ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Очень актуальная тема для меня сейчас.

Прошу помочь определится, в чем разница кроме интерфейса между sqlmap и sqli dumper?

vikler Member


тебе поможет --help и изучи возможности

https://github.com/sqlmapproject/sql.../master/tamper в частности помогает вот этот скрипт частенько space2mssqlblank.py



Code Hunter New Member


sqlmap это швейцарский нож, думаю больше ничего аргументировать и не надо

Я использовала сто раз tamper scripts, но тут же оракл, а они для mysql/mssql

Как через sqlmap обойти можно cloudflare?

First of all, you need to make sure the target site is protected by Cloudflare, you can add "--identify-waf" or "--check-waf" to confirm. However, do not set "--thread=" larger than 1 as the target will give you "403 Forbidden" error. Once you get the "403 error", your IP address is banned. Therefore, you are required to consider to use proxy servers or TOR to access the target.

Secondary, you need to add "--tamper='between,randomcase,space2comment'" and "-v 3", if the target is confirmed being protected by Cloudflare. You may also consider to add "--random-agent" and "--tor" when necessary.

Прежде всего, вы должны убедиться, что целевой сайт защищен Cloudflare, вы можете добавить "--identify-WAF" или "--check-WAF" для подтверждения. Не используй "--thread =" больше, 1 потока тк это даст вам "403 Forbidden" сообщение об ошибке. Как только вы получите "ошибку" 403, Ваш IP будет запрещен. Таким образом, вы должны рассмотреть возможность использования прокси-серверов или TOR для доступа к цели.

Второе что, вам нужно добавить "--tamper = 'between,randomcase,space2comment'" и "-v 3", в принципе этого будет достаточно чтобы cloudflare отьебался. Вы также можете рассмотреть вариант с добавлением "--random-агент" и "--tor", когда это необходимо.

Есть еще вопрос, как допустим сдампить правильно сдампить таблицу с определенного столбца, допустим в бд 10000юзеров, мне нужно с 5000 начать дампить, как это сделать?

и еще, как сдампить конкретно админов по группам.

--where="условие" типа userid>5000, только с реальным именем колонки

--start=5000

--sql-shell далее пишем запрос как при обычной выборке SELECT mail,pass,etc FROM base.table WHERE условие критерия админа

Админы прикрепите пожалуйста официальное руководство в тему вверху,то одни и те же вопросы.

https://github.com/sqlmapproject/sqlmap/wiki/Usage

sql-qure="запрос"