Domande con tag 'sqlmap'

domande con tag
1
risposta

Come ottenere Sqlmap per rilevare il punto di inserimento con payload del sonno?

Ho un server che sembra vulnerabile all'iniezione SQL con il seguente carico utile rilevato da BurpSuite: param=value,(select*from(select(sleep(10)))a) L'applicazione impiega il doppio del tempo definito in sleep per rispondere (sleep 10 re...
posta 27.04.2017 - 18:15
2
risposte

vulnerabilità MariaDB SQL Injection?

Sto testando SQL Injection su un sito Web. Fondamentalmente, sto provando nel seguente URL: http://example.org/webpage/* dove al posto del * il carico utile deve essere iniettato. Quando provo a mettere lì questo: ' OR 1=1/*...
posta 13.07.2017 - 16:09
1
risposta

esegue sqlmap con la richiesta http post con i dati di codifica

Ho un obiettivo che la richiesta http post da quella codificata come segue: richiesta dati carica prima url encoded e poi base64 encoded. esempio richiesta di post dal target menzionato Come segue: POST /test/test-page.php HTTP/1.1 Host:...
posta 07.01.2017 - 11:22
1
risposta

qualcuno che prova a SQL server usando sqlmap

Qualcuno sta provando a SQLi il mio dominio usando sqlmap. Sto ricevendo molti errori da mysql. Il mio registro di accesso al server mostra: - - HTTP/1.1" 200 10559 "-" "sqlmap/1.0.4.0#dev (http://sqlmap.org)" Ho provato a b...
posta 30.01.2017 - 19:44
2
risposte

Punto di iniezione SQLMAP

Sono impegnato a testare SQLMAP su un'app personalizzata che ho scritto, ma SQLMAP non sta rilevando il punto di iniezione. Ad esempio, http://127.0.0.1/index.php?id=10-1 visualizza il contenuto di id=9 . Ma SQLMAP non rileva il punt...
posta 31.01.2018 - 08:39
1
risposta

Come posso usare sqlmap per ottenere solo un certo numero di record in SQL Server usando LIMIT e OFFSET?

Sto provando a scaricare usando sqlmap, ho 3 colonne: nome, cognome, ID utente con 9000 voci in ciascuna. Quando ho appena --dump della tabella, inizierà da 1 a 9000. Non voglio tutti i 9000, come posso dire di iniziare da 5000 e ferm...
posta 21.08.2017 - 23:24
1
risposta

Come includere più parametri nel comando post di SQLmap

Sto eseguendo il comando: sqlmap -r Path_Of_Myfile -p UserName Sta andando bene. Ma voglio includere anche il parametro della password. E ho provato tutte le combinazioni come UserName,Password / UserName&Password , ma nessuna...
posta 10.01.2018 - 23:10
2
risposte

utilizzando l'estensione CO2 all'interno di Burp per l'iniezione sql

Sto usando la versione gratuita di Burp Suite e la CO2 -Estensione per gli attacchi di SQL injection. L'utilizzo dell'estensione ti offre due possibili modi di attaccare: O copi il comando che viene generato facendo clic sulle o...
posta 30.11.2016 - 11:56
1
risposta

Utilizzo di sqlmap per trovare gli hash delle password

Sto imparando l'SQL-injection (e SQL in primo luogo) giocando un CTF. Sto utilizzando sqlmap e ho trovato il mio IP di destinazione finora trovato: Usi: MySQL, PHP 2 database: information_schema users 1 tabella nel database...
posta 17.10.2016 - 05:50
1
risposta

Nome del database codificato / impossibile recuperare il numero di database con SQLMap

Ho i risultati per sqlmap: ./sqlmap.py -u "http://REDACTED/browse?destination_id=12" --identify-waf --random-agent -v 3 --dbs GET parameter 'destination_id' is vulnerable. Do you want to keep testing the others (if any)? [y/N] n sqlmap iden...
posta 23.09.2016 - 11:32