Ребят как обойти Mod_Security

Discussion in 'Песочница' started by Sensoft, 2 Mar 2018.

  1. Sensoft

    Sensoft Member

    Joined:
    14 Jun 2015
    Messages:
    399
    Likes Received:
    38
    Reputations:
    1
    Как его обойти в SQLmap ?
     
  2. pas9x

    pas9x Elder - Старейшина

    Joined:
    13 Oct 2012
    Messages:
    428
    Likes Received:
    579
    Reputations:
    52
    Никак. Мод_секурити ставят специально чтоб таким вот кулхацкерам жизнь усложнить.

    Чтобы его обойти надо скулю вручную раскуривать а не думать что программа каким-то чудесным образом сама за тебя сайт взломает.

    Есть ещё более сложные способы, например поднять сервер с таким-же набором софта и посмотреть как настроен мод_секурити, но боюсь это вариант не для тебя.
     
    Veil likes this.
  3. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,108
    Likes Received:
    797
    Reputations:
    231
    тампер свой пиши , по нагрузке можешь проверить https://github.com/Ekultek/WhatWaf
     
    _________________________
  4. loidez

    loidez Member

    Joined:
    28 Feb 2018
    Messages:
    19
    Likes Received:
    7
    Reputations:
    0
    А что это? В гугле какая-то электроника.
     
  5. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    loidez likes this.
  6. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,108
    Likes Received:
    797
    Reputations:
    231
    _________________________
  7. sabe

    sabe Elder - Старейшина

    Joined:
    16 Mar 2007
    Messages:
    313
    Likes Received:
    178
    Reputations:
    14
    --tamper=between,modsecurityzeroversioned
     
    Sensoft likes this.
  8. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,069
    Likes Received:
    1,565
    Reputations:
    40
    Не надо ничего писать, надо ручками, ручками всё, бывают такие вектора, что ояебу
     
    CyberTro1n, Vovo4ka and Veil like this.
  9. nikbim96

    nikbim96 Member

    Joined:
    16 Jan 2014
    Messages:
    113
    Likes Received:
    23
    Reputations:
    1
    Вот ещё варианты почитай тут и тут а вообще в google забей bypass Mod_Security вот ещё на packetstorm почитай...

    Ну а если sqlmap используешь попробуй так https://www.------.com/index.php?id=1" --tor --random-agent --check-waf --tamper="apostrophemask,apostrophenullencode,appendnullbyte,base64encode,between,bluecoat,chardoubleencode,charencode,charunicodeencode,concat2concatws,equaltolike,greatest,halfversionedmorekeywords,ifnull2ifisnull,modsecurityversioned,modsecurityzeroversioned,multiplespaces,nonrecursivereplacement,percentage,randomcase,randomcomments,securesphere,space2comment,space2dash,space2hash,space2morehash,space2mssqlblank,space2mssqlhash,space2mysqlblank,space2mysqldash,space2plus,space2randomblank,sp_password,unionalltounion,unmagicquotes,versionedkeywords,versionedmorekeywords" хотя выше ребята тебе правильно сказали программой ты врятли обойдешь конечно если там по default все не настроено. Я обычно все sql injection в burp suite кручу и waf в нём же обхожу..
     
Loading...