• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Soft LazySQLMap - SQLMap для лентяев и склеротиков

Всем здравствуйте! Нашел программку на гитхабе. И решил поделиться. LazySQLMap - полностью автоматизириванная программулина для SQL-инъкций. В ней не нужно вводить длиннющие команды, как в SQLMap, она все сделает за вас.

Находим уязвимый сайт с помощью дорков или уязвимость на сайте вручную, вводим программулине

Установка и запуск
Код:
git clone https://github.com/Yukinoshita47/lazysqlmap.git
cd lazysqlmap

chmod 777 install.sh
./install.sh
Запуск, командой
lazysqlmap

tmp9r7g7c.png


Далее... Программа, в процессе работы, может задавать вопросы, читаем внимательно что спрашивает и отвечаем ей"да" или "нет".

tmpfaY7VL.png


Так, нашла нужное.

tmpOp87yv.png


information_schema нам не нужна, попробуем поискать интересное в wciom_info

tmpYylwet.png


Как в SQLMap, команду не приходится вводить, программка сама спросит ей нужное, именно это и пишем ей. В нашем случае, это wciom_info

tmpViGLyb.png


Оо, сколько нашла!

tmpI0Fdw5.png


На следующую просьбу программы, отвечаем ей параметром be_users

tmpnnEVOS.png


Едем дальше.) Смотрим и выбираем, чё нам нужно вводить в следующий раз

tmpSd2Fkd.png


Выбрали нужное, вводим их через запятую

tmpZPv8Pl.png


И полученный результат.

Так, теперь нам нужно расшифровать хеши. Под рукой у меня sqlmate, запускаем и скармливаем ей их.

Как юзать прогу sqlmate, описано здесь Sqlmate, программа-помощник для взлома сайтов

tmpLmU4yj.png


Два хеша расшифрованы. Дальнейшие наши действия, ищем админки, заходм под админом и творим с сайтом че угодно.)
Мною, было отправлено письмо - проигнорили. Хоть бы что то ответили, дежурными фразами. Ничего от них не просил, ни копейки. Просто, заделайте уязвимость итд. По XSS, у них ситуация похуже. Ничего дальше делать не стал, админки не искал. Просто продемонстрировал програму в работе.

Спасибо всем, кто прочли..
 
S

Sniff

Кто-нибудь тестил эту софтину на попугае?
"Попугай" вы какую ОС так называете.? Просветите, плизз.
[doublepost=1510538705,1510538105][/doublepost]
Роюсь в гитхабе и новинки получаю с амерских сайтов. Как что то увижу, ставлю, тестирую и если получается, несу сюда.
[doublepost=1510530886,1510530475][/doublepost]
Ладно, парень, проехали. Попенял по стариковски. Но все таки предупрежу, здесь не так общаются, как на школохохакерских форумах. Поэтомму этот сайт выбрал и остался. Надо соблюдать приличия. Спрашивай, что непонятно. Чам учусь, мож чем помогу. Или другие подтянутся, которые больше моего соображают.
[doublepost=1510531300][/doublepost]
Так, послушайте, почему спрашиваете за другого человека, и система у вас одна и айпишник? Не клон ли вы? мда, клоны есть везде.
Парень, система одна и айпишник, может быть у многих ,потому как, всякие любопытные, кидают скрипты в комменты и хотят отлавливать собеседников, выявляя клонов. Многие юзают спуферы и прокси. Здесь не соцсети, где можно лайкать, как придурки. И я тебя, парень спрошу, чем эти твои лайки, хорошим в реальной жизни смогут помочь? Так, одна пустышка. Вопросы другие есть?
[doublepost=1510540064][/doublepost]
Толи я сегодня пива перепил, или я тебя вообще не понимаю
Послушайте, молодой человек, или вы учитесь или пиво пейте. Не понтуйтесь, а спрашивайте, не стесняйтесь или сами вникнуть постарайтесь. Мануалы читайте, на английском тоже бывают. Гугл переводчик в помощь. Всё я с вами прощаюсь. Со мной, тоже никто здесь не нянчился.
 

krypt0n

Green Team
12.11.2017
139
68
BIT
0
"Попугай" вы какую ОС так называете.? Просветите, плизз.
[doublepost=1510538705,1510538105][/doublepost]
Парень, система одна и айпишник, может быть у многих ,потому как, всякие любопытные, кидают скрипты в комменты и хотят отлавливать собеседников, выявляя клонов. Многие юзают спуферы и прокси. Здесь не соцсети, где можно лайкать, как придурки. И я тебя, парень спрошу, чем эти твои лайки, хорошим в реальной жизни смогут помочь? Так, одна пустышка. Вопросы другие есть?
[doublepost=1510540064][/doublepost]
Послушайте, молодой человек, или вы учитесь или пиво пейте. Не понтуйтесь, а спрашивайте, не стесняйтесь или сами вникнуть постарайтесь. Мануалы читайте, на английском тоже бывают. Гугл переводчик в помощь. Всё я с вами прощаюсь. Со мной, тоже никто здесь не нянчился.
попугай это
Parrot Security OS
 

kot-gor

Grey Team
07.09.2016
529
705
BIT
0
Что творят технологии, скоро доживем до того, что одной кнопкой можно сайт сломать..Пора менять профессию..)
 

newbiee

Green Team
28.06.2017
50
70
BIT
0
Что творят технологии, скоро доживем до того, что одной кнопкой можно сайт сломать..Пора менять профессию..)
Началась эра data scientist :)
К концу 2018-го года их будет острая нехватка, судя потому какой объём данных ежедневно проходит по сетке.
Но знать надо уж слишком много: высшую математику (теория вероятностей, линейная/множественная регрессия и всё таком духе алгебры), машинное обучение, программирование естественно, основы ИБ, ещё и в нюансах бизнес-предпринимательства надо разбираться. Может кто-то хотел бы введение в эту профессию, вот хорошая книга для старта подтянуть математику базовые знания в этом кластере из профессий. У нас есть год, чтобы стать специалистами :)
Извиняюсь за оффтоп, не сдержался.
 
S

Sniff

стоит добавить, что LazySQLMap доступен и для Android через termux.
Для этого необходим python 2.7, в остальном установка аналонична.
Большое мерси за дополнение.
[doublepost=1511559265,1511559110][/doublepost]
Вот я дурень недогадливый! Знаю про эту ОС, даже немного поюзал, а как её ещё называют - не знал.
 
  • Нравится
Реакции: id2746 и ghost
S

Sniff

Я тоже не знал :) пока не провел аналогию по логотипу сего дистрибутива
Всё элементарно просто, мы не все английские слова знаем. Parrot, в переводе попугай. Шарюсь по мануалам, связанным с ит, перевожу с помощью переводчиков. А тут, название на виду и никак не допёр его попробовать перевести.) Ну стыд и срам!
 
  • Нравится
Реакции: ghost

ghost

Grey Team
12.05.2016
1 636
3 286
BIT
0
Всё элементарно просто, мы не все английские слова знаем. Parrot, в переводе попугай. Шарюсь по мануалам, связанным с ит, перевожу с помощью переводчиков. А тут, название на виду и никак не допёр его попробовать перевести.) Ну стыд и срам!
Ну я тоже как то более по технической части перевожу, а не из области биологии...
 
D

DoomGuyB

Ребят, при попытке провести тестирование на любом сайте, в конце вылазит эта ошибка. В чем может быть проблема?
Я новичок в SQL, если что.
 

Вложения

  • Screenshot_2018-06-17-20-18-19.png
    Screenshot_2018-06-17-20-18-19.png
    130,9 КБ · Просмотры: 489

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
Ребят, при попытке провести тестирование на любом сайте, в конце вылазит эта ошибка. В чем может быть проблема?
Я новичок в SQL, если что.

Это скорее подсказка. Там сообщается - ничего не нашли, пробуйте дополнить команду следующими параметрами ( они там есть -название ) и пробуйте
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!