Тема: sqlmap + json data
Показать сообщение отдельно
Старый 26.02.2018, 19:41   #2
leyka
 
Регистрация: 07.12.2017
Сообщений: 11
Репутация: 0
По умолчанию

Помещаю в файл полностью весь реквест, вместе с датой - не верно.
Payload-ы, которыми оперирует sqlmap находятся в каталоге xml/payloads:
boolean_blind.xml
error_based.xml
inline_query.xml
stacked_queries.xml
time_blind.xml
union_query.xml

В теории можно поместить свой пейлоад в один из этих файлов, только нужно выбрать точно файл по самой уязвимости и внедрить пэйлоад в определенном формате, который понимает sqlmap
Но, насколько я вижу, пэлоад AND 4398=5276-- простейший и он 100% есть в sqlmap
Рекомендую выставить --level=5 --risk=3 и поиграться с тамперами, к примеру --tamper=escapequotes.py
leyka вне форума   Ответить с цитированием