• XSS.stack #1 – первый литературный журнал от юзеров форума

Вопрос по эксплуатации SQLi

Отслеживать
Чтобы не плодить темы , буду задавать вопросы тут , если кто может подсказать , буду благодарен.
Ситуация:
Акунь нашел sqli , если я правильно понял boolean blind вот с таким пэйлодом "AND ((42)=(43-1)) AND '000GWSp'='000GWSp" , и судя по тому , что что он смог срисовать имя базы в PoE она не ложная. Но , вот дальше развить ее не получается.
Не Акунь не wappalyzer наличие waf не показывают , однако sqlmap заявляет что оно есть и просто спамом вываливает "connection resed to the target url" , "connection reset to the target url. sqlmap is going to retry request(s)"
C --tamper="between,randomcase,space2comment" начинает спамить меньше и что-то проходит нормально , но по итогу результата никакого.
При этом если отправлять запрос из акуня через берп , то ответ приходит и приходит с содержимым и каждый примерно за 12-15 секунд.
Если я правильно понял , то нужно как то заставить мапу ждать то количество времени которое идет ответ. Если не правильно , то поправьте.
Если вдруг у кого то найдется желание подсказать , запрос/ответ скину в личку.
Мапу запускаю так
sqlmap -r "*.rec" -v 3 --random-agent --level=5 --risk=3 --dbs
sqlmap -r "*.rec" -v 3 --random-agent --level=5 --risk=3 --tamper=between,randomcase,space2comment" --dbs
hex на ситуацию никак не влияет
 
dreadenergy сказал(а):
Чтобы не плодить темы , буду задавать вопросы тут , если кто может подсказать , буду благодарен.
Ситуация:
Акунь нашел sqli , если я правильно понял boolean blind вот с таким пэйлодом "AND ((42)=(43-1)) AND '000GWSp'='000GWSp" , и судя по тому , что что он смог срисовать имя базы в PoE она не ложная. Но , вот дальше развить ее не получается.
Не Акунь не wappalyzer наличие waf не показывают , однако sqlmap заявляет что оно есть и просто спамом вываливает "connection resed to the target url" , "connection reset to the target url. sqlmap is going to retry request(s)"
C --tamper="between,randomcase,space2comment" начинает спамить меньше и что-то проходит нормально , но по итогу результата никакого.
При этом если отправлять запрос из акуня через берп , то ответ приходит и приходит с содержимым и каждый примерно за 12-15 секунд.
Если я правильно понял , то нужно как то заставить мапу ждать то количество времени которое идет ответ. Если не правильно , то поправьте.
Если вдруг у кого то найдется желание подсказать , запрос/ответ скину в личку.
Мапу запускаю так
sqlmap -r "*.rec" -v 3 --random-agent --level=5 --risk=3 --dbs
sqlmap -r "*.rec" -v 3 --random-agent --level=5 --risk=3 --tamper=between,randomcase,space2comment" --dbs
hex на ситуацию никак не влияет
Дроп коннекта скорее всего вызван триггером на слова паразиты, которые использует sqlmap, начиная с этого поста почитай https://xss.pro/threads/14482/post-571373, надо эти слова определить и в принудительном порядке состряпать тампер который их будет заменять, инфа есть в этом же топике, ссылку на который скинул.
 
c0d3x сказал(а):
Дроп коннекта скорее всего вызван триггером на слова паразиты, которые использует sqlmap, начиная с этого поста почитай https://xss.pro/threads/14482/post-571373, надо эти слова определить и в принудительном порядке состряпать тампер который их будет заменять, инфа есть в этом же топике, ссылку на который скинул.
Спасибо , пошел читать.
 
dreadenergy сказал(а):
connection resed to the target url"
пропиши в мапе --proxy=http://127.0.0.1:8080 включи burp и смотри лог, там где идут обрывы смотри что он шлет. Можно конечо в самой мапе прописать -v3 или -v4 но в бурпе куда удобнее, можно сразу запрос в репитер отправить и поиграться с фильтрами а потом просто добавить "замену на лету" чтоб не писать свой тампер если вдруг готовые не могут обойти фильтра.
 
Решил начать с чего по проще. По пробовал немного по видоизменять запрос в берпе. В общем проблема решилась удалением значений куки и реферер в фаиле запроса и добавлением --hex в запуск мапы. Не знаю как это работает , но тесты прошли как надо , база дампится.
 
dreadenergy сказал(а):
Решил начать с чего по проще. По пробовал немного по видоизменять запрос в берпе. В общем проблема решилась удалением значений куки и реферер в фаиле запроса и добавлением --hex в запуск мапы. Не знаю как это работает , но тесты прошли как надо , база дампится.
если не пробовал, потестируй запросы без cookie
 
Господа , еще один глупый вопрос. Мапа нашла и успешно использует инъекции boolean , time , error и union query , читается всё отлично. Но , сканеры говорят что база с админ привилегиями , мапа говорит что база с админ привилегиями , а --os-shell отказывается работать. Если я правильно понимаю потому что не может найти папку для записи. Не стандартный лист не брутфорс не дают результата. Как можно выйти из ситуации? База MySQL Maria DB fork , система CentOS.
 
ну нужно /etc/passwd срисовать, понять что вообще на системе лежит
далее нужно поискать дефалтные конфиги например апача нгинкса фтп...
так можно примерно +/- понять где лежат файлы сервака... бывает что запущено в докере.. с композером тоже бывают загвоздки.

недавно была такая-же ситуация, неделю наверное сидел, в итоге от смарти в папку записал шелл а он чето не сработаль х)

еще бывает что @@version,db_name() не попадают под фильтр (даже при той же and 1=@@version нету слова селект. а вот дальше то что будет с селектом может по сути фильтроваться
 
xcxcxc сказал(а):
ну нужно /etc/passwd срисовать, понять что вообще на системе лежит
далее нужно поискать дефалтные конфиги например апача нгинкса фтп...
так можно примерно +/- понять где лежат файлы сервака... бывает что запущено в докере.. с композером тоже бывают загвоздки.

недавно была такая-же ситуация, неделю наверное сидел, в итоге от смарти в папку записал шелл а он чето не сработаль х)

еще бывает что @@version,db_name() не попадают под фильтр (даже при той же and 1=@@version нету слова селект. а вот дальше то что будет с селектом может по сути фильтроваться
Вот я тоже решил пойти по пути в ручную залить бэкдор вивли и уже к нему попробовать законнектиться. На гите нашел обсуждение , но из-за плохого английского не могу понять тонкости. Короче там если я правильно понял , на одном и том же сервере , у чувака какая то старая версия мапы отрабатывает --os-shell без проблем , а новая отказывается даже фаилы записывать.
 
нуу это не совсем так, конечно я помню как мы с челом ковыряли одну и туже скулю я тыкаю у мення еррор скл а у него нету еррор, получается в браузере дело?
проверить то легко, поставь старый склмап
склмап это автоматизированное средство, а ручками надежнее всегда. я порой такие тыкаю что приходится подстраивать еще чтобы склмап зацепился хоть както
 
Ну короче не в какую , не получается нащупать папку. Ну тоесть понятно что там скорее всего /var/www/ но вот что стоит до и что находится после нащупать не получается.
 
dreadenergy сказал(а):
Ну короче не в какую , не получается нащупать папку. Ну тоесть понятно что там скорее всего /var/www/ но вот что стоит до и что находится после нащупать не получается.
для начала прочитай /etc/passwd убедись что есть чтение, потом сделай запись в /dev/shm или /tmp убедись что есть запись проверив чтением то что ты залил. Если все окей отпиши в пм я скину читерный вариант, но уже не сегодня скорей всего.
 
мне тоже интересно)
xargs сказал(а):
для начала прочитай /etc/passwd убедись что есть чтение, потом сделай запись в /dev/shm или /tmp убедись что есть запись проверив чтением то что ты залил. Если все окей отпиши в пм я скину читерный вариант, но уже не сегодня скорей всего.
это скорее вопрос конфигурации безопасности , а не выбора между /tmp и /dev/shm как такового выбора нет, но идея неплохая надеюсь я туда подумаль)
а оно будет веркать если скл не на локалхосте? а где-то в локалке? помоему в mysql есть некие настройки ... но интересно послушать))) читерство ж в первую очередь и интересует))
 
Последнее редактирование:
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх