• XSS.stack #1 – первый литературный журнал от юзеров форума

[web-hacking] Ваши вопросы

Отслеживать
sesh сказал(а):
Пытаюсь попасть на страничку админки, выдаёт 302 редирект. Хоть и переносит на главную, при этом по хедеру location в респонсе видно, что админка там есть:
Посмотреть вложение 54267

Это первое что мне показалось странным. Второе - если добавить к пути админки в конце "/", то он уже в location имеет главную страницу, но через http, после чего в другом запросе срабатывает 301 редирект уже на https:
Посмотреть вложение 54269

Сделал замену 302 редиректа на 200 OK через Burp Suite, в итоге без слеша на конце страничка пустая (логично так как на скрине1 content-length: 0), а со слешом он возвращает такую страничку:
Посмотреть вложение 54271

Третья странность - почему Apache Server если в респонcе "server: nginx"????


Вопрос в том, как получить доступ к этой страничке? Пробовал добавить напрямую хедеры по типу X-Forwarder-For (пробовал даже с айпи админа, который взял через sqli из базы), пытался через hop-by-hop хедеры наебать ревёрс прокси (сложилось ощущение будто его там нет) и ещё много чего, всё безрезультатно. Я даже заходил в саму админку (видно было по location в хедерах), но страничку не показывает. Заранее благодарю за помощь.
пробуй куку подставить
снифни какая кука берется с другой страницы и пробуй подставить подходящую, догадайся
 
netradicionnoiorientacii сказал(а):
пробуй куку подставить
снифни какая кука берется с другой страницы и пробуй подставить подходящую, догадайся
Кука у меня админская была, и зашло даже (по location видно было), все равно редиректит. Что и логично, там наверняка на все пути админки распространяется ограничение.
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
На самом деле глупый вопрос, но не начитан в данной тебе и нет знаний о эксплуатации вулны, условно, окунь выдал:
1681213823531.png

Протестил, вставлял параметр p, и выполнял алерт, работало, серв отправлял мне алерт, а какова дальнешейшая, реализация, я понимаю, что это только у меня работает, а закрепиться через гет запрос даже понятия нет как осуществить, извиняюсь, за такой глупый вопрос
 
bongiorno
ознакомься, например, c
telegra.ph

Руководство по осуществлению Cross-Site Scripting (XSS)

В этой статье пойдет речь о межсайтовом скриптинге (XSS). Читатель узнает, как злоумышленник способен выполнять вредоносные JavaScript-коды для входных параметров и генерировать всплывающие окна, чтобы «испортить» веб-приложение или захватить сеанс активного пользователя. Что такое JavaScript...
telegra.ph telegra.ph
а после
https://telegra.ph/Instrukciya-po-ehkspluatacii-Cross-Site-Scripting-XSS-01-24
Вариантов (ex: DOM-based, reflected (+ DOM), stored (+ DOM), blind...) в совокупности с векторами применения - дохера, чтобы что то конкретное можно было советовать.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Пока разбираюсь с xss, параллельно мапу кручу, какие варианты есть обхода?
Код: 
sqlmap.py -u "https://localhost.com/index.php?route=common/footer/setDelivery" --data "address=3137%20Laguna%20Street&pincode=1'XOR(if(now()=sysdate()%2Csleep(6)%2C0))XOR'Z" --cookie="" --dbs --risk 3 --level 5
сканил так, инжект находит, но произвести не может
1681389664204.png

Прогонял через nmap, айпи, который на dns это стоит рабочий, но cloudflare банит доступ к нему, 1003 ошибка
Искал dns history тоже мимо, пинговать пробовал, абсолютно так же, 1003 ошибка
 
bongiorno сказал(а):
pincode=1'XOR(if(now()=sysdate()%2Csleep(6)%2C0))XOR'Z
Зачем здесь пейлоад акунетикса? Тут должно быть оригинальное значение параметра, которое помечается астериском.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
c0d3x сказал(а):
Зачем здесь пейлоад акунетикса? Тут должно быть оригинальное значение параметра, которое помечается астериском.
И куки соответственно тоже, не юзать акунетикса?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
pincode=*
c0d3x сказал(а):
Зачем здесь пейлоад акунетикса? Тут должно быть оригинальное значение параметра, которое помечается астериском.
Так те?
 
bongiorno сказал(а):
И куки соответственно тоже, не юзать акунетикса?
Свои куки надо юзать, в том случае если они действительно нужны (для раскрутки инъекции в личном кабинете сайта например, когда требуется авторизация). А так, в большинстве случаев куки можно принудительно не указывать свои.

bongiorno сказал(а):
pincode=*
Так те?
Original value если акунетикс не показывает, тогда так. Но что-то мне подсказывает что нужно попробовать pincode=1*
 
Я прочитал Спарк Флоу 2023 эдит, "Взламывай как невидимка" вроде.
Там был описан веб сервис на AWS S3, и таргет который я решил потестить сейчас на этом же.
Из книги как я понял он пробирался в саму систему, с с2 и полным взятием контроля над сетью.
Вопрос, есть ли смысл AWS сервисы проверять на какие-либо SQLi и т.д. или это уже бесполезно для них?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
c0d3x сказал(а):
Свои куки надо юзать, в том случае если они действительно нужны (для раскрутки инъекции в личном кабинете сайта например, когда требуется авторизация). А так, в большинстве случаев куки можно принудительно не указывать свои.


Original value если акунетикс не показывает, тогда так. Но что-то мне подсказывает что нужно попробовать pincode=1*
Я указал через *, но ты прав там параметр 1* был, пока не знаю крутить дальше или нет, там таймскуля, долго очень, а админку сайта не нашел еще
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Там 2 бд было контент админы и админы, но пишет, что обе пустые, ваф, думаю, потому что серв постоянно 500 ошибки выдает
1681417716692.png
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Плюс как уже говорил, родной айпи не нашел, точнее нашел флаер не дает доступ, через тор пробовал и впн региона того же, все равно 1003
 
noonenowhere000 сказал(а):
Я прочитал Спарк Флоу 2023 эдит, "Взламывай как невидимка" вроде.
Там был описан веб сервис на AWS S3, и таргет который я решил потестить сейчас на этом же.
Из книги как я понял он пробирался в саму систему, с с2 и полным взятием контроля над сетью.
Вопрос, есть ли смысл AWS сервисы проверять на какие-либо SQLi и т.д. или это уже бесполезно для них?
Нет, так sqlinject искать бесполезно, там можно перехватить пароль админа, если конечно будет такая возможность. Но для этого нужно понять где это будет возможно. Для того чтобы понять, где... https://github.com/ghostlulzhacks/s3brute
А дальше только руками, играясь с запросами и смотреть что происходит.
 
BLUA сказал(а):
Нет, так sqlinject искать бесполезно, там можно перехватить пароль админа, если конечно будет такая возможность. Но для этого нужно понять где это будет возможно. Для того чтобы понять, где... https://github.com/ghostlulzhacks/s3brute
А дальше только руками, играясь с запросами и смотреть что происходит.
Конечно если админ даун, то там можно найти ещё и "критикал" файлы
 
Пожалуйста, обратите внимание, что пользователь заблокирован
При загрузке шелла он автоматически удаляется на сервере спустя 5 минут, что можно с этим сделать? Шелл php
 
Окунь выдает такую информацию:
Код: 
Cookie input adtech_uid was set to ca993490-2349-42e3-ab4b-01347d29e9b4:example.com" AND 3*3*9<(2*4) AND "000IGL2"="000IGL2

Tests performed:
ca993490-2349-42e3-ab4b-01347d29e9b4:example.com" AND 2*3*8=6*8 AND "000IGL2"="000IGL2 => TRUE
ca993490-2349-42e3-ab4b-01347d29e9b4:example.com" AND 2*3*8=6*9 AND "000IGL2"="000IGL2 => FALSE
ca993490-2349-42e3-ab4b-01347d29e9b4:example.com" AND 3*3<(2*4) AND "000IGL2"="000IGL2 => FALSE
ca993490-2349-42e3-ab4b-01347d29e9b4:example.com" AND 3*2>(1*5) AND "000IGL2"="000IGL2 => TRUE
ca993490-2349-42e3-ab4b-01347d29e9b4:example.com" AND 3*2*0>=0 AND "000IGL2"="000IGL2 => TRUE
ca993490-2349-42e3-ab4b-01347d29e9b4:example.com" AND 3*3*9<(2*4) AND "000IGL2"="000IGL2 => FALSE


Original value: ca993490-2349-42e3-ab4b-01347d29e9b4:example.com

Proof of Exploit
SQL query - SELECT current_database()
fo

Так полагаю это не фолс детект, если он смог получить имя базы? Но мапой ни в какую не раскручивается, команда мапы:
Код: 
sqlmap.py -r 12313.txt -p 'adtech_uid' --level 5 --risk 3 --random-agent
Запрос, который скармливаю:
Код: 
GET https://example.com/vrgames/simulate/ HTTP/1.1
Referer: https://www.google.com/search?hl=en&q=testing
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
Cookie: adtech_uid=ca993490-2349-42e3-ab4b-01347d29e9b4:example.com*; top100_id=t1.7155260.657845929.1682017967908; last_visit=1682012294503::1682023094503; _nTab_main=1; _nAccordeonOpened=29; t3_sid_7155260=s1.1111065334.1682017967912.1682023168426.1.21613; jsc=694722c6068a21c9763cec723b70b906
X-Requested-With: XMLHttpRequest
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,br
Host: example.com
Connection: Keep-alive

Пробовал ставить разные тамперы, но все равно никак не получается раскрутить.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх