我目前正在尝试在本地Web服务器上的简单注入中使用SQLMap:

SELECT * from table WHERE `col` LIKE 'VULN_HERE';


我正在使用以下命令:

sqlmap -u http://localhost/?i=1 --dbms mysql --level 5 --risk 3 -p i --dbs -v 2 --technique 'T'


运行此命令时,sqlmap可以正确识别注入,但在处阻塞:

[14:36:43] [INFO] checking if the injection point on GET parameter 'i' is a false positive


怎么了 ?

最佳答案

我认为您的网址应加引号:

sqlmap -u "http://localhost/?i=1" ....

10-06 03:06