SQLMap - Capítulo 4: LEVELS

en Hacking

Tiempo de lectura 1 minuto

Por defecto SQLMAP solo prueba los parámetros por defecto o los que especificamos con la opción -p. Sin embargo, SQLMAP puede probar más parámetros que no aparecen en el query string (GET) o en los parámetros POST. Aquí es donde entra a jugar –level.

Esta opción requiere de un valor de 1 a 5. Si no especificamos ningún valor del parámetro –level, por defecto SQLMAP solo checkeará solo los parámetros que GET y POST. Si es mayor o igual que 2, checkeará Cookies, mayor o igual a 3: User-Agent y Referer; y con el valor 5 checkeará también el parámetro Host.

Ejemplo:

sqlmap -u "http://victima.con/busqueda.php?param=FUZZ" --level 3

Si ejecutamos sqlmap como se muestra en el ejemplo, se checkerán el parámetro “param”, las Cookies, el User-Agent y el Referer.

Esto nos va a servir para realizar escaneos más profundos en el sitio web de nuestra víctima, aunque rara vez se requiere. En tal caso las opciones más interesantes a checkeará son el Referer y el Host.

Capítulos

  1. Introducción
  2. Parámetros por Get
  3. Parámetros por Post
  4. Level
  5. Dump
  6. Shell
  7. Extra

Hasta la próxima y happy hacking.

© 2018. All rights reserved.

Powered by Hydejack v8.2.0