0

現在構築中の自分の Web サイトの 1 つ (学校のプロジェクト) に対してペンテストを行っています。

そして、私はそれが最高のセキュリティであることを確認しようとしています.

(はい、正しいパラメーターを持っていますが、サイトは SQLi インジェクションに対して脆弱です。

スキャンは続行しますが、[y/n] を尋ねます。[y] を選択すると、停止してスキャンしません。sqlmap の新しいクローンを作成しようとしましたが、うまくいきませんでした。

役立つものは何でもいただければ幸いです。

root@kali:~# sqlmap -u http://myschoolproject.com/ --dbs
[1] 1372
bash: --dbs: command not found

(It will scan until asked a [y/n])



it looks like the back-end DBMS is 'MySQL'. Do you want to skip test payloads specific for other DBMSes? [Y/n] y

[1]+  Stopped sqlmap -u http://myschoolproject.com/
4

1 に答える 1

2

それはあなたがそこにいるように聞こえます&。bash では、バックグラウンドとフォアグラウンドでfoo & barコマンドを実行します。foobar

したがって、URL が実際に のように見える場合http://myschoolproject.com/index.php?cat=4&attr=95,76、そのコマンドは次のように解釈されます。

sqlmap -u http://myschoolproject.com/index.php?cat=4 &
attr=95,76 --dbs

最初のコマンドsqlmapはバックグラウンドで実行されます (切り捨てられた URL を使用)。これはその部分を説明しています[1] 1372(それがbashが示し、バックグラウンドプロセスを開始することです)。2 番目のコマンドは--dbs、フォアグラウンドで実行されます (環境でにattr設定さ95,76れています)。これはエラーを説明していbash: --dbs: command not foundます。

いずれにせよ、解決策は URL を一重引用符で囲むことです。

sqlmap -u 'http://myschoolproject.com/index.php?cat=4&attr=95,76' --dbs
于 2016-07-08T17:08:50.670 に答える