Ошибка sqlmap

[kirill333333300000000]

Что делать, если в kali при запуске sqlmap, например в обычной консоли, я пишу "sqlmap" запускается программа, но при вводе команды "--u' (сыллка на сайт) или "-u" пишет "команда не найдена"?
После выхода из консоли, я захожу в вкладки кали, программа "sqlmap" пишет вставить url, вставляю и после нескольких автоматических команд в конце пишет
"time-based comparison requires larger statistical model, please wait. (done)
it is recommended to perform only basic UNION tests if there is not at least one other (potential) technique found. Do you want to reduce the number of requests? [Y/n] Y
[12:05:06] [ERROR] all tested parameters do not appear to be injectable. Try to increase values for '--level'/'--risk' options if you wish to perform more tests. If you suspect that there is some kind of protection mechanism involved (e.g. WAF) maybe you could try to use option '--tamper' (e.g. '--tamper=space2comment') and/or switch '--random-agent', skipping to the next target"
После этого программа отключается, первые команды программа автоматически выбирает "Y"
Не получается сканировать сайт на sql injection
Сайт DVWA localhost

 

[Местный]

sqlmap -u "target.com?id=2*"
Попробуй так , то есть в кавычки взять. А лучше кинь скриншот

 

[kirill333333300000000]

sqlmap -u "target.com?id=2*"
Попробуй так , то есть в кавычки взять. А лучше кинь скриншот

sqlmap -u "target.com?id=2*"
Попробуй так , то есть в кавычки взять. А лучше кинь скриншот

Даже, если, напишу "sqlmap -u и тд" то будет написано ошибка

 

[f22]

Посмотреть вложение 74017

Что-то вы странное делаете
команда должна выглядеть так
sqlmap -u http.....
sqlmap - это утилита
-u - это аргумент, с которым утилита запускается - в случае с sqlmap - это указание url
Без утилиты запускать её аргументы бессмысленно

Даже, если, напишу "sqlmap -u и тд" то будет написано ошибка

покажите скрин

 

[kirill333333300000000]

Что-то вы странное делаете
команда должна выглядеть так
sqlmap -u http.....
sqlmap - это утилита
-u - это аргумент, с которым утилита запускается - в случае с sqlmap - это указание url
Без утилиты запускать её аргументы бессмысленно


покажите скрин

 

[kirill333333300000000]

Что-то вы странное делаете
команда должна выглядеть так
sqlmap -u http.....
sqlmap - это утилита
-u - это аргумент, с которым утилита запускается - в случае с sqlmap - это указание url
Без утилиты запускать её аргументы бессмысленно


покажите скрин

 

[f22]

Так вы у вас утилита запускается - в чём проблема?
Ну а то, что не нашли уязвимости - значит, либо сайт неуязвим к этому типу, либо вы подобрали неправильный набор параметров запроса

 

[kirill333333300000000]

Так вы у вас утилита запускается - в чём проблема?
Ну а то, что не нашли уязвимости - значит, либо сайт неуязвим к этому типу, либо вы подобрали неправильный набор параметров запроса

Не понимаю, я знаю, что пишут sqlmap -u (сайт в моём случае dvwa) --dbs и всё работает, а неправильный набор параметров, вы что имеете ввиду? И вроде сайт "dvwa" должен быть уязвим на sql

 

[f22]

Не понимаю,

чего именно?

--dbs и всё работает,

Вы немного путаете успешный запуск утилиты с успешным поиском уязвимости.

И вроде сайт "dvwa" должен быть уязвим на sql

Откуда такая информация?)
sqlmap подсказывает вам

параметр id похоже неуязвим к инъекции

 

[kirill333333300000000]

чего именно?


Вы немного путаете успешный запуск утилиты с успешным поиском уязвимости.


Откуда такая информация?)
sqlmap подсказывает вам
Посмотреть вложение 74023
параметр id похоже неуязвим к инъекции

В этом и дело, что я не указывал никакой id параметр, я запустил и скопировал ссылку на тренировочный сайт dvwa

 

[f22]

В этом и дело, что я не указывал никакой id параметр, я запустил и скопировал ссылку на тренировочный сайт dvwa

Правильно ли я вас понял: вы просто запустили утилиту, не разбираясь в уязвимости, в надежде на то, что она просто взломает сайт?

 

[kirill333333300000000]

Правильно ли я вас понял: вы просто запустили утилиту, не разбираясь в уязвимости, в надежде на то, что она просто взломает сайт?

Почти, dvwa это тренировочный сайт, а значит должна быть sql injection, по крайне мере, на разных обзорах так

 

[Местный]

Почти, dvwa это тренировочный сайт, а значит должна быть sql injection, по крайне мере, на разных обзорах так

дак ты руками покрути сначала. Посмотри какой параметр уязвим.

 

[kirill333333300000000]

дак ты руками покрути сначала. Посмотри какой параметр уязвим.

А смысл? На обзорах там всё так, как я делал и темболее это тренировочный сайт

 

[f22]

А смысл? На обзорах там всё так, как я делал и темболее это тренировочный сайт

Смысл в том, чтобы понимать предпосылки возникновения такой уязвимости и принципы её эксплуатации.
sqlmap - это инструмент, а прежде чем пользоваться инструментом, нужно понять, как он работает.

 

[kirill333333300000000]

Смысл в том, чтобы понимать предпосылки возникновения такой уязвимости и принципы её эксплуатации.
sqlmap - это инструмент, а прежде чем пользоваться инструментом, нужно понять, как он работает.

Я знаю, что программа автоматически находит sql уязвимости на сайте, и сама эксплуатирует

 

[xuZ00]

Я знаю, что программа автоматически находит sql уязвимости на сайте, и сама эксплуатирует

Она автоматически ничего тебе не находит (практически). Она автоматически помогает тебе доставать инфу из уязвимого приложения, чтобы ты не делал это ручками. Чтобы понять как с ней работать для начала тебе нужно научиться крутить скули руками, а потом уже учиться использовать эту программу. Иначе весь смысл твоего сообщения выглядит следующим образом:
"Я знаю, что при помощи кирки из скалы можно добывать золото и даже видел, как шахтёры входят в шахту и выходят оттуда с рудой. Я нашёл кирку, положил её возле жилы на сутки, но она почему-то не копает! Что я делаю не так?"

 

[kirill333333300000000]

Я уже разобрался, как надо всё делать)

Она автоматически ничего тебе не находит (практически). Она автоматически помогает тебе доставать инфу из уязвимого приложения, чтобы ты не делал это ручками. Чтобы понять как с ней работать для начала тебе нужно научиться крутить скули руками, а потом уже учиться использовать эту программу. Иначе весь смысл твоего сообщения выглядит следующим образом:
"Я знаю, что при помощи кирки из скалы можно добывать золото и даже видел, как шахтёры входят в шахту и выходят оттуда с рудой. Я нашёл кирку, положил её возле жилы на сутки, но она почему-то не копает! Что я делаю не так?"

 

[f22]

"Я знаю, что при помощи кирки из скалы можно добывать золото и даже видел, как шахтёры входят в шахту и выходят оттуда с рудой. Я нашёл кирку, положил её возле жилы на сутки, но она почему-то не копает! Что я делаю не так?"

Прекрасная аналогия!