обход WAF sqlmap HELP!!!

[msksmail]

Добрый день!
Расшарил я одну SQL иньекцию , но не могу выдернуть ничего о БД - все тщетно, мол WAF не дает
результат ниже

Я перепробовал все тамперы с hex и no-cast. единственное что обнаружил, это установленный Suhosin patch, но как его обойти тоже пока что не придумал
Нашел тему, где описывали Atlas - m4ll0k/Atlas , но в его базе тоже не было данной WAF , и в итоге говорит что ее нет вовсе )))

Любой помощи буду признателен !!!

 

[Vertigo]

Вы затирали домен,а в одном месте на скрине его засветили.Аккуратнее надо бы )
Кто знает,что у Вас на уме )) .Поэтому,прямые советы давать стрёмно,извините)
Вам ясно sqlmap даёт знать,что это уязвимость boolean-based-blind
Именно на эксплуатацию такой уязвимости надо искать ролики на ютубе с примерами-их достаточно.
И вооружайтесь Burp Suite-пригодится очень в раскрутке.

 

[msksmail]

Спасибо. как обычно тупанул на ровном месте из-за нелепой ситуации и нет мне оправдания, однако это исключительно познавательный характер не более - опыт только в практике ! спасибо за совет в любом случае, burp'ом ковыряю но пока что безуспешно (

 

[flurkend]

Я, конечно, не советчик, но предложу поработать через jSQL. Удобно - это как минимум.

 

[Song Zaxarov]

приветствую. подскажите как это решить Screenshot

 

[but43r]

приветствую. подскажите как это решить Screenshot

Команду SQLmap можно увидеть?

 

[Song Zaxarov]

Команду SQLmap можно увидеть?

sqlmap -u "http://" --random-agent --level=5 --risk=3 --no-cast --tamper tamper/between.py --drop-set-cookie

опять такая же проблема,как ее обойти? Screenshot

 

[f22]

приветствую. подскажите как это решить

А что конкретно решить?
На скрине 2 ошибки: 424 - заблокировано правилами безопасности и 404 - не найдено.
Очевидно, что sql-инъекции там нет...

sqlmap -u "http://"

После слешей что-то есть? Или прямо так запускаешь?

 

[Song Zaxarov]

А что конкретно решить?
На скрине 2 ошибки: 424 - заблокировано правилами безопасности и 404 - не найдено.
Очевидно, что sql-инъекции там нет...


После слешей что-то есть? Или прямо так запускаешь?

как нету sql он базу данных не может открыть Screenshot

 

[f22]

как нету sql

sql-инъекция и sql сервер - не одно то же.

 

[Song Zaxarov]

всем привет, не находит таблицы как можно это решить Screenshot

 

[Сергей Попов]

Screenshot

Как разместить изображения и файлы в сообщении

На форуме приняты следующие ограничения при загрузке файлов: допустимые типы zip, txt, pdf, png, jpg, jpeg, jpe, gif, rar, doc, docx, xls, xlsx, djvu, skp, 7z максимальный размер каждого файла — 2048 Кб ограничения по размеру в пикселях (для изображенийй) 1024х1024 максимальное количество...

yg140.servegame.com