SQLMAP注入json格式数据

最新推荐文章于 2024-03-21 14:56:30 发布

转载最新推荐文章于 2024-03-21 14:56:30 发布 · 3k 阅读

1 ·

CC 4.0 BY-SA版权

原文链接：https://yq.aliyun.com/articles/519622

文章标签：

#json #数据库 #python

本文介绍如何解决SQLMap在面对JSON格式数据时无法正确检测到注入点的问题。通过两种简单的方法修改JSON数据，使得SQLMap能准确识别并利用注入点进行进一步的渗透测试。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

当注入点在json格式数据中时，SQLMAP可能会犯傻，导致找不到注入点，

使用-p指定参数又不好指定json格式中的字段，

这个时候就需要人工修改一下注入的json数据，使SQLMAP能够找到注入参数：

导致SQLMAP犯傻的json输入类似如下：

{"name":["string"]}

将其修改为以下两种形式都可以使SQLMAP找到该注入点（而不是直接跳过）：

// 方式1，加*

{"name":["string*"]}    //这个是从国外论坛看到的
 
// 方式2，删掉中括号

{"name":"string"}

本文转自fatshi51CTO博客，原文链接： http://blog.51cto.com/duallay/1862358，如需转载请自行联系原作者

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_34415923

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

SQL注入漏洞之sqlmap自动注入

XZZbh的博客

09-19

722

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档。

SQL注入 SQL Injection

03-19

SQL注入的知识，SQL注入的知识，国外的一本详细介绍了SQL注入的一本书

参与评论您还未登录，请先登录后发表或查看评论

sqlmap——json注入

mingyqf的博客

11-12

4540

现在越来越多的网站开始使用 RESTFUL 框架，数据传输使用 JSON，那么这种情况下我们如何使用 SQLmap 进行自动化注入呢？能使用 * 指定注入点吗？先说结论：对于 JSON 数据的 SQL 注入使用 * 是错误的！首先需要着重强调一下，网上有很多文章说可以使用*来指定注入点，但经过我的实测，SQLmap 发送的数据包会被强制转换为普通格式。我们可以使用-vvv参数来查看 SQLmap 发送的测试数据： sqlmap -u https://www.example.com —data {“e

使用sqlmap 对接口进行json格式参数传入

cagezxy的博客

09-30

6731

sqlmap进行注入时，如果接口post方式，body是json方式时，有2种方式方式1：文件方式可以通过burp suite 来抓接口请求的数据，将数据保存到文件中。然后使用 sqlmap来执行注入，举例： python .\sqlmap.py -r "C:\Users\gal\Desktop\getdetail.txt" 当然也可以通过 postman 当中将请求转换成 http请求方式，将数据保存到文件中。举例：拷贝请求内容，保存到文件方式2：sqlmap --data参数正

sqlmap自动扫描注入点_SQLmap JSON 格式的数据注入

weixin_39705018的博客

11-26

1000

sqlmap post json

最新发布

02-27

当使用 `sqlmap` 工具针对应用程序执行 SQL 注入测试时，对于通过 POST 方法提交的 JSON 格式的参数，可以采用特定的方式配置命令来确保工具能够正确解析并利用这些输入向量。为了使 `sqlmap` 能够识别和操作包含...

sqlmap 对aes加密的json数据注入

01-14

### 使用 sqlmap 对 AES 加密的 JSON 数据进行 SQL 注入攻击的技术和方法对于处理 AES 加密的 JSON 数据并尝试通过 sqlmap 进行 SQL 注入测试，主要挑战在于解码和编码过程。sqlmap 是一款强大的自动化工具，用于...

sqlmap json

08-23

当使用SQLMap进行POST请求时发送JSON数据，可以通过以下两种方式：第一种方式是使用`--data`参数来指定JSON数据。例如，在Windows上运行时，需要对JSON进行转义，可以使用以下命令：`--data='{}'`。第二种方式是...

9-sql注入之json注入

m0_62978778的博客

03-15

3548

JSON（JavaScriptObject Notation, JS对象简谱）是一种轻量级的数据交换格式。它基于ECMAScript（European Computer Manufacturers Association, 欧洲计算机协会制定的js规范）的一个子集，采用完全独立于编程语言的文本格式来存储和表示数据。

SQL MAP 注入测试

weixin_34195364的博客

10-07

329

SQL MAP是一款测试系统是否有SQL漏洞的工具下载地址： http://sqlmap.org/ sqlmap 是一款使用python编写的工具，所以需要安装python,需要安装python 为 Python 2.7.15 的版本。安装过程 1.安装python 2.解压sqlmap工具，增加path变量指向解压后目录。具体使用方法 1.测试GET请求 sqlma...

sql注入

leekos的博客，分享web安全相关知识~

12-06

2460

sql提交注入

linux json 写sql注入,【网络安全】SQL注入、XML注入、JSON注入和CRLF注入科普文

weixin_30567751的博客

05-19

286

[TOC]SQL注入所谓SQL注入，是将恶意SQL命令通过某种方式提交到服务器后台，并欺骗服务器执行这些恶意的SQL命令的一种攻击方式。 —— [ 百度百科 ] 造成SQL注入漏洞原因有两个：一个是没有对输入的数据进行过滤(过滤输入)，还有一个是没有对发送到数据库的数据进行转义(转义输出)。一些寻找SQL漏洞的方法http://host/test.php?id=100 and 1=1 ...

SQLMAP自动注入（一）

weixin_30337251的博客

07-15

307

一，五种常见的注入方式基于Bool类型的注入方式基于时间的盲注 ' and (select * from (select(sleep(20)))a)--+ 基于错误的检测服务器把错误信息反馈回来(少见) 基于UNION联合查询联合查询的前提是通过for（while）循环直接输出联合查询结果，...

基于JSON的SQL注入攻击触发需要更新Web应用程序防火墙

热门推荐

网络研究观

12-13

1万+

安全研究人员开发了一种通用的 SQL 注入技术，可以绕过多个 Web 应用程序防火墙 (WAF)。问题的核心是 WAF 供应商未能在 SQL 语句中添加对 JSON 的支持，从而使潜在的攻击者可以轻松隐藏其恶意负载。

SQL注入类型及提交注入

山兔的博客

06-12

1125

在注入之前，我们要明白两件事情，那就是数据库类型、提交方法，因为数据库类型不同的话，注入方法也不同。#简要明确参数类型数字、字符：非数字就是字符，字符的输入是要用引号括起来，这个时候我们在注入的时候，就需要考虑到符号的问题。如果我们输入字符串，没有使用单引号括起来，那就是单纯的输入字符，这是没有意义的，形成不了逻辑判断。如果在实战当中，我们看到数字型的输入，也有可能是字符型的，因为它输入的时候，后台可能用单引号进行包裹，注入类型是什么要看后台的一个SQL语句的写入。

记一次POST数据中JSON参数存在SQL延时盲注

weixin_42675091的博客

03-21

1033

4.还一个重要的点，，没加端口使用sqlmap跑的时候，开始跑之前就会出302，让我选y，可能是没加端口的时候是80端口，所以302到443，，但这时候跑不出来，且看sqlmap的响应包中每个请求都有302响应，给人感觉一直请求的目标就不对。6.最开始的时候，还出现了payload加在””后面，如”name”:”” ‘ and select，最后跑不出来，后来直接将name的值的””删除，发现payload正常了。7.后面又发现可以直接将type参数删除，只保留name也能行，可避免注到type中去。