SQLMAP niveau AVANCÉ

Подписаться 140 тыс.

Просмотров 17 тыс.

50% 1

📌SQLMAP cheat sheets : cybr.com/ethic...
📌Les bases de SQLMAP : tryhackme.com/...
Soutenir la chaine
------------------------------------------------------------------------------------------------------------
☕Buy me a coffee : www.buymeacoff...
Liens d'affiliation
------------------------------------------------------------------------------------------------------------
🖥️Buy a Geekom : bit.ly/geekomxy
🛡️INE : ine.grsm.io/wa...
🐱‍💻 HackTheBox : bit.ly/htb_ctf
🎓HTB Academy : bit.ly/htb_aca...
🚩TryHackMe : bit.ly/thm_xy
Suivez-moi sur mes réseaux
------------------------------------------------------------------------------------------------------------
► Facebook : / wakedxy
► Instagram : / wakedxy
► Twitter : / wakedxy1
► Discord : / discord
► Github: github.com/wak...

Опубликовано:

27 сен 2024

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист

Посмотреть позже

Комментарии : 71

@wakedxy 10 месяцев назад

Quel autre outil aimerez-vous découvrir ?

@mhdevfr 10 месяцев назад

Coucou je te suis depuis longtemps et je pense qu'il serait temps de faire une vidéo sur powershell car c'est super important dans le domaine si je ne m'abuse ;D (d'ailleurs si tu cherches des stagiaires stpppp)

@MrMarkham89 10 месяцев назад

Metasploit, CrackMapExec

@businessmakeur1633 10 месяцев назад

Faire un video pour CMD pour débutant

@AssaneNiang-c9i 10 месяцев назад

Oui pour le cmd slt

@bleachigo783 10 месяцев назад

Powershell ou CMD 😁

@koneabdoulaye2842 10 месяцев назад

Merci je comprends beaucoup de pratiques à travers vos méthodes

@wakedxy 10 месяцев назад

Je t'en prie ^^

@IssiagaKaltamba 23 дня назад

c'est vraiment génial propre et clair

@wakedxy 23 дня назад

@@IssiagaKaltamba merci 😊

@toulousebeultrente 9 месяцев назад

tu est le meilleur youtubeur de hacking francais force a toi

@sergetonton9609 10 месяцев назад

waouuh je vois deja sqlmap sur un autre angle apres cette video merci a toi

@wakedxy 10 месяцев назад

heureux de l'entendre

@AssaneNiang-c9i 10 месяцев назад

Merci pour tous les vidéos

@wakedxy 10 месяцев назад

de rien 😉

@nokiix_5085 10 месяцев назад

super vidéo comme d'habitude

@wakedxy 10 месяцев назад

Merci!

@mannghost836 10 месяцев назад

❤

@sertilink 10 месяцев назад

merci beaucoup frère

@ZydreXGD 10 месяцев назад

Le lien Discord n'est plus valide, il faudrait penser à faire des liens qui sont infinment valides pour les prochaines vidéos, sinon super vidéo comme d'habitude

@laLegion-l6x 9 месяцев назад

merci bcp la video etait assez clair

@nestonkaplid6531 3 месяца назад

Puis je modifier le nom d'une ville ?

@hulusewferede466 5 месяцев назад

thanks a lot French guy..

@LostInTheInternet 10 месяцев назад

C'est intéressant, mais c'est pas du Sqlmap avancé, c'est vraiment la base.. Par contre sqlmap propose de vraies options avancées telles que prefix, suffix et la possibilité de créér des templates custom pour les cas les plus complexes ! Et il est possible de le chaîner avec burp pour manipuler les requêtes facilement si besoin. C'est un outil très puissant, mais il est important de le maîtriser afin d'éviter les effets de bords, donc il vaut mieux détecter le point d'injection à la main.

@wakedxy 10 месяцев назад

Au départ j'avais prévu de parler du concept de prefix et suffix mais je l'ai retiré car je sentais que j'allais perdre du monde. Faut comprendre que l'objectif reste de vulgariser un maximum et pousser à la recherche par la suite. Pour la détection à la main je suis parfaitement d'accord.

@whattheslime_ 10 месяцев назад

Si je ne m'abuse le type d'injection détecté par sqlmap dans ton exemple est une union query. On peut également voir que sqlmap exploite bien avec UNION et à aucun moment n'utilise la fonction SLEEP pour déterminer les caractères des données extraites. Ce type d'injection est facilement exploitable à la main sans avoir besoin d'sqlmap. Ton propos est de monter qu'sqlmap n'est pas pour les "kiddies" mais on voit bien du coup que tu n'as pas compris ton propre exemple. Je pense qu'il vaut justement mieux conseiller aux débutants d'exploiter ce genre d'injection à la main et de coder des scripts pour automatiser l'exploitation en aveugle (blind sqli), ne serait-ce que pour faire la différence entre elles, bien comprendre les différentes méthodes d'exploitation, contourner de potentielles protections et ainsi de suite.

@pamoussadiakhate5138 10 месяцев назад

Pourriez-vous me dire où se que je vais pouvoir apprendre tout ça pour acquérir un tel niveau car moi je vous admire tous

@wakedxy 10 месяцев назад

Hello l'ami, la raison est simple à la fin du tournage je me suis rendu compte que l'enregistrement de l'écran ne s'est pas fait du coup j'ai du refaire des captures d'écran post production [ca se voit d'ailleurs en fin de vidéo ] et je te confirme que la room que j'ai utilisé qui est d'ailleurs disponible sur THM présente une Blind SQLi-Time based. Je ne vois pas pourquoi coder un script qui aura moins de fonctionnalité que déjà présent dans un outil gratuit et opensource. Comme je le dis en début de vidéo, c'est important de savoir faire de l'exploitation manuelle mais en Pentest tu es obligé aussi d'automatiser cette tache.

@whattheslime_ 10 месяцев назад

/!\ Attention c'est un gros pavé /!\ Pourquoi coder un script plutôt qu'utiliser SQLMap : - Économies de requêtes : SQLMap envoie un très grand nombre de requêtes pour tester beaucoup de technique différente alors qu'il n'est pas forcément nécessaire de les faire. On peut détecter le type d'injection de bien des manières sans avoir besoin d'envois autant de requête par exemple. Cela peut donc faire gagner beaucoup de temps et des ressources. On peut voir dans ta vidéo le nombre de requête allucinante qu'SQL map envois avant d'exploiter l'Union based ; - Contrôle de ce que l'on fait : en utilisant SQLMap sans comprendre le fonctionnement de l’application qu'il y a derrière on peut injecter dans des fonctions SQL comme des INSERT ou qui peuvent mettre, corrompre ou détruire la base de données du client et dans ce cas peu amener le pentester dans des situations compliquées professionnellement ou judiciairement ; - Gains de temps : bien souvent, en utilisant SQLMap, il va définir la méthode d'exploitation comme étant Time alors qu'en un peu la requête ou en jouant avec d'autres paramètres, il est souvent possible de transformer des Time Based en ou Error. Du coup la première solution que SQLMap va utiliser et très chronophage alors qu'un peu d'analyse aurait à exploiter de manière plus efficace ; - Discrétion : le grand nombre de requêtes inutiles et qui ont une forme propre à SQLMap envoyé ce dernier peuvent facilement te faire bannir par où remonter des alertes. Dans le cadre d'un Red Team ou d'attaque réelle, il est hors de questions d'utiliser cet outil qui peut compromettre la mission ; - Les résultats : dans bien des cas également SQLMap va te dire qu'il ne peut pas exploiter pour différentes raisons. Et dans le cas où tu ne peux pas exploiter avec SQLMap, est-ce que tu vas considérer que ton paramètre n'est pas vulnérable ? Cela peut te faire passer à côté de beaucoup de vulnérabilités ; - L'apprentissage : il est tout à fait possible d'utiliser les nombreuses features avancées de SQLMap et de l'utiliser en tant que bibliothèque python dans des scripts maison. Mais la réalité, c'est que, souvent dans là des cas, l'outil ne s'adapte pas bien différents contextes applicatifs comme la présence d'un échappement de caractères spécifiques au temps de réponse des requêtes, etc... En fait en conseillant à des débutants d'utiliser cet outil, tu les fais passer à côté de la compréhension du machinisme des injections SQL et les incites à être ce que l'on appelle des "kiddies", c'est-à-dire utiliser des outils qu'ils ne comprennent pas. D'autant plus que tu explicites ça avec des images qui ne corresponde pas à ce que tu dis et ce même si c'est dû à une erreur de montage. Je pense que tu aurais au moins pu re-filmer cette partie pour montrer que tu avais toi-même aussi compris l'injection que tu es en train de faire. En espérant t'avoir un peu éclairé sur le sujet.

@wakedxy 10 месяцев назад

@@whattheslime_ 👍

@ZydreXGD 10 месяцев назад

@@wakedxymdrr la réponse, il a même pas pris le temps d'écrire

@damoeloiflin5417 10 месяцев назад

Merci❤️👍

@bambakdb4086 10 месяцев назад

Interessant 👌

@coulibalyyacouba3329 10 месяцев назад

Salut peut tu faire une vidéo sur des site web pour apprendre le hacking

@MohamedBamba-ms9hh 9 месяцев назад

Fait nous une vidéo sur burpsuite please

@MohamedBamba-ms9hh 9 месяцев назад

Ouai une vidéo sur l'escalation linux ou du buffer overflow

@remyvandendriessche1207 10 месяцев назад

Goku

@n00bp0wa5 10 месяцев назад

Ca existe encore les failles SQL en 2023 ? 😂

@wakedxy 10 месяцев назад

Bah oui et ça existera toujours. Il n'y a pas que de l'error based.

@n00bp0wa5 10 месяцев назад

@@wakedxy Oui, ça je ne dis pas. Maintenant, je voulais surtout dire que les failles SQL c'est plus aussi courant qu'avant.

@hce-community5030 10 месяцев назад

Hello Waked XY j'ai besoin d'entrer en contact avec vous (Pas moyen d'ecrire sur discord , ni linkedIn et autres)

@Pcquifume 5 месяцев назад

super vidéo ☺

@businessmakeur1633 10 месяцев назад

Merci beaucoup pour vos videos

@wakedxy 10 месяцев назад

avec plaisir

@byPeeves 10 месяцев назад

Salut waked je me suis renseigné car j'aimerais passer de kali linux a blackarch linux est ce que jais fait le bon choix ? Et qu'est ce que tu penses de blackarch linux ?