本文仅作为技术讨论及分享,严禁用于任何非法用途。
前言
在日常使用 sqlmap 中,可能我们会遇到明明手工注入能发现注入点,但是 sqlmap 发两个包就不再往下跑了,这是怎么回事呢?又该如何解决?
案例
这是一个注入点,但是 sqlmap 只发了两个包
根据上面的提示,sqlmap 应该是因为响应包状态码为 401
,认为需要授权,实际上是该注入点比较特殊,数据格式异常或者命中拦截规则的时候会返回 401
状态码
正常访问的响应:
数据格式异常:
这个时候最简单的办法,当然是通过 burp 把响应包改掉了,我们只要在 burp 新建一条自动匹配修改规则即可,让 burp 自动把 401
的状态码改成 200
创建成功后,把 sqlmap 的代理设置成 burp 即可,如:
sqlmap -r tmpsql2.txt --proxy http://192.168.154.137:8080
这个时候可以看到 sqlmap 能正常往下测试了:
作者:r0yanx,文章来源于:https://r0yanx.com
侵权请私聊公众号删文
赠书福利
一:RHCSA/RHCE8红帽Linux认证学习教程
本书从零基础开始讲解,系统介绍了RHCE8的相关知识,以帮助读者快速了解及熟练掌握RHCE8的相关操作,是一本高品质的RHCE认证的学习书籍。
本书分为9篇,共35章。第1篇主要介绍基本配置;第2篇主要介绍用户及权限管理;第3篇主要介绍网络相关配置;第4篇主要介绍存储管理;第5篇主要介绍系统管理;第6篇主要介绍软件管理;第7篇主要介绍安全管理;第8篇主要介绍容器管理;第9篇主要介绍自动化管理工具ansible的使用。
本书适用于希望通过RHCE(红帽认证工程师)考试的读者学习,也可以作为培训班的教材使用。
二:网络结构数据分析与应用
本书共七章。第一章主要讲解了为什么关心网络结构数据,介绍了R语言以及常用的包,同时整理了一些常用的网络数据集。第二章介绍了网络结构数据的定义及分类,并整理了大量实例以帮助读者快速熟悉网络结构数据。第三章讲解了网络结构数据的可视化,重点介绍了针对大规模网络的可视化方法及网络的动态交互式可视化。第四章介绍了 描述网络特征的各种统计量及重要的网络结构,并给出了实例。第五章重点介绍了三种经典的网络结构数据模型, 第六章主要介绍了网络结构数据中社区发现的相关概念及方法,并整理了常见的评价指标及标准数据集,通过实例 向读者展示社区发现的应用场景。第七章介绍了网络结构数据分析中的链路预测问题。本书适合网络结构数据的初 学者,相关专业的学生或对网络结构数据感兴趣的读者阅读。
三:Unity手机游戏开发:从搭建到发布上线全流程实战
为了感谢大家一直以来的关注与支持,会有三本书籍免费赠送。
规则如下:
1. 本文末点‘在看’,不需要转发朋友圈,点个‘在看’就可以。
2. 私聊文末公众号发送“0303”即可扫描参与抽奖,注意看是发送暗号“0303”。
3. 中奖者不满足条件1,视为放弃中奖资格。
4.活动截止时间03月03日 16:00点,到时候还要中奖者及时联系号主发送你的中奖核验二维码、收货地址、姓名、手机号以及想要的书籍,好给您发送书籍哦!24小时内未联系号主视为自动放弃!骗书行为出版社会永久拉黑!
原文始发于微信公众号(LemonSec):干货 | sqlmap 小技巧【文末赠书】
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论