1

石鹸本体はブローのようなものです:

<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
    <soap:Body>
        <actions xmlns="http://....com">
            <data>
                {"name":"test","age" : "10"}
            </data>
        </actions>
    </soap:Body>
</soap:Envelope>

sqlmapを使用して名前や年齢などのパラメータを介して注入するにはどうすればよいですか?
そうでない場合、HttpRequest(Javaで)またはそのようなものを使用して、sqlmapが行うことはできますか?

4

1 に答える 1

1

まず、プロキシでHTTPリクエストを傍受してから、値に*を追加して、最終的にはこのようになるかもしれません

POST /uri HTTP/1.1
Host: example.com
Content-Length: 366
SOAPAction: http://
Content-Type: text/xml; charset=UTF-8
Accept: */*
DNT: 1
Accept-Encoding: gzip, deflate
Accept-Language: en-XA,en-US;q=0.8,en;q=0.6
Connection: close

<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Body>
    <actions xmlns="http://....com">
        <data>
            {"name":"test*","age" : "10*"}
        </data>
    </actions>
</soap:Body>

HTTPリクエスト全体をテキストファイル(次の例ではtest.txt)に保存し、sqlmap -r test.txtを試してください

于 2017-01-09T03:45:43.457 に答える