4 Antworten in diesem Thema

[Mrmanny1520]

Hallo Leute,

Ich bin momentan dabei(Anfänger) mir wissen in der Materie "SQLi" anzueignen.

Bin gerade auch dabei fleißig Ebooks zulesen.
Zurzeit verusche ich mich manuel und per SQLmap.
Habe letztens mit BurpSuite eine Webseite gescannt und es wurde mir gesagt das eine SQL Injection möglich wäre (Siehe Bilder).

 

Please Login HERE or Register HERE to see this link!

 

Please Login HERE or Register HERE to see this link!

 

Allerdings geht es bei mir nicht, bzw er spuckt bei SQLmap immer einen Error aus, darum frage ich könnte mir einer helfen?
Oder die Seite Injecten und mir sagen was ich falsch gemacht habe?
Ich habe die meisten Sachen erstmal Zensiert, da ich nicht weiß in wie fern ich das Posten darf.

 

Mfg Aishikata

[Payload]

Löblich das du versuchst manuelle SQLi's zu lernen.

Ich persönlich finde die meisten aktuellen Ebooks schrottig was SQL Injections betrifft.
Wenn du Zeit und Lust hast, les dir mal das Pack von Ziegenpeter durch.
https://www.toolbase...by-ziegenpeter/
Meiner Meinung nach das ultimative Pack was SQLi betrifft.

Da hier im Board auch viele Sicherheitslücken gepostet werden kannst du ruhig deine Links zeigen.

Was spuckt Sqlmap denn für einen Error aus?

[Mrmanny1520]

Danke dir erstmal für die ausführliche antwort
Werde mir das mal alles anschauen.

 

zu Sqlmap, die ersten tage wo ich das versucht habe, spuckte er mir einen HTTP Request ERROR aus, Habe verschiedene AGents etc. versucht und auch andere Ips.
Und mitlerweile spuckt er mir ein 403 Forbidden raus, Könnte die lücke geschlossen sein?

 

Lg Aishikata

[Payload]

Habe verschiedene AGents etc. versucht und auch andere Ips.

 

--random-agent

ist der Useragentparameter den ich immer nutze.

 

Und mitlerweile spuckt er mir ein 403 Forbidden raus, Könnte die lücke geschlossen sein?

Ich tippe mal das da ein WAF (WebApplicationFirewall) am Werk sein wird welche deine Requests blockt.
Da solltest du mal mit
 

-v 3

oder einer höheren Zahl arbeiten um dir genau anzuschauen was Sqlmap eigentlich macht und was sonst so passiert.
Ebenfalls kann ich dir ans Herz legen die Tamperfunktion von Sqlmap anzuschauen.

Please Login HERE or Register HERE to see this link!

Du kannst dir zum üben auch diverse HackMe's reinziehen:

Please Login HERE or Register HERE to see this link!

Bloß nicht aufgeben, dann wird das was!
 

[Mrmanny1520]

Danke dir erstmal für die ausführliche antwort .

 

Werde am Wochende wenn ich ein wenig Zeit habe mich drum kümmern.