Zum Inhalt wechseln

Als Gast hast du nur eingeschränkten Zugriff!


Anmelden 

Benutzerkonto erstellen

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Foto

[Hilfe] time-based blind injektion

- - - - -

  • Bitte melde dich an um zu Antworten
10 Antworten in diesem Thema

#1
G0stF4CE

G0stF4CE

    Noob

  • Members
  • PIPPIP
  • Likes
    0
  • 10 Beiträge
  • 0 Bedankt

..............


Bearbeitet von G0stF4CE, 20 March 2015 - 04:23 Uhr.


#2
easysurfer

easysurfer

    Script Kiddie

  • Premium Member
  • Likes
    62
  • 41 Beiträge
  • 58 Bedankt
  • verifiziert

Time-Based SQLi sind immer so eine Sache. Wenn der Server mal langsamer/schneller antwortet, kommen falsche Ergebnisse raus. Eigentlich verifiziert sqlmap den gerade eben gefunden Character nochmal, aber in diversen Situationen kann es vorkommen dass auch dieser Check ein false positive ist.

Helfen kann die Erhöhung der Response (Sleep) Time:  --time-sec= . 10 Sek ist eignetlich ein guter Wert.

Wichtig ist auch, dass Du nebenher nichts großartig mit deiner Internetleitung machst (Upload/Download, viele Requests senden etc).

 

Grüße

 

EDIT: Um auf deine eigentliche Frage zu kommen: denke das ist die selbe db. Einfach mal den output-Ordner von sqlmap löschen und den command nochmal ausführen. Dann greift er nicht auf das gecachte Ergebnis zurück.

EDIT2 : Sehe grade, dass die Site auch ne normale blind hat. Sqlmap nutzt dann diese, da eine normale blind einfach schneller ist. Sonst starte mal per sqlmap ne sql-shell (--sql-shell) und query den count der DBs: SELECT count(schema_name) from information_schema.schemata .


  • Cube gefällt das

Thanked by 1 Member:
G0stF4CE

#3
G0stF4CE

G0stF4CE

    Noob

  • Members
  • PIPPIP
  • Likes
    0
  • 10 Beiträge
  • 0 Bedankt

@easysurfer danke für deine Antwort, du hattest recht, es ist die selbe DB noch einmal rausgekommen!

 

Ich werde bestimmt noch weitere fragen zu der Vuln haben deshaslb bitte Thread offen lassen. Danke

 

Zwar konnte ich das mit der sql-shell nicht anwenden weil ich das nicht ganz verstanden habe aber mein ziel habe ich erreicht.


Bearbeitet von G0stF4CE, 19 March 2015 - 14:52 Uhr.


#4
G0stF4CE

G0stF4CE

    Noob

  • Members
  • PIPPIP
  • Likes
    0
  • 10 Beiträge
  • 0 Bedankt

........


Bearbeitet von G0stF4CE, 20 March 2015 - 04:23 Uhr.


#5
FalkE

FalkE

    1337

  • Banned
  • PIPPIPPIPPIPPIPPIPPIPPIPPIP
  • Likes
    4
  • 349 Beiträge
  • 79 Bedankt
  • Android [root]
  • Linux

es besteht eigentlich absolut keine motivation dir irgendetwas zu erklären. du rennst hier mit automatisierten scripts und nem wissen bzw grundwissen von NULL die tür ins haus. vorallem fragestellungen wie "schnell access, schnell tables" deuten nur darauf hin das du mit der vermutlich erscannten lücke ne schnelle mark auf diversen onlinemarktplätzen verdienen möchtest.

 

dazu nen nickname in leetspeak:

scriptkiddy incoming.



#6
Cube

Cube

    Würfel

  • Banned
  • PIPPIPPIPPIPPIPPIPPIPPIPPIPPIP
  • Likes
    7
  • 819 Beiträge
  • 1062 Bedankt
  • Android, Android [root]
  • Windows, Linux

es besteht eigentlich absolut keine motivation dir irgendetwas zu erklären. du rennst hier mit automatisierten scripts und nem wissen bzw grundwissen von NULL die tür ins haus. vorallem fragestellungen wie "schnell access, schnell tables" deuten nur darauf hin das du mit der vermutlich erscannten lücke ne schnelle mark auf diversen onlinemarktplätzen verdienen möchtest.

 

dazu nen nickname in leetspeak:

scriptkiddy incoming.

 

Deine eigene Meinung bezüglich seines Threads hättest du dir auch gleich sparen können.

Wenn du ihm nicht aufgrund seiner deiner Meinung nach 0 8 15 "1337 Skriptkiddies Skills" helfen willst, musst du das ja auch nicht.

Dein Beitrag ist aber in der Form mehr als unnötig.

Also sei so gut und spar dir deine persönliche Meinung, wenn du dabei auch nichts zum Thema selbst beitragen willst.

 

So und nun B2T.


Bearbeitet von Cube, 19 March 2015 - 19:18 Uhr.

Jabber: cube@exploit.im

Only with OTR!

 

HQ Password-Recovery-Tool (Browser, Mail uvm.): TripleCCC


#7
G0stF4CE

G0stF4CE

    Noob

  • Members
  • PIPPIP
  • Likes
    0
  • 10 Beiträge
  • 0 Bedankt

Du kannst mich bezeichnen wie du willst juckt mich nicht.

Ich habe kein Interesse mit den Sätzen der Kunden irgendwas anzustellen, ich möchte lediglich zugang zu der Seite haben.

 

So lerne ich dazu, ich bin mir sicher, dass du deine skills nicht geerbt hast.

 

Grüsse



#8
FalkE

FalkE

    1337

  • Banned
  • PIPPIPPIPPIPPIPPIPPIPPIPPIP
  • Likes
    4
  • 349 Beiträge
  • 79 Bedankt
  • Android [root]
  • Linux

Du kannst mich bezeichnen wie du willst juckt mich nicht.

Ich habe kein Interesse mit den Sätzen der Kunden irgendwas anzustellen, ich möchte lediglich zugang zu der Seite haben.

 

So lerne ich dazu, ich bin mir sicher, dass du deine skills nicht geerbt hast.

 

Grüsse

das ausführen von python scripts wird dir wohl kaum erfahrung einbringen.

es kommt immer darauf an wie du die sachen angehst. in diesem fall völlig falsch und uneinsichtig.

 

den zugang zur seite aber keine daten, mal abseits davon das sqlmap die ganze arbeit erledigt und du nur dein os zur verfügung stellst, ergibt diese aussage wenig sinn.

dir geht es hier nur um die daten bzw den zugang zur seite, das hast du schön klar gemacht:

 

 

ich möchte lediglich zugang zu der Seite haben.

du erwartest hier hilfestellung um deine eigenen interessen durchzuprügeln und gliederst dich damit perfekt ins schema ein.

würdest du deine beiträge ordentlich formulieren, gäbs auch weniger freiraum für interpretation.



#9
G0stF4CE

G0stF4CE

    Noob

  • Members
  • PIPPIP
  • Likes
    0
  • 10 Beiträge
  • 0 Bedankt

Wenn du mir nicht helfen willst dann lass es doch einfach sein?

Was du von mir denkst juckt mich nicht.

Ich hoffe du hast was besseres zu tun als diesen unsinn von dir zu geben.



#10
FalkE

FalkE

    1337

  • Banned
  • PIPPIPPIPPIPPIPPIPPIPPIPPIP
  • Likes
    4
  • 349 Beiträge
  • 79 Bedankt
  • Android [root]
  • Linux

und schwupps bist du unter meinem kommunikationsniveau 9|-|0$7ph4(3.

ich hoffe du reflektierst mal dein verhalten. derweil entziehe ich mich der kommunikation

 

 

bye ~



#11
Cranky

Cranky

    Hacker

  • Banned
  • PIPPIPPIPPIPPIPPIPPIPPIP
  • Likes
    67
  • 197 Beiträge
  • 18 Bedankt
  • 655869548
  • Android
  • Linux

Wenn du mir nicht helfen willst dann lass es doch einfach sein?

Was du von mir denkst juckt mich nicht.

Ich hoffe du hast was besseres zu tun als diesen unsinn von dir zu geben.

 

Falke hat aber absolut recht. Lern mal wie SQL Injections funktionieren bevor du hier rumeierst und tools nutzt.

 

Du solltest auch verstehen was hier getan wird damit dieser Sleep und damit das Kalkulieren der Daten entsteht.

 

Wenn du permanent die gleichen values rausbekommst, dann anscheinend weil dein "Tool" einen Content-Encoding Fehler nicht richtig interpretieren kann, schlichtweg falsch läuft, dein server einen zu hohen ping und damit eine zu instabile verbindung hat, was auch immer.

 

Auch wenn Falke das besser hätte formulieren können, sag ich es dir hier nochmal:

Lern was bevor du die Tools nutzt um automatisiert queries an einen fremden Datenbankserver zu senden.


  • FalkE gefällt das

Ich "hacke" keine whatsapp oder facebook accounts aber schreibt mich ruhig an was das betrifft dann hab ich was zu lachen. :D

 

 




  Thema Forum Themenstarter Statistik Letzter Beitrag

Besucher die dieses Thema lesen:

Mitglieder: , Gäste: , unsichtbare Mitglieder:


This topic has been visited by 38 user(s)


    , adramax, B1nary, Bot4ng, Bypass, caspR, Ch!ller, Cranky, Cube, CyberFlash, DarkICE, dev-0, Diabl0, easysurfer, FalkE, fluffybunny, Framerater, G0stF4CE, ghost12, holz96, keyb0ardz, Lopus, most_uniQue, mrv, notfound, Nova, Osed28, pdr0, PHIPU, pornoralle, R3s1stanc3, SandeL, smc2014, Snapfish, Unkiii, Xenio, zepsus, Zero-X
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.