[SOLUCIONADO] Pentesting a Web -Sqlmap

  • 6 Respuestas
  • 2218 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado D00mR3D

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

[SOLUCIONADO] Pentesting a Web -Sqlmap

  • en: Junio 18, 2015, 01:18:46 pm
Hola,
Debido a lo que he sacado de la página web que estaba auditando, le he encontrado un SQLi a uno de sus dominios, pero método POST.
hasta allí todo bien, a la hora te explotarla, Sqlmap se tarda horas y horas y no creo que debe tardar tanto...
¿Alguna idea? ¿Un parámetro o algo en especial?.
Lo estoy colocando de la siguiente forma:

sqlmap.py -u Solo los usuarios pueden ver los links. Registrate o Ingresar --dbms=MYSQL --level=5 --risk=3 --data="MÉTODO_POST" --dbs --random-agent --tamper=space2comment.py --user-agent=sqlmap

¿Me falta algo en especial o algo así?, ¿alguien que me pueda colaborar por MP para ayudarme a explotarla o algo así?

Gracias  :)
« Última modificación: Junio 20, 2015, 08:18:26 am por blackdrake »

Desconectado EPSILON

  • *
  • Underc0der
  • Mensajes: 363
  • Actividad:
    0%
  • Reputación 0
  • [email protected]
  • Skype: epsilon.root1
    • Ver Perfil

Re:[DUDA] Pentesting a Web -Sqlmap

  • en: Junio 18, 2015, 01:31:26 pm
@Solo los usuarios pueden ver los links. Registrate o Ingresar , no acostumbro a usar herramientas para testear webs, te recomiendo que lo hagas a "mano", y por lo general SQLMap no demora tanto en inyectar.

Saludos!

Desconectado D00mR3D

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:[DUDA] Pentesting a Web -Sqlmap

  • en: Junio 18, 2015, 01:37:29 pm
Solo los usuarios pueden ver los links. Registrate o Ingresar
@Solo los usuarios pueden ver los links. Registrate o Ingresar , no acostumbro a usar herramientas para testear webs, te recomiendo que lo hagas a "mano", y por lo general SQLMap no demora tanto en inyectar.

Saludos!
Si, pero creo a mano inyectar  por método POST es mucho más complicado D:, pero Sqlmap debería hacerlo bien :/ , no sé, ¿No habrá otra solución?-
 :(

Desconectado EPSILON

  • *
  • Underc0der
  • Mensajes: 363
  • Actividad:
    0%
  • Reputación 0
  • [email protected]
  • Skype: epsilon.root1
    • Ver Perfil

Re:[DUDA] Pentesting a Web -Sqlmap

  • en: Junio 18, 2015, 01:55:33 pm
Para nada, es lo mismo que por GET , es mas hace poco realice un wargame con un reto así , cualquier cosa me mandas MP.

Saludos!

Desconectado D00mR3D

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:[DUDA] Pentesting a Web -Sqlmap

  • en: Junio 18, 2015, 01:59:18 pm
Solo los usuarios pueden ver los links. Registrate o Ingresar
Para nada, es lo mismo que por GET , es mas hace poco realice un wargame con un reto así , cualquier cosa me mandas MP.

Saludos!
Dale, a ver, voy a intentarla manualmente, haber que, adivinar tablas es lo jarto.
te mando mensaje privado si no me sale, para que me ayudes  ;D
gracias bro, en serio :)

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1943
  • Actividad:
    36.67%
  • Country: es
  • Reputación 15
    • Ver Perfil

Re:[DUDA] Pentesting a Web -Sqlmap

  • en: Junio 18, 2015, 05:15:02 pm
Solo los usuarios pueden ver los links. Registrate o Ingresar
sqlmap.py -u Solo los usuarios pueden ver los links. Registrate o Ingresar --dbms=MYSQL --level=5 --risk=3 --data="MÉTODO_POST" --dbs --random-agent --tamper=space2comment.py --user-agent=sqlmap

@Solo los usuarios pueden ver los links. Registrate o Ingresar

Revisa el parámetro --data y elimina los parámetros que no sean necesarios para tu inyección, luego revisa si inyecta.

Para el parámetro --data recuerda que se saca así: Solo los usuarios pueden ver los links. Registrate o Ingresar

Saludos.


Desconectado D00mR3D

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:[DUDA] Pentesting a Web -Sqlmap

  • en: Junio 18, 2015, 08:52:44 pm
Solo los usuarios pueden ver los links. Registrate o Ingresar
Solo los usuarios pueden ver los links. Registrate o Ingresar
sqlmap.py -u Solo los usuarios pueden ver los links. Registrate o Ingresar --dbms=MYSQL --level=5 --risk=3 --data="MÉTODO_POST" --dbs --random-agent --tamper=space2comment.py --user-agent=sqlmap

@Solo los usuarios pueden ver los links. Registrate o Ingresar

Revisa el parámetro --data y elimina los parámetros que no sean necesarios para tu inyección, luego revisa si inyecta.

Para el parámetro --data recuerda que se saca así: Solo los usuarios pueden ver los links. Registrate o Ingresar

Saludos.

Te envíe Mensaje Privado, leélo por favor.

 

[SOLUCIONADO] ¿Kali Linux o Kali Linux Ligth ?

Iniciado por worq

Respuestas: 2
Vistas: 24523
Último mensaje Noviembre 21, 2017, 12:28:54 pm
por Codig0Bit
[SOLUCIONADO] ¿Como publicar un software como software libre?

Iniciado por FuriosoJack

Respuestas: 2
Vistas: 9998
Último mensaje Mayo 23, 2017, 07:24:22 am
por HATI
[SOLUCIONADO] Multiuploader de imagenes con mysql, hosting de imagenes con mysql

Iniciado por graphixx

Respuestas: 4
Vistas: 11322
Último mensaje Marzo 26, 2013, 05:42:58 pm
por Xt3mP
[SOLUCIONADO] Linux Mint, errores, errores y mas errores...

Iniciado por n1sendev

Respuestas: 12
Vistas: 14285
Último mensaje Noviembre 22, 2017, 06:50:55 am
por RuidosoBSD
[SOLUCIONADO] Ayuda urgente con Virus "Virus.Win32Sality"

Iniciado por Napsters

Respuestas: 6
Vistas: 13601
Último mensaje Junio 11, 2012, 03:38:18 am
por Satyricon