Skills Assessment
Last updated
Last updated
Qual é o conteúdo da tabela final_flag?
Primeiro, navegue no site para encontrar possíveis vetores de ataque.
Após salvar a requisição em um arquivo, em seguida, tente usar várias técnicas de desvio de segurança que você aprendeu para fazer a injeção de SQL funcionar.
-r req.txt: Especifica que o(s) pedido(s) a serem analisados estão contidos no arquivo req.txt. O sqlmap lerá esses pedidos e realizará sua análise.
-p 'id': Especifica o parâmetro vulnerável a injeção SQL, que neste caso é id. O sqlmap testará este parâmetro em busca de vulnerabilidades de injeção SQL.
--batch: Ativa o modo de lote, o que significa que o sqlmap escolherá automaticamente as opções padrão e não solicitará entrada do usuário.
--tamper=between: Especifica o script de manipulação (tamper script) a ser usado (between). Os scripts de manipulação modificam os payloads de injeção SQL para evitar detecção e melhorar a eficácia.
-T final_flag: Especifica o nome da tabela (final_flag) a ser alvo durante a fase de exploração.
-D production: Especifica o nome do banco de dados (production) a ser alvo.
--dump: Faz o dump (exportação) do conteúdo da(s) tabela(s) do banco de dados uma vez que a injeção SQL é explorada com sucesso.
--dbms=MySQL: Especifica o tipo de Sistema de Gerenciamento de Banco de Dados (SGBD) sendo usado (MySQL neste caso). O sqlmap utilizará técnicas específicas para MySQL durante a análise.
--technique=T: Especifica a técnica de injeção SQL (T para injeção SQL cega baseada em tempo) a ser utilizada durante a fase de exploração.
