Mensaje sqlmap

Iniciado por zztop21, Agosto 23, 2015, 11:14:52 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Agosto 23, 2015, 11:14:52 AM Ultima modificación: Agosto 23, 2015, 11:52:30 AM por Expermicid
hola amigos , antes que nada dar las gracias a toda la gente que me ayudo con mi tema anterior de como instalar python y sqlmap, despues de darle tantas veltas hice caso y lei y me informe y logre hacer mis primeras inyecciones con sqlmap, ahora bien,  me encuentro con un mensaje c7uando estoy haciendo una inyeccion...[15:58:59] [CRITICAL] all tested parameters appear to be not injectable. Try to
increase '--level'/'--risk' values to perform more tests. Also, you can try to r
erun by providing either a valid value for option '--string' (or '--regexp')

  • shutting down at 15:58:59

    "catname" no se reconoce como un comando interno o externo,
    programa o archivo por lotes ejecutable. (puede ser  " catnmame" o cualquier otro valor, cada vez me aparece uno diferente, )



    por lo que entiendo y dice el mensaje es que la pagina no es inyectable, peo en cambio hago un ataque con un inyector automatico y me saca columnas , y tablas , pero en el sqlmap  no logra hacer ninguna  inyeccion, alguien sabe si tengo que remplazar algun valor a la hora de inyectar , un saludo y gracias a tod@s

Que comando y parámetros estas tirando con SQLMap?

Saludos!
ANTRAX


el primero...  sqlmap.py  -u paginavulnerable --dbs

  es el primer comando que ejecuto

Si, el comando está bien. Lo que no te está detectando bien SQLMap, es la URL con la variable que le estas pasando.
No probaste pasandole otra?

Saludos!
ANTRAX


gracias por responder antrax,  no , la verdad no se que variable le tengo que poner,  te refieres remplazar el fallo que me da el error (catname) ?

ahh y ademas este mensaje me trae de cabeza... estoy buscando alguna solucion en internet y  la mayoria es en ingles...

[20:22:05] [CRITICAL] unable to connect to the target URL or proxy. sqlmap is go
ing to retry the request

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
ahh y ademas este mensaje me trae de cabeza... estoy buscando alguna solucion en internet y  la mayoria es en ingles...

[20:22:05] [CRITICAL] unable to connect to the target URL or proxy. sqlmap is go
ing to retry the request

Estás usando algún proxy? peganos una captura de pantalla con el comando y el error.

Saludos.



hola antrax ..gracias por contestar al mensaje ...............no utilizo proxy y este es el mensaje del sqlmap
  C:\sqlmap>sqlmap.py -u http://www.pag.vulnerable.php?id=236
--dbs

    sqlmap/1.0-dev - automatic SQL injection and database takeover tool
    No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual
consent is illegal. It is the end user's responsibility to obey all applicable
local, state and federal laws. Developers assume no liability and are not respon
sible for any misuse or damage caused by this program

  • starting at 10:44:16

    [10:44:17] [INFO] testing connection to the target URL
    [10:44:17] [INFO] testing if the target URL is stable. This can take a couple of
    seconds
    [10:44:19] [INFO] target URL is stable
    [10:44:19] [INFO] testing if GET parameter 'id' is dynamic
    [10:44:20] [INFO] heuristics detected web page charset 'ascii'
    [10:44:20] [INFO] confirming that GET parameter 'id' is dynamic
    [10:44:20] [WARNING] GET parameter 'id' does not appear dynamic
    [10:44:20] [INFO] testing for SQL injection on GET parameter 'id'
    [10:44:20] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
    [10:44:25] [INFO] testing 'MySQL >= 5.0 AND error-based - WHERE or HAVING clause
    '
    [10:44:26] [INFO] testing 'PostgreSQL AND error-based - WHERE or HAVING clause'
    [10:44:28] [INFO] testing 'Microsoft SQL Server/Sybase AND error-based - WHERE o
    r HAVING clause'
    [10:44:29] [INFO] testing 'Oracle AND error-based - WHERE or HAVING clause (XMLT
    ype)'
    [10:44:30] [INFO] testing 'MySQL inline queries'
    [10:44:31] [INFO] testing 'PostgreSQL inline queries'
    [10:44:31] [INFO] testing 'Microsoft SQL Server/Sybase inline queries'
    [10:44:31] [INFO] testing 'Oracle inline queries'
    [10:44:32] [INFO] testing 'SQLite inline queries'
    [10:44:32] [INFO] testing 'MySQL > 5.0.11 stacked queries'
    [10:44:33] [INFO] testing 'PostgreSQL > 8.1 stacked queries'
    [10:44:35] [INFO] testing 'Microsoft SQL Server/Sybase stacked queries'
    [10:44:36] [INFO] testing 'MySQL > 5.0.11 AND time-based blind'
    [10:44:38] [INFO] testing 'PostgreSQL > 8.1 AND time-based blind'
    [10:44:39] [INFO] testing 'Microsoft SQL Server/Sybase time-based blind'
    [10:44:40] [INFO] testing 'Oracle AND time-based blind'
    [10:44:42] [INFO] testing 'MySQL UNION query (NULL) - 1 to 10 columns'
    [10:45:00] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns'
    [10:45:00] [WARNING] using unescaped version of the test because of zero knowled
    ge of the back-end DBMS. You can try to explicitly set it using option '--dbms'
    [10:45:19] [WARNING] GET parameter 'id' is not injectable
    [10:45:19] [CRITICAL] all tested parameters appear to be not injectable. Try to
    increase '--level'/'--risk' values to perform more tests. Also, you can try to r
    erun by providing either a valid value for option '--string' (or '--regexp')


    gracias miles.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
[10:45:19] [WARNING] GET parameter 'id' is not injectable
Lo ideal en estos casos es que busques el SQLi manualmente y luego le pases a los parámetros correctos.
Tienes un montón de información de SQLi en el foro escrito por nuestros compañeros. Ahora te toca leer a ti.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
ahh y ademas este mensaje me trae de cabeza... estoy buscando alguna solucion en internet y  la mayoria es en ingles...

[20:22:05] [CRITICAL] unable to connect to the target URL or proxy. sqlmap is go
ing to retry the request
Ese mensaje está muy claro. Estás empezando a pedir que usemos sqlmap por ti. Deberías descargarte algún wargame con los que practicar en vez de estar atacando bases de datos privadas con una conexión sin ofuscar, porque está claro que no tienes ni idea de SQLi. Lo siento, pero eso se ve.
Con respecto al inglés ya puedes ir aprendiéndolo o dedicándote a otra cosa. Es algo inamovible. Cualquiera de este foro te lo confirmará.
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

gracias random... te are caso y buscare la solucion ...un saludo