时间盲注括号闭合的测试且不报错的测试方法

在测试的时候,用sqlmap跑出个sql注入,是时间盲注,括号闭合,但是括号闭合后响应包没有任何变化,sqlmap跑之前也显示这个参数似乎没有注入,但是最后还是可以跑出来。 payload如下: payload1: a AND (SELECT 4635 FROM (SELECT(SLEEP(5)))KeoG) payload2: (select*from(select/**/sleep(5)union/**/select/**/1)a) 第一个是sqlmap的payload,第二个是自己构造的 这俩payload都可以sleep5秒 请问下 1.这后端是咋写的啊,怎么这俩payload都可以啊。。。 2.这种情况的sql应该如何测试啊,我用的xia_sql是测不出来,难道是自定义这种payload吗,就是看不懂这个后端是咋写的,也不知道在xia_sql里怎么添加payload~ 求大佬指点
默认排序 时间排序

0 个回答

  • 0 关注
  • 0 收藏,10717 浏览
  • niso34 提出于 2023-06-18 10:09

相似问题