• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Как получить и использовать уязвимости сайтов joomla

V

VikTor1990

Доброго времени суток!!!

Подскажите пожалуйста пытался найти уязвимости на сайте своей организации для возможности получния логинов и паролей к админке сайта через SQLMAP

При попытке использовать sqlmap без ?id=# в конце ссылки на сам сайт, сканер выдает ошибку: "объекты не являются инъекцируемыми"



Для поиска уязвимостей использовал следующие сканеры для поиска SQL инъекций:



//// это простой пример



wapiti -u -b page -v 2 -o /root/wapity/outfile.html

joomscan -u

uniscan -u -bqdw

из вышеуказанных сканеров только uniscan нашел уязвимости на сайте (уязвимости в модулях joomla), и выдал ссылку на файл robots.txt

Как можно использовать полученные уязвимости для доступа к БД сайта, и может ли пригодиться файл robots.txt?


Как я понимаю файл robots.txt содержит параметры индексирования сайта для поисковых систем, а значит БД проиндексирована при добавлении ?id=1,100,1000 в конец ссылки

на сайте ничего не происходит, хотя фактически должна вылезти ошибка SQL и сообщить о том, что сайт является уязвимым


Заранее прошу прощения если вопрос некорректно сформулирован.
 

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
sqlmap --crawl=2 --batch + добавить нужные параметры. сканер обойдет автоматом весь сайт. Не забывайте, таким образом он обнаружит только видимые и очевидные проблемы.

owasp-zap пробуйте, не плохо поискать поддомены dnsenum к примеру. можно и w3af подключить. Установить пользователей в админку ( manager папка ).

Немного заключений: Joomla довольно популярный движок, регулярно обновляется, найти в новой версии обычными сканерами шанс минимальный. Если только там нет доп модулей, которые админ криво настроил или кинул по дефолту.

см. Фаззинг + BurpSuite
 
Последнее редактирование:
V

VikTor1990

sqlmap --crawl=2 --batch + добавить нужные параметры. сканер обойдет автоматом весь сайт. Не забывайте, таким образом он обнаружит только видимые и очевидные проблемы.

Проблема SQLMAP в том, что если не указать параметр "?id=1,100 и т.д." в конце ссылки

Например:

Было:
*****************************************************************
sqlmap -u --dbs
*****************************************************************
Нужно:
*****************************************************************
sqlmap -u --dbs
*****************************************************************
то сканер выдаст ошибку синтаксиса, что параметр ?id=# отсутствует


w3af пробовал по бестолковости сразу не получилось

owasp-zap буду пробовать, благодарю
 

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
ПРИМЕР!
параметры некоторые под себя надо сменить

Код:
sqlmap -v 2 --url=http://mysite.com/index --user-agent=SQLMAP --delay=1 --timeout=15 --retries=2
--keep-alive --threads=5 --eta --batch --dbms=MySQL --os=Linux --level=5 --risk=4 --banner --is-dba --dbs --tables --technique=BEUST

или более простой вариант
sqlmap --random-agent -u site.com --form --crawl=2 --batch
 
V

VikTor1990

ПРИМЕР!
параметры некоторые под себя надо сменить
Код:
sqlmap -v 2 --url=http://mysite.com/index --user-agent=SQLMAP --delay=1 --timeout=15 --retries=2
--keep-alive --threads=5 --eta --batch --dbms=MySQL --os=Linux --level=5 --risk=4 --banner --is-dba --dbs --tables --technique=BEUST
или более простой вариант
sqlmap --random-agent -u site.com --form --crawl=2 --batch

Благодарю!

так я не пробовал, нужно сегодня обязательно попробовать, сразу отпишу

к слову, нет ли подробной справки к sqlmap с описанием опций и команд
 

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
1) sqlmap -h
2) link removed
3) под хайд выбрать раздел ДОКУМЕНТАЦИЯ
 

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
Посмотрите commix
Commix: Command Injection Exploiter
 

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 318
3 997
BIT
1
При тестировании на sql -уязвимости , надо в расчёт брать и то , почему не выводятся ошибки при запросах. Либо уязвимости нет , либо могут фильтроваться кавычки,отключен вывод ошибок, также может быть задано преобразование в int. Конкретно по Joomla , обязательно надо знать какой он версии.Если 3.6.3 , то шанс есть проэксплуатировать его особенности . На конец 2016 года ,очень актуальны были следующие уязвимости для Joomla : CVE-2016-8870 ; CVE-2016-9081 и CVE-2016-8869.По состоянию на начало 2017 года , тоже что-то есть новое,но сам не разбирался если честно .
 
  • Нравится
Реакции: ghostphisher
V

VikTor1990

При тестировании на sql -уязвимости , надо в расчёт брать и то , почему не выводятся ошибки при запросах. Либо уязвимости нет , либо могут фильтроваться кавычки,отключен вывод ошибок, также может быть задано преобразование в int. Конкретно по Joomla , обязательно надо знать какой он версии.Если 3.6.3 , то шанс есть проэксплуатировать его особенности . На конец 2016 года ,очень актуальны были следующие уязвимости для Joomla : CVE-2016-8870 ; CVE-2016-9081 и CVE-2016-8869.По состоянию на начало 2017 года , тоже что-то есть новое,но сам не разбирался если честно .


Скорее всего отключен вывод кавычек, т.к. полного отсутствия уязвимостей на сайте быть не может
 

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
Скорее всего отключен вывод кавычек, т.к. полного отсутствия уязвимостей на сайте быть не может

Разумеется, онако не факт что инструментами по дефолту их можно найти. Верно было сказанно про CVE
 
V

VikTor1990

Доброго времени суток!

Подскажите пожалуйста кто сталкивался сканер w3af при запуске просит установку модулей


**********************************************************************************************************

sudo pip install pybloomfiltermmap==0.3.14 esmre==0.3.1 phply==0.9.1 nltk==3.0.1 chardet==2.1.1 tblib==0.2.0 pdfminer==20140328 futures==2.1.5 pyOpenSSL==0.15.1 ndg-httpsclient==0.3.3 lxml==3.4.4 scapy-real==2.2.0-dev guess-language==0.2 cluster==1.1.1b3 msgpack-python==0.4.4 python-ntlm==1.0.1 halberd==0.2.4 darts.util.lru==0.5 Jinja2==2.7.3 vulndb==0.0.19 markdown==2.6.1 psutil==2.2.1 mitmproxy==0.13 ruamel.ordereddict==0.4.8 Flask==0.10.1 tldextract==1.7.2 xdot==0.6

***********************************************************************************************************



Во время установки модулей выдает ошибку:

***********************************************************************************************************

Command "/usr/bin/python -u -c "import setuptools, tokenize;__file__='/tmp/pip-build-60r9nY/pybloomfiltermmap/setup.py';f=getattr(tokenize, 'open', open)(__file__);code=f.read().replace('\r\n', '\n');f.close();exec(compile(code, __file__, 'exec'))" install --record /tmp/pip-QKgba0-record/install-record.txt --single-version-externally-managed --compile" failed with error code 1 in /tmp/pip-build-60r9nY/pybloomfiltermmap/

***********************************************************************************************************


что ему не нравится?
[doublepost=1490086930,1490078346][/doublepost]Доброго времени суток


И еще один параллельный вопрос:

Можно ли подобрать пароль к phpmyadmin сайта?

Существует ли какой нибудь модуль на подобие к примеру sqlmap
 

centr

Green Team
31.01.2017
408
475
BIT
0
......


И еще один параллельный вопрос:

Можно ли подобрать пароль к phpmyadmin сайта?

Существует ли какой нибудь модуль на подобие к примеру sqlmap

А что мешает использовать обычный брут?
Если не ошибаюсь hydra\medusa\ncrack имеют возможность брутить mysql сервер (не?), зачем SQLMAP?
 
V

VikTor1990

А что мешает использовать обычный брут?
Если не ошибаюсь hydra\medusa\ncrack имеют возможность брутить mysql сервер (не?), зачем SQLMAP?


Проблема в том что гидра выдает 0 й результат при наличии заведомо правильного пароля в passlist.txt, medusa - показывает только первый пароль passlist -а, ncrack ом буду пробовать пока что не сталкивался с ним

Благодарю за ответ
 

centr

Green Team
31.01.2017
408
475
BIT
0
м.б. что нибудь с настройками ни так?
В принципе можно написать простой скриптик на perl\python\bash который будет брутить сервер mysql, это наверное будет на много продуктивнее.
 
V

VikTor1990

В принципе можно написать простой скриптик на perl\python\bash который будет брутить сервер mysql, это наверное будет на много продуктивнее.


К моему сожалению в написании скриптов не силен, но за совет благодарю
[doublepost=1490608059,1490596799][/doublepost]Кстати возник небольшой вопрос по hydra


Почему при бруте по словарю в 3000К паролей гидра фильтрует только 16 случайных паролей за 10 секунд, хотя по факту словарь весомый
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!