メソッド POST で sqlmap を実行しようとしましたが、次のエラーが発生しました。
[CRITICAL] no parameter(s) found for testing in the provided data (e.g. GET parameter 'id' in 'www.site.com/index.php?id=1')
--data="name=value"これで、POST メソッドの場合、データ フラグ (例: )を指定して sqlmap を実行する必要があることがわかりまし
たが、フォーム入力データには名前がなく、データは文字列として送信されます。
この状況で sqlmap を使用するにはどうすればよいですか?
アスタリスク*を使用して注入ポイントを指定できます。これを試して:
python sqlmap.py -u "http://www.example.com/index.php?id=1" --data="POST_STRING_HERE*" --dbs
*データ文字列の に注意してください。ワイルドカードを処理するかどうかを尋ねる SQL マップが表示されるので、Yそこに入力します。すべてのパラメータを無視し、代わりにペイロードを挿入します*。
ドキュメントから:
sqlmap が URI 自体のインジェクションをチェックする場所にアスタリスク (*) を追加します。たとえば、./sqlmap.py -u " http://target.tld/id1/1*/id2/2 " の場合、sqlmap は * 文字でマークされた場所にペイロードを挿入します。この機能は、POST データにも適用されます。複数の注入ポイントがサポートされており、順次評価されます。