Como obtener informacion de la DB "mysql" con SQLMap

  • 3 Respuestas
  • 2980 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado DirectxTro

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Como obtener informacion de la DB "mysql" con SQLMap

  • en: Febrero 27, 2016, 01:05:26 am
Hola a todos, estoy intentando obtener información de una app web vulnerable en modo local, bueno pasa lo siguiente, ya logro obtener información con sqlmap, pude obtener información sobre los usuarios para un admin y su respectiva contraseña, pero ahora cuando quiero ver los privilegios del usuario de la base de datos, me dice que solo es USAGE, bueno todo bien, ahora yo sé que esa app contiene 3 dbs una es la INFORMATION_SCHEMA, DB1, mysql, cuando intento acceder a información de la base de datos mysql, con lo siguiente :

Código: You are not allowed to view links. Register or Login
sqlmap -u "url" --dump - D mysql -T users
El intenta por medio de un diccionario buscar el nombre común users, pero no da resultado, me falta algo por ingresar o porque razón no puedo obtener esa información. muchas gracias por su ayuda.
« Última modificación: Febrero 27, 2016, 01:23:19 am por EPSILON »

Desconectado EPSILON

  • *
  • Ex-Staff
  • *****
  • Mensajes: 363
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
  • [email protected]
  • Skype: epsilon.root1
    • Ver Perfil
@You are not allowed to view links. Register or Login Si no podes ver la tabla users de la DB mysql es porque muy probablemente no tengas los permisos suficientes para eso, por lo que ya podes dar por echo que el usuario que esta corriendo en la DB no es root o tiene permisos restringidos.

Saludos!, EPSILON.

Desconectado Gn0m3

  • *
  • Ex-Staff
  • *****
  • Mensajes: 410
  • Actividad:
    46.67%
  • Country: 00
  • Reputación 2
  • Karma is a bitch, but I'm Worst and Faster...
    • Ver Perfil
    • Underc0de
@You are not allowed to view links. Register or Login Puedes utilizar el parametro --is-dba para verificar si el usuario que estas utilizando en la db es DBA.
Igualmente cuando es USAGE no tiene administración sobre la DB.


Saludos

Gn0m3

Desconectado seth

  • *
  • Underc0der
  • Mensajes: 264
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
es "-D", no "- D"

Con esos parametros no va a hacer mucho, agregale --dump

No hace falta bruteforcear los nombres de las tablas porque son iguales para todas las db. Busca como se llaman en local la tabla y las columnas y pasaselo como parametros. Creo que si le pasa -o lo hace solo

 

Como subir un proyecto de angular dos a angular?

Iniciado por Dani54

Respuestas: 1
Vistas: 2534
Último mensaje Diciembre 21, 2018, 06:09:49 pm
por noxonsoftwares
Usar memoria externa como memoria interna.

Iniciado por CthulhuRise97

Respuestas: 4
Vistas: 5539
Último mensaje Abril 30, 2018, 05:35:43 pm
por NERV0
Cómo utilizo un script en una sala de ares sin tener sala?

Iniciado por Narciso

Respuestas: 3
Vistas: 5462
Último mensaje Junio 28, 2015, 05:16:59 pm
por Narciso
[SOLUCIONADO] ¿Como usar los exploits de Joomla con una página que usa joomla?

Iniciado por Cruef

Respuestas: 5
Vistas: 4496
Último mensaje Febrero 07, 2013, 07:46:41 pm
por Sanko
Como crackear wifi, Sniffear wifi, y manipular dispositivos a distancia?

Iniciado por Xlitec0d3

Respuestas: 9
Vistas: 4559
Último mensaje Diciembre 23, 2015, 12:48:58 am
por Snifer