Продолжаем разбирать актуальные вопросы студентов курса WAPT. Несмотря на полный запрет использования средств автоматизации в ходе обучения, ученики нет-нет, да задают вопрос, а можно ли использовать, например, sqlmap, если решил таск вручную. В принципе, такой вариант вполне допустим. Но тогда у них возникает куча вопросов или проблем с запуском какого-либо инструмента. Сегодня поверхностно рассмотрим несколько программ для автоматизации эксплуатации таких уязвимостей, как SQL, CMD, SSTI. Начнем с простого и наиболее популярного инструмента – SQLMAP.
Про него в сети можно найти большое количество различных мануалов и статей, поэтому не будем на нем сильно заморачиваться, тем более, что на нашем форуме уже есть хорошая статья по sqlmap. Мы с вами рассмотрим только несколько важных моментов.

Для растерзания возьмем первую задачу из темы, которую мы пытали в статье Автоматизация эксплуатации слепой Time-based SQL-инъекции при помощи Burp Suite и WFUZZ.

Прежде всего глянем, как упростить написание команды, чтобы нам не пришлось задавать кучу аргументов: url, cookie, параметры и т.д. Для этого мы перехватываем запрос, где по нашему предположению может находится уязвимость и сохраняем его в файл.И запускаем простую команду на извлечение списка баз данных:

sqlmap -r /home/CODEBY/request --dbsПродолжаем извлекать информацию:

sqlmap -r /home/paladin/CODEBY/request --tables -D sql_first_dbАналогичным способом получаем столбцы и, наконец, дампим содержимое.

Если текущий пользователь базы данных имеет права на чтение и запись файлов, имеется возможность получить шелл. Пробуем.

Для демонстрации этой функции будем использовать один из тасков с платформы античат (дай Бог здоровья разработчикам этого чуда). Как и в предыдущем случае, отправляем запрос с предполагаемой инъекцией в файл и запускаем следующую команду:

sqlmap -r /home/request -D mysql --tables --random-agent --tamper=space2comment --os-shellИ мы получили шелл. Кроме того, sqlmap записал несколько файлов, посмотрим, что это такое?Ба, да это же загрузчик файлов. Загрузим через него какой-нибудь файл.Вот, мы загрузили веб-шелл. В общем, интересная опция. Думаю, на этом рассмотрение инструмента можно закончить. Как я уже говорил, по нему и так полно информации. Хочу только добавить, что для этой программы есть неплохой ремейк для windows, который называется sqlbox, правда он платный:Но это уже тема для отдельной статьи.
Рассмотрим еще один инструмент для автоматизации эксплуатации SQL инъекций – jSQL injection. Он кроссплатформенный и работает под управлением Windows, Linux и MacOS. Для его установки в Kali Linux введем команду: sudo apt install -f jsql, а для запуска наберем в терминале jsql. Приложение имеет оконный интерфейс и удобно в использовании, но по мне так слабее, чем sqlmap. Протестируем его по традиции на первой задаче из темы. Вводим тестируемый URL, выбираем Database auto и Strategy auto и нажимаем стрелку:
И получаем в окне дерево с базами данных, таблицами и столбцами. Для получения дампа, выделяем требуемые столбцы, кликаем правой кнопкой мыши на названии таблицы и выбираем команду НАЧАТЬ:
В правом окне получаем содержимое выбранных столбцов:
В общем программа не сложная, а я не ставлю своей целью разобрать весь ее функционал. Думаю, дальше сами разберетесь.

Хороший инструмент для эксплуатации SSTI-уязвимости. Устанавливаем его с Github. Выполним следующие команды:

# Клонируем репозиторий с исходниками с гитхаба

git clone GitHub - epinna/tplmap: Server-Side Template Injection and Code Injection Detection and Exploitation Tool

# Переходим в скачанную папку

cd tplmap

# Устанавливаем необходимые пакеты зависимостей

sudo pip3 install -r requirements.txt

Всё! Программа установлена. Попробуем ее на одном из тасков с платформы античат . Надеюсь, разработчики меня не побьют. На всем сайте находим место, где мы предполагаем находится SSTI-инъекция, но к сожалению, не получается ее проэксплуатировать. Используем tplmap и сталкиваемся с такой проблемой:

Инъекция есть, но эксплуатироваться она не хочет. Погуглим ошибку. Оказывается, она возникает из-за неправильного импорта в файле /core/plagin.py, который находится в директории с программой.
Все дело в том, что, начиная с версии 3.3, этот метод устарел и его импортирование должно производится следующим образом:

fromcollections.abc importMapping

Внесем изменения в файл, заменив также в 21 и 22 строках collections.Mapping на Mapping:
Запустим скрипт еще раз:
На этот раз все отработало штатно. У нас тут слепая SSTI. Внизу видим список того, что мы можем сделать, а также способы получения шелла.
Пробуем его получить.
Упс! Какая-то непонятка. Шелл мы получили, но на введенную команду он отреагировал только словом True. Команда выполнилась с некоторой задержкой, но результата ее выполнения мы не видим. Пробуем ввести другие команды:Все тоже самое. Отсюда становится понятно то, что, если команда может выполняться в системе, то появится задержка и отобразится сообщение True, если нет – задержки не будет и мы увидим False. Что если получить реверс-шелл через bash?

Запускаем у себя на сервере слушалку, а в командной строке os-shell введем следующее (ip адрес моей машины замазан):И получаем обратное соединениеЕще один инструмент для работы с SSTI. Его будем тестить на том же таске. Сразу скажу, у меня не возникло никаких проблем ни с его установкой, ни с запуском.
Выглядит красивее. По функционалу очень похож на tplmap. Список возможных шеллов значительно больше, можно получить прямое и обратное соединения, а также загружать файлы.
Разберем некоторые возможности:

--os-shell – аналог шелла из tplmap

--os-cmd – выполняет отдельные команды системы. Разумеется, для нашей слепой SSTI вывод будет аналогичен os-shell
--reverse-shell – самая интересная опция, позволяет нам сразу поднять обратное соединение
--upload – позволяет загружать файлы на сервер. При эксплуатации слепой SSTI мне это не удалось
Инструмент для автоматизации эксплуатации Command Injection. Входит в стандартный пакет Kali Linux. Довольно несложная программа, с кучей опций. По традиции протестируем ее на одном из тасков с платформы античат . У нас есть сайт с предположительно уязвимым POST-параметром.

Наберем в терминале такую команду:

commix -u http://test_site/ --method=POST --data="cmd=
Как видим, мы особо ничего не вводили, а сразу получили командную строку терминала, где выполнили системную команду. Если нам нужно только прочитать какой-то файл в целевой системе, мы можем сделать так:
В общем ничего сложного, но инструмент прекрасно справляется с раскруткой уязвимостей, при этом обладает обширным функционалом по обходу WAF. Инструкцию по его использованию можно легко найти в сети. Различные примеры использования можно найти здесь.

Вот в принципе и все, что я хотел сегодня рассмотреть. Для других типов веб-уязвимостей также существуют средства автоматизации, например, для эксплуатации XXE есть XXEinjector, а для SSRF – SSRFmap, autoSSRF, SSRFire и т.д. Поэтому сейчас я хочу объявить конкурс для студентов WAPT. Первый, кто напишет мне в личку решение одной или нескольких задач курса при помощи этих инструментов получит приз в размере 100 BIT, а его решение я вставлю в эту статью. В комментариях к статье я объявлю о завершении конкурса и назову победителей.

На этом все. Всем удачи и спасибо за внимание!!!

Спасибо за статью , много полезного!
Буквально вчера вечером столкнулся со слепой ssti , SSTImap был открытием, особенно как удобно делать реверс шел через него!

Статья отличная,но об большинство инструментов люди и так должны были знать(ибо они давно разрабатываются и поддерживаются),но с SSTImap сам не знал))
И да, если не ошибаюсь то SQLBOX это тот же самый sqlmap,но с графической оболочкой.Поэтому разницы междуsqlmapиSQLBOXнету,кроме наличия графической оболочки

За статью спасибо :>>>

Точно так, есть еще одна существенная разница, sqlbox денег стоит, но удобная зараза

Уверен, что все знают эти инструменты, поэтому не ставил своей целью их детальное рассмотрение. SSTImap действительно недостаточно популярная программа и ее не все еще видели, а проблемы с запуском tplmap у многих возникают и не все могут их решить, поэтому основным моментом здесь выступает решение этой проблемы. При использовании sqlmap не все знают, что можно вставлять запрос из файла и создают дико длинную команду с хедерами и куками, что приводит к ошибкам.

Не знаю,но хотелось бы в следующей статье узнать)))

Так про него уже писали

Soft - SQLBOX - мощный инструмент для SQLлистов

Привет!Решил сделать обзор на SQLBOX - это проект для sqlmapa с удобный граф.интерфейсом и классными фичами. Я слышал очень давно об этом GUI , но никогда не пользовался , так как руки не доходили.Но когда посоветовал @Paladin решил взяться за него. Стоит такая штука 77 евро ( ахренеть можно...

codeby.net

кряк же есть или он чем-то отличается от новейшей версии?

Есть конечно, но тссс . Нельзя!

А как в JSQLвставить не простой GET, а например POST запрос? Работы с файлами я как понял нету, переписывать все параметры в одну строку или как ? Есть решение ?