4 Antworten in diesem Thema

[len0]

Hallo TB.
Ich habe gerade probleme mit einer MSSQL SQLi.
Laut SQLmap soll es ein Microsoft SQL Server sein.
Kann aber weder die DB/Tables/Columns, geschweige Users oder aehnliches auslesen.
Shellen genau so wenig.
Gibt es vielleicht eine andere moeglichkeit?
Lg.













--
Parameter: Referer (Referer)
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause (IN)
    Payload: 

    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase AND time-based blind (heavy query)
    Payload: 
---
[05:02:21] [INFO] testing Microsoft SQL Server
[05:02:21] [WARNING] the back-end DBMS is not Microsoft SQL Server
[05:02:21] [INFO] testing MySQL
[05:02:21] [WARNING] the back-end DBMS is not MySQL
[05:02:21] [INFO] testing Oracle
[05:02:21] [WARNING] the back-end DBMS is not Oracle
[05:02:21] [INFO] testing PostgreSQL
[05:02:22] [WARNING] the back-end DBMS is not PostgreSQL
[05:02:22] [INFO] testing SQLite
[05:02:22] [WARNING] the back-end DBMS is not SQLite
[05:02:22] [INFO] testing Microsoft Access
[05:02:22] [WARNING] the back-end DBMS is not Microsoft Access
[05:02:22] [INFO] testing Firebird
[05:02:22] [WARNING] the back-end DBMS is not Firebird
[05:02:22] [INFO] testing SAP MaxDB
[05:02:22] [WARNING] the back-end DBMS is not SAP MaxDB
[05:02:22] [INFO] testing Sybase
[05:02:22] [WARNING] the back-end DBMS is not Sybase
[05:02:22] [INFO] testing IBM DB2
[05:02:22] [WARNING] the back-end DBMS is not IBM DB2
[05:02:22] [INFO] testing HSQLDB
[05:02:22] [WARNING] the back-end DBMS is not HSQLDB or version is < 1.7.2
[05:02:22] [CRITICAL] sqlmap was not able to fingerprint the back-end database management system. Support for this DBMS
will be implemented at some point
[05:02:22] [WARNING] HTTP error codes detected during run:
500 (Internal Server Error) - 13 times

[*] shutting down at 05:02:22


C:\Users\root\Desktop\sqlmap>

Bearbeitet von len0, 05 July 2015 - 19:10 Uhr.

[Cranky]

Er kann nicht fingerprinten was für ein DBMS es ist, weshalb auch nicht die richtigen Payloads verwendet werden. Wenn du mir die SQLi zuschickst, seh ich sie mir an.

 

- PS: Sieht aus als hätte Acunetix da in den referrer header einfach einen sleep reingeworfen weshalb das auch so endet.

[len0]

Er kann nicht fingerprinten was für ein DBMS es ist, weshalb auch nicht die richtigen Payloads verwendet werden. Wenn du mir die SQLi zuschickst, seh ich sie mir an.

 

- PS: Sieht aus als hätte Acunetix da in den referrer header einfach einen sleep reingeworfen weshalb das auch so endet.

Ich nutze kein Acunetix, sorry.

[Cranky]

Ich nutze kein Acunetix, sorry.

 

Deswegen sagte ich auch es sieht so aus.

 

Aber whatever, ohne Injection Point wird dir hier keiner helfen können, was erwartest du auch? SQLi ist Situationsabhängig und nichts was standartisiert überall klappt.

[len0]

Schoen und gut aber ihr vertickt alle Vulns.

Von daher werde ich kaum die luecke preisgeben.

Dennoch danke.

Kann hier closed werden...