跑sqlmap的时候前面提示可能有
但后面跑完又说没有,表明可能有软waf
查看web_sql.php文件,做了防sql注入处理,对部分字符进行了过滤(=、<等)
这里使用sqlmap tamper(equaltolike)等号替换成like,成功跑出布尔盲注
参考:
SqlMapTamper使用指南_sqlmap tamper_306Safe的博客-CSDN博客
SQLMAP深入分析-使用篇(基础使用、进阶命令、tamper脚本)_wx6373105cb90c6的技术博客_51CTO博客