Sqlmap同版本不同电脑结果不同
今天朋友给了一个注入点,下班后性致勃勃的准备搞一番
同样的命令结果死活跑不出来,之前也碰到过这种情况,但是没怎么在意。
然后我换到我服务器上,结果就跑出来了
最开始怀疑是不是sqlmap版本的问题,然后就复制下服务器的版本到电脑
结果还是跑不出来
后来把缓存都清了也是不行
然后我就把显示输出调到最高,查看有什么区别
本机 sqlmap.py -r 1.txt --dbs --batch -v 5
服务器sqlmap.py -r 1.txt --dbs --batch -v 5
好像发现问题出现在哪里了,就是重定向POST请求的结果那里,我改为了no,结果就跑出来了
但是为什么同版本的sqlmap,同样的命令,batch默认之后的结果不一样呢,有没有大佬懂得解答一下
关于作者
评论80次
sqlmap能用为啥要手注,你现在出门为啥坐车去不走路去?
手注试试,玄学吧
sqlmap能用为啥要手注,你现在出门为啥坐车去不走路去?
哈哈哈,整的还挺押韵
看你的注入点是login , cookies问题? 登录成功重定向了吧?
我也想借此问问各位表哥们,同样一个注入,我同事跑出来是dba权限,我的跑出来就不是,同样的包,同样的命令,但是不知道版本是不是一样的。
sqlmap能用为啥要手注,你现在出门为啥坐车去不走路去?
学学手工注入吧,同时用sqlmap的时候可以加上--proxy=http://127.0.0.1:8080,然后在burp可以看到sqlmap使用的payload,可以自己分析下原因。
程序就这样,手动看看结果就行了
一般情况下是别人网站的返回结果不够稳定(比如说性能太差动不动500)
我这同1台电脑,不同时间段都不一样
建议你用kali试试,估计跟操作xi统有关
借个楼:我还遇到过shiro同站,同工具不同电脑,结果不同,有人知道啥情况嘛?
可能是电脑的jdk版本不一样,它的工具可能只适用jdk 8的。有的jdk1.7的客户端就会出错。
真的是玄学。。。
是不是可能python版本不一样?
是个神奇的存在,感觉是数据包不同,也可以能是当时注入的数据没有穿透一些物理设备
是不是跑不出来的都是win版本的?
不是 我朋友kali也没跑出来
是不是跑不出来的都是win版本的?
设置个代理抓包分析一下
我觉得会不会是网络问题,导致一些关键数据包的响应丢失或者超时
之前也遇到过POST的注入点,同样的包,同样的网络,同样的命令,我跑出权限是普通用户,同事跑就是root
emmm 你肯定要分开看数据包才能看清楚,不过sqlmap是个很玄学的东西, 反正我都是超级注入工具和sqlmap来回用, 不过前提当然是手工测过确定了有注入点了。 根据你的描述 感觉可能是 服务器发包的时候目标站识别流量正常不会发生一个302的跳转,然后你在本地发包的时候目标站可能发生数据包异常导致会有一个跳转回主页, 如果你跳转了sqlmap就无法判断 注入结果,所以导致跑不出来