sqlmap - test vsech parametru

HackForum

sqlmap - test vsech parametru#
Ahoj,
takze zaprve, mohli byste si opravit forum. Pul hodiny sepisuju post a pak mi to zahlasi "neplatny listek" a taxt je v haji. To potesi.

K veci: Uz velmi zkracene oproti puvodni verzi...

Jak testovat sqlmapem vsechny parametry v url najednou? Ted mam problem, ze bere vzdy jen prvni parametr za otaznikem, dalsi neveme a to ani kdyz je definuji do -p, ani kdyz prvni parametr --skip.
Vzdy vezme jen prvni parametr v url (ale pamatuju si, ze kdysi to v pohode testovalo vsechny..)

Takze jak na to, vite?
Jak testovat vsechny parametry najednou?
Googlil jsem, nenasel jsem. (nepocitam hloupe rady typu: tak ty parametry testuj pojednom a rucne je postupne kopiruj na prvni misto..) Stejnych dotazu jsem nasel hodne, rozumnou odpoved bohuzel zadnou :(


(odpovědět)
hzs | 87.118.91.*4.2.2014 14:33
re: sqlmap - test vsech parametru#
Tak jsem se ted zase rozepsal a po odeslani:
"Formulář odeslal neplatný lístek"
Ted mi dochazi, ze je to mozna torem (takze mate do phpsessid nejak zahrnutu IP adresu?). Ach jo, kdyby to aspon predvyplnilo, ted mam zas text nekde v /dev/nul a kdo to tam ma hledat :D
(odpovědět)
hzs | 95.130.9.*4.2.2014 21:13
re: sqlmap - test vsech parametru#
hzs: Ano, tokeny jsou vázány na IP adresu.

Vím, že jsem už v minulosti tento problém řešil, aby se text předvyplnil, takže mě tato tvá zpráva překvapila. Trochu jsem si s tím hrál a zjistil jsem, že kratší zprávy to normálně předvyplní. Problém nastává u delších zpráv, kdy to způsobuje defaultně nastavený limit 512 znaků pro GET proměnné. Zkusím s tím něco udělat. Díky za upozornění.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP4.2.2014 22:03
re: sqlmap - test vsech parametru#
Asi mě zmátlo automatické ukládání průběhu / výsledků. Takže jsem postupně přišel na to, že první spuštění musí proběhnout s url v uvozovkách (pokud obsahuje více parametrů).

Když jsem předtím zkoušel jestli to není právě těma uvozovkama, tak už jsem měl tu url předem otestovanou bez uvozovek a ty uvozovky už pak nepomohly (dokonce někdy vyvolaly chybu). Po smazání složky s dočasnými soubory sqlmapu a spuštění s url v uvozovkách už to vesele testuje všechny parametry najednou :)
(odpovědět)
hzs | 96.44.189.*12.2.2014 12:28

Zpět
Svou ideální brigádu na léto najdete na webu Ideální brigáda
 
 
 

 
BBCode