Результат Arachni в SQLmap

[JackandBlack]

Из-за того, что в результате Arachni используется символьная кодировка, sqlmap постоянно ругается.
Как правильно откорректировать результат.

Результат Arachni:

GET /search.cfm?flag=1&searchKeyword=-1839%20or%201%3D1 HTTP/1.1

Могу я вставлять в таком виде: GET /search.cfm?flag=1&searchKeyword=* HTTP/1.1

?

 

[JackandBlack]

Когда я делаю со знаком *, у меня выдает
custom injection marker ('*') found in option '-u'. Do you want to process it? [Y/n/q]

 

[JackandBlack]

ну неужели никто не поможет? Тут даже вопрос не в ('*'), а вообще в кодировке.
Такие сканеры как имунивеб или arachni выдают результаты в кодировке %3Fi%3D1&q1=1&q2=275%2

Как правильно отредактировать эти данные что бы вставить в sqlmap?

 

[mrOkey]

Ну давай я помогу. Смотри вот ты пробовал гуглить "кодировку"?

а ты в офлайне...
ну короче, это url encoded format,
идёшь в гугл -> ищешь url decoder ->попадаешь на сайт, получаешь профит
у тебя там кстати - GET /search.cfm?flag=1&searchKeyword=-1839 or 1=1

 

[JackandBlack]

идёшь в гугл -> ищешь url decoder ->попадаешь на сайт, получаешь профит

Да спасибо, отчасти разобрался.
Может еще знаешь, это нормально (отрицательное значение) GET /category.cfm/boots/?i=1&q1=-1839 ?
Почему SQLmap ругается на такое?

 

[mrOkey]

Да спасибо, отчасти разобрался.
Может еще знаешь, это нормально (отрицательное значение) GET /category.cfm/boots/?i=1&q1=-1839 ?
Почему SQLmap ругается на такое?

Ну отрицательное значение нужно для удобства вывода данных по sqli. Его как бы не существует на сайте, поэтому мап ругается на него. А сканер тебе сразу удобный пайлод выдал