..............
Bearbeitet von G0stF4CE, 20 March 2015 - 04:23 Uhr.
Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.
Time-Based SQLi sind immer so eine Sache. Wenn der Server mal langsamer/schneller antwortet, kommen falsche Ergebnisse raus. Eigentlich verifiziert sqlmap den gerade eben gefunden Character nochmal, aber in diversen Situationen kann es vorkommen dass auch dieser Check ein false positive ist.
Helfen kann die Erhöhung der Response (Sleep) Time: --time-sec= . 10 Sek ist eignetlich ein guter Wert.
Wichtig ist auch, dass Du nebenher nichts großartig mit deiner Internetleitung machst (Upload/Download, viele Requests senden etc).
Grüße
EDIT: Um auf deine eigentliche Frage zu kommen: denke das ist die selbe db. Einfach mal den output-Ordner von sqlmap löschen und den command nochmal ausführen. Dann greift er nicht auf das gecachte Ergebnis zurück.
EDIT2 : Sehe grade, dass die Site auch ne normale blind hat. Sqlmap nutzt dann diese, da eine normale blind einfach schneller ist. Sonst starte mal per sqlmap ne sql-shell (--sql-shell) und query den count der DBs: SELECT count(schema_name) from information_schema.schemata .
Thanked by 1 Member:
|
|
@easysurfer danke für deine Antwort, du hattest recht, es ist die selbe DB noch einmal rausgekommen!
Ich werde bestimmt noch weitere fragen zu der Vuln haben deshaslb bitte Thread offen lassen. Danke
Zwar konnte ich das mit der sql-shell nicht anwenden weil ich das nicht ganz verstanden habe aber mein ziel habe ich erreicht.
Bearbeitet von G0stF4CE, 19 March 2015 - 14:52 Uhr.
es besteht eigentlich absolut keine motivation dir irgendetwas zu erklären. du rennst hier mit automatisierten scripts und nem wissen bzw grundwissen von NULL die tür ins haus. vorallem fragestellungen wie "schnell access, schnell tables" deuten nur darauf hin das du mit der vermutlich erscannten lücke ne schnelle mark auf diversen onlinemarktplätzen verdienen möchtest.
dazu nen nickname in leetspeak:
scriptkiddy incoming.
es besteht eigentlich absolut keine motivation dir irgendetwas zu erklären. du rennst hier mit automatisierten scripts und nem wissen bzw grundwissen von NULL die tür ins haus. vorallem fragestellungen wie "schnell access, schnell tables" deuten nur darauf hin das du mit der vermutlich erscannten lücke ne schnelle mark auf diversen onlinemarktplätzen verdienen möchtest.
dazu nen nickname in leetspeak:
scriptkiddy incoming.
Deine eigene Meinung bezüglich seines Threads hättest du dir auch gleich sparen können.
Wenn du ihm nicht aufgrund seiner deiner Meinung nach 0 8 15 "1337 Skriptkiddies Skills" helfen willst, musst du das ja auch nicht.
Dein Beitrag ist aber in der Form mehr als unnötig.
Also sei so gut und spar dir deine persönliche Meinung, wenn du dabei auch nichts zum Thema selbst beitragen willst.
So und nun B2T.
Bearbeitet von Cube, 19 March 2015 - 19:18 Uhr.
Du kannst mich bezeichnen wie du willst juckt mich nicht.
Ich habe kein Interesse mit den Sätzen der Kunden irgendwas anzustellen, ich möchte lediglich zugang zu der Seite haben.
So lerne ich dazu, ich bin mir sicher, dass du deine skills nicht geerbt hast.
Grüsse
das ausführen von python scripts wird dir wohl kaum erfahrung einbringen.
es kommt immer darauf an wie du die sachen angehst. in diesem fall völlig falsch und uneinsichtig.
den zugang zur seite aber keine daten, mal abseits davon das sqlmap die ganze arbeit erledigt und du nur dein os zur verfügung stellst, ergibt diese aussage wenig sinn.
dir geht es hier nur um die daten bzw den zugang zur seite, das hast du schön klar gemacht:
ich möchte lediglich zugang zu der Seite haben.
du erwartest hier hilfestellung um deine eigenen interessen durchzuprügeln und gliederst dich damit perfekt ins schema ein.
würdest du deine beiträge ordentlich formulieren, gäbs auch weniger freiraum für interpretation.
Wenn du mir nicht helfen willst dann lass es doch einfach sein?
Was du von mir denkst juckt mich nicht.
Ich hoffe du hast was besseres zu tun als diesen unsinn von dir zu geben.
Falke hat aber absolut recht. Lern mal wie SQL Injections funktionieren bevor du hier rumeierst und tools nutzt.
Du solltest auch verstehen was hier getan wird damit dieser Sleep und damit das Kalkulieren der Daten entsteht.
Wenn du permanent die gleichen values rausbekommst, dann anscheinend weil dein "Tool" einen Content-Encoding Fehler nicht richtig interpretieren kann, schlichtweg falsch läuft, dein server einen zu hohen ping und damit eine zu instabile verbindung hat, was auch immer.
Auch wenn Falke das besser hätte formulieren können, sag ich es dir hier nochmal:
Lern was bevor du die Tools nutzt um automatisiert queries an einen fremden Datenbankserver zu senden.
Ich "hacke" keine whatsapp oder facebook accounts aber schreibt mich ruhig an was das betrifft dann hab ich was zu lachen.
Thema | Forum | Themenstarter | Statistik | Letzter Beitrag | |
---|---|---|---|---|---|
Benötige Hilfe bei RAT + FUD Cryptermalware, rat, virus, crypter und 2 weitere... |
Rats | Tom38 |
|
|
|
Hilfe beim crypten mit Cassandra crypter |
Hilfe / Fragen / Unterstützung | knightos |
|
|
|
[S] Hilfe bei der Einrichtung vom Sauron Locker |
Hilfe / Fragen / Unterstützung | knightos |
|
|
Mitglieder: , Gäste: , unsichtbare Mitglieder: