我试图在不使用SQLmap的情况下破解Kioptrix VM#4。我找到了注射点。但是,Web应用程序无法在URL中显示参数。我在Burp代理中获取参数。打p也可以将POST隐藏到GET中。但是然后注入不起作用(在GET方法中)。
SQLMap在以下命令中可以正常使用:
sqlmap -u "http://192.168.118.139/checklogin.php" --dbms=MySQL --level=5 --risk=3 --data="myusername=admin&mypassword='" --dump
但是在攻击机器的浏览器中,URL http://192.168.118.139/checklogin.php?myusername=admin&mypassword=不会进行SQL注入。因此,如果不使用SQLMap,就无法手动进行SQL注入。
你知道吗,大师?
答案 0 :(得分:0)
我将使用curl,这是一个通用的命令行http客户端。参见https://curl.haxx.se/docs/manual.html
您可以通过设置curl选项来使用--data发出POST请求。
curl --data="myusername=admin&mypassword='" "http://192.168.118.139/checklogin.php"