sqlmap con problemas en backtrack 5 ¨ID no inyectable¨ ?? havij es superior???

Iniciado por terito, 10 Abril 2012, 00:13 AM

0 Miembros y 1 Visitante están viendo este tema.

terito

Saludos
les envio un fraternal saludo a todos

y vengo con una duda que aun no parece tener solucion y quiero pensar que es problema del kernel linux , algun comando por alli oculto ,o sera que el sqlmap no es tan bueno como el havij , en san google no encuentro ninguna solucion

al realizar una auditoria me sale casi siempre esto:

   starting at 04:53:09

[04:53:09] [INFO] using '/pentest/web/scanners/sqlmap/output/www.myfourthirds.com/session' as session file
[04:53:09] [INFO] testing connection to the target url
[04:53:10] [INFO] heuristics detected web page charset 'ascii'
[04:53:10] [WARNING] the web server responded with an HTTP error code (400) which could interfere with the results of the tests
[04:53:10] [INFO] testing if the url is stable, wait a few seconds
[04:53:12] [INFO] url is stable
[04:53:12] [INFO] testing if GET parameter 'id' is dynamic
[04:53:12] [WARNING] GET parameter 'id' appears to be not dynamic
[04:53:12] [WARNING] heuristic test shows that GET parameter 'id' might not be injectable
[04:53:12] [INFO] testing sql injection on GET parameter 'id'
[04:53:12] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[04:53:17] [INFO] testing 'MySQL >= 5.0 AND error-based - WHERE or HAVING clause'
[04:53:18] [INFO] testing 'PostgreSQL AND error-based - WHERE or HAVING clause'
[04:53:20] [INFO] testing 'Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause'
[04:53:21] [INFO] testing 'Oracle AND error-based - WHERE or HAVING clause (XMLType)'
[04:53:23] [INFO] testing 'MySQL > 5.0.11 stacked queries'
[04:53:24] [INFO] testing 'PostgreSQL > 8.1 stacked queries'
[04:53:25] [INFO] testing 'Microsoft SQL Server/Sybase stacked queries'
[04:53:30] [INFO] testing 'MySQL > 5.0.11 AND time-based blind'
[04:53:35] [INFO] testing 'PostgreSQL > 8.1 AND time-based blind'
[04:53:36] [INFO] testing 'Microsoft SQL Server/Sybase time-based blind'
[04:53:38] [INFO] testing 'Oracle AND time-based blind'
[04:53:42] [INFO] testing 'MySQL UNION query (NULL) - 1 to 10 columns'
[04:55:08] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns'
[04:55:08] [WARNING] using unescaped version of the test because of zero knowledge of the back-end DBMS. You can try to explicitly set it using the --dbms option
[04:56:56] [WARNING] GET parameter 'id' is not injectable
[04:56:56] [CRITICAL] all parameters appear to be not injectable. Try to increase --level/--risk values to perform more tests. Also, you can try to rerun by providing either a valid --string or a valid --regexp, refer to the user's manual for details
[04:56:56] [WARNING] HTTP error codes detected during testing:
400 (Bad Request) - 159 times


cualquier sugerencia sera aceptada
gracias
 att
  teresa
;D


NOTA:  En el foro encontre una respuesta a un  post que me llamo la atencion
berz3k : analizar todas las tablas y columnas es muy lento , encuentra donde inyectar y continua desde alli manual .. .. segun capto , es usar sqlmap en algo especifico .........



berz3k


terito


Soy una chica indefensa y necesitada de conocimientos

Y gracias por responder guapo moderador

Resp: para mi es una auditoria porque se analiza como se comporta un determinado software , asi una puede escojer con cual programa quedarse o si esta perdiendo el tiempo con algo que no es tan smart como dice ser.
Para mi es auditoria en tanto solo se mire y no se toque nada

?? y entonces // cual es la respuesta //  sobre si el programa havj de windows supera a sqlmap en linux ???
;D


Breixo

La próxima vez trata de ocultar la web que intentas "auditar" www.myfourthirds.com :D

Y sobre la pregunta, yo no creo que havij sea mejor que slqmap, lo que pasa es que para utilizar correctamente  sqlmap es necesario saber lo que se está haciendo y leerse completamente el manual.

Si el parámetro id que estás poniendo es inyectable te faltará algún argumento que le debes pasar a sqlmap.

terito

Cita de: Breixo en 26 Abril 2012, 15:23 PM
La próxima vez trata de ocultar la web que intentas "auditar" www.myfourthirds.com :D


Gracias por el consejo Breixo , recien miro que esa WEB existe y es realmente vulnerable a sql inyeccion
estuve buscando donde le di copy/past a ese trozo de informacion , creo que fue en este foro , estoy seguro que hay un post de donde lo obtuve y no lo encuentro ,o cambie una parte.

Si uno ya esta en este nivel de preguntar por inyecciones es porque ya paso por preguntas de // como sacar las claves wpa wpa2 //

No seria tan tonta de confiar en // elbrujo // , que me denunciaria sin pensarlo dos veces teniendo mi ip publica



afdlkglfgfdgfhgf

muchas cosas que decir, por muy automatico que sea la herramienta no quiere decir que sea auto-magico.

lo primero que me llama la atencion de tu log es lo siguiente .

[04:53:10] [WARNING] the web server responded with an HTTP error code (400) which could interfere with the results of the tests

documentacion : http://www.checkupdown.com/status/E400_es.html

lo que me puede llevar a pensar que exista un WAF,IDS,ETC.... detras de esa web, recomiendo la utilizacion de los TAMPER que por algo estan ahi(se pueden unir 2 o mas tamper a la vez).

tambien puede que la pagina detecte el User-Agent de SQLMAP, para eso existen los comandos --user-agent=cadena y --random-agent que te lanza un User-Agent al Azar.

lo otro que te pido es revisar la version de sqlmap que estas utilizando, la version 0.9 es demasiado mala a mi parecer, ejecuta "python sqlmap.py --version" , actualiza a la version "sqlmap/1.0-dev" , en caso de utilizar la 0.9.

si aun no consigues nada te recomiendo utilizar los parametros --level y --risk , siendo 5 y 3 , los valores maximos que se les puede pasar respectivamente.

por utlimo, SQLMAP es una de las mejores herramientas, lo que pasa es que por linea de comando todo parece dificil, porque ademas hay que saber como funcionan las cosas, haviij pones la url y ya esta, aunque tiene artas funciones pero a mi parecer no es tan flexible como sqlmap.... si no te convence utiliza "safe3 sql injector" que es mucho mejor que haviij pero inisisto que no hay mejor herramienta que sqlmap.


suerte !!  >:D >:D >:D