RDot

RDot (https://rdot.org/forum/index.php)
-   Сервисы, БД, Серверы/Network services, Databases, Servers (https://rdot.org/forum/forumdisplay.php?f=23)
-   -   sqlmap и динамический параметр (https://rdot.org/forum/showthread.php?t=4404)

leyka 10.12.2017 18:50

sqlmap и динамический параметр
 
Есть time-based инъекция в API снрвиса, но она работает только при отсылке правильного токена (в котором и сама инъекция), а-ля:

POST /history HTTP/1.1
Host: xxx.xxx.xxx.xxx
User-Agent: Mozilla/5.0
Accept: application/json, text/plain, */*
Accept-Language: en-US,en;q=0.5
Content-Type: application/json
Content-Length: 50
DNT: 1
Connection: close

{"Token":"AAABBBCCC*","from":"2016-01-01","to":"2017-01-01"}

Вся загвозка в том, что токен меняется раз в пять минут. Приходится останавливать sqlmap, изменять файл POST-запроса (вписывать новый токен), соответственно сессия sqlmap-а дохнет и он начинает всё заново.
API новый токен не выдает, он появляется на самой страничке сайта, там где сама форма для POST-запроса.

Как заставить sqlmap парсить эту форму постоянно и вынимать верный токено? И вообще возможно ли это? Или может у кого есть другие идеи?

Заранее спасибо.


Часовой пояс GMT +3, время: 00:50.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot