2016-07-08 3 views
0

Ich mache einige Pentests gegen eine meiner Websites, die derzeit gebaut wird (ein Schulprojekt)bash: --dbs Befehl nicht gefunden & andere

Und ich versuche sicherzustellen, dass es Sicherheit ist es am besten ist.

(Ja, das tue ich die richtigen Parameter haben und die Seite ist anfällig für SQLi Injections.

Es ist weiterhin zu scannen ist, aber es wird dann fragen Sie den [y/n] und I [y] wählen und einfach nicht mehr und nicht scannen. ich habe versucht, einen neuen Klon von sqlmap tun, und das hat nicht funktioniert.

Alles, was würde geschätzt helfen kann.

[email protected]:~# sqlmap -u http://myschoolproject.com/ --dbs 
[1] 1372 
bash: --dbs: command not found 

(It will scan until asked a [y/n]) 



it looks like the back-end DBMS is 'MySQL'. Do you want to skip test payloads specific for other DBMSes? [Y/n] y 

[1]+ Stopped sqlmap -u http://myschoolproject.com/ 
+2

Was die tatsächliche URL (Sie den Host durch 'example.com' ersetzen können)? Enthält es ein '&' irgendwo? – melpomene

+0

Ja, tut mir leid. Ich habe vergessen, es bei der Bearbeitung des Codes und beim Ersetzen meiner Site durch einen zufälligen zu berücksichtigen. Es ist (index.php? Katze = 4) – xor

Antwort

0

das klingt wie Sie haben ein & dort.In bash, foo & bar läuft der Befehl foo im Hintergrund und bar im Vordergrund.

Also, wenn Ihr URL sieht tatsächlich wie http://myschoolproject.com/index.php?cat=4&attr=95,76, wird dieser Befehl als

interpretiert
sqlmap -u http://myschoolproject.com/index.php?cat=4 & 
attr=95,76 --dbs 

Der erste Befehl läuft sqlmap im Hintergrund (mit einer verkürzten URL); Dies erklärt den [1] 1372 Teil (das ist, was Bash dann einen Hintergrundprozess startet). Der zweite Befehl läuft --dbs im Vordergrund (mit attr in der Umgebung auf 95,76 gesetzt); Dies erklärt den bash: --dbs: command not found Fehler.

In jedem Fall ist die Lösung, die die URL in einfachen Anführungszeichen zu zitieren:

sqlmap -u 'http://myschoolproject.com/index.php?cat=4&attr=95,76' --dbs 
+0

Edit: Das hat perfekt funktioniert. Danke, Melpomene! – xor