我试图用方法POST运行sqlmap但是我收到了这个错误:
[CRITICAL] no parameter(s) found for testing in the provided data (e.g. GET parameter 'id' in 'www.site.com/index.php?id=1')
现在,我知道对于POST方法,我必须运行带有数据标志的sqlmap(例如--data="name=value")
但我的表单输入数据没有名称,数据以字符串形式发送。
在这种情况下如何使用sqlmap?
答案 0 :(得分:2)
您可以使用星号*指定注射点。试试这个:
python sqlmap.py -u "http://www.example.com/index.php?id=1" --data="POST_STRING_HERE*" --dbs
请注意数据字符串中的*。 SQL map会询问您是否要处理通配符,在那里输入Y。它将忽略所有参数并注入有效负载代替*。
来自docs:
将星号*附加到sqlmap应检查的位置 URI本身的注入。例如,。/ smapmap.py -u " http://target.tld/id1/1*/id2/2",sqlmap将注入其有效负载 那个标有*字符的地方。此功能也适用于POST 数据。支持多个注射点并进行评估 顺序。