我正在使用sqlmap调试一些UNION注入技术,并想知道我可以在payloads.xml中使用哪些变量,它们将使用数字值而不是“NULL”和/或静态联合字符?似乎sqlmap的创建者创建此工具是故意无效的,因此网站不容易被黑客攻击所以我只是想知道而不是手动输入每个列号顺序,例如1,2,3然后1,2,3,4然后1,2,3,4,5等等,我可以使用的变量是什么,或者任何人都有一个我可以在payloads.xml中使用的例子我可以玩用?渗透测试我的网站,并确保它们是坚实的。谢谢,非常感谢。
答案 0 :(得分:0)
您可以在请求中使用标记*(GET,POST),它将是使用的注入点。
您还可以使用--prefix和--suffix
为攻击使用前缀或后缀并且salmap将负责其余部分。
您可以从这里查看完整用法