy con un script, para aumentar automáticamente la versión, o hacer un script manual del SQLi.

¿Hay alguna manera de lograr esto con SQLMap o Burp Pro?

web-application sql-injection penetration-test proxy sqlmap

pregunta Dolores The Third 28.11.2018 - 11:00

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application sql-injection penetration-test proxy sqlmap

Nmap escaneo simultáneo Encontré una clave privada RSA en mi dispositivo infectado con ransomware. ¿Puedo usarlo para descifrar los archivos?

score 3 · Accepted Answer

Puede usar el parámetro --eval de SQLMap, en teoría:

-data='{"id": 1}' --eval "f = open('cnt.txt','r+'); id = int(f.readline()); f.seek(0,0); f.write(str(id+1)); f.close()"

Consulte enlace para obtener todos los detalles, básicamente, SQLMap puede modificar los datos JSON, y Ejecutar el código de Python. El código de Python lee un archivo llamado cnt.txt (que debe crear manualmente), luego usa el valor que contiene para reemplazar la variable de ID, antes de incrementar la variable de ID almacenada en el archivo.