hola amigos , antes que nada dar las gracias a toda la gente que me ayudo con mi tema anterior de como instalar python y sqlmap, despues de darle tantas veltas hice caso y lei y me informe y logre hacer mis primeras inyecciones con sqlmap, ahora bien, me encuentro con un mensaje c7uando estoy haciendo una inyeccion...[15:58:59] [CRITICAL] all tested parameters appear to be not injectable. Try to
increase '--level'/'--risk' values to perform more tests. Also, you can try to r
erun by providing either a valid value for option '--string' (or '--regexp')
- shutting down at 15:58:59
"catname" no se reconoce como un comando interno o externo,
programa o archivo por lotes ejecutable. (puede ser " catnmame" o cualquier otro valor, cada vez me aparece uno diferente, )
por lo que entiendo y dice el mensaje es que la pagina no es inyectable, peo en cambio hago un ataque con un inyector automatico y me saca columnas , y tablas , pero en el sqlmap no logra hacer ninguna inyeccion, alguien sabe si tengo que remplazar algun valor a la hora de inyectar , un saludo y gracias a tod@s
Que comando y parámetros estas tirando con SQLMap?
Saludos!
ANTRAX
el primero... sqlmap.py -u paginavulnerable --dbs
es el primer comando que ejecuto
Si, el comando está bien. Lo que no te está detectando bien SQLMap, es la URL con la variable que le estas pasando.
No probaste pasandole otra?
Saludos!
ANTRAX
gracias por responder antrax, no , la verdad no se que variable le tengo que poner, te refieres remplazar el fallo que me da el error (catname) ?
ahh y ademas este mensaje me trae de cabeza... estoy buscando alguna solucion en internet y la mayoria es en ingles...
[20:22:05] [CRITICAL] unable to connect to the target URL or proxy. sqlmap is go
ing to retry the request
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
ahh y ademas este mensaje me trae de cabeza... estoy buscando alguna solucion en internet y la mayoria es en ingles...
[20:22:05] [CRITICAL] unable to connect to the target URL or proxy. sqlmap is go
ing to retry the request
Estás usando algún proxy? peganos una captura de pantalla con el comando y el error.
Saludos.
hola antrax ..gracias por contestar al mensaje ...............no utilizo proxy y este es el mensaje del sqlmap
C:\sqlmap>sqlmap.py -u http://www.pag.vulnerable.php?id=236
--dbs
sqlmap/1.0-dev - automatic SQL injection and database takeover tool
http://sqlmap.org
[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual
consent is illegal. It is the end user's responsibility to obey all applicable
local, state and federal laws. Developers assume no liability and are not respon
sible for any misuse or damage caused by this program
- starting at 10:44:16
[10:44:17] [INFO] testing connection to the target URL
[10:44:17] [INFO] testing if the target URL is stable. This can take a couple of
seconds
[10:44:19] [INFO] target URL is stable
[10:44:19] [INFO] testing if GET parameter 'id' is dynamic
[10:44:20] [INFO] heuristics detected web page charset 'ascii'
[10:44:20] [INFO] confirming that GET parameter 'id' is dynamic
[10:44:20] [WARNING] GET parameter 'id' does not appear dynamic
[10:44:20] [INFO] testing for SQL injection on GET parameter 'id'
[10:44:20] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[10:44:25] [INFO] testing 'MySQL >= 5.0 AND error-based - WHERE or HAVING clause
'
[10:44:26] [INFO] testing 'PostgreSQL AND error-based - WHERE or HAVING clause'
[10:44:28] [INFO] testing 'Microsoft SQL Server/Sybase AND error-based - WHERE o
r HAVING clause'
[10:44:29] [INFO] testing 'Oracle AND error-based - WHERE or HAVING clause (XMLT
ype)'
[10:44:30] [INFO] testing 'MySQL inline queries'
[10:44:31] [INFO] testing 'PostgreSQL inline queries'
[10:44:31] [INFO] testing 'Microsoft SQL Server/Sybase inline queries'
[10:44:31] [INFO] testing 'Oracle inline queries'
[10:44:32] [INFO] testing 'SQLite inline queries'
[10:44:32] [INFO] testing 'MySQL > 5.0.11 stacked queries'
[10:44:33] [INFO] testing 'PostgreSQL > 8.1 stacked queries'
[10:44:35] [INFO] testing 'Microsoft SQL Server/Sybase stacked queries'
[10:44:36] [INFO] testing 'MySQL > 5.0.11 AND time-based blind'
[10:44:38] [INFO] testing 'PostgreSQL > 8.1 AND time-based blind'
[10:44:39] [INFO] testing 'Microsoft SQL Server/Sybase time-based blind'
[10:44:40] [INFO] testing 'Oracle AND time-based blind'
[10:44:42] [INFO] testing 'MySQL UNION query (NULL) - 1 to 10 columns'
[10:45:00] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns'
[10:45:00] [WARNING] using unescaped version of the test because of zero knowled
ge of the back-end DBMS. You can try to explicitly set it using option '--dbms'
[10:45:19] [WARNING] GET parameter 'id' is not injectable
[10:45:19] [CRITICAL] all tested parameters appear to be not injectable. Try to
increase '--level'/'--risk' values to perform more tests. Also, you can try to r
erun by providing either a valid value for option '--string' (or '--regexp')
gracias miles.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
[10:45:19] [WARNING] GET parameter 'id' is not injectable
Lo ideal en estos casos es que busques el
SQLi manualmente y luego le pases a los parámetros correctos.
Tienes un montón de información de SQLi en el foro escrito por nuestros compañeros. Ahora
te toca leer a ti.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
ahh y ademas este mensaje me trae de cabeza... estoy buscando alguna solucion en internet y la mayoria es en ingles...
[20:22:05] [CRITICAL] unable to connect to the target URL or proxy. sqlmap is go
ing to retry the request
Ese mensaje está muy claro. Estás empezando a pedir que usemos sqlmap por ti. Deberías descargarte algún wargame con los que practicar
en vez de estar atacando bases de datos privadas con una conexión sin ofuscar, porque está claro que
no tienes ni idea de SQLi. Lo siento, pero eso
se ve.
Con respecto al inglés ya puedes ir aprendiéndolo o dedicándote a otra cosa. Es algo inamovible.
Cualquiera de este foro te lo confirmará.
gracias random... te are caso y buscare la solucion ...un saludo