elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  sqlmap con problemas en backtrack 5 ¨ID no inyectable¨ ?? havij es superior???
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: sqlmap con problemas en backtrack 5 ¨ID no inyectable¨ ?? havij es superior???  (Leído 6,256 veces)
terito

Desconectado Desconectado

Mensajes: 9


Ver Perfil
sqlmap con problemas en backtrack 5 ¨ID no inyectable¨ ?? havij es superior???
« en: 10 Abril 2012, 00:13 am »

Saludos
les envio un fraternal saludo a todos

y vengo con una duda que aun no parece tener solucion y quiero pensar que es problema del kernel linux , algun comando por alli oculto ,o sera que el sqlmap no es tan bueno como el havij , en san google no encuentro ninguna solucion

al realizar una auditoria me sale casi siempre esto:

    starting at 04:53:09

[04:53:09] [INFO] using '/pentest/web/scanners/sqlmap/output/www.myfourthirds.com/session' as session file
[04:53:09] [INFO] testing connection to the target url
[04:53:10] [INFO] heuristics detected web page charset 'ascii'
[04:53:10] [WARNING] the web server responded with an HTTP error code (400) which could interfere with the results of the tests
[04:53:10] [INFO] testing if the url is stable, wait a few seconds
[04:53:12] [INFO] url is stable
[04:53:12] [INFO] testing if GET parameter 'id' is dynamic
[04:53:12] [WARNING] GET parameter 'id' appears to be not dynamic
[04:53:12] [WARNING] heuristic test shows that GET parameter 'id' might not be injectable
[04:53:12] [INFO] testing sql injection on GET parameter 'id'
[04:53:12] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[04:53:17] [INFO] testing 'MySQL >= 5.0 AND error-based - WHERE or HAVING clause'
[04:53:18] [INFO] testing 'PostgreSQL AND error-based - WHERE or HAVING clause'
[04:53:20] [INFO] testing 'Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause'
[04:53:21] [INFO] testing 'Oracle AND error-based - WHERE or HAVING clause (XMLType)'
[04:53:23] [INFO] testing 'MySQL > 5.0.11 stacked queries'
[04:53:24] [INFO] testing 'PostgreSQL > 8.1 stacked queries'
[04:53:25] [INFO] testing 'Microsoft SQL Server/Sybase stacked queries'
[04:53:30] [INFO] testing 'MySQL > 5.0.11 AND time-based blind'
[04:53:35] [INFO] testing 'PostgreSQL > 8.1 AND time-based blind'
[04:53:36] [INFO] testing 'Microsoft SQL Server/Sybase time-based blind'
[04:53:38] [INFO] testing 'Oracle AND time-based blind'
[04:53:42] [INFO] testing 'MySQL UNION query (NULL) - 1 to 10 columns'
[04:55:08] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns'
[04:55:08] [WARNING] using unescaped version of the test because of zero knowledge of the back-end DBMS. You can try to explicitly set it using the --dbms option
[04:56:56] [WARNING] GET parameter 'id' is not injectable
[04:56:56] [CRITICAL] all parameters appear to be not injectable. Try to increase --level/--risk values to perform more tests. Also, you can try to rerun by providing either a valid --string or a valid --regexp, refer to the user's manual for details
[04:56:56] [WARNING] HTTP error codes detected during testing:
400 (Bad Request) - 159 times


cualquier sugerencia sera aceptada
gracias
  att
   teresa
 ;D


NOTA:  En el foro encontre una respuesta a un  post que me llamo la atencion
berz3k : analizar todas las tablas y columnas es muy lento , encuentra donde inyectar y continua desde alli manual .. .. segun capto , es usar sqlmap en algo especifico .........

 
« Última modificación: 10 Abril 2012, 18:15 pm por terito » En línea

berz3k
Colaborador
***
Desconectado Desconectado

Mensajes: 1.211



Ver Perfil
Re: sqlmap con problemas en backtrack 5 ¨ID no inyectable¨ ?? havij es superior???
« Respuesta #1 en: 13 Abril 2012, 19:56 pm »

Estas seguro que esto es una auditoria?

-berz3k.
En línea

terito

Desconectado Desconectado

Mensajes: 9


Ver Perfil
Re: sqlmap con problemas en backtrack 5 ¨ID no inyectable¨ ?? havij es superior???
« Respuesta #2 en: 26 Abril 2012, 01:00 am »


Soy una chica indefensa y necesitada de conocimientos

Y gracias por responder guapo moderador

Resp: para mi es una auditoria porque se analiza como se comporta un determinado software , asi una puede escojer con cual programa quedarse o si esta perdiendo el tiempo con algo que no es tan smart como dice ser.
Para mi es auditoria en tanto solo se mire y no se toque nada

?? y entonces // cual es la respuesta //  sobre si el programa havj de windows supera a sqlmap en linux ???
 ;D

En línea

Breixo

Desconectado Desconectado

Mensajes: 37



Ver Perfil WWW
Re: sqlmap con problemas en backtrack 5 ¨ID no inyectable¨ ?? havij es superior???
« Respuesta #3 en: 26 Abril 2012, 15:23 pm »

La próxima vez trata de ocultar la web que intentas "auditar" www.myfourthirds.com :D

Y sobre la pregunta, yo no creo que havij sea mejor que slqmap, lo que pasa es que para utilizar correctamente  sqlmap es necesario saber lo que se está haciendo y leerse completamente el manual.

Si el parámetro id que estás poniendo es inyectable te faltará algún argumento que le debes pasar a sqlmap.
En línea

terito

Desconectado Desconectado

Mensajes: 9


Ver Perfil
Re: sqlmap con problemas en backtrack 5 ¨ID no inyectable¨ ?? havij es superior???
« Respuesta #4 en: 28 Abril 2012, 16:51 pm »

La próxima vez trata de ocultar la web que intentas "auditar" www.myfourthirds.com :D


Gracias por el consejo Breixo , recien miro que esa WEB existe y es realmente vulnerable a sql inyeccion
estuve buscando donde le di copy/past a ese trozo de informacion , creo que fue en este foro , estoy seguro que hay un post de donde lo obtuve y no lo encuentro ,o cambie una parte.

Si uno ya esta en este nivel de preguntar por inyecciones es porque ya paso por preguntas de // como sacar las claves wpa wpa2 //

No seria tan tonta de confiar en // elbrujo // , que me denunciaria sin pensarlo dos veces teniendo mi ip publica


En línea

afdlkglfgfdgfhgf

Desconectado Desconectado

Mensajes: 92


Ver Perfil
Re: sqlmap con problemas en backtrack 5 ¨ID no inyectable¨ ?? havij es superior???
« Respuesta #5 en: 28 Abril 2012, 20:46 pm »

muchas cosas que decir, por muy automatico que sea la herramienta no quiere decir que sea auto-magico.

lo primero que me llama la atencion de tu log es lo siguiente .

[04:53:10] [WARNING] the web server responded with an HTTP error code (400) which could interfere with the results of the tests

documentacion : http://www.checkupdown.com/status/E400_es.html

lo que me puede llevar a pensar que exista un WAF,IDS,ETC.... detras de esa web, recomiendo la utilizacion de los TAMPER que por algo estan ahi(se pueden unir 2 o mas tamper a la vez).

tambien puede que la pagina detecte el User-Agent de SQLMAP, para eso existen los comandos --user-agent=cadena y --random-agent que te lanza un User-Agent al Azar.

lo otro que te pido es revisar la version de sqlmap que estas utilizando, la version 0.9 es demasiado mala a mi parecer, ejecuta "python sqlmap.py --version" , actualiza a la version "sqlmap/1.0-dev" , en caso de utilizar la 0.9.

si aun no consigues nada te recomiendo utilizar los parametros --level y --risk , siendo 5 y 3 , los valores maximos que se les puede pasar respectivamente.

por utlimo, SQLMAP es una de las mejores herramientas, lo que pasa es que por linea de comando todo parece dificil, porque ademas hay que saber como funcionan las cosas, haviij pones la url y ya esta, aunque tiene artas funciones pero a mi parecer no es tan flexible como sqlmap.... si no te convence utiliza "safe3 sql injector" que es mucho mejor que haviij pero inisisto que no hay mejor herramienta que sqlmap.


suerte !!  >:D >:D >:D
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Tengo problemas con sqlmap en linux y windows
GNU/Linux
joseph Lovato 4 9,173 Último mensaje 10 Abril 2012, 17:39 pm
por terito
Wapiti + Sqlmap en backtrack 5! [Tutorial]
Hacking
CFalcon 0 2,108 Último mensaje 21 Enero 2013, 00:51 am
por CFalcon
problemas: sqlmap solo injecta cuando la variable es id?o debo poner un comando
Bugs y Exploits
palomito 8 5,613 Último mensaje 18 Mayo 2013, 17:49 pm
por int_0x40
Dll inyectable vb6
Programación Visual Basic
NiquitooX 4 1,565 Último mensaje 21 Junio 2014, 19:37 pm
por NiquitooX
PROBLEMAS AL EJECUTAR SQLMAP
Scripting
camilo07 2 1,372 Último mensaje 2 Octubre 2015, 19:09 pm
por camilo07
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines