SQL Injection in Mexican Bank

[v3nuz]

I found a very basic vulnerability in a web application belonging to one of Mexico's largest banks. I'm sharing it with you in case anyone wants to exploit the information.

Steps to replicate:
-Go to https://www.afirmeseguros.com/cercania360/#/login
-Select "Forgot my password"
-Enter a dummy email address and capture the request with burp (or your preferred proxy)
-Pass the request to sqlmap with the following command:

sqlmap -r req.txt --batch --level=3 --risk=3 --dbms=Oracle --dbs

Since this is a time-based SQL injection vulnerability, I was too lazy to recompile all the table information and content. I hope you can take better advantage of it. If you find any other vulnerabilities, it would be great to share insights.

SQL Injection still alive!!!

 

[MrDark]

Good job )

 

[Leon74]

Инъекция до сих пор работает, но к сожалению не дает сдампить данные в файл, WAF мешает. При этом вывести структуру какой-нибудь определенной таблицы он дает, но с учетом необходимого делея вывод крайне долгий. Если у кого получится грамотно вытащить данные, то поделитесь как вы это сделали.

 

[xleaknn]

Инъекция до сих пор работает, но к сожалению не дает сдампить данные в файл, WAF мешает. При этом вывести структуру какой-нибудь определенной таблицы он дает, но с учетом необходимого делея вывод крайне долгий. Если у кого получится грамотно вытащить данные, то поделитесь как вы это сделали.

Получалось по-разному. Порой приходилось сидеть и буквально "фаззить" эту полезную нагрузку, получая в ответ маленькие крупицы вроде 1-2 символов. И вот это в целом-то и является основной помехой от WAF. Запрос считается зловредным и не проходит полноценно, приходится уходить на time-based вариации и откровенный перебор.
Но в целом, тамперы, байпасс через истинный IP(за WAF) и работа с проксичейнзом все еще довольно бодренькие, живые. Один ответ, наверное, - "когда как". Если попадется на глаза, оставлю тут, как живой пример).