sqlmap——json注入

最新推荐文章于 2024-03-29 17:48:06 发布
转载 最新推荐文章于 2024-03-29 17:48:06 发布 · 4.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
原文链接:https://zhuanlan.zhihu.com/p/265405012#:~:text=%E5%AF%B9%E4%BA%8E%20JSON%20%E6%A0%BC%E5%BC%8F%E7%9A%84%E6%B3%A8%E5%85%A5%EF%BC%8C%E6%AD%A3%E7%A1%AE%E7%94%A8%E6%B3%95%E6%98%AF%EF%BC%9A%20%E5%B0%86%20BurpSuite%20%E4%B8%AD%E7%9A%84%E6%95%B0%E6%8D%AE%E5%8C%85
文章标签:

#json #restful #后端

本文详细介绍了在RESTful API中使用SQLmap进行JSON数据注入的常见误区,指出使用'*'指定注入点是无效的,因为这会导致数据包格式转换。正确的做法是利用SQLmap的-r参数,结合保存的BurpSuite数据包进行注入测试。同时,注意对于HTTPS站点,需要指定443端口,并且JSON参数注入点不能直接用-p参数,需手动添加。通过这些方法,可以确保SQLmap正确处理JSON格式的数据包进行自动化注入测试。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

现在越来越多的网站开始使用 RESTFUL 框架,数据传输使用 JSON,那么这种情况下我们如何使用 SQLmap 进行自动化注入呢?

能使用 * 指定注入点吗?
先说结论:对于 JSON 数据的 SQL 注入使用 * 是错误的!

首先需要着重强调一下,网上有很多文章说可以使用*来指定注入点,但经过我的实测,SQLmap 发送的数据包会被强制转换为普通格式。

我们可以使用-vvv参数来查看 SQLmap 发送的测试数据:

sqlmap -u https://www.example.com —data {“externalCode”:“DCS214120101000456814087*”} --risk=3 -vvv

如上图所示,可以看到使用*时,JSON 格式的 POST 数据被强制转换为普通格式,如此发送到服务端当然是没办法识别的。

正确的用法: -r 参数
对于 JSON 格式的注入,正确用法是:

将 BurpSuite 中的数据包保存到本地 sql.txt

  1. 使用 -r 参数来注入,SQLmap 会自动识别 JSON 格式并发现注入点:

sqlmap -r sql.txt

此时,如果使用-vvv参数查看,你会发现发送的测试数据包仍然是 JSON 格式:

这种用法才是正确的.

两个比较容易采坑的点
如果是 HTTPS站点,需要手动在 Host 字段后加上 443 端口,就像下面这样:

手动在 Host 字段添加 :443 端口
2. 如果要指定 POST 数据中 JSON 参数注入点,-p参数是不支持的,需要手动添加*:

如果你觉得这篇文章还不错的话,欢迎关注我哦!

27、web攻防——通用漏洞&SQL注入&Tamper脚本&Base64&Json&md5
qq_55202378的博客
01-01 847
sqlmap的tamper,其实就是一堆自带脚本的合称吧。字符型:a-z、中文,需要闭合符号。搜索型:在字符型的基础上加入了通配符。:在进行注入点判断的时候,就需要用。函数将特殊字符进行转义。
春秋云镜——SQL注入漏洞复现——CVE-2022-4230
m_de_g的博客
10-24 659
的用户可以使用受影响的功能,但是该插件有一个设置允许低权限用户也可以访问它。之前的版本不会转义参数,这可能允许经过身份验证的用户执行。默认情况下,具有管理选项功能。
使用sqlmap 对接口进行json格式参数传入
cagezxy的博客
09-30 6728
sqlmap进行注入时,如果接口post方式,body是json方式时,有2种方式 方式1:文件方式 可以通过burp suite 来抓 接口请求的数据,将数据保存到 文件中。 然后使用 sqlmap来执行注入,举例: python .\sqlmap.py -r "C:\Users\gal\Desktop\getdetail.txt" 当然也可以通过 postman 当中将请求转换成 http请求方式,将数据保存到文件中。 举例: 拷贝 请求内容,保存到文件 方式2:sqlmap --data参数 正
SQLMAP注入json格式数据
weixin_33748818的博客
10-16 1990
注入点在json格式数据中时,SQLMAP可能会犯傻,导致找不到注入点,使用-p指定参数又不好指定json格式中的字段,这个时候就需要人工修改一下注入json数据,使SQLMAP能够找到注入参数:导致SQLMAP犯傻的json输入类似如下:{"name":["string"]}将其修改为以下两种形式都可以使SQLMAP找到该注入点(而不是直接跳过)://方式1,加* {...
sqlmap自动扫描注入点_SQLmap JSON 格式的数据注入
weixin_39705018的博客
11-26 999
现在越来越多的网站开始使用 RESTFUL 框架,数据传输使用 JSON,那么这种情况下我们如何使用 SQLmap 进行自动化注入呢?能使用 * 指定注入点吗?先说结论:对于 JSON 数据的 SQL 注入使用 * 是错误的!首先需要着重强调一下,网上有很多文章说可以使用*来指定注入点,但经过我的实测,SQLmap 发送的数据包会被强制转换为普通格式。我们可以使用-vvv参数来查看 SQLmap ...
Json注入
weixin_50464560的博客
08-08 1840
一、Json简介 JSON 是存储和交换文本信息的语法,是轻量级的文本数据交换格式。类似xml,但JSON 比 XML 更小、更快,更易解析。所以现在接口数据传输都采用json方式进行。JSON 文本的 MIME 类型是 "application/json"。 json语法 数据在名称/值对中数据由逗号分隔大括号保存对象中括号保存数组 JSONJSON 值可以是: 数字(整数或浮点...
sqlmap json
08-23
- *2* *3* [sqlmap——json注入](https://blog.csdn.net/qq_50854790/article/details/121284174)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
sqlmap基础学习(笔记)
部分学习记录
07-30 1475
此文为自己学习sqlmap基础的笔记,留个痕迹,便于以后复习查询 #sqlmap获取目标 python sqlmap --version python sqlmap -h python sqlmap -hh #sqlmap直连数据库 ##服务型数据库(MySQL、Oracle、Microsoft SQL Server、PostqreSQL etc) DBMS://USER:PASSWORD@DBMS_IP/PORT/DATABASE_NAME 例如:python sqlmap.py -d “mysql://
CVE-2019-14234 Django JSONField SQL注入漏洞
weixin_45260839的博客
06-25 1830
CVE-2019-14234 Django JSONField SQL注入漏洞
记一次POST数据中JSON参数存在SQL延时盲注
weixin_42675091的博客
03-21 1033
4.还一个重要的点,,没加端口使用sqlmap跑的时候,开始跑之前就会出302,让我选y,可能是没加端口的时候是80端口,所以302到443,,但这时候跑不出来,且看sqlmap的响应包中每个请求都有302响应,给人感觉一直请求的目标就不对。6.最开始的时候,还出现了payload加在””后面,如”name”:”” ‘ and select,最后跑不出来,后来直接将name的值的””删除,发现payload正常了。7.后面又发现可以直接将type参数删除,只保留name也能行,可避免注到type中去。
9-sql注入json注入
m0_62978778的博客
03-15 3544
JSON(JavaScriptObject Notation, JS对象简谱)是一种轻量级的数据交换格式。它基于ECMAScript(European Computer Manufacturers Association, 欧洲计算机协会制定的js规范)的一个子集,采用完全独立于编程语言的文本格式来存储和表示数据。
sqlmap 常用的注入格式
u012922879的博客
02-27 1024
-u #注入点 -r “” # 加载文件注入 sqlmap.py -r “d://a.txt” -f #指纹判别数据库类型 -b #获取数据库版本信息 也可以写成–banner -d参数,直接连接数据库服务器,作为数据库客户端使用而不是通过SQL注入漏洞查询进行,查询速度较快,前提是已知数据库当前的用户名及其密码、IP、端口(3306端口为mysql)和数据库名...
sql注入
leekos的博客,分享web安全相关知识~
12-06 2460
sql提交注入
JSON类型注入
2201_75766364的博客
03-29 2191
JSON 是存储和交换文本信息的语法,是轻量级的文本数据交换格式。类似xml,但JSON 比 XML 更小、 更快,更易解析,主要是用来代替XML的。所以现在接口数据传输都采用json方式进行。JSON 文本的 MIME 类型是 "application/json"。
【32】WEB安全学习----Json注入
热门推荐
尚未佩妥剑 转眼便江湖
10-04 1万+
一、Json简介 JSON 是存储和交换文本信息的语法,是轻量级的文本数据交换格式。类似xml,但JSON 比 XML 更小、更快,更易解析。所以现在接口数据传输都采用json方式进行。JSON 文本的 MIME 类型是 "application/json"。 json语法 数据在名称/值对中 数据由逗号分隔 大括号保存对象 中括号保存数组 JSONJSON 值可以是: 数字...
sqlmap post json
最新发布
02-27
### 使用 sqlmap 发送 POST 请求中的 JSON 数据 当使用 `sqlmap` 工具针对应用程序执行 SQL 注入测试时,对于通过 POST 方法提交的 JSON 格式的参数,可以采用特定的方式配置命令来确保工具能够正确解析并利用这些输入向量。 为了使 `sqlmap` 能够识别和操作包含在 HTTP 正文中作为 JSON 结构传递的数据,在构建命令行指令时需注意几个要点: - 当指定 `-r` 参数加载原始请求文件或直接提供 URL (`-u`) 同时附加 `--data` 来定义要发送的内容体时,应该按照目标 API 所期望的形式构造有效载荷字符串。如果此字符串内含有双引号字符,则可能需要对其进行适当转义以适应 Windows 命令提示符环境的要求[^1]。 例如,假设有一个 RESTful 接口接受如下形式的 JSON 输入: ```json { "username": "admin", "password": "secret" } ``` 那么相应的 `sqlmap` 命令可能是这样的(请注意这里的反斜杠用于转义内部的双引号): ```bash sqlmap -u http://example.com/api/login \ --data="{\"username\":\"admin\",\"password\":\"secret\"}" ``` 另外一种情况涉及到更复杂的场景,比如想要探测某个字段是否存在潜在的安全漏洞而不仅仅是简单地枚举表名或列名。此时可以通过精心设计带有恶意负载的 JSON 对象来进行试探性的查询活动。例如下面的例子展示了如何尝试利用用户名字段内的 SQL 注入缺陷获取当前使用的数据库名称[^3]: ```bash sqlmap -u http://targetsite/path/to/resource \ --data='{"username":"Dumb\' and 1=2 union select 1,database(),3#","otherField":""}' ``` 值得注意的是,在某些情况下即使 Burp Suite 或其他手动方法已经确认了存在的注入点,仍然可能会遇到困难使得 `sqlmap` 难以自动检测到该位置上的弱点。这通常是因为默认设置下它并不总是能完美模拟所有类型的交互逻辑特别是那些涉及非标准编码方案的情况。因此有时需要调整一些选项或者自定义 payload 模板以便更好地适配具体的应用程序行为模式[^4]。 最后提醒一点关于安全性方面的重要事项:上述讨论仅限于合法授权范围内的渗透测试用途;未经授权擅自对他人的信息系统实施攻击属于违法行为!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值