wordpress sqli

[Leonard123]

Всем привет! Тестирую сайт, на Wordpress. Использую инструмент sqlmap. Нашел две точки:
Parameter: calculate_attribute_counts[][taxonomy] (GET)
Type: boolean-based blind
Title: OR boolean-based blind - WHERE or HAVING clause (MySQL comment)
Payload: calculate_attribute_counts[][taxonomy]=-7087") OR 6781=6781#&calculate_attribute_counts[][query_type]=and

Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: calculate_attribute_counts[][taxonomy]=INJECTION") AND (SELECT 8995 FROM (SELECT(SLEEP(5)))YxVN) AND ("CdLH"="CdLH&calculate_attribute_counts[][query_type]=and
Так же инструмент обнаружил
[20:14:38] [INFO] automatically extending ranges for UNION query injection technique tests as there is at least one other (potential) technique found, но ничего не находит. Мне точно известно, что есть точка внедрения UNION, через эту точку возможно вытащить учетные записи админа при помощи эксплойта. Подскажите как сделать это с SQLMAP.

 

[p1r0man]

Скульмапом крутить вордпресс... Хосспаде, ты хотя бы сделай поиск плагинов установленных, ну впсканом пробегись чтоль? Найти скульмапом дырку на морде популярной CMS это как найти 1 биткоин на просторах интернета)
З.Ы. Забудь про слепые и тем более тайм бейзед инъекции, просто забудь.

 

[c0d3x]

Скульмапом крутить вордпресс

И что? В чем проблема? Регулярно вытаскиваю хэши через тайм и булеан на WP, о чем сообщал еще 2 года назад здесь. В некоторых случаях бывают и stacked через которые можно инсернуть админа или апдейтить текущих.

З.Ы. Забудь про слепые и тем более тайм бейзед инъекции, просто забудь.

Ясно. Ахуительный совет. Советую забыть дорогу в этот раздел, если не понимаешь нихуя в этом.

Всем привет! Тестирую сайт, на Wordpress. Использую инструмент sqlmap. Нашел две точки:
Parameter: calculate_attribute_counts[][taxonomy] (GET)
Type: boolean-based blind
Title: OR boolean-based blind - WHERE or HAVING clause (MySQL comment)
Payload: calculate_attribute_counts[][taxonomy]=-7087") OR 6781=6781#&calculate_attribute_counts[][query_type]=and

Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: calculate_attribute_counts[][taxonomy]=INJECTION") AND (SELECT 8995 FROM (SELECT(SLEEP(5)))YxVN) AND ("CdLH"="CdLH&calculate_attribute_counts[][query_type]=and
Так же инструмент обнаружил
[20:14:38] [INFO] automatically extending ranges for UNION query injection technique tests as there is at least one other (potential) technique found, но ничего не находит. Мне точно известно, что есть точка внедрения UNION, через эту точку возможно вытащить учетные записи админа при помощи эксплойта. Подскажите как сделать это с SQLMAP.

Через time-based и boolean данные дампятся? Или застрял где-то и не дампятся вообще? Или тебе принципиально нужно юнион раскрутить? Не совсем понял вопрос. Подробнее изложи задачу.

 

[p1r0man]

И что? В чем проблема? Регулярно вытаскиваю хэши через тайм и булеан на WP, о чем сообщал еще 2 года назад здесь. В некоторых случаях бывают и stacked через которые можно инсернуть админа или апдейтить текущих.

Да, прям натравил скульмап на морду очередного wordpress.org и пошел хеши грести лопатой...
Смысл фигарить из пушки по воробьям если можно за пару минут глянуть какие плагины установлены на сайте и копать уже не в пустоту?

Ясно. Ахуительный совет. Советую забыть дорогу в этот раздел, если не понимаешь нихуя в этом.

Дада, таймбейзед всегда раскручиваются как надо, соединение и нагрузка на сайт на них не влияет, получаешь именно те данные - которые в базе, всегда)

 

[Leonard123]

И что? В чем проблема? Регулярно вытаскиваю хэши через тайм и булеан на WP, о чем сообщал еще 2 года назад здесь. В некоторых случаях бывают и stacked через которые можно инсернуть админа или апдейтить текущих.


Ясно. Ахуительный совет. Советую забыть дорогу в этот раздел, если не понимаешь нихуя в этом.


Через time-based и boolean данные дампятся? Или застрял где-то и не дампятся вообще? Или тебе принципиально нужно юнион раскрутить? Не совсем понял вопрос. Подробнее изложи задачу.

Хэши админа вытащил, через эксплойт, через sqlmap ничего не дампится, мне интересно что еще можно сделать в этом случае.

 

[Leonard123]

Да, прям натравил скульмап на морду очередного wordpress.org и пошел хеши грести лопатой...
Смысл фигарить из пушки по воробьям если можно за пару минут глянуть какие плагины установлены на сайте и копать уже не в пустоту?

Дада, таймбейзед всегда раскручиваются как надо, соединение и нагрузка на сайт на них не влияет, получаешь именно те данные - которые в базе, всегда)

Я изначально использовал wpscan и нашел этот уязвимый плагин именно через него. ( Плагин уязвим для SQLI)

 

[c0d3x]

Да, прям натравил скульмап на морду очередного wordpress.org и пошел хеши грести лопатой...

На какую морду скульмап кто натравливает? Что ты бл#ть несешь? Мап используется адекватными людьми исключительно для раскрутки обнаруженных ранее инъекций, обнаруженных с помощью сканнеров типа Акунетикса / Нетспаркера или ручного чека.

Смысл фигарить из пушки по воробьям если можно за пару минут глянуть какие плагины установлены на сайте и копать уже не в пустоту?

WPScan в 99% обнаруженных дырах не дает PoC/PoE, и тебе в любом случае приходится ковыряться руками вслепую.

Дада, таймбейзед всегда раскручиваются как надо, соединение и нагрузка на сайт на них не влияет, получаешь именно те данные - которые в базе, всегда)

Если руки из жопы растут и ты не в состоянии добавить time-sec, и потерпеть дольше обычного - это исключительно твои проблемы, поэтому не надо здесь советовать откровенную хуету.

 

[Leonard123]

На какую морду скульмап кто натравливает? Что ты бл#ть несешь? Мап используется адекватными людьми исключительно для раскрутки обнаруженных ранее инъекций, обнаруженных с помощью сканнеров типа Акунетикса / Нетспаркера или руками.


WPScan в 99% обнаруженных дырах не дает PoC/PoE, и тебе в любом случае приходится ковыряться руками вслепую.


Если руки из жопы растут и ты не в состоянии добавить time-sec, и потерпеть дольше обычного - это исключительно твои проблемы, поэтому не надо здесь советовать откровенную хуету.

В некоторых случаях бывают и stacked через которые можно инсернуть админа или апдейтить текущих. А что за случаи такие ? Мне удалось расшифровать один хэш, но как мне кажется он не имеет серьезных прав, как вставить команду для повышения его привелегий?

 

[c0d3x]

А что за случаи такие

Распиздяйство называется. Когда подключают какие-то говно-плагины от совсем левых разрабов, либо дырявый самопис.

Хэши админа вытащил, через эксплойт, через sqlmap ничего не дампится, мне интересно что еще можно сделать в этом случае.

Через какой эксплоит? Через SQLMap что-то вытащил? Если нет, то просил уже выше - напиши подробнее где застреваешь. Если версия WP допотопная, то можно попробовать сделать сброс админского пароля, вытащить кей активации из колонки user_activation_key и попробовать ресетнуть так: /wp-login.php?action=rp&key=activation_key&login=login

Но уже давно (не помню с какого года и с какой версии) эти ключи шифруются. Можно через мап (если все таки ты можешь дампить и есть права) сдампить через --passwords юзеров БД, попробовать расшифровать хэши и подключиться к БД удаленно, если такая возможность есть и 3306 порт у них открыт наружу или PMA может наружу висит.

Можно попробовать прочитать wp-config.php, если есть права на чтение, но нужно знать полный пусть до корня, аля /var/www/site/wp-config.php и уже отсюда выдрать креды от БД.

Слишком мало инфы от тебя, просил же выше описать все подробнее. Какие-то эксплоиты, мап не дампит, ничего не понятно.

 

[Leonard123]

Только что запустил sqlmap с увеличенным --time-sec, посмотрим что будет. Эксплойт раньше вот этот работал, сейчас нет https://github.com/and0x00/CVE-2021-32789. Взял от сюда Sql запрос и запустил его через Burp Suite https://github.com/woocommerce/woocommerce-blocks/security/advisories/GHSA-6hq4-w6wv-8wrp Все прошло успешно и я получил логин, почту и хэш пароля администратора. Изменил этот sql Запрос и удалось получить хэши всех пользователей, один получилось расшифровать, но у него самые минимальные привилегии. Версия Wordpress 5.6.11, а версия уязвимого плагина WooCommerce 5.1.0. При помощи sqlmap удалось вытащить версию СУБД, имя бд, имя пользователя, хочу узнать какие права доступны, но SQLmap не позволяет узнать. Пробовал прочитать этот файл, пока без успеха. Как можно узнать полный путь до корня?

 

[friend_111312]

З.Ы. Забудь про слепые и тем более тайм бейзед инъекции, просто забудь

А сообствено что с ними не так? Я не осуждаю если что, просто интересуюсь

 

[Desoxyn]

хочу узнать какие права доступны, но SQLmap не позволяет узнать. Пробовал прочитать этот файл, пока без успеха. Как можно узнать полный путь до корня?

Это не sqlmap не позволяет. Просто у тебя права пользователя usage, ты не dba, корень тебе ничего не даст в данном случае. Прав не хватит на чтение или запись. Бруть хэши, пробивай по сервисам онлайн, позакидывай в разделы платной\бесплатной расшифровки на форумах

Взял от сюда Sql запрос и запустил его через Burp Suite https://github.com/woocommerce/woocommerce-blocks/security/advisories/GHSA-6hq4-w6wv-8wrp Все прошло успешно

Как прошло успешно, если у тебя версия 5.1.0? Или ты нам что то недоговариваешь?

Мне точно известно, что есть точка внедрения UNION

Неть. Она была на версиях >= 2.5.0 вукомерца, но ниже 2.5.16, ибо пропатчили. По твоему же линку:

Arbitrary SQL (SQL injection) possible via the Store API component.

### Impact This impacts all WooCommerce sites running 2.5.0 or later of the WooCommerce Blocks feature plugin. Via a carefully crafted URL, an exploit can be executed against the `wc/store/produc...

github.com

А у тебя только таймбэйсед, т.к. сам сказал, версия коммерца 5.1.0, т.е. вот эта

Proof of Concept exploit for WooCommerce 3.3-5.5 SQL Injection...

WooCommerce 3.3 through 5.5 are vulnerable to SQL injection due to lack of parameter sanitization. Endpoint Affeted: /wp-json/wc/store/products/collection-data Parameter: calculate_attribute_counts[][taxonomy]=INJECTION&calculate_attribute_counts[][query_type]=and Basic Sleep Proof of Concept:...

zeroauth.ltd

а там только тайм + порезанные права = долбись в хэши. Ты наслепую вытягивал, а нам голову делаешь?

 

[Leonard123]

Честное слово, зачем я буду обманывать? %252522%252529%252520union%252520all%252520select%2525201%25252Cconcat%252528id%25252C0x3a%25252Cuser_login%25252C0x3a%25252Cuser_email%25252C0x3a%25252Cuser_pass%252529from%252520wp_users%252520where%252520%252549%252544%252520%252549%25254E%252520%2525281%252529%25253B%252500 (
%" ) union all select 1,concat(id,0x3a,user_login,0x3a,user_email,0x3a,user_pass) from wp_users where $d $N (1);% ) Вот этот запрос выдал данные о админе.
C акунетикса вывод

 

[Leonard123]

По этой причине и возник вопрос, sqlmap Обнаружил две точки. Но при помощи union я смог вытащить другие данные, получается уже 3. Подумал что если SQLMAP не обнаружил UNION изначально, есть вариант как то изменить работу SQLMAP или еще какие то точки есть.

 

[Desoxyn]

По этой причине и возник вопрос, sqlmap Обнаружил две точки. Но при помощи union я смог вытащить другие данные, получается уже 3. Подумал что если SQLMAP не обнаружил UNION изначально, есть вариант как то изменить работу SQLMAP или еще какие то точки есть.

Значит окунь не верно версию вукомерца определил. Да пох, в любом случае у них одинаковые эндпоинты, и ты уже через них прошел. Какая разница, сколько их будет? А юнион просто удобнее и шустрее. Вывод ты получил, т.е. уже работаешь с самой базой.
БД одна основная? Ну помимо information_schema?
--is-dba в мапе что показывает?

 

[Leonard123]

Значит окунь не верно версию вукомерца определил. Да пох, в любом случае у них одинаковые эндпоинты, и ты уже через них прошел. Какая разница, сколько их будет? А юнион просто удобнее и шустрее. Вывод ты получил, т.е. уже работаешь с самой базой.
БД одна основная? Ну помимо information_schema?
--is-dba в мапе что показывает?

Он вывел имя БД. Так же удалось получить имя пользователя. В коде страницы, так же версия плагина.