разбираюсь с SQL-инъекциями.

В качестве тестовой жертвы установил древний Wordpress (2.0)

Ничё там не настраивал, только создал пару заметок через админку.

Скармливаю различные ссылки sqlmap, но он говорит всёвремя что "параметр не инжектуемый"

То есть что получается, сам по себе вордпрес 2.0 не дырявый, его еще напильником обработать надо? Что нужно сделать чтоб sqlmap там возможность инъекции обнаружил?

Там может и есть инъекции но не такие простые, так что лучше не замарачивайся с переделкой вп в возьми Damn Vulnerable Web App, он уже спецом заточен для тренировок под самые популярные уязвимости.

О, спасибо, как раз такое и искал!

На тестовых приложениях потренировался, но WP2.0 всё равно не даёт

Кто ни-будь пробовал ломать вордпрес2.0 без плагинов? Есть там SQLi дырки?

гугл друг хакера

раз http://www.exploit-db.com/exploits/3095/

два http://www.exploit-db.com/exploits/6/

Да и вообще по багтракам посмотри еще много чего найдешь.