Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. man474019

    man474019 Member

    Joined:
    31 Jul 2015
    Messages:
    285
    Likes Received:
    80
    Reputations:
    1
    in target when try sleep() target loads and gives response 504 Gateway Time-out, also tested sleep(5), sleep(10) and etc.., same result (504)

    scanners detects it sql injection, but sqlmap not

    what means it vuln ? thanks in advance

    p.s server is nginx
     
  2. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    2,612
    Likes Received:
    398
    Reputations:
    230
    help!
    Code:
    https://www.clemenshospital.de/unternehmen/presse-und-aktuelles/pressemitteilungen/pressemitteilung/?cHash=3e1a0675b9b0455db1168f0342035939&tx_browser_pi1%5Bsort%5D=tx_browser_pi1%5Bsort%5D=a
     
  3. noppathee

    noppathee New Member

    Joined:
    2 Dec 2018
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    sqlmap с параметром --os-shell такой результат:
    os-shell> whoami
    do you want to retrieve the command standard output? [Y/
    [11:11:38] [INFO] retrieved: nt authority\network servic
    command standard output: 'nt authority\network service'
    os-shell>

    Подскажите нубу плз, как дальше действовать, чтобы залить шелл через sqlmap?
    Нашел в теме рекомендацию от BigBear по похожему вопросу: select '<?php phpinfo(); ?>' into outfile '/[full_path]/x.php';
    Но как узнать конечную директорию, в которую заливаться?
    Спасибо!
     
  4. karkajoi

    karkajoi Active Member

    Joined:
    26 Oct 2016
    Messages:
    279
    Likes Received:
    137
    Reputations:
    2
    ну надо знать путь, команда pwd, если путь не знаешь, тогда брутом, или искать где эти пути палятся
    p.s путь в ошибке бывает показывает
     
    noppathee likes this.
  5. BabaDook

    BabaDook Level 8

    Joined:
    9 May 2015
    Messages:
    1,041
    Likes Received:
    1,480
    Reputations:
    55
    sqlmap --os-shell -> 4 -> 2 итд
    Задетекти место инъекции
    or 1=1; or 1=2; and etc
     
  6. man474019

    man474019 Member

    Joined:
    31 Jul 2015
    Messages:
    285
    Likes Received:
    80
    Reputations:
    1
    there is only works blind sqli payloads
     
  7. Muracha

    Muracha Member

    Joined:
    30 Jul 2011
    Messages:
    146
    Likes Received:
    9
    Reputations:
    0
    sql иньекция в POST запросе админ панели.
    В поле логин при постановке кавычки показывает сообщение:
    При переборе полей методом
    показывает сообщение
    Если ' order by 5# то пользователь не найден

    Запрос ' union select 1,2# дает результат:
    А ' union+select+1,2,3,4,5#
    То есть обрезается до 3 полей.
    При ' union select 1,2,3,4,5#
    и выводит ошибку:
    Как правильно составить запрос и почему не выводится кол-во полей?
    ' union select 1,2,3,4,5# или ' union+select+1,2,3,4,5#?
     
  8. Muracha

    Muracha Member

    Joined:
    30 Jul 2011
    Messages:
    146
    Likes Received:
    9
    Reputations:
    0
    И в чем может проявляться проблема когда при слепой инъекции выводились данные со скрипом, а спустя сутки-двое при наличии той же уязвимости(её не закрыли) выводится
    ?
    Запрос
     
  9. noppathee

    noppathee New Member

    Joined:
    2 Dec 2018
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    [​IMG]

    Нагуглить дальнейший метод действий не получилось. Подскажите плз, как дальше действовать или ткните в мануал какой-нибудь?
    Цель: залить шелл.
    Или как вариант заказал бы платную консультацию у профи, т.к. хочется понять как действовать, позадавать вопросы.
    Спасибо!
     
  10. BabaDook

    BabaDook Level 8

    Joined:
    9 May 2015
    Messages:
    1,041
    Likes Received:
    1,480
    Reputations:
    55
    Ты вообще уверен что прав хватит?
    если есть права,то один расклад, если нету, то другой. вообщем смотреть надо.
     
    noppathee likes this.
  11. man474019

    man474019 Member

    Joined:
    31 Jul 2015
    Messages:
    285
    Likes Received:
    80
    Reputations:
    1
    try --current-user --is-dba

    and see response true or false ? if false there're no variants for uploading shell via sqli/sqlmap
     
    noppathee likes this.
  12. noppathee

    noppathee New Member

    Joined:
    2 Dec 2018
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    [​IMG]
     
  13. Baskin-Robbins

    Baskin-Robbins Well-Known Member

    Joined:
    15 Sep 2018
    Messages:
    151
    Likes Received:
    437
    Reputations:
    34
    Давайте смотреть что мы имеем и пытаться понять как нам действовать.
    1. Слепая инъекция
    2. Ос винда
    3. Субд mssql
    4. Текущий юзер DBA
    Sqlmap нам явно говорит что xp_cmdshell без вывода в строке "unable to retrieve xp_cmdshell output"
    Следовательно результат выполнения команды мы увидеть не можем.
    Но для начала я бы рекомендовал вам ознакомится с sql синтаксисом, проведением sql инъекций и проведением sql инъекций в mssql в частности, если вы не знакомы.
    Это даст понимание того что происходит и что делать дальше. Найти это можно как в гугле так и воспользовавшись поиском на форуме, ниже линк на sql inj в mssql, ну одна из статей на форуме.
    https://forum.antichat.ru/threads/30501/

    Идем дальше. Несмотря на то что вывод в данном случае отсутствует, команды все равно могут выполнятся. Самый простой способ это проверить - команда ping <ваш ip>
    и смотреть в логах вашего сервера. Или сразу лить шелл в папку доступную из вне. О том какой командой лить есть по линку выше, либо воспльзовавшись гуглом можно
    найти список команд командной строки, или запустить если у вас винда cmd.exe и забить команду help.

    Следующий момент - asp. Ну я думаю вы понимаете что если используется asp, то и лить надо asp шелл. Такой можно найти по линку ниже, но надо быть осторожным - есть пробэкдореные.
    https://github.com/tennc/webshell

    Вот примерно куда вам нужно двигаться. Ну я бы во всяком случае двигался.
     
  14. BabaDook

    BabaDook Level 8

    Joined:
    9 May 2015
    Messages:
    1,041
    Likes Received:
    1,480
    Reputations:
    55
    Тогда можешь выполнять системные команды. и сразу получить шелл. даже заливать ничего не надо
     
  15. BabaDook

    BabaDook Level 8

    Joined:
    9 May 2015
    Messages:
    1,041
    Likes Received:
    1,480
    Reputations:
    55
    нам не надо получать вывод команд. Есть возможность получить шелл, и кстати вывод команд тоже можно получить
     
    Baskin-Robbins likes this.
  16. fandor9

    fandor9 Member

    Joined:
    16 Nov 2018
    Messages:
    86
    Likes Received:
    63
    Reputations:
    4
    Стандартом ведь ни на винде, ни на линуксах пинги не логируются, или я ошибаюсь?
    так у него и так сразу системная шелл вылазит
     
    Baskin-Robbins likes this.
  17. Baskin-Robbins

    Baskin-Robbins Well-Known Member

    Joined:
    15 Sep 2018
    Messages:
    151
    Likes Received:
    437
    Reputations:
    34
    Визуализируя всё это дело человеку проще будет, сложно учиться когда не видишь и не особо понимаешь что происходит
    По линку есть материал на эту тему
    Хорошо что заметил, еще бы линк добавить
    https://forum.antichat.ru/threads/434712/

    Тут впринципе весь ответ сводится к ссылке на одну тему из которой становится ясно что делать дальше
     
    #2777 Baskin-Robbins, 13 Oct 2019
    Last edited: 13 Oct 2019
  18. BabaDook

    BabaDook Level 8

    Joined:
    9 May 2015
    Messages:
    1,041
    Likes Received:
    1,480
    Reputations:
    55
    Согласен. самое простое конечно пинг на свой хост. Дальше от этого уже плясать.
     
  19. fandor9

    fandor9 Member

    Joined:
    16 Nov 2018
    Messages:
    86
    Likes Received:
    63
    Reputations:
    4
    В принципе на линуксе всё достаточно просто
    Code:
    iptables -I INPUT -p icmp --icmp-type 8 -m state  --state NEW,ESTABLISHED,RELATED -j LOG --log-level=1 --log-prefix "Ping Request "
    и затем в консоли включаем
    Code:
    dmesg --follow
    и там уже видим идёт ли пинг и от какого адреса (SRC=). Но опять-тако зависит от того, как настроена система, может быть что пинги до этого сбрасывает раутер.
    На винде это немного сложнее, нужно сначала сконфигурировать брандмауэр винды и потом уже смотреть логи брандмауэра.
     
  20. to the moon

    to the moon Member

    Joined:
    22 Dec 2018
    Messages:
    5
    Likes Received:
    7
    Reputations:
    3
    Попалась ситуация при раскрутке SQL иньекта, из которой не могу выбраться, буду признателен, если кто что подскажет.

    Имеем вот такой MySql запрос:
    Code:
    SELECT test_value from table
    where testmemo LIKE \'%'.$_POST['SQL'].'%\'
    ORDER BY LOCATE(\''.$_POST['SQL'].'\',index);
    
    Фильтруются символы # и * (без разницы, сырые, или в urlencode).
    Комментарий -- 1 не срабатывает, хотя и не фильтруется. Кавычка ` в качестве комментария тоже не работает (про нулл байт вообще молчу).
    Вставить например error-based вектор, а всё остальное закомментировать не получается, следовательно остается корректно достроить существующий запрос, но вот тут и начинаются проблемы.
    Наш иньект попадает в запрос сразу в двух местах, в одном месте он обрамлен одинарными кавычками, а во втором случае ещё и взят в скобки.
    И как в данной ситуации выкрутиться я не могу сообразить.
     
Loading...