Была найдена sql-инъекция в админке сайта, но при выводе списка баз данных (--dbs в sqlmap) я вижу множество баз. Сайт крупный , то есть со множеством поддоменов. Как узнать из какой именно БД берет пароль админка, которую я нашел?
-
B правой части каждого сообщения есть стрелки ⇧ и ⇩. Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок ✔ в правой части сообщения.
-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Как выбрать нужную базу данных
- Автор темы Алексей. воот
- Дата начала
-
- Теги
- sql injection sqlmap
Вытаскивайте из каждой базы таблицы, из таблиц колонки и ищите глазами по названиям таблиц и колонок, больше никак.
Можно из поиска сразу исключить служебные базы, типа information_shema и т.д.
upd: иногда интуитивно понятно, где искать, а где нет. Базы типа test_db скорее всего не подойдут, а базы с именем целевого сайта вероятно будут содержать искомое.
upd2: у sqlmap оказывается есть опция "--search", с помощью которой можно осуществить поиск по базам.
Можно из поиска сразу исключить служебные базы, типа information_shema и т.д.
upd: иногда интуитивно понятно, где искать, а где нет. Базы типа test_db скорее всего не подойдут, а базы с именем целевого сайта вероятно будут содержать искомое.
upd2: у sqlmap оказывается есть опция "--search", с помощью которой можно осуществить поиск по базам.
Последнее редактирование:
Обучение наступательной кибербезопасности в игровой форме. Начать игру!