как составить запрос в SQLmap когда POST на JS

holynet · 21.10.2024

ikdan сказал(а):

Ты же понимаешь что проверка на пройденный челлендж делается как раз по куки?)
Попробуй сам без инъекции в таком случае)

Я таким же способом в октябре делал запросы на апи под менеджед челленджем (нашёл уязвимость и ломал хостинг) и за 10 минут смог отправить с 1 кук более 1000 запросов и куки остались живы.

Dead_silence сказал(а):

я вообще не шибко верю что хоть кто то сможет раскрутить в лоб Akamai
он на всё моментально тригерится, там по любому надо искать реальный IP в обход иначе х#йца

В личку или под хайд закинь, завтра как освобожусь, протещу.

xargs · 22.10.2024

ikdan сказал(а):

Любой ваф обходится подменой куки на куки, которые уже обозначены как успешно преодолённые данный ваф.

не любой, CF так обходиться но только фришный, в нем самый низкий уровень защиты а вот стоит лишь начать платить 20$ в месяц за платный ваф и он уже так тупо не обходится. Про Akamai вообще молчу, еще не слышал чтоб кто-то обходил, а если и обходил то сидит тихонько не выёжуется не делится байпасами))

holynet · 22.10.2024

xargs сказал(а):

CF так обходиться но только фришный, в нем самый низкий уровень защиты а вот стоит лишь начать платить 20$ в месяц за платный ваф

Это так не работает)
Ваф везде 1, но в про тарифе добавляются менеджед рулы, которые блочат sqli/xss и другие уязвимости. Подмена куки работает абсолютно везде.

Я говорю так свободно потому что сам на опыте и имею больше 20 доменов на бизнес тарифе в кф. Я также продаю тарифы на домены, можешь глянуть профиль)

xargs сказал(а):

Про Akamai вообще молчу, еще не слышал чтоб кто-то обходил, а если и обходил то сидит тихонько не выёжуется не делится байпасами))

Акамай обходится проще шторма, это обычный инвизибл, и то, который включается только при хуёвом методе. Я держал сутки (на заказ) сайт под акамаем обвчнвм флудером.

holynet · 22.10.2024

xargs сказал(а):

CF так обходиться но только фришный, в нем самый низкий уровень защиты а вот стоит лишь начать платить 20$ в месяц за платный ваф

Это так не работает)
Ваф везде 1, но в про тарифе добавляются менеджед рулы, которые блочат sqli. Подмена куки работает абсолютно везде.

Я говорю так свободно потому что сам на опыте и имею больше 20 доменов на бизнес тарифе в кф. Я также продаю тарифы на домены, можешь глянуть профиль)

xargs сказал(а):

Про Akamai вообще молчу, еще не слышал чтоб кто-то обходил, а если и обходил то сидит тихонько не выёжуется не делится байпасами))

Акамай обходится проще шторма, это обычный инвизибл, и то, который включается только при хуёвом методе. Я держал сутки (на заказ) сайт под акамаем обвчным (почти, просто очень качественный и разрабатывается на заказ) флудером.

c0d3x · 22.10.2024

xargs сказал(а):

не любой, CF так обходиться но только фришный, в нем самый низкий уровень защиты а вот стоит лишь начать платить 20$ в месяц за платный ваф и он уже так тупо не обходится. Про Akamai вообще молчу, еще не слышал чтоб кто-то обходил, а если и обходил то сидит тихонько не выёжуется не делится байпасами))

Да он так и не понял, что с ним разговаривают не в контексте DDoS, не про обход челленджей, а про WAF, про обфускацию пэйлоадов. И ни одного реального примера обхода вафа Akamai / CloudFlare / CloudFront при эксплуатации той же union инъекции от него не будет. У этих мастеров спорта по всем видам спорта осеннее обострение видимо. Стоит вопрос об обходе Akamai WAF при инжекте sqli пэйлоада, что-бы WAF не сломал пэйлоад и он был доставлен на бэк, а этот "умник" влезает и затирает откровенную хyйню про ддос, парсинг кук и челленджи.

Учитывая еще то, что на прошлой странице он посоветовал использовать комменты /**/ (по стилистике видно что это с чатагпт слизан ответ) при байпассах топовых вафов, можно сделать вывод что он вообще нихуя не понимает о чем здесь речь.

c0d3x сказал(а):

Вопросов как обойти челлендж не стояло. Вопрос был конкретный о том как раскрутить инъекцию на таргете с вафом от акамаи. Не с челленджем, а с вафом, WAF, понимаешь? Набор правил таких специальных, что бы блокировать попытки проникновения в СУБД, блокировать попытки эксплуатации различных эксплоитов и других различных уязвимостей. И вот эти правила надо обойти, ТС спрашивает как это сделать, как например обфусцировать union пэйлоад что бы ваф на него не стриггерился. Как еще объяснить? Пиздец какой-то.

krot · 22.10.2024

c0d3x сказал(а):

Да он так и не понял, что с ним разговаривают не в контексте DDoS, не про обход челленджей, а про WAF, про обфускацию пэйлоадов. И ни одного реального примера обхода вафа Akamai / CloudFlare / CloudFront при эксплуатации той же union инъекции от него будет. У этих мастеров спорта по всем видам спорта осеннее обострение видимо. Стоит вопрос об обходе Akamai WAF при инжекте sqli пэйлоада, что-бы WAF не сломал пэйлоад и он был доставлен на бэк, а этот "умник" влезает и затирает откровенную хyйню про ддос, парсинг кук и челленджи. Учитывая еще то, что на прошлой странице он посоветовал использовать комменты /**/ (по стилистике видно что это с чатагпт слизан ответ) при байпассах топовых вафов, можно сделать вывод что он вообще нихуя не понимает о чем здесь речь.

может он рофлит просто? ну не реально на серьезном такое говорить про акамай... дай ему сайт пусть обойдет, покажет если это так легко, а лучше пусть кеш поставит на то что он сможет обойти) небольшое пари такое

holynet · 22.10.2024

c0d3x сказал(а):

Да он так и не понял, что с ним разговаривают не в контексте DDoS, не про обход челленджей, а про WAF, про обфускацию пэйлоадов. И ни одного реального примера обхода вафа Akamai / CloudFlare / CloudFront при эксплуатации той же union инъекции от него не будет. У этих мастеров спорта по всем видам спорта осеннее обострение видимо. Стоит вопрос об обходе Akamai WAF при инжекте sqli пэйлоада, что-бы WAF не сломал пэйлоад и он был доставлен на бэк, а этот "умник" влезает и затирает откровенную хyйню про ддос, парсинг кук и челленджи. Учитывая еще то, что на прошлой странице он посоветовал использовать комменты /**/ (по стилистике видно что это с чатагпт слизан ответ) при байпассах топовых вафов, можно сделать вывод что он вообще нихуя не понимает о чем здесь речь.

Я в контексте ддоса и не говорил. Ддос с педмененными куки на свои гиблая идея.

Fine · 22.10.2024

ikdan сказал(а):

Я в контексте ддоса и не говорил. Ддос с педмененными куки на свои гиблая идея.

А в контексте чего ты говорил? Разжуй пожалуйста.

holynet · 22.10.2024

Fine сказал(а):

А в контексте чего ты говорил? Разжуй пожалуйста.

Обычного разового скипа челленджа.

Fine · 22.10.2024

ikdan сказал(а):

Обычного разового скипа челленджа.

Как это поможет при блокировке sqli вафом?

holynet · 22.10.2024

Fine сказал(а):

Как это поможет при блокировке sqli вафом?

Если sqli блочит менеджед рулы, то никак)
В таком случае вопрос в теме составлен тупо, ибо ответ очевиден

xargs · 23.10.2024

c0d3x сказал(а):

Учитывая еще то, что на прошлой странице он посоветовал использовать комменты /**/

Да я всегда поражаюсь этим мастерам, натыкает тамперов наугад и думает ахуеть он увернулся, просто SQL ninja. А главное тыкать их заранее без какого либо основания.

ikdan сказал(а):

Это так не работает)
Ваф везде 1, но в про тарифе добавляются менеджед рулы,

невероятно, серьезно? Капитан очевидность.

как составить запрос в SQLmap когда POST на JS

holynet

DDoS - PanicBot.net

xargs

Quad Robber

holynet

DDoS - PanicBot.net

holynet

DDoS - PanicBot.net

c0d3x

Мафиозник

krot

CD-диск

holynet

DDoS - PanicBot.net

Fine

(L3) cache

holynet

DDoS - PanicBot.net

Fine

(L3) cache

holynet

DDoS - PanicBot.net

xargs

Quad Robber