Soft Atlas - утилита для нахождения tampers для sqlmap

Доброго времени суток! Сегодня я хочу представить вам утилиту - Atlas. На данный момент она предоставлена в свободном доступе на GitHub.

Чем это за утилита и на что способна?

Atlas — подбирает sqlmap tampers для того, чтобы обходить WAF / IDS / IPS. Инструмент написан на python.

Мною был проверен каждый файл данной утилиты.

Какие были обнаружены угрозы?
Подключение библиотек os и sys, но проанализировав код, я заметил, что библиотека sys используется только для выхода, а os для интеллектуального соединения нескольких компонентов пути.

Программа Atlas довольно удобна в использовании, и по интерфейсу схожа с sqlmap

Для запуска программы вводим:

python atlas.py --url '

Ссылка скрыта от гостей

' --payload="'*то что выдал нам sqlmap*" --random-agent -v

Признаки WAF / IDS / IPS на сайте, в sqlmap можно обнаружить легко, так как в конце будет выдавать ошибку:

Также, вначале можно заметить присутствие компонента CAPTCHA, и 403 ошибка HTTP:

При нахождении определенного tamper, Atlas выдает такое сообщение:

И, следовательно, после этого вводим:

sqlmap -u ' link removed' --dbs --random-agent --tamper=*сам tamper*

На этом работа Atlas'а закончена. Спасибо за внимание!

 

[Сергей Попов]

По тематике "Тестирование Веб-Приложений на проникновение"

• Статья не менее 500 слов (3000 символов без пробелов)

 

[g00db0y]

По тематике "Тестирование Веб-Приложений на проникновение"

• Статья не менее 500 слов (3000 символов без пробелов)

Понял, моя недоработка

 

[prox00]

Вопрос - можно ли папки WAF и tamper в атласе дополнить тамперами из аналогичных папок sqlmapa ?

 

[g00db0y]

Вопрос - можно ли папки WAF и tamper в атласе дополнить тамперами из аналогичных папок sqlmapa ?

Да, но тогда вам нужно их редактировать, что бы они корректно работали с Atlas'ом

 

[prox00]

нужно их редактировать,

а в чем заключается редактирование? какого файла? Если Вам не сложно, приведите пример?

 

[g00db0y]

а в чем заключается редактирование? какого файла? Если Вам не сложно, приведите пример?

Сейчас не смогу, если что, отпишите мне в ЛС. Редактирование заключается в подгоне одного кода, под требования другого. В принципе, вам следует проанализировать как atlas.py обращается к тем или иным файлам, и из этого уже подгонять код sqlmap под требования данного скрипта. Думаю стоит брать код который написал автор, и основные элементы делать так же. Надеюсь вы поняли о чём я.

 

[gergaz]

А как быть если атлас подобрал около 10 тамперов, по очереди все перепробовал, и все дали ответ 403, и это не на одном сайте, а таких случаев много?
Или их все вместе в мап вставлять?

 

[g00db0y]

А как быть если атлас подобрал около 10 тамперов, по очереди все перепробовал, и все дали ответ 403, и это не на одном сайте, а таких случаев много?
Или их все вместе в мап вставлять?

Скорее всего, он не понял, что темперы, которые он посылает на сайт - неверные

 

[Genezis]

Подскажите, пожалуйста, как установить atlas на макбук?