• XSS.stack #1 – первый литературный журнал от юзеров форума

Объясните про темпера и обход WAF ❤️

Отслеживать
Litara_B

Litara_B

Премиум
Premium
Регистрация
19.06.2022
Сообщения
262
Реакции
156
Депозит
25 Ł
Интересуют пошаговость и подробность :) У кого есть ссылки на хороший материал либо есть время и интерес написать собственную статью- было бы очень круто
 
Допустим ты вместо значения параметра вписываешь пейлод WHERE 1=1 AND 1=1 и получаешь 403 (отказано) - это происходит потому что кодер добавил в черный список слова WHERE и AND, а тамперы это скрипты которые видоизменяют твой пейлод (просто пример, разные тамперы меняют пейлоды по разному) WhErE 1=1 aNd 1=1 и вместо 403 получаешь 200, потому что кодер забыл про регистр.

Полный список тамперов с разьяснениями можно найти здесь - https://uproger.com/sovety-i-rekome...i-s-pomoshhyu-skriptov-sqlmap-tamper-scripts/ (они все уже есть в sqlmap)
Но прежде чем бездумно заставлять мапу работать с 10 тамперами, пиши пейлоды вручную и смотри на что реагирует ваф, отталкиваясь от этого уже подключай тампера. Если совсем впадлу писать руками, запусти sqlmap с командой -vvvv, сможешь просматривать отправляемые пейлоды и код ответа от сервера.

Когда ты понял на что реагирует ваф и как это обойти, но не нашел нужного тампера в списке выше (маловероятно) - попробуй переписать уже готовые - я мельком смотрел скрипты, я не думаю что здесь нужны годы опыта работы с кодом.
 
Vandalism сказал(а):
Интересуют пошаговость и подробность :) У кого есть ссылки на хороший материал либо есть время и интерес написать собственную статью- было бы очень круто
Как-то пытался про тамперы написать https://xss.pro/threads/112503/ - см. самый конец
 
kosh_e4ka сказал(а):
Настолько все плохо, что решил сам дампить начать?🤣
Да его Гео задрочено всеми кому не лень. Мне 4 независимых друг от друга человека предлагали помимо него работать точно так же по его запросам.
 
kosh_e4ka сказал(а):
Настолько все плохо, что решил сам дампить начать?🤣
И не говори 🤣🤣 Либо воздух как чел сверху либо мат сложно добыть
 
kosh_e4ka сказал(а):
Ну вот и хорошо, скуп эволюционирует в пентестера, приятно видеть
да да), долой паразитирование 😁
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Vandalism сказал(а):
да да), долой паразитирование 😁
Ну так тогда можно менять вообще само направление деятельности :)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх