安全测试 关于 sqlmap 注入的疑惑,sqlmap 是如何拿到数据库数据的呢?

逗爸比 · 2020年11月19日 · 最后由 逗爸比 回复于 2020年11月19日 · 150 次阅读

我现在用 sqlmap 注入,发现了注入点,然后 sqlmap 就能获取到数据库的数据。
我的疑惑是,sqlmap 也只是通过请求中带不同的参数实现的注入,我试过用 sqlmap 的注入直接发起请求,接口返回的还是正常的数据并没有额外的信息,那 sqlmap 是怎么获取到的接口返回之外的信息呢

注入示例如下:
https://www.test.com/api/u/list?pageSize=20&commonSearch=9802") AND (SELECT 7051 FROM (SELECT(SLEEP(5))) iTNP) AND ("rptc" LIKE "rptc

共收到 1 条回复 时间 点赞

比如得到数据库中有个 community_test,我抓取了所有 sqlmap 发送的请求和响应,在响应里也没有找到这方面的信息

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册