• XSS.stack #1 – первый литературный журнал от юзеров форума

Прошу помощи с SQLI

Отслеживать

Fine

(L3) cache
Пользователь
Регистрация
25.06.2022
Сообщения
283
Реакции
110
Гарант сделки
3
Депозит
0.04 Ł
Добрый день, уважаемые форумчане. Столкнулся с проблемой, часто начали попадаться mssql, которые вообще не дают возможности (почти) что либо делать. Работаю через sqlmap, чаще всего это выглядит так: Нахожу уязвимость, заливаю в sqlmap, смотрю все БД - он выдает нормально БД, без каких либо проблем. Далее пытаюсь смотреть таблицы, тут ни в какую не хочет, прям совсем. Пробую вытащить юзеры\пароли СУБД - та же проблема. Играюсь с тамперами и проигрываю (проблема остается). Предполагаю что сильно урезаны права у учетки, пытаюсь сбрутить таблицы и колонки - местами успешно. Пытаюсь их сдампить и не дампится, пытаюсь узнать кол-во записей и опять ничего. Столкнулся с этим недавно, недели 2 назад, есть уже несколкьо таких моментов, соотвественно вопрос - что можно предпринять, уважамые хакеры? Просто у меня уже закончились мысли по этому поводу, так бы не создавал тему. И до сих пор не понимаю до конца - это WAF тка беспощадно душит или действительно сильно урезали? Можно ли как то все таки сдампить? Посоветуйте пожалуйста куда копать. Спасибо заранее.
 
1. Проверь, нет ли cloudfire.
2. Если есть, ищи ип сервера и меняй host.
3. Если тип инъекции стейк, то попробуй создать свою юзера и конектится по rdp.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Приветствую! Прежде, чем кидать скулю сразу в мап, ты бы сначала проанализировал какие технологии использует сайт, как он себя ведет, когда ты отправляешь полезную нагрузку. Мож там уже все за тебя сделано и есть готовый эксполит. Разраб чо угодно мог сделать, например запретил обращаться к системной бд, которая хранит названия таблиц и колонок.
learn.microsoft.com

СиÑÑемнÑе Ð±Ð°Ð·Ñ Ð´Ð°Ð½Ð½ÑÑ - SQL Server

СиÑÑемнÑе Ð±Ð°Ð·Ñ Ð´Ð°Ð½Ð½ÑÑ
learn.microsoft.com
 
etc/passwd сказал(а):
1. Проверь, нет ли cloudfire.
2. Если есть, ищи ип сервера и меняй host.
3. Если тип инъекции стейк, то попробуй создать свою юзера и конектится по rdp.

student сказал(а):
Приветствую! Прежде, чем кидать скулю сразу в мап, ты бы сначала проанализировал какие технологии использует сайт, как он себя ведет, когда ты отправляешь полезную нагрузку. Мож там уже все за тебя сделано и есть готовый эксполит. Разраб чо угодно мог сделать, например запретил обращаться к системной бд, которая хранит названия таблиц и колонок.
learn.microsoft.com

СиÑÑемнÑе Ð±Ð°Ð·Ñ Ð´Ð°Ð½Ð½ÑÑ - SQL Server

СиÑÑемнÑе Ð±Ð°Ð·Ñ Ð´Ð°Ð½Ð½ÑÑ
learn.microsoft.com
Спасибо за ответы. Вобщем сайт был на клауде, обычно я смотрю, но я смотрю именно с точки зрения прокси, а тут похоже не прокси клауда висит, а сайт в целом хостится на клауде(предполагаю, так как старые dns у домена не нашел ,там сразу стоят dns cloudflare, соответственно меняю вопрос. Что можно предпринять в такой ситуации? Ип нашел. но там тоже висит естественно что он под cdn клауда.
 
Quentin сказал(а):
В sqlmap есть дебаг меню, в конце запроса ставь -v 3 и ручками проставляй в браузер и ищи на что ругается.
То есть я правильно понимаю что тут только через тамперы выходить и больше никак?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Fine сказал(а):
То есть я правильно понимаю что тут только через тамперы выходить и больше никак?
Попробуй другую уязвимость найти) Или другую технику мож там вовсе не блаинд
 
student сказал(а):
Попробуй другую уязвимость найти) Или другую технику мож там вовсе не блаинд
Есть stack, time и boolean (blind). Закрадывается мысль что он просто обрубил возможность что либо смотреть. Есть ли способ как то точно убедится или опровергнуть этот вариант? --privileges тоже не отдает ничего.
 
Fine сказал(а):
Спасибо за ответы. Вобщем сайт был на клауде, обычно я смотрю, но я смотрю именно с точки зрения прокси, а тут похоже не прокси клауда висит, а сайт в целом хостится на клауде(предполагаю, так как старые dns у домена не нашел ,там сразу стоят dns cloudflare, соответственно меняю вопрос. Что можно предпринять в такой ситуации? Ип нашел. но там тоже висит естественно что он под cdn клауда.
Ип за клаудом найти надо, смотри поддомены, почту и гугл.
 
etc/passwd сказал(а):
Ип за клаудом найти надо, смотри поддомены, почту и гугл.
Айпи нашел, но проблема не ушла, сайт отдает бд и баннер могу смотреть, в остальном отдает ERROR (просто ERROR), как я понял - может отдавать даже при синтаксических ошибках. Теперь я пытаюсь понять из за чего возникает ошибка, и какая она вообще. Может действительно нет привилегий
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Fine сказал(а):
Айпи нашел, но проблема не ушла, сайт отдает бд и баннер могу смотреть, в остальном отдает ERROR (просто ERROR), как я понял - может отдавать даже при синтаксических ошибках. Теперь я пытаюсь понять из за чего возникает ошибка, и какая она вообще. Может действительно нет привилегий
Ты как искал ip за клаудом?
 
Fine сказал(а):
Айпи нашел, но проблема не ушла, сайт отдает бд и баннер могу смотреть, в остальном отдает ERROR (просто ERROR), как я понял - может отдавать даже при синтаксических ошибках. Теперь я пытаюсь понять из за чего возникает ошибка, и какая она вообще. Может действительно нет привилегий
Посмотри через браузер, может на что то фильтр.
 
По поводу браузера, процесс автоматизируй с помощью cyberfox + плагина для него, на форуме не нашел подобного, расширение автора XPR1M3/XPR1M3-H4CKB4R с github расширение_линк для поиска sql injection, lfi, fuzz и ряда других уязвимостей

Снимок1.PNG
 
Всем спасибо за помощь и советы, вобщем проблема решилась, я смог докрутить до юнионки и разобраться с этим вафом, который то есть, то нет. У меня возник вопрос - так как я докрутил все это ручками, скульмап не понимает какие пейлоады я использую для тех или иных вещей (подсчет таблиц, колонок или дамп), вопрос в том - можно ли как то что то типо "объяснить" ему какие пейлоады использовать или нет? Я смотрел пейлоады, которые он шлет для юнионки - они намного более хитров##банные, чем нужно.
 
Fine сказал(а):
Всем спасибо за помощь и советы, вобщем проблема решилась, я смог докрутить до юнионки и разобраться с этим вафом, который то есть, то нет. У меня возник вопрос - так как я докрутил все это ручками, скульмап не понимает какие пейлоады я использую для тех или иных вещей (подсчет таблиц, колонок или дамп), вопрос в том - можно ли как то что то типо "объяснить" ему какие пейлоады использовать или нет? Я смотрел пейлоады, которые он шлет для юнионки - они намного более хитров##банные, чем нужно.
Да можно, сампиши плейоад
 
Добрый день еще раз. Решил не делать новую тему, вопрос тоже со скулей связанный и тоже mssql. Помогите пожалуйста, ситуация такая:
Есть сайт, там целый рассадник разных скуль, конкретно вот они слева направо - stacked,union,boolean,time. sqlmap видит, но работает более менее нормально только boolean и time, стакед вообще не работает, а с юнионкой какая то хрень: ручками часть данных вытаскивается с сайта - пытаюсь подружить с мапой, мапа видит что юнионка есть, колонки(через которые юнионка может отдавать инфу) тоже видит, но почему то не хочет видеть что это mssql, выглядит это так:
Код: 
[12:20:00] [INFO] testing Microsoft SQL Server
[12:20:00] [PAYLOAD]123' UNION ALL SELECT NULL,NULL,CHAR(113)+CHAR(118)+CHAR(113)+CHAR(107)+CHAR(113)+(CASE WHEN (UNICODE(SQUARE(NULL)) IS NULL) THEN CHAR(49) ELSE CHAR(48) END)+CHAR(113)+CHAR(118)+CHAR(106)+CHAR(107)+CHAR(113),NULL,NULL,NULL--
[12:20:01] [DEBUG] turning off reflection removal mechanism (for optimization purposes)
[12:20:01] [DEBUG] performed 1 query in 1.29 seconds
[12:20:01] [WARNING] the back-end DBMS is not Microsoft SQL Server

С остальными СУБД все тоже самое, то есть мапа сканит все СУБД и ничего не находит. Но другие типы (булин например) видит что это mssql.
Так же приложу информацию мапы об уязвимости:

Код: 
---
Parameter: param (POST)
    Type: UNION query
    Title: Generic UNION query (NULL) - 4 columns
    Payload: value=123' UNION ALL SELECT NULL,NULL,CONCAT(CONCAT('qvqkq','XaPZZkrQCCeVfqnPJuWpSEObJDlFGrKubOpyfIUv'),'qvjkq'),NULL,NULL,NULL--
    Vector:  UNION ALL SELECT NULL,NULL,[QUERY],NULL,NULL,NULL
---

Это первый момент.
Момент второй: когда пытаешься ручками вытаскивать с помощью юнионки - вытаскивается только часть данных и из за того что лимита как такового нету в mssql, я пока не могу понять как состяпать пейлоад что бы ручками с помощью лимитов вытаскивать. Я понимаю что есть TOP, но он сам по себе не будет дампить с середины и до определенной строки, которой мне нужно.
Например я пробовал такие пейлоады:
Код: 
123'+UNION+SELECT+NULL,NULL,target,NULL,NULL,NULL+FROM+DB.dbo.table+ORDER+BY+target+OFFSET+5000+ROWS+FETCH+NEXT+11+ROWS+ONLY--
123'+UNION+SELECT+NULL,NULL,target,NULL,NULL,NULL+FROM+(SELECT+target,ROW_NUMBER()OVER(ORDER+BY+target)+AS+RowNum+FROM+DB.dbo.table)+AS+SubQuery+WHERE+RowNum>=5000+AND+RowNum<=5010;--

И еще несколько других в плюс-минус похожих по логике, в разном синтаксисе.
Подскажите куда копать пожалуйста, а то я в тупике, все идеи кончились. Спасибо заранее.
 
Я не знаю какая инфа еще может пригодится, поэтому запрашивайте пожалуйста если что то надо уточнить.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх