• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

sqlmap Дамп только mail и password как сделать?

W7W

Member
23.05.2022
9
0
BIT
0
Здравствуйте! подскажите как в sqlmap получать дамп (dump) только mail и pass пусть pass будет даже только в хеши как команду написать?
и можно не указывать базу данных ? на сайте одном бывает много баз данных . Заранее спасибо!
 

Exited3n

Red Team
10.05.2022
683
229
BIT
474
Здравствуйте! подскажите как в sqlmap получать дамп (dump) только mail и pass пусть pass будет даже только в хеши как команду написать?
и можно не указывать базу данных ? на сайте одном бывает много баз данных . Заранее спасибо!
mail и pass это что? Таблицы или столбцы(колонки) ?
 

W7W

Member
23.05.2022
9
0
BIT
0
Ну это записи в таблице получается

Чтоб не открывать отдельно каждую базу каждую колонку и все остальное
 

Exited3n

Red Team
10.05.2022
683
229
BIT
474
Ну это записи в таблице получается
У меня что то типо такого обычно получается для определенной базы:
Bash:
sqlmap -u "http://example.com/vuln.php?id=1" -D base --dump-all --batch
sqlmap -u "http://example.com/vuln.php?id=1" -D base -T users -C login --dump

Чтоб не открывать отдельно каждую базу каждую колонку и все остальное
Не уверен, в каждой базе разные же могут и будут значения
 

W7W

Member
23.05.2022
9
0
BIT
0
Но получается что всегда всегда нужно ставить -D base указывать именно название базы?
И mail,password могут быть в другой колонки или только в users ?
 

Exited3n

Red Team
10.05.2022
683
229
BIT
474
Но получается что всегда всегда нужно ставить -D base указывать именно название базы?
И mail,password могут быть в другой колонки или только в users ?
Конечно в любой и везде, таблица, колонка, как разработчик пожелает. Может вообще не быть :)
 

W7W

Member
23.05.2022
9
0
BIT
0
sqlmap -u " " -D base -T users -C mail,password --dump
sqlmap -u " " -D base -T users -C mail,password --dump Так он ничего не нашел
Мне обязательно знать и писать названия колонки? можно сделать так ? sqlmap -u " " -D base -C mail,password --dump ? Но когда я так делал он скинул мне просто строки mail,password
а самих почт и паролей нет !! В чем ошибка? я понимаю можно открыть каждую колонку отдельно и посмотреть но это же не вариант вообще.
Он так делает только))) и эти строки мне скидывает))))

+------+----------+
| mail | password |
+------+----------+
+------+----------+
 
Последнее редактирование:

pr0phet

Platinum
02.04.2018
358
496
BIT
10
sqlmap -u " " -D base -T users -C mail,password --dump Так он ничего не нашел
Мне обязательно знать и писать названия колонки? можно сделать так ? sqlmap -u " " -D base -C mail,password --dump ? Но когда я так делал он скинул мне просто строки mail,password
а самих почт и паролей нет !! В чем ошибка? я понимаю можно открыть каждую колонку отдельно и посмотреть но это же не вариант вообще.
Он так делает только))) и эти строки мне скидывает))))

+------+----------+
| mail | password |
+------+----------+
+------+----------+
Научись делать запросы без скулмапа - сразу вопросы отпадут. Поймешь чем отличается таблица от колонки, зачем это нужно и как это работает.
 

W7W

Member
23.05.2022
9
0
BIT
0
Да понятно что есть колонки в них таблица в таблице записи

мне просто надо маил и пасс и все в HTML формате если собирался или сам разобрался вопросов тут бы не задавал !!!
Мне простой ответ бы))) и как это сделать по самому короткому пути и все.
 
Последнее редактирование:

Crazy Jack

Grey Team
08.07.2017
573
89
BIT
35
Да понятно что есть колонки в них таблица в таблице записи

мне просто надо маил и пасс и все в HTML формате если собирался или сам разобрался вопросов тут бы не задавал !!!
Мне простой ответ бы))) и как это сделать по самому короткому пути и все.
1 Ищеш название базы - sqlmap -u " " --dbs
2 Ищеш таблици в базе - sqlmap -u " " -D имя --tables
3 Ищеш колонки в таблице - sqlmap -u " " -D имя -T имя --columns
4 Скидываеш дамп нужных столбцов - sqlmap -u " " -D имя -T имя -C mail,password --dump
 

larchik

Red Team
07.06.2019
374
426
BIT
244
sqlmap -u " " -D base -T users -C mail,password --dump Так он ничего не нашел
Мне обязательно знать и писать названия колонки? можно сделать так ? sqlmap -u " " -D base -C mail,password --dump ? Но когда я так делал он скинул мне просто строки mail,password
а самих почт и паролей нет !! В чем ошибка? я понимаю можно открыть каждую колонку отдельно и посмотреть но это же не вариант вообще.
Он так делает только))) и эти строки мне скидывает))))

+------+----------+
| mail | password |
+------+----------+
+------+----------+
если нужен только майл и пасс, то да, обязательно.
Может быть колонки называются иначе, например email и passw, тогда твоим запросом ничего не вытащить. К тому же ты не указал нужную таблицу.
Короче - волшебной кнопки нет, надо хотя бы немного пошевелить мозгами и руками.
Мне простой ответ бы))) и как это сделать по самому короткому пути и все.
Все уже тут расписали, куда уж проще.
 

W7W

Member
23.05.2022
9
0
BIT
0
Ну понял придется так тогда делать спасибо всем за ответы! я просто думал что есть проще вариант
а тут все ручками надо делать.

Короче пока не провалишься до самой колонки Column | Type ничего и не узнаешь получается
Я еще почему спросил про короткий путь знаю что есть новички которые за несколько дней
находят по несколько лямов строк.
А тут зайдешь а там 2-16-50 строк в дампе
Наверно бывают большие дампы где прям очень много строк сотни к ?

А все таблицы получается разом тоже не откроешь? только по одной?
Знаю что баннером можно открыть базы . sqlmap.py -u " " --random-agent --tor -f --banner --current-user --passwords --tables --exclude-sysdbs
 

larchik

Red Team
07.06.2019
374
426
BIT
244
Наверно бывают большие дампы где прям очень много строк сотни к ?
конечно бывают

А все таблицы получается разом тоже не откроешь? только по одной?
можешь сдампить всю базу целиком с флагом --dump. Как быстро она будет считываться, зависит и от размера базы, и, в первую очередь, от типа инъекции. Если это time-based, например, то будешь считывать базу по одному символу.
Если ты таким образом планируешь найти какие-то ценные данные, типа
за несколько дней
находят по несколько лямов строк
то поспешу тебя разочаровать. Лучше потрать время на изучение SQL:
SQL - прежде чем ломать базы данных
SQL - прежде чем ломать базы данных - часть 2
SQL - прежде чем ломать базы данных - часть 3
SQL-injection, начало - UNION BASED
и другие статьи этого автора и других авторов, поиск по форуму поможет.
 

W7W

Member
23.05.2022
9
0
BIT
0
Да просто еще пока с каждый столбец зайдешь проверишь что там капец это много лишних движений.
Или может все и не надо смотреть но я этого еще не знаю))
Подскажите как версия python на винде хорошо работает с sqlmap
 
Последнее редактирование:

W7W

Member
23.05.2022
9
0
BIT
0
если нужен только майл и пасс, то да, обязательно.
Может быть колонки называются иначе, например email и passw, тогда твоим запросом ничего не вытащить. К тому же ты не указал нужную таблицу.
Короче - волшебной кнопки нет, надо хотя бы немного пошевелить мозгами и руками.

Все уже тут расписали, куда уж проще.
Проще вот так! -D бд --tables --count -columns --count --batch
 

W7W

Member
23.05.2022
9
0
BIT
0
Разбирается кто как в sqlmap применять полезную нагрузку?
Ситуация такая sqlmap видит базы а дамп делать не может
и в лог скидывает полезная нагрузка = цифры буквы и все такое
ну и еще всякие слова))) а как это все применить не понятно))
может кто подскажет или пару примеров скинет
или статей вменяемых на эту тему. Вроде все просто но и ничего не понятно пока что))
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!