• XSS.stack #1 – первый литературный журнал от юзеров форума

Как использовать SQLMAP, когда в POST "{}"

Отслеживать
drivefordaddy

drivefordaddy

floppy-диск
Пользователь
Регистрация
15.08.2022
Сообщения
7
Реакции
1
Самый нубский вопрос, но как добавить пост параметры, например

Код: 
{"Username":"abc","Password":"abc"}

в SQLMAP? Он у меня думает что это все один параметр, как ему сказать что тут 2 разных?

Спасибо за терпение и ответы)
 
drivefordaddy сказал(а):
Самый нубский вопрос, но как добавить пост параметры, например

Код: 
{"Username":"abc","Password":"abc"}

в SQLMAP? Он у меня думает что это все один параметр, как ему сказать что тут 2 разных?

Спасибо за терпение и ответы)
Это JSON, использовать просто. Перед каждой двойной кавычкой ставить обратный слэш \
По итогу у тебя дата должна выглядеть так:
Код: 
{\"Username\":\"abc\",\"Password\":\"abc\"}

И например, если надо тестировать параметр Password, то к abc указать астериск *, и выглядеть это будет так:
Код: 
{\"Username\":\"abc\",\"Password\":\"abc*\"}

Но юзать обратный слэш надо только в том случае, если ты юзаешь скульмап через флаг -u. Если же ты юзаешь через -r (это когда запрос скульмапу подается из файла), то слэши не нужны вообще. Например:
Код: 
POST https://target.com/?login.php HTTP/1.1
Host: target.com

{"Username":"abc","Password":"abc*"}
В данном случае только пометить атериском уязвимый параметр и скульмап это переварит нормально.
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
c0d3x сказал(а):
Это JSON, использовать просто. Перед каждой двойной кавычкой ставить обратный слэш \
По итогу у тебя дата должна выглядеть так:
Код: 
{\"Username\":\"abc\",\"Password\":\"abc\"}

И например, если надо тестировать параметр Password, то к abc указать астериск *, и выглядеть это будет так:
Код: 
{\"Username\":\"abc\",\"Password\":\"abc*\"}

Но юзать обратный слэш надо только в том случае, если ты юзаешь скульмап через флаг -u. Если же ты юзаешь через -r (это когда запрос скульмапу подается из файла), то слэши не нужны вообще. Например:
Код: 
POST https://target.com/?login.php HTTP/1.1
Host: target.com

{"Username":"abc","Password":"abc*"}
В данном случае только пометить атериском уязвимый параметр и скульмап это переварит нормально.
Спасибо!
Как раз искал ответ, много параметров скопилось и не знал как запуститься
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх