¿Por qué se recortaría la salida de sqlmap?

Question

¿Por qué se recortaría la salida de sqlmap?

#1 de Stone True (1 votos)

6

Decidí aprender sqlmap pero tengo un problema con Sqlmap que recorta algunos de mis resultados, el hash. El hash está a punto de tener 32 caracteres, pero solo obtengo 25 y la advertencia:

[WARNING] possible server trimmed output detected (due to its length and/or content): HASH'

Es solo recortar esta columna, no las otras que también elijo eliminar, aunque no he visto que tengan más de 25 caracteres. Intenté cambiar:

--hex

pero no me está dando ninguna suerte.

He estado gastando horas en encontrar alguna solución para esto. ¿Hay otros conmutadores que pueda probar o quizás otra solución?

hash sql-injection mysql sqlmap

pregunta user3316995 13.07.2015 - 21:57

fuente

1 respuesta

Lea otras preguntas en las etiquetas hash sql-injection mysql sqlmap

Ataques contra administradores de contraseñas Stun scripts / webRTC IP leaks

score 1 · Answer 1

Según el código fuente de sqlmap en [Github 1] esta advertencia se produce cuando el tamaño de los datos devueltos por el servidor SQL es inferior al solicitado:

trimmed = _("%s(?P<result>.*?)<" % (kb.chars.start))

            if trimmed:
                warnMsg = "possible server trimmed output detected "
                warnMsg += "(probably due to its length and/or content): "

Esto puede ocurrir si el programador de SQL decide poder consultar el elemento de la base de datos, pero no devolver todo el elemento. El comando TEXTSIZE es una forma de hacerlo en SQL Server (hay varios otros).

El motivo principal es comprobar si hay datos sin transferir un gran bloque de datos. Los valores de hash no son grandes, pero algunos sistemas truncan los valores de hash de contraseña y utilizan el valor de hash parcial almacenado. Truncar los valores de hash no es una buena práctica, consulte ¿Truncar el hash criptográfico hace que sea imposible de romper? .

Tenga en cuenta que cambiar a --hex solo afectaría el formato de la pantalla de salida, no el tamaño general en caracteres o bytes de la pantalla (01001001 en binario, = 0x49 en hexadecimal, = 73 en decimal, = la letra " I "en ASCII, pero independientemente de un byte).