• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Автоматизация эксплуатации веб-уязвимостей

prew.jpg


Привет всем!

Продолжаем разбирать актуальные вопросы студентов курса WAPT. Несмотря на полный запрет использования средств автоматизации в ходе обучения, ученики нет-нет, да задают вопрос, а можно ли использовать, например, sqlmap, если решил таск вручную. В принципе, такой вариант вполне допустим. Но тогда у них возникает куча вопросов или проблем с запуском какого-либо инструмента. Сегодня поверхностно рассмотрим несколько программ для автоматизации эксплуатации таких уязвимостей, как SQL, CMD, SSTI. Начнем с простого и наиболее популярного инструмента – SQLMAP.​

SQLMAP

Про него в сети можно найти большое количество различных мануалов и статей, поэтому не будем на нем сильно заморачиваться, тем более, что на нашем форуме уже есть хорошая статья по sqlmap. Мы с вами рассмотрим только несколько важных моментов.

Для растерзания возьмем первую задачу из темы, которую мы пытали в статье Автоматизация эксплуатации слепой Time-based SQL-инъекции при помощи Burp Suite и WFUZZ.

Прежде всего глянем, как упростить написание команды, чтобы нам не пришлось задавать кучу аргументов: url, cookie, параметры и т.д. Для этого мы перехватываем запрос, где по нашему предположению может находится уязвимость и сохраняем его в файл.​

1703414770330.png

И запускаем простую команду на извлечение списка баз данных:

sqlmap -r /home/CODEBY/request --dbs

1703415531688.png

Продолжаем извлекать информацию:

sqlmap -r /home/paladin/CODEBY/request --tables -D sql_first_db

1703415573338.png

Аналогичным способом получаем столбцы и, наконец, дампим содержимое.

Если текущий пользователь базы данных имеет права на чтение и запись файлов, имеется возможность получить шелл. Пробуем.

Для демонстрации этой функции будем использовать один из тасков с платформы Codeby games (дай Бог здоровья разработчикам этого чуда). Как и в предыдущем случае, отправляем запрос с предполагаемой инъекцией в файл и запускаем следующую команду:

sqlmap -r /home/request -D mysql --tables --random-agent --tamper=space2comment --os-shell

1703415651629.png

И мы получили шелл. Кроме того, sqlmap записал несколько файлов, посмотрим, что это такое?​

1703415718963.png

Ба, да это же загрузчик файлов. Загрузим через него какой-нибудь файл.​

1703415765975.png

Вот, мы загрузили веб-шелл. В общем, интересная опция. Думаю, на этом рассмотрение инструмента можно закончить. Как я уже говорил, по нему и так полно информации. Хочу только добавить, что для этой программы есть неплохой ремейк для windows, который называется sqlbox, правда он платный:​

1703415814486.png


1703415829822.png

Но это уже тема для отдельной статьи.​

JSQL INJECTION

Рассмотрим еще один инструмент для автоматизации эксплуатации SQL инъекций – jSQL injection. Он кроссплатформенный и работает под управлением Windows, Linux и MacOS. Для его установки в Kali Linux введем команду: sudo apt install -f jsql, а для запуска наберем в терминале jsql. Приложение имеет оконный интерфейс и удобно в использовании, но по мне так слабее, чем sqlmap. Протестируем его по традиции на первой задаче из темы. Вводим тестируемый URL, выбираем Database auto и Strategy auto и нажимаем стрелку:​

1703415906328.png

И получаем в окне дерево с базами данных, таблицами и столбцами. Для получения дампа, выделяем требуемые столбцы, кликаем правой кнопкой мыши на названии таблицы и выбираем команду НАЧАТЬ:​

1703415965911.png

В правом окне получаем содержимое выбранных столбцов:​

1703415999841.png

В общем программа не сложная, а я не ставлю своей целью разобрать весь ее функционал. Думаю, дальше сами разберетесь.
TPLMAP

Хороший инструмент для эксплуатации SSTI-уязвимости. Устанавливаем его с Github. Выполним следующие команды:
# Клонируем репозиторий с исходниками с гитхаба
git clone GitHub - epinna/tplmap: Server-Side Template Injection and Code Injection Detection and Exploitation Tool
# Переходим в скачанную папку
cd tplmap
# Устанавливаем необходимые пакеты зависимостей
sudo pip3 install -r requirements.txt

Всё! Программа установлена. Попробуем ее на одном из тасков с платформы codeby games. Надеюсь, разработчики меня не побьют. На всем сайте находим место, где мы предполагаем находится SSTI-инъекция, но к сожалению, не получается ее проэксплуатировать. Используем tplmap и сталкиваемся с такой проблемой:
1703416103262.png

Инъекция есть, но эксплуатироваться она не хочет. Погуглим ошибку. Оказывается, она возникает из-за неправильного импорта в файле /core/plagin.py, который находится в директории с программой.
1703416169606.png
Все дело в том, что, начиная с версии 3.3, этот метод устарел и его импортирование должно производится следующим образом:

from collections.abc import Mapping

Внесем изменения в файл, заменив также в 21 и 22 строках collections.Mapping на Mapping:​

1703416219971.png

Запустим скрипт еще раз:​

1703416260203.png

На этот раз все отработало штатно. У нас тут слепая SSTI. Внизу видим список того, что мы можем сделать, а также способы получения шелла.​

1703416329386.png

Пробуем его получить.​

1703416360782.png

Упс! Какая-то непонятка. Шелл мы получили, но на введенную команду он отреагировал только словом True. Команда выполнилась с некоторой задержкой, но результата ее выполнения мы не видим. Пробуем ввести другие команды:​

1703416407519.png

Все тоже самое. Отсюда становится понятно то, что, если команда может выполняться в системе, то появится задержка и отобразится сообщение True, если нет – задержки не будет и мы увидим False. Что если получить реверс-шелл через bash?

Запускаем у себя на сервере слушалку, а в командной строке os-shell введем следующее (ip адрес моей машины замазан):​

1703416469801.png

И получаем обратное соединение​

1703431604603.png


SSTIMAP

Еще один инструмент для работы с SSTI. Его будем тестить на том же таске. Сразу скажу, у меня не возникло никаких проблем ни с его установкой, ни с запуском.​

1703416548396.png

Выглядит красивее. По функционалу очень похож на tplmap. Список возможных шеллов значительно больше, можно получить прямое и обратное соединения, а также загружать файлы.​

1703416583674.png

Разберем некоторые возможности:
--os-shell – аналог шелла из tplmap
--os-cmd – выполняет отдельные команды системы. Разумеется, для нашей слепой SSTI вывод будет аналогичен os-shell
1703416645255.png


1703416660462.png

--reverse-shell – самая интересная опция, позволяет нам сразу поднять обратное соединение​

1703416745663.png


1703416987358.png

--upload – позволяет загружать файлы на сервер. При эксплуатации слепой SSTI мне это не удалось​

1703417066852.png


COMMIX

Инструмент для автоматизации эксплуатации Command Injection. Входит в стандартный пакет Kali Linux. Довольно несложная программа, с кучей опций. По традиции протестируем ее на одном из тасков с платформы Codeby games. У нас есть сайт с предположительно уязвимым POST-параметром.
Наберем в терминале такую команду:

commix -u http://test_site/ --method=POST --data="cmd=

1703417135979.png

Как видим, мы особо ничего не вводили, а сразу получили командную строку терминала, где выполнили системную команду. Если нам нужно только прочитать какой-то файл в целевой системе, мы можем сделать так:​

1703417179237.png

В общем ничего сложного, но инструмент прекрасно справляется с раскруткой уязвимостей, при этом обладает обширным функционалом по обходу WAF. Инструкцию по его использованию можно легко найти в сети. Различные примеры использования можно найти здесь.

Вот в принципе и все, что я хотел сегодня рассмотреть. Для других типов веб-уязвимостей также существуют средства автоматизации, например, для эксплуатации XXE есть XXEinjector, а для SSRF – SSRFmap, autoSSRF, SSRFire и т.д. Поэтому сейчас я хочу объявить конкурс для студентов WAPT. Первый, кто напишет мне в личку решение одной или нескольких задач курса при помощи этих инструментов получит приз в размере 100 BIT, а его решение я вставлю в эту статью. В комментариях к статье я объявлю о завершении конкурса и назову победителей.

На этом все. Всем удачи и спасибо за внимание!!!​
 
Последнее редактирование модератором:

vov4ick

Green Team
11.12.2022
40
106
BIT
820
Спасибо за статью , много полезного!
Буквально вчера вечером столкнулся со слепой ssti , SSTImap был открытием, особенно как удобно делать реверс шел через него!
 
  • Нравится
Реакции: Cruel Lord, f22 и Luxkerr

FXLL

Green Team
22.12.2022
45
7
BIT
40
Статья отличная,но об большинство инструментов люди и так должны были знать(ибо они давно разрабатываются и поддерживаются),но с SSTImap сам не знал))
И да, если не ошибаюсь то SQLBOX это тот же самый sqlmap,но с графической оболочкой.Поэтому разницы между sqlmap и SQLBOX нету,кроме наличия графической оболочки
За статью спасибо :>>>
 

Paladin

Red Team
10.10.2021
102
451
BIT
477
И да, если не ошибаюсь то SQLBOX это тот же самый sqlmap,но с графической оболочкой.Поэтому разницы между sqlmap и SQLBOX нету,кроме наличия графической оболочки
Точно так, есть еще одна существенная разница, sqlbox денег стоит, но удобная зараза
 
  • Нравится
Реакции: FXLL

Paladin

Red Team
10.10.2021
102
451
BIT
477
Статья отличная,но об большинство инструментов люди и так должны были знать(ибо они давно разрабатываются и поддерживаются),но с SSTImap сам не знал))
Уверен, что все знают эти инструменты, поэтому не ставил своей целью их детальное рассмотрение. SSTImap действительно недостаточно популярная программа и ее не все еще видели, а проблемы с запуском tplmap у многих возникают и не все могут их решить, поэтому основным моментом здесь выступает решение этой проблемы. При использовании sqlmap не все знают, что можно вставлять запрос из файла и создают дико длинную команду с хедерами и куками, что приводит к ошибкам.
 
  • Нравится
Реакции: FXLL и Luxkerr

Paladin

Red Team
10.10.2021
102
451
BIT
477
Не знаю,но хотелось бы в следующей статье узнать)))
Так про него уже писали
 

Tk1lla

New member
18.02.2024
2
0
BIT
20
А как в JSQL вставить не простой GET, а например POST запрос? Работы с файлами я как понял нету, переписывать все параметры в одну строку или как ? Есть решение ?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!