SQLMap - Capítulo 3: POST

en Hacking

Tiempo de lectura 1 minuto

Esta semana toca el turno de hablar de inyecciones sql en el método POST utilizando sqlmap. Ya vimos cómo se pueden realizar inyecciones sql en los parámetros de query string o GET; y es realmente sencillo. Para hacerlo en los parámetros del POST es un poco más complicado pero no demasiado ;-)

Vayamos directo al ejemplo:

sqlmap -u "http://victima.con/busqueda.php" --method POST --data "param1=FUZZ&param2=FUZZ"

Como siempre hay que especificar la url del sitio vulnerable con el parámetro -u.
Luego debemos decirle a sqlmap que el método a usar es POST, esto lo hacemos utilizando el parámetro –method
Y por último, con el parámetro –data especificamos los parámetros del POST.

Podemos también especificar que parámetro del post inyectar como vimos en el capítulo pasado utilizando el parámetro -p, en el ejemplo sqlmap probará inyectar en ambos parámetros: param1 y param2.

No siempre todos los parámetros son inyectables, y aun cuando lo son, no tienen por qué ser utilizando el mismo ataque.

Fue tan complicado? No lo creo.
Más adelante vernos como podemos probar por inyecciones sql tanto por GET como por POST de una forma más sencilla gracias a la ayuda de Burp Suite.

Capítulos

  1. Introducción
  2. Parámetros por Get
  3. Parámetros por Post
  4. Level
  5. Dump
  6. Shell
  7. Extra

Hasta la próxima y happy hacking.

© 2018. All rights reserved.

Powered by Hydejack v8.2.0