sqlmap брутфорс команды --file-read

my3uka · 22.07.2019

Народ как с помощю склмап сделать брутфорс конмады --file-read? Удалось прочитать файл /etc/passwd и еще некоторые файлы, но там ничиго толком нету и делать каждый запрос в ручную некамельфо.

Demi · 22.07.2019

my3uka сказал(а):
Народ как с помощю склмап сделать брутфорс конмады --file-read? Удалось прочитать файл /etc/passwd и еще некоторые файлы, но там ничиго толком нету и делать каждый запрос в ручную некамельфо.

а что ты хотел найти в /etc/passwd ? что для тебя толковое ? все зависит от того что ты ищешь

my3uka · 22.07.2019

Demi сказал(а):
а что ты хотел найти в /etc/passwd ? что для тебя толковое ? все зависит от того что ты ищешь

Вопрос не том что я хотел найти, а как сделать масово команду fileread в sqlmap. Альо гараж....

explorer · 22.07.2019

my3uka сказал(а):
Вопрос не том что я хотел найти, а как сделать масово команду fileread в sqlmap. Альо гараж....

Выражаться нужно корректно.
По теме - во первых сайтов, на которых можно прочесть файлы через SQL инъекцию сущие единицы. Во-вторых несколько файлов одновременно sqlmap не будет читать. Для того, чтобы читать любые файлы с сервера нужно через тот же sqlmap или любым другим способом залить шелл на ресурс.

f22 · 22.07.2019

my3uka сказал(а):
Вопрос не том что я хотел найти, а как сделать масово команду fileread в sqlmap. Альо гараж....

Если работаешь в linux, то можешь выполнить эту команду в цикле,
передав ей в виде аргумента, массив нужных путей для проверки.

Предположим, что файл target_paths.txt содержит подобные строки

/root/123/test.txt
/etc/passwd
/var/www/html/index.html

Тогда команда будет выглядеть так
while read target_line; do python sqlmap.py -u \"host\" --file-read \"${target_line}\"; done < target_paths.txt

То есть для каждой строки в файле target_paths.txt будет выполнена команда
python sqlmap.py -u \"host\" --file-read

my3uka · 22.07.2019

explorer сказал(а):
Выражаться нужно корректно.
По теме - во первых сайтов, на которых можно прочесть файлы через SQL инъекцию сущие единицы. Во-вторых несколько файлов одновременно sqlmap не будет читать. Для того, чтобы читать любые файлы с сервера нужно через тот же sqlmap или любым другим способом залить шелл на ресурс.

Ответа нет.

f22 сказал(а):
Если работаешь в linux, то можешь выполнить эту команду в цикле,
передав ей в виде аргумента, массив нужных путей для проверки.

Предположим, что файл target_paths.txt содержит подобные строки

Тогда команда будет выглядеть так
while read target_line; do python sqlmap.py -u \"host\" --file-read \"${target_line}\"; done < target_paths.txt

То есть для каждой строки в файле target_paths.txt будет выполнена команда
python sqlmap.py -u \"host\" --file-read

Ето подойдет для очень сложного запроса, но каждый раз склмап будет спрашивать ответ Y/n, так что также не очень то и подойдет.

larchik · 22.07.2019

my3uka сказал(а):
Ответа нет.

Ето подойдет для очень сложного запроса, но каждый раз склмап будет спрашивать ответ Y/n, так что также не очень то и подойдет.

ответы Y/N ставятся автоматом с опцией --batch.

my3uka · 22.07.2019

я в курсе про --batch, видно сдесь нету тру склмапперов.....

f22 · 22.07.2019

my3uka сказал(а):
Ответа нет.
Ето подойдет для очень сложного запроса, но каждый раз склмап будет спрашивать ответ Y/n, так что также не очень то и подойдет.

Уже ответили, тогда так.

while read target_line; do python sqlmap.py -u \"host\" --file-read \"${target_line}\"  --batch ; done < target_paths.txt

А при чём тут сложность запроса и чем не удовлетворяет задаче?

Sgtron Versio · 23.07.2019

попробуй поискать на других ресурсах . "Тру" заняты или нет возможности ответить )

Все сервисы Codeby

Поиск

Поиск

sqlmap брутфорс команды --file-read

my3uka

Member

Demi

Mod. Ethical Hacking

my3uka

Member

explorer

f22

Codeby Academy

my3uka

Member

larchik

my3uka

Member

f22

Codeby Academy

Sgtron Versio