[web-hacking] Ваши вопросы

[mayone]

подскажите плиз как павильно убарать(заменить) с фильтрации символ

'

так не помогает

%27

что бы не поломать пайлод, я проверил именно он там срабатывает остальное я завернул в --tamper=modsecurityversioned

[12:17:11] [PAYLOAD] 4305' /*!30386AND 5763=(SELECT (CASE WHEN (ORD(MID((SELECT IFNULL(CAST(COUNT(DISTINCT(schema_name)) AS NCHAR),0x20) FROM INFORMATION_SCHEMA.SCHEMATA),1,1))>51) THEN 5763 ELSE (SELECT 8741 UNION SELECT 5571) END))*/-- -
[12:17:13] [DEBUG] got HTTP error code: 500 ('Internal Server Error')

проверял и тут , убераешь ' , и пайлод проходит

[11:04:19] [PAYLOAD] 4305'CuTQiT<'">czfuck
[11:04:19] [DEBUG] got HTTP error code: 500 ('Internal Server Error')

 

[kazakboo]

А с оригинальным параметром как ведёт себя страница. Видишь в таких узких местах нужно смотреть всю эту хуе.у. Так больше в сторону изотерики

С оригинальным параметром - обычное поведение, отвечает 200 кодом
С пейлоадом в котором sleep отвечает теми же данными и также 200 код просто с задержкой указанной в sleep.
могу дать удаленный доступ к хосту с берпом, может глянем?

 

[noonenowhere000]

Если в найденной скуле через скульмап удалось выцепить версию бд, используемого юзера в виде пользак@хост, то значит инъекция рабочая и надо просто докрутить?

 

[c0d3x]

Если в найденной скуле через скульмап удалось выцепить версию бд, используемого юзера в виде пользак@хост, то значит инъекция рабочая и надо просто докрутить?

А в чем проблема собственно? Не дампит данные из БД?

 

[noonenowhere000]

А в чем проблема собственно? Не дампит данные из БД?

да
находит одну бд, ни tables из нее не получить, пробовал со встроенным словарем -- тоже не получается.
баннер mysql 5.7.38-log

 

[c0d3x]

да
находит одну бд, ни tables из нее не получить, пробовал со встроенным словарем -- тоже не получается.
баннер mysql 5.7.38-log

Вектор какой? GTID_SUBSET? Если да, то попробуй руками посмотреть, скорее всего там SELECT отключен для текущего юзера. Ну или WAF на FROM, SELECT etc..

 

[noonenowhere000]

Вектор какой? GTID_SUBSET? Если да, то попробуй руками посмотреть, скорее всего там SELECT отключен для текущего юзера. Ну или WAF на FROM, SELECT etc..

а как вектор понять? Вставляю в гет параметр, нашел сначала biind boolean и timebased, через -a получил уже то что говорил выше. И бд с названием "!"

 

[vidlis]

всем привет, может кто то тут подскажет, юзал кто нибудь XAttacker V20? можете сказать что как он, вообще отрабатывает нормально или нет? для cpanel

 

[c0d3x]

а как вектор понять?

При каждом запуске на таргет мап сам сообщает (выводит в консоль) о раскрученных векторах. Попробуй заэнкодить слова "паразиты", возможно фильтрует что-то. Здесь на прошлых страницах я раписывал как обходить и как сделать тампер.

 

[noonenowhere000]

При каждом запуске на таргет мап сам сообщает (выводит в консоль) о раскрученных векторах. Попробуй заэнкодить слова "паразиты", возможно фильтрует что-то. Здесь на прошлых страницах я раписывал как обходить и как сделать тампер.

А блайнды вообще раскручиваемые? Или больше нет чем да?

 

[c0d3x]

А блайнды вообще раскручиваемые? Или больше нет чем да?

Да все от WAF'ов зависит. Есть лютые, например на Битрикс CMS, там невозможно крутануть. CloudFlare WAF - сложно, но возможно. Imperva - то же самое что Битрикс, нереально. Попробуй элементарные методы обхода о которых я здесь писал пару страниц назад, возможно сработает. Если не крутанешь до завтрашнего вечера, скидывай в личку, посмотрю как время будет.

 

[noonenowhere000]

Да все от WAF'ов зависит. Есть лютые, например на Битрикс CMS, там невозможно крутануть. CloudFlare WAF - сложно, но возможно. Imperva - то же самое что Битрикс, нереально. Попробуй элементарные методы обхода о которых я здесь писал пару страниц назад, возможно сработает. Если не крутанешь до завтрашнего вечера, скидывай в личку, посмотрю как время будет.

Хорошо, АФа там практически нет, из тамперов between понадобился.
Я скорей про суть, blind это же как посимвольный брут, или sqlmap по сути для этого и нужен?

 

[BLUA]

Хорошо, АФа там практически нет, из тамперов between понадобился.
Я скорей про суть, blind это же как посимвольный брут, или sqlmap по сути для этого и нужен?

да ибо руками делать - жопоболь

 

[PrikolBullet]

Error based формата site.com/' ошибка в хедере шопа. Sqlmap не справляется, смотреть на фильтруемые символы и не правильный tamper?

 

[sesh]

Пытаюсь попасть на страничку админки, выдаёт 302 редирект. Хоть и переносит на главную, при этом по хедеру location в респонсе видно, что админка там есть:

Спойлер: /admin

Это первое что мне показалось странным. Второе - если добавить к пути админки в конце "/", то он уже в location имеет главную страницу, но через http, после чего в другом запросе срабатывает 301 редирект уже на https:

Спойлер: /admin/

Сделал замену 302 редиректа на 200 OK через Burp Suite, в итоге без слеша на конце страничка пустая (логично так как на скрине1 content-length: 0), а со слешом он возвращает такую страничку:

Спойлер: /admin/ + 200 OK

Третья странность - почему Apache Server если в респонcе "server: nginx"????


Вопрос в том, как получить доступ к этой страничке? Пробовал добавить напрямую хедеры по типу X-Forwarder-For (пробовал даже с айпи админа, который взял через sqli из базы), пытался через hop-by-hop хедеры наебать ревёрс прокси (сложилось ощущение будто его там нет) и ещё много чего, всё безрезультатно. Я даже заходил в саму админку (видно было по location в хедерах), но страничку не показывает. Заранее благодарю за помощь.

 

[DarkStar]

Ковыряю graphql, сдампил схему закинул на вояджер, есть такой тип, назовем Кастомер профиль, я хочу извлечь данные, пишу запрос по типу query{тип{объект1,объект2} в респонсе вместо данных ошибка - тип кстомер профиль не принадлежит типу queryroot. Я не правильно запрос пишу? как мне обойти эту ошибку? graphql-ruby

 

[DarkStar]

и вот еще, плагин burp при актив скане нашел кучу nosql в json. Когда я тыкаю пэйлоады nosql получаю 423, это я так понял вафля меня блочит? как можно обойти вафлю, если нет ip который бы не редиректился на вафлю? Применимы ли всякие приколы с нулевыми байтиами и тп в пэйлоаде в nosqli? можно ли как-нибудь юзать nosqli через sqlmap? Node.js MongoDB вафля Cloudflare

 

[bugphp]

Есть такой код:

$db->query("insert into db_log (id, stuff, date) values (1, '".$_POST['stuff']."', now())");

Если передать в параметр stuff что-то типа:

',now()); update users set password = `lox` where user = `admin`;#

То первое выражение до точки с зяпятой (insert into db_log...) отрабатывает нормально, а вот инжект просто игнорируется. Почему так и что тут можно придумать?

 

[DrClinker]

Есть доступ к БД сайта связанного с криптовалютами, какой именно сайт я не знаю. В БД есть поле секретами от сайтов для криптовалютного обмена по типу bittrix bitfinex2 coinbasepro и ещё около 5 обменников, Есть API ключи от них и вроде даже есть поле с балансом на этих счетах, есть история всех транзакций, вопрос - что делать?) Как вывести средства с обменника имея API ключ я и сам знаю, как можно залутать ещё больше вот в чём вопрос. Я почти ничего не шарю во всём криптовалютном движе, как вы думаете что это вообще за сервис такой?

 

[friend_111312]

Есть доступ к БД сайта связанного с криптовалютами, какой именно сайт я не знаю. В БД есть поле секретами от сайтов для криптовалютного обмена по типу bittrix bitfinex2 coinbasepro и ещё около 5 обменников, Есть API ключи от них и вроде даже есть поле с балансом на этих счетах, есть история всех транзакций, вопрос - что делать?) Как вывести средства с обменника имея API ключ я и сам знаю, как можно залутать ещё больше вот в чём вопрос. Я почти ничего не шарю во всём криптовалютном движе, как вы думаете что это вообще за сервис такой?

Где-то на форуме в других разделах вроде есть те кто снимают криптобиржи с апи+сикреткеями. Обратись к ним, покажи что у тебя есть они тебе подскажут.