SQLMAP: impossibile scaricare alcun dato

Naviga le tue risposte
1

Sto lavorando a un progetto di pentesting di un'applicazione web black box per un cliente e durante il test ho trovato un'iniezione SQL basata su errori. Ho continuato a sfruttarlo utilizzando SQLMAP, ho recuperato i nomi del database, i nomi delle tabelle e il nome delle colonne, ma quando provo a scaricare una delle colonne dice

"unable to retrieve 'column_name' in table 'table_name' from the database 'database_name'"

L'ho provato per altre colonne e dà lo stesso errore e si spegne. Sto facendo qualcosa di sbagliato? Oppure l'IPS sul lato client sta bloccando il dump?

    
posta paU1i 13.09.2015 - 12:35
fonte

1 risposta

1

È difficile concludere senza conoscere le richieste e le risposte. Tuttavia, è meno probabile che un IPS blocchi il tuo accesso. La maggior parte degli IPS blocca immediatamente SQLMap semplicemente guardando la richiesta User-Agent.

Dal debug, prova a esegui SQLMap attraverso un proxy di intercettazione e osserva le risposte dal server: 

sqlmap --proxy=http://localhost:8080 [THE REST OF YOUR PARAMETERS]

Quindi modificare manualmente la richiesta e inviarla al server usando il proprio proxy di intercettazione. In questo modo è più facile scoprire dove si trova il problema.

    
risposta data 14.09.2015 - 03:19
fonte

Leggi altre domande sui tag

Rilevamento del modello del punto di accesso Separare le reti su un modem per motivi di sicurezza