Título: Inyección de Parametros Sqlmap Publicado por: Owl-City en 27 Enero 2014, 23:10 pm Hola,
Amigos, quisiera que me hecharan una mano con esto, Soy un poco novatillo :P por lo que quiero adentrarme más en la inyeccion de sitios. Descubrí una Vulnerabilidad en mi Apache 2.2, y estoy parchando mi sitio. /index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=1::/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=2 (Ojo no se cunfundan es una cadena, no dos.) Y bueno, al tratar el parametro en sqlmap me arroja un error que el parametro option no es inyectable. Y la verdad no se como inyectar algunos parametros. En ellos esta el de option. :-( Bueno, amigos espero que respondan gracias ;D Título: Re: Inyección de Parametros Sqlmap Publicado por: noopynoob en 29 Enero 2014, 03:48 am cuales son los comandos? la vulnerabilidad como es por el link no tienes que colocar nada, solo el link vulnerable sin modificar nada.
Título: Re: Inyección de Parametros Sqlmap Publicado por: Owl-City en 29 Enero 2014, 03:52 am Bueno, amigo gracias por comentar, crei que nadie comentaria, estoy parchando mi Apache /2.2 y el comando es este:
index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=1::/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=2 Y me arroja un error desde el principio pero me lo ejecuta como caulquier otro, nunca habia visto algo así. Y al final me lo rechaza y me arroja el error de nuevo. :| El comando que ejecuto: sqlmap -u www.miblog.com/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=1::/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=2 me arroja un error de que es inestable y me da opciones que si deseo continuar presione C y si no q. Le doy C y me ejecuta el error Título: Re: Inyección de Parametros Sqlmap Publicado por: noopynoob en 29 Enero 2014, 04:03 am Bueno, amigo gracias por comentar, crei que nadie comentaria, estoy parchando mi Apache /2.2 y el comando es este: index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=1::/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=2 Y me arroja un error desde el principio pero me lo ejecuta como caulquier otro, nunca habia visto algo así. Y al final me lo rechaza y me arroja el error de nuevo. :| El comando que ejecuto: sqlmap -u www.miblog.com/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=1::/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=2 me arroja un error de que es inestable y me da opciones que si deseo continuar presione C y si no q. Le doy C y me ejecuta el error no tienes que colocar todo ese link en sqlmap, el comando debe parecerse a esto: sqlmap -u www.miblog.com/index.php?option=com --dbs saludos, hasta mañana. Título: Re: Inyección de Parametros Sqlmap Publicado por: #!drvy en 29 Enero 2014, 04:13 am Aveces la URL requiere de varios parametros y solamente uno de ellos es vulnerable. Para esos casos existe -p.
Ejemplo: Código
Si te dice que no es vulnerable quizas quieras elevar el nivel. Código
Level puede ser de 1 a 5. También esta risk que es de 1 a 3. Para mas info simplemente pon sqlmap --hh Saludos Título: Re: Inyección de Parametros Sqlmap Publicado por: Owl-City en 29 Enero 2014, 05:47 am Ho disculpen un error, si uso --dbs. :-[ :P, pero muchas gracias lo provaré.
Título: Re: Inyección de Parametros Sqlmap Publicado por: Owl-City en 29 Enero 2014, 06:11 am bueno, yaa los probé y me salé que el parametro no es inyectable. :|
pero tomé en cuenta lo siguiente: [23:08:10] [WARNING] if UNION based SQL injection is not detected, please consider forcing the back-end DBMS (e.g. --dbms=mysql) No entiendo muy bien a lo que se refiere. Pues soy un poco nuevo en esta aplicacion automática. Título: Re: Inyección de Parametros Sqlmap Publicado por: BlackM4ster en 29 Enero 2014, 08:36 am Te recomiendo que aprendas toda la teoría relacionada con esta inyección antes de ponerte a usar programas de terceros, porque luego pasan éstas cosas.
Explotala manualmente, y cuando sepas hacerlo, usar sqlmap será más sencillo Título: Re: Inyección de Parametros Sqlmap Publicado por: OssoH en 5 Febrero 2014, 18:02 pm Yo tengo un servidor casero donde hago mis pruebas con php y mysql.
¿Que herramienta has utilizado para saber que tu codigo tiene vulnerabilidades? Gracias. Título: Re: Inyección de Parametros Sqlmap Publicado por: BlackM4ster en 6 Febrero 2014, 08:15 am Yo tengo un servidor casero donde hago mis pruebas con php y mysql. ¿Que herramienta has utilizado para saber que tu codigo tiene vulnerabilidades? Gracias. El tiempo y el ingenio xD |