sql injection

  1. s unity

    Проблема Sql Иньекции. нестыковка. SqlMap

    Здаров народ. дал мне значит друг (владелец сайта) сайт на проверку и говорит, найди уязвимость. ну я сразу начал копать смотреть ошибки sql на всяких ?id= . руками нашел, указал ссылку в sqlmap и запустил ввиде: sqlmap -u "www.example.com/?id=1212121221" --is-dba --users --passwords --is-dba...
  2. qwerty_man

    Как я смог взломать сайт по гайду на Codeby

    Всем привет! Эта статья посвящена форуму codeby.net, в частности статьям пользователя explorer. Напомню, периодически я зарабатываю тем, что чищу сайты после взлома. Обратился очередной клиент. Диагноз - хроническое изменение содержимого index.php. Анализ файлов показал, что на этот раз это...
  3. А

    Решено Как выбрать нужную базу данных

    Была найдена sql-инъекция в админке сайта, но при выводе списка баз данных (--dbs в sqlmap) я вижу множество баз. Сайт крупный , то есть со множеством поддоменов. Как узнать из какой именно БД берет пароль админка, которую я нашел?
  4. DefWolf

    Статья WrapSqlmap - массовый слив баз с помощью доработанного sqlmap

    Привет, Codeby. Давным давно мне в руки попала версия sqlmap, который может все то, что и оригинальный sqlmap, только цель мы указываем в файле sites.txt( в wrapper_config.py можно изменить название файла ) и не одну. Допустим, если Вы арендуете сервак средней мощности, то за день WrapSqlmap...
  5. C

    International Bug Bounty Group

    We invite talented Russian hackers Telegram @ redco1234
  6. Vertigo

    Soft Тестируем ресурс с AngelSword

    Добрый день,Уважаемые Жители Форума,Друзья и Читатели. В эти выходные довелось провести тест одного ресурса. Как-то убежал из вида при этом интересный инструмент для проведения pentest. Восполняю пробел,так сказать. Создал софт Lucifer1993 - это мощная китайская школа пентеста. Несмотря на...
  7. M

    Проблема раскрутить SQL запрос

    Привет всем, уважаемое сообщество! Пытаюсь раскрутить SQL запрос. В итоге, на этапе Всё отдаёт и никаких проблем. Как только пытаюсь получить список таблиц, от сервера не приходит вообще никакого ответа. Да, я понимаю, не всегда удаётся получить доступ к INFORMATION_SCHEMA. Брутить совсем не...
  8. Sunnych

    Каталог CMS vulnerabilities / Уязвимости и исследования CMS: каталог статей "list of articles"

    Статьи Уроки по Burp Suite Pro Часть 1. Начало. Уроки по Burp Suite Pro Часть 1.1. Лаборатория [Web Application Pentesting] HTTP Digest Аутентитфикация [Web Application Pentesting] HTML Injection (WAP) Web Application Pentesting by DarkNode CVE-2018-7600 или майнер на серваке, исходники...
  9. InetTester

    Протестировать Web Api работающие с json с помощью sqlmap?

    Добрый вечер, Есть собственно говоря Web Api принимающие/отдающие json как можно их протестировать с помощью sqlmap на наличие sql-injection?
  10. AnnaDavydova

    Статья SQLMAP-обнаружение и эксплуатация SQL инъекции: детальное разъяснение (2 часть)

    SQLMAP-обнаружение и эксплуатация SQL инъекции: детальное разъяснение (часть 1) Шаг 4: Список столбцов в целевой таблице выбранной базы данных с использованием SQLMAP SQL инъекции: Теперь нам нужно перечислить все столбцы целевой таблицы user_info базы данных clemcoindustries с помощью SQLMAP...
  11. AnnaDavydova

    SQLMAP-обнаружение и эксплуатация SQL инъекции: детальное разъяснение (часть 1)

    SQLMAP-обнаружение и эксплуатация SQL инъекции: детальное разъяснение (2 часть) Sqlmap является инструментом для тестирования на проникновение с открытым исходным кодом, который автоматизирует процесс обнаружения и эксплуатации недостатков SQL-инъекций и захвата серверов баз данных. Он...
  12. S

    Решено Проблема с заливкой шелла

    Здравствуйте. Тестирую один небольшой сайт. И есть проблема с заливкой шелла. Эксплуатировал инъекцию boolean-based blind. В sqlmap выполнил --is-dba - результат TRUE. Проверил под каким пользователем зашел в mysql - результат root. Проверил права пользователя - права полные: Так же проверил...
  13. g00db0y

    Проблема Как использовать иньекции которые предоставил sqlmap?

    Добрый день! При работе с sqlmap, мне выдало следующее: Parameter: id (GET) Type: boolean-based blind Title: AND boolean-based blind - WHERE or HAVING clause Payload: id=56' AND 3243=3243 AND 'VvcY'='VvcY Type: AND/OR time-based blind Title: MySQL <= 5.0.11 AND time-based...
  14. J

    Проблема Массовый сканнер сайтов на sql уязвимость. Какой?

    Здравствуйте. Прошу подсказать, помочь найти, массовый сканнер на sql уязвимости на Kali Linux. Обязательно должен принимать список сайтов с txt или просто с clipboard. Желательно что бы проверял на разные виды sql и имел хорошую скорость проверки. Перепробовал уже довольно много разных, но пока...
  15. J

    Решено Поиск уязвимых параметров

    Друзья, помогите с глупым вопросом по поиску sql уязвимостей. Я правильно понимаю, что если например в форме авторизации, с пале email addres нету уязвимости, нету смысла проверять это же поле например на странице аккаунта, или подписки на рассылки, тоесть другие поля email address на других...
  16. Vander

    Статья iSQL - Полная автоматизация SQL-инъекций

    Приветствую, Codeby! Сегодня я хочу сделать небольшой обзор на инструмент, который позволяет, по сравнению с похожими утилитами, еще сильнее упростить проведение тестирования на проникновения путем использования SQL – инъекций. Данный инструмент носит название iSQL, произведем его установку в...
  17. Ф

    Подскажите как обойти ограничение

    Здравствуйте, подскажите пожалуйта как обойти ограничение group_concat() в 1024 символов в sql иньекции при дампе базы? Заранее благодарен.
  18. B

    чем массово проверить сайты на sql

    Есть допустим список сайтов 100 шт допустим не как не могу найти инструмент чтоб проверить их массово на sql уязвимости
  19. r0hack

    Статья [2] - Безопасный PHP. Защита от SQL-Injection

    Всем Салам и всех с Новым Годом. Праздники праздниками, но знания получать нужно, чем мы сейчас займемся. Как вы уже знаете по названию, сегодня мы будем разбирать SQL-Injection в PHP. Как подметили в прошлой статье про XSS, что XSS тематика обширная и не все рассмотрено. И я хочу сказать цикл...
  20. G

    Решено sqlmate непонятки

    ~/sqlmate# pip install -r requirements.txt Requirement already satisfied: mechanize==0.2.5 in /usr/lib/python2.7/dist-packages (from -r requirements.txt (line 1)) Requirement already satisfied: beautifulsoup4==4.4.1 in /usr/local/lib/python2.7/dist-packages (from -r requirements.txt (line 2))...