用sqlmap跑post注入时结尾加上
--form
--data 传参名=123
-r 数据包 使用方法 用burp抓包 复制抓包内容 在sqlmap 文件夹下新建一个txt文件 粘贴抓包内容
在sqlmap里直接 -r 数据包名(注意延时)
head 注入
head 也是传参(请求头)
Referer 你从哪里来
user agent 我的一些基本情况
cookie 我是谁
检测是否有head注入
' and sleep(10),1)-- qwe 看页面回显是否变慢(还可以and 换 or试下)
方法 用burp抓包 右键 send to repeater
把恶意语言全部丢进去
UA
Referer
IP
Cookie (ASP站)
HEAD更加适合使用报错注入
报错注入:故意写一些错误的SQL语句,让SQL的报错里面返回我们想要的信息
updatexml() => 更新XML文档