SQL inyectar MariaDB con SQLMAP

0

Soy bastante nuevo en sqlmap pero he intentado muchos ataques y he tenido éxito, excepto por este ataque que he intentado. SQLMAP no lo detectará ni intentará inyectar un error como este.

Entonces, ¿cómo ik que el sitio es vulnerable también. Usé los encabezados http y edité un valor que era:

Client-IP: 1'"

Ahora probé todos los ataques en el sitio; estaba increíblemente protegido y no era vulnerable a ningún ataque, pero luego noté que al cambiar client-IP a 1'" se produjo un error:

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '"'' at line 1

Sin embargo, probé casi todos los comandos y no estoy seguro de por qué sqlmap no detectará ni un poco de nada.

¿Puede alguien ayudarme con un comando o algo así o explicar por qué el sitio no es inyectable?

    
pregunta Dan Ash 21.12.2018 - 21:26
fuente

1 respuesta

0

SQLMap es una gran herramienta si se usa de manera correcta. Necesitamos especificar el punto de inyección correcto en la consulta completa de SQLMap como por ejemplo en caso de obtener el método utilizado en formato html

sqlmap.py -u "www.example.com/file.php?id=1" --dbs //here injection is already specified.

pero si es un método posterior, debemos cambiar nuestra consulta

sqlmap.py -u "www.example.com/file.php" --method="POST" --data"[email protected]&pass=pass" -p pass --dbs

aquí pasa el parámetro inyectable y ejecutará toda su prueba en este parámetro

a veces existe una inyección de encabezado como, por ejemplo, cuando el código php toma la ip del usuario y no la desinfecta

sqlmap -u "http://www.example.com/file.php?id=1" --headers=”X-Forwarded-For: *” --dbs

ahora el sqlmap ejecutará su prueba en los encabezados también, es decir, reenviado por X

SQLMap no realiza inyecciones en los encabezados directamente a menos que se especifique. Creo que esto podría responder a su consulta

    
respondido por el kshitiz saini 22.12.2018 - 00:55
fuente

Lea otras preguntas en las etiquetas