[SOLUCIONADO] Pentesting a Web -Sqlmap

D00mR3D · Junio 18, 2015, 01:18:46 PM

Hola,
Debido a lo que he sacado de la página web que estaba auditando, le he encontrado un SQLi a uno de sus dominios, pero método POST.
hasta allí todo bien, a la hora te explotarla, Sqlmap se tarda horas y horas y no creo que debe tardar tanto...
¿Alguna idea? ¿Un parámetro o algo en especial?.
Lo estoy colocando de la siguiente forma:

sqlmap.py -u You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login --dbms=MYSQL --level=5 --risk=3 --data="MÉTODO_POST" --dbs --random-agent --tamper=space2comment.py --user-agent=sqlmap

¿Me falta algo en especial o algo así?, ¿alguien que me pueda colaborar por MP para ayudarme a explotarla o algo así?

Gracias

EPSILON · Junio 18, 2015, 01:31:26 PM

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login , no acostumbro a usar herramientas para testear webs, te recomiendo que lo hagas a "mano", y por lo general SQLMap no demora tanto en inyectar.

Saludos!

D00mR3D · Junio 18, 2015, 01:37:29 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login , no acostumbro a usar herramientas para testear webs, te recomiendo que lo hagas a "mano", y por lo general SQLMap no demora tanto en inyectar.

Saludos!

Si, pero creo a mano inyectar por método POST es mucho más complicado D:, pero Sqlmap debería hacerlo bien :/ , no sé, ¿No habrá otra solución?-

EPSILON · Junio 18, 2015, 01:55:33 PM

Para nada, es lo mismo que por GET , es mas hace poco realice un wargame con un reto así , cualquier cosa me mandas MP.

Saludos!

D00mR3D · Junio 18, 2015, 01:59:18 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Para nada, es lo mismo que por GET , es mas hace poco realice un wargame con un reto así , cualquier cosa me mandas MP.

Saludos!

Dale, a ver, voy a intentarla manualmente, haber que, adivinar tablas es lo jarto.
te mando mensaje privado si no me sale, para que me ayudes

gracias bro, en serio

blackdrake · Junio 18, 2015, 05:15:02 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
sqlmap.py -u You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login --dbms=MYSQL --level=5 --risk=3 --data="MÉTODO_POST" --dbs --random-agent --tamper=space2comment.py --user-agent=sqlmap

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Revisa el parámetro --data y elimina los parámetros que no sean necesarios para tu inyección, luego revisa si inyecta.

Para el parámetro --data recuerda que se saca así: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos.

D00mR3D · Junio 18, 2015, 08:52:44 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
sqlmap.py -u You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login --dbms=MYSQL --level=5 --risk=3 --data="MÉTODO_POST" --dbs --random-agent --tamper=space2comment.py --user-agent=sqlmap

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Revisa el parámetro --data y elimina los parámetros que no sean necesarios para tu inyección, luego revisa si inyecta.

Para el parámetro --data recuerda que se saca así: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos.

Te envíe Mensaje Privado, leélo por favor.

[SOLUCIONADO] Pentesting a Web -Sqlmap

D00mR3D

Junio 18, 2015, 01:18:46 PM Ultima modificación: Junio 20, 2015, 08:18:26 AM por blackdrake

EPSILON

Junio 18, 2015, 01:31:26 PM #1

D00mR3D

Junio 18, 2015, 01:37:29 PM #2

EPSILON

Junio 18, 2015, 01:55:33 PM #3

D00mR3D

Junio 18, 2015, 01:59:18 PM #4

blackdrake

Junio 18, 2015, 05:15:02 PM #5

D00mR3D

Junio 18, 2015, 08:52:44 PM #6