web-dev-qa-db-ja.com

SQLMAP:データをダンプできません

私はクライアントのブラックボックスWebアプリケーションペンテストプロジェクトに取り組んでおり、テスト中にエラーベースのSQLインジェクションが見つかりました。 SQLMAPを使用してそれを悪用し続け、データベース名、テーブル名、列名を取得しましたが、列のいずれかをダンプしようとすると、

"unable to retrieve 'column_name' in table 'table_name' from the database 'database_name'"

他のカラムで試したところ、同じエラーが発生してシャットダウンしました。私は何か間違ったことをしていますか?または、IPSクライアント側でダンプがブロックされていますか?

1
paU1i

要求と応答を知らずに結論を出すのは困難です。ただし、IPSがアクセスをブロックする可能性は低くなります。ほとんどのIPSは、リクエストのUser-Agentを確認するだけでSQLMapをすぐにブロックします。

デバッグから、 インターセプトプロキシを介してSQLMapを実行 して、サーバーからの応答を観察します。

sqlmap --proxy=http://localhost:8080 [THE REST OF YOUR PARAMETERS]

次に、リクエストを手動で変更し、インターセプトプロキシを使用してサーバーに送信します。これにより、問題がどこにあるかを見つけやすくなります。

1
Dr. mattle