elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Inyección de Parametros Sqlmap		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Inyección de Parametros Sqlmap  (Leído 7,855 veces)
Owl-City

Desconectado Desconectado

Mensajes: 44

Ésta es mi respuesta, ¿Y tu respuesta?


Ver Perfil
Inyección de Parametros Sqlmap
« en: 27 Enero 2014, 23:10 pm »
Hola,

Amigos, quisiera que me hecharan una mano con esto, Soy un poco novatillo  :P por lo que quiero adentrarme más en la inyeccion de sitios.
Descubrí una Vulnerabilidad en mi Apache 2.2, y estoy parchando mi sitio.

/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=1::/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=2
(Ojo no se cunfundan es una cadena, no dos.)

Y bueno, al tratar el parametro en sqlmap me arroja un error que el parametro option no es inyectable.
Y la verdad no se como inyectar algunos parametros. En ellos esta el de option.  :-(

Bueno, amigos espero que respondan gracias  ;D
En línea
noopynoob

Desconectado Desconectado

Mensajes: 104



Ver Perfil
Re: Inyección de Parametros Sqlmap
« Respuesta #1 en: 29 Enero 2014, 03:48 am »
cuales son los comandos? la vulnerabilidad como es por el link no tienes que colocar nada, solo el link vulnerable sin modificar nada.
En línea
Owl-City

Desconectado Desconectado

Mensajes: 44

Ésta es mi respuesta, ¿Y tu respuesta?


Ver Perfil
Re: Inyección de Parametros Sqlmap
« Respuesta #2 en: 29 Enero 2014, 03:52 am »
Bueno, amigo gracias por comentar, crei que nadie comentaria, estoy parchando mi Apache /2.2 y el comando es este:
index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=1::/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=2

Y me arroja un error desde el principio pero me lo ejecuta como caulquier otro, nunca habia visto algo así. Y al final me lo rechaza y me arroja el error de nuevo. :|
El comando que ejecuto: sqlmap -u www.miblog.com/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=1::/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=2

me arroja un error de que es inestable y me da opciones que si deseo continuar presione C y si no q. Le doy C y me ejecuta el error
En línea
noopynoob

Desconectado Desconectado

Mensajes: 104



Ver Perfil
Re: Inyección de Parametros Sqlmap
« Respuesta #3 en: 29 Enero 2014, 04:03 am »
Cita de: Owl-City en 29 Enero 2014, 03:52 am
Bueno, amigo gracias por comentar, crei que nadie comentaria, estoy parchando mi Apache /2.2 y el comando es este:
index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=1::/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=2

Y me arroja un error desde el principio pero me lo ejecuta como caulquier otro, nunca habia visto algo así. Y al final me lo rechaza y me arroja el error de nuevo. :|
El comando que ejecuto: sqlmap -u www.miblog.com/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=1::/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=2

me arroja un error de que es inestable y me da opciones que si deseo continuar presione C y si no q. Le doy C y me ejecuta el error

no tienes que colocar todo ese link en sqlmap, el comando debe parecerse a esto:

sqlmap -u www.miblog.com/index.php?option=com --dbs

saludos, hasta mañana.
En línea
#!drvy


Desconectado Desconectado

Mensajes: 5.856



Ver Perfil WWW
Re: Inyección de Parametros Sqlmap
« Respuesta #4 en: 29 Enero 2014, 04:13 am »
Aveces la URL requiere de varios parametros y solamente uno de ellos es vulnerable. Para esos casos existe -p.

Ejemplo:

Código
  1. sqlmap -u "www.miblog.com/index.php?option=com_pcchess&Itemid=84" -p "option" --current-db

Si te dice que no es vulnerable quizas quieras elevar el nivel.
Código
  1. sqlmap -u "www.miblog.com/index.php?option=com_pcchess&Itemid=84" -p "option" --current-db --level 3

Level puede ser de 1 a 5. También esta risk que es de 1 a 3. Para mas info simplemente pon sqlmap --hh

Saludos
En línea
Owl-City

Desconectado Desconectado

Mensajes: 44

Ésta es mi respuesta, ¿Y tu respuesta?


Ver Perfil
Re: Inyección de Parametros Sqlmap
« Respuesta #5 en: 29 Enero 2014, 05:47 am »
Ho disculpen un error, si uso --dbs.  :-[  :P, pero muchas gracias lo provaré.
En línea
Owl-City

Desconectado Desconectado

Mensajes: 44

Ésta es mi respuesta, ¿Y tu respuesta?


Ver Perfil
Re: Inyección de Parametros Sqlmap
« Respuesta #6 en: 29 Enero 2014, 06:11 am »
bueno, yaa los probé y me salé que el parametro no es inyectable. :|
pero tomé en cuenta lo siguiente:
[23:08:10] [WARNING] if UNION based SQL injection is not detected, please consider forcing the back-end DBMS (e.g. --dbms=mysql)

No entiendo muy bien a lo que se refiere. Pues soy un poco nuevo en esta aplicacion automática.
En línea
BlackM4ster


Desconectado Desconectado

Mensajes: 499


Error, el teclado no funciona. Pulse F1 para continuar


Ver Perfil WWW
Re: Inyección de Parametros Sqlmap
« Respuesta #7 en: 29 Enero 2014, 08:36 am »
Te recomiendo que aprendas toda la teoría relacionada con esta inyección antes de ponerte a usar programas de terceros, porque luego pasan éstas cosas.

Explotala manualmente, y cuando sepas hacerlo, usar sqlmap será más sencillo
En línea
- Pásate por mi web -
https://codeisc.com
OssoH


Desconectado Desconectado

Mensajes: 911


Ver Perfil
Re: Inyección de Parametros Sqlmap
« Respuesta #8 en: 5 Febrero 2014, 18:02 pm »
Yo tengo un servidor casero donde hago mis pruebas con php y mysql.
¿Que herramienta has utilizado para saber que tu codigo tiene vulnerabilidades?
Gracias.
En línea
BlackM4ster


Desconectado Desconectado

Mensajes: 499


Error, el teclado no funciona. Pulse F1 para continuar


Ver Perfil WWW
Re: Inyección de Parametros Sqlmap
« Respuesta #9 en: 6 Febrero 2014, 08:15 am »
Cita de: OssoH en  5 Febrero 2014, 18:02 pm
Yo tengo un servidor casero donde hago mis pruebas con php y mysql.
¿Que herramienta has utilizado para saber que tu codigo tiene vulnerabilidades?
Gracias.

El tiempo y el ingenio xD
En línea
- Pásate por mi web -
https://codeisc.com
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Pasar 2 parámetros en inyección de código
ASM 		Vaagish 9 5,393 Último mensaje 17 Julio 2014, 21:43 pm
por Eternal Idol
SQLMAP parametros post
Nivel Web 		Spectatorem 5 4,260 Último mensaje 20 Julio 2015, 03:53 am
por Spectatorem
Inyeccion de DLL para obtener acceder a parametros de una funcion
Ingeniería Inversa 		GonzaFz 5 3,332 Último mensaje 24 Noviembre 2015, 16:19 pm
por Miseryk
MOVIDO: Inyeccion de DLL para obtener acceder a parametros de una funcion
Hacking 		.:UND3R:. 0 2,257 Último mensaje 25 Octubre 2015, 18:12 pm
por .:UND3R:.
Sql inyeccion con sqlmap
Hacking 		dairus20 1 3,649 Último mensaje 19 Abril 2019, 19:14 pm
por rachet79
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines