• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

обход WAF sqlmap HELP!!!

M

msksmail

Grey Team
29.09.2016
11
7
Добрый день!
Расшарил я одну SQL иньекцию , но не могу выдернуть ничего о БД - все тщетно, мол WAF не дает
результат ниже
28741


Я перепробовал все тамперы с hex и no-cast. единственное что обнаружил, это установленный Suhosin patch, но как его обойти тоже пока что не придумал
Нашел тему, где описывали Atlas - m4ll0k/Atlas , но в его базе тоже не было данной WAF , и в итоге говорит что ее нет вовсе )))
28742


Любой помощи буду признателен !!!
 
Сортировать по дате Сортировать по голосам
Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 318
3 996
Вы затирали домен,а в одном месте на скрине его засветили.Аккуратнее надо бы )
Кто знает,что у Вас на уме )) .Поэтому,прямые советы давать стрёмно,извините)
Вам ясно sqlmap даёт знать,что это уязвимость boolean-based-blind
Именно на эксплуатацию такой уязвимости надо искать ролики на ютубе с примерами-их достаточно.
И вооружайтесь Burp Suite-пригодится очень в раскрутке.
 
  • Нравится
Реакции: msksmail
За 0 Против
M

msksmail

Grey Team
29.09.2016
11
7
Спасибо. как обычно тупанул на ровном месте из-за нелепой ситуации и нет мне оправдания, однако это исключительно познавательный характер не более - опыт только в практике ! спасибо за совет в любом случае, burp'ом ковыряю но пока что безуспешно (
 
  • Нравится
Реакции: Vertigo
За 0 Против
f22

f22

Codeby Team
Gold Team
05.05.2019
1 717
180
Song Zaxarov сказал(а):
приветствую. подскажите как это решить
Нажмите, чтобы раскрыть...
А что конкретно решить?
На скрине 2 ошибки: 424 - заблокировано правилами безопасности и 404 - не найдено.
Очевидно, что sql-инъекции там нет...

Song Zaxarov сказал(а):
sqlmap -u "http://"
Нажмите, чтобы раскрыть...
После слешей что-то есть? Или прямо так запускаешь?
 
За 0 Против
Song Zaxarov

Song Zaxarov

New member
02.02.2020
4
0
f22 сказал(а):
А что конкретно решить?
На скрине 2 ошибки: 424 - заблокировано правилами безопасности и 404 - не найдено.
Очевидно, что sql-инъекции там нет...


После слешей что-то есть? Или прямо так запускаешь?
Нажмите, чтобы раскрыть...
как нету sql он базу данных не может открыть
Ссылка скрыта от гостей
 
За 0 Против
The Codeby

The Codeby

Well-known member
30.12.2015
4 649
6 529
Song Zaxarov сказал(а):
Screenshot
Нажмите, чтобы раскрыть...
codeby.net

Как разместить изображения и файлы в сообщении

На форуме приняты следующие ограничения при загрузке файлов: допустимые типы zip, txt, pdf, png, jpg, jpeg, jpe, gif, rar, doc, docx, xls, xlsx, djvu, skp, 7z максимальный размер каждого файла — 2048 Кб ограничения по размеру в пикселях (для изображенийй) 1024х1024 максимальное количество...
codeby.net codeby.net
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ