私はクライアントのブラックボックスWebアプリケーションペンテストプロジェクトに取り組んでおり、テスト中にエラーベースのSQLインジェクションが見つかりました。 SQLMAPを使用してそれを悪用し続け、データベース名、テーブル名、列名を取得しましたが、列のいずれかをダンプしようとすると、
"unable to retrieve 'column_name' in table 'table_name' from the database 'database_name'"
他のカラムで試したところ、同じエラーが発生してシャットダウンしました。私は何か間違ったことをしていますか?または、IPSクライアント側でダンプがブロックされていますか?
要求と応答を知らずに結論を出すのは困難です。ただし、IPSがアクセスをブロックする可能性は低くなります。ほとんどのIPSは、リクエストのUser-Agentを確認するだけでSQLMapをすぐにブロックします。
デバッグから、 インターセプトプロキシを介してSQLMapを実行 して、サーバーからの応答を観察します。
sqlmap --proxy=http://localhost:8080 [THE REST OF YOUR PARAMETERS]
次に、リクエストを手動で変更し、インターセプトプロキシを使用してサーバーに送信します。これにより、問題がどこにあるかを見つけやすくなります。