• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Ошибка sqlmap

15.08.2023
18
0
BIT
155
Что делать, если в kali при запуске sqlmap, например в обычной консоли, я пишу "sqlmap" запускается программа, но при вводе команды "--u' (сыллка на сайт) или "-u" пишет "команда не найдена"?
После выхода из консоли, я захожу в вкладки кали, программа "sqlmap" пишет вставить url, вставляю и после нескольких автоматических команд в конце пишет
"time-based comparison requires larger statistical model, please wait. (done)
it is recommended to perform only basic UNION tests if there is not at least one other (potential) technique found. Do you want to reduce the number of requests? [Y/n] Y
[12:05:06] [ERROR] all tested parameters do not appear to be injectable. Try to increase values for '--level'/'--risk' options if you wish to perform more tests. If you suspect that there is some kind of protection mechanism involved (e.g. WAF) maybe you could try to use option '--tamper' (e.g. '--tamper=space2comment') and/or switch '--random-agent', skipping to the next target"
После этого программа отключается, первые команды программа автоматически выбирает "Y"
Не получается сканировать сайт на sql injection
Сайт DVWA localhost
 
15.08.2023
18
0
BIT
155
sqlmap -u "target.com?id=2*"
Попробуй так , то есть в кавычки взять. А лучше кинь скриншот
IMG_20240224_194744_698.jpg
IMG_20240224_194744_290.jpg

sqlmap -u "target.com?id=2*"
Попробуй так , то есть в кавычки взять. А лучше кинь скриншот
Даже, если, напишу "sqlmap -u и тд" то будет написано ошибка
 
Последнее редактирование модератором:

f22

Codeby Academy
Gold Team
05.05.2019
1 940
228
BIT
1 772
Что-то вы странное делаете
команда должна выглядеть так
sqlmap -u http.....
sqlmap - это утилита
-u - это аргумент, с которым утилита запускается - в случае с sqlmap - это указание url
Без утилиты запускать её аргументы бессмысленно

Даже, если, напишу "sqlmap -u и тд" то будет написано ошибка
покажите скрин
 
15.08.2023
18
0
BIT
155
Что-то вы странное делаете
команда должна выглядеть так
sqlmap -u http.....
sqlmap - это утилита
-u - это аргумент, с которым утилита запускается - в случае с sqlmap - это указание url
Без утилиты запускать её аргументы бессмысленно


покажите скрин
 

Вложения

  • IMG_20240224_224151_007.jpg
    IMG_20240224_224151_007.jpg
    149,6 КБ · Просмотры: 66
15.08.2023
18
0
BIT
155
Что-то вы странное делаете
команда должна выглядеть так
sqlmap -u http.....
sqlmap - это утилита
-u - это аргумент, с которым утилита запускается - в случае с sqlmap - это указание url
Без утилиты запускать её аргументы бессмысленно


покажите скрин
 

f22

Codeby Academy
Gold Team
05.05.2019
1 940
228
BIT
1 772
Так вы у вас утилита запускается - в чём проблема?
Ну а то, что не нашли уязвимости - значит, либо сайт неуязвим к этому типу, либо вы подобрали неправильный набор параметров запроса
 
15.08.2023
18
0
BIT
155
Так вы у вас утилита запускается - в чём проблема?
Ну а то, что не нашли уязвимости - значит, либо сайт неуязвим к этому типу, либо вы подобрали неправильный набор параметров запроса
Не понимаю, я знаю, что пишут sqlmap -u (сайт в моём случае dvwa) --dbs и всё работает, а неправильный набор параметров, вы что имеете ввиду? И вроде сайт "dvwa" должен быть уязвим на sql
 

f22

Codeby Academy
Gold Team
05.05.2019
1 940
228
BIT
1 772
чего именно?

--dbs и всё работает,
Вы немного путаете успешный запуск утилиты с успешным поиском уязвимости.

И вроде сайт "dvwa" должен быть уязвим на sql
Откуда такая информация?)
sqlmap подсказывает вам
1708806247558.png

параметр id похоже неуязвим к инъекции
 
15.08.2023
18
0
BIT
155
чего именно?


Вы немного путаете успешный запуск утилиты с успешным поиском уязвимости.


Откуда такая информация?)
sqlmap подсказывает вам
Посмотреть вложение 74023
параметр id похоже неуязвим к инъекции
В этом и дело, что я не указывал никакой id параметр, я запустил и скопировал ссылку на тренировочный сайт dvwa
 

f22

Codeby Academy
Gold Team
05.05.2019
1 940
228
BIT
1 772
В этом и дело, что я не указывал никакой id параметр, я запустил и скопировал ссылку на тренировочный сайт dvwa
Правильно ли я вас понял: вы просто запустили утилиту, не разбираясь в уязвимости, в надежде на то, что она просто взломает сайт?
 
15.08.2023
18
0
BIT
155
Правильно ли я вас понял: вы просто запустили утилиту, не разбираясь в уязвимости, в надежде на то, что она просто взломает сайт?
Почти, dvwa это тренировочный сайт, а значит должна быть sql injection, по крайне мере, на разных обзорах так
 

f22

Codeby Academy
Gold Team
05.05.2019
1 940
228
BIT
1 772
А смысл? На обзорах там всё так, как я делал и темболее это тренировочный сайт
Смысл в том, чтобы понимать предпосылки возникновения такой уязвимости и принципы её эксплуатации.
sqlmap - это инструмент, а прежде чем пользоваться инструментом, нужно понять, как он работает.
 
15.08.2023
18
0
BIT
155
Смысл в том, чтобы понимать предпосылки возникновения такой уязвимости и принципы её эксплуатации.
sqlmap - это инструмент, а прежде чем пользоваться инструментом, нужно понять, как он работает.
Я знаю, что программа автоматически находит sql уязвимости на сайте, и сама эксплуатирует
 

xuZ00

One Level
01.07.2023
7
6
BIT
70
Я знаю, что программа автоматически находит sql уязвимости на сайте, и сама эксплуатирует
Она автоматически ничего тебе не находит (практически). Она автоматически помогает тебе доставать инфу из уязвимого приложения, чтобы ты не делал это ручками. Чтобы понять как с ней работать для начала тебе нужно научиться крутить скули руками, а потом уже учиться использовать эту программу. Иначе весь смысл твоего сообщения выглядит следующим образом:
"Я знаю, что при помощи кирки из скалы можно добывать золото и даже видел, как шахтёры входят в шахту и выходят оттуда с рудой. Я нашёл кирку, положил её возле жилы на сутки, но она почему-то не копает! Что я делаю не так?"
 
15.08.2023
18
0
BIT
155
Я уже разобрался, как надо всё делать)
Она автоматически ничего тебе не находит (практически). Она автоматически помогает тебе доставать инфу из уязвимого приложения, чтобы ты не делал это ручками. Чтобы понять как с ней работать для начала тебе нужно научиться крутить скули руками, а потом уже учиться использовать эту программу. Иначе весь смысл твоего сообщения выглядит следующим образом:
"Я знаю, что при помощи кирки из скалы можно добывать золото и даже видел, как шахтёры входят в шахту и выходят оттуда с рудой. Я нашёл кирку, положил её возле жилы на сутки, но она почему-то не копает! Что я делаю не так?"
 

f22

Codeby Academy
Gold Team
05.05.2019
1 940
228
BIT
1 772
"Я знаю, что при помощи кирки из скалы можно добывать золото и даже видел, как шахтёры входят в шахту и выходят оттуда с рудой. Я нашёл кирку, положил её возле жилы на сутки, но она почему-то не копает! Что я делаю не так?"
Прекрасная аналогия!
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!