18.04.2018, 16:12
|
|
Участник форума
Регистрация: 30.07.2011
Сообщений: 151
С нами:
7782806
Репутация:
0
|
|
Делал
Сообщение от cat1vo
↑
Скорее всего это не sqlmap сливает "криво", а скрипт в котором найдена инъекция экранирует слеши. Попробуйте проверить руками вывод!
А вы пробовали вручную получить результат? Или кроме как через sqlmap работать с инъекцией в БД вы не умеете? sqlmap - не панацея!
Разумеется делал!
Перебрал сначала возможность авторизации при которой выдавалое сообщение "пользователь не найдет в базе данных".
Синтаксическая ошибка не высвечивалась. Уязвимое только поле "username", на passwd -ноль реакции.
Код:
' OR '1
' OR 1 -- -
" OR "" = "
" OR 1 = 1 -- -
'='
'LIKE'
'=0--+
Затем пытался подобрать таблицы методом order by и вручную union+select+1,2,3-- и тут я везде натыкался на саму ошибку:
Код:
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '' LIMIT 2' at line 1
Поэтому и возникает первоначальный вопрос: почему ручками вижу багу но не могу заюзать ,а sqlmap тоже вначале видит багу, а потом уже говорит - нет не бага...или дело здесь тоже не в нем. |
|
|