Привет всем!
Продолжаем разбирать актуальные вопросы студентов курса
WAPT. Несмотря на полный запрет использования средств автоматизации в ходе обучения, ученики нет-нет, да задают вопрос, а можно ли использовать, например, sqlmap, если решил таск вручную. В принципе, такой вариант вполне допустим. Но тогда у них возникает куча вопросов или проблем с запуском какого-либо инструмента. Сегодня поверхностно рассмотрим несколько программ для автоматизации эксплуатации таких уязвимостей, как SQL, CMD, SSTI. Начнем с простого и наиболее популярного инструмента – SQLMAP.
SQLMAP
Про него в сети можно найти большое количество различных мануалов и статей, поэтому не будем на нем сильно заморачиваться, тем более, что на нашем форуме уже есть хорошая
статья по sqlmap. Мы с вами рассмотрим только несколько важных моментов.
Для растерзания возьмем первую задачу из темы, которую мы пытали в статье
Автоматизация эксплуатации слепой Time-based SQL-инъекции при помощи Burp Suite и WFUZZ.
Прежде всего глянем, как упростить написание команды, чтобы нам не пришлось задавать кучу аргументов: url, cookie, параметры и т.д. Для этого мы перехватываем запрос, где по нашему предположению может находится уязвимость и сохраняем его в файл.
И запускаем простую команду на извлечение списка баз данных:
sqlmap -r /home/CODEBY/request --dbsПродолжаем извлекать информацию:
sqlmap -r /home/paladin/CODEBY/request --tables -D sql_first_dbАналогичным способом получаем столбцы и, наконец, дампим содержимое.
Если текущий пользователь базы данных имеет права на чтение и запись файлов, имеется возможность получить шелл. Пробуем.
Для демонстрации этой функции будем использовать один из тасков с платформы античат (дай Бог здоровья разработчикам этого чуда). Как и в предыдущем случае, отправляем запрос с предполагаемой инъекцией в файл и запускаем следующую команду:
sqlmap -r /home/request -D mysql --tables --random-agent --tamper=space2comment --os-shellИ мы получили шелл. Кроме того, sqlmap записал несколько файлов, посмотрим, что это такое?
Ба, да это же загрузчик файлов. Загрузим через него какой-нибудь файл.
Вот, мы загрузили веб-шелл. В общем, интересная опция. Думаю, на этом рассмотрение инструмента можно закончить. Как я уже говорил, по нему и так полно информации. Хочу только добавить, что для этой программы есть неплохой ремейк для windows, который называется sqlbox, правда он платный:
Но это уже тема для отдельной статьи.
JSQL INJECTION
Рассмотрим еще один инструмент для автоматизации эксплуатации SQL инъекций – jSQL injection. Он кроссплатформенный и работает под управлением Windows, Linux и MacOS. Для его установки в Kali Linux введем команду:
sudo apt install -f jsql, а для запуска наберем в терминале
jsql. Приложение имеет оконный интерфейс и удобно в использовании, но по мне так слабее, чем sqlmap. Протестируем его по традиции на первой задаче из темы. Вводим тестируемый URL, выбираем Database auto и Strategy auto и нажимаем стрелку:
И получаем в окне дерево с базами данных, таблицами и столбцами. Для получения дампа, выделяем требуемые столбцы, кликаем правой кнопкой мыши на названии таблицы и выбираем команду НАЧАТЬ:
В правом окне получаем содержимое выбранных столбцов:
В общем программа не сложная, а я не ставлю своей целью разобрать весь ее функционал. Думаю, дальше сами разберетесь.
TPLMAP
Хороший инструмент для эксплуатации SSTI-уязвимости. Устанавливаем его с Github. Выполним следующие команды:
# Клонируем репозиторий с исходниками с гитхаба
git clone GitHub - epinna/tplmap: Server-Side Template Injection and Code Injection Detection and Exploitation Tool
# Переходим в скачанную папку
cd tplmap
# Устанавливаем необходимые пакеты зависимостей
sudo pip3 install -r requirements.txt
Всё! Программа установлена. Попробуем ее на одном из тасков с платформы античат . Надеюсь, разработчики меня не побьют. На всем сайте находим место, где мы предполагаем находится SSTI-инъекция, но к сожалению, не получается ее проэксплуатировать. Используем tplmap и сталкиваемся с такой проблемой:
Инъекция есть, но эксплуатироваться она не хочет. Погуглим ошибку. Оказывается, она возникает из-за неправильного импорта в файле /core/plagin.py, который находится в директории с программой.
Все дело в том, что, начиная с версии 3.3, этот метод устарел и его импортирование должно производится следующим образом:
fromcollections.abc importMapping
Внесем изменения в файл, заменив также в 21 и 22 строках collections.Mapping на Mapping:
Запустим скрипт еще раз:
На этот раз все отработало штатно. У нас тут слепая SSTI. Внизу видим список того, что мы можем сделать, а также способы получения шелла.
Пробуем его получить.
Упс! Какая-то непонятка. Шелл мы получили, но на введенную команду он отреагировал только словом True. Команда выполнилась с некоторой задержкой, но результата ее выполнения мы не видим. Пробуем ввести другие команды:
Все тоже самое. Отсюда становится понятно то, что, если команда может выполняться в системе, то появится задержка и отобразится сообщение True, если нет – задержки не будет и мы увидим False. Что если получить реверс-шелл через bash?
Запускаем у себя на сервере слушалку, а в командной строке os-shell введем следующее (ip адрес моей машины замазан):
И получаем обратное соединение
SSTIMAP Еще один инструмент для работы с SSTI. Его будем тестить на том же таске. Сразу скажу, у меня не возникло никаких проблем ни с его установкой, ни с запуском.
Выглядит красивее. По функционалу очень похож на tplmap. Список возможных шеллов значительно больше, можно получить прямое и обратное соединения, а также загружать файлы.
Разберем некоторые возможности:
--os-shell – аналог шелла из tplmap
--os-cmd – выполняет отдельные команды системы. Разумеется, для нашей слепой SSTI вывод будет аналогичен os-shell
--reverse-shell – самая интересная опция, позволяет нам сразу поднять обратное соединение
--upload – позволяет загружать файлы на сервер. При эксплуатации слепой SSTI мне это не удалось
COMMIXИнструмент для автоматизации эксплуатации Command Injection. Входит в стандартный пакет Kali Linux. Довольно несложная программа, с кучей опций. По традиции протестируем ее на одном из тасков с платформы античат . У нас есть сайт с предположительно уязвимым POST-параметром.
Наберем в терминале такую команду:
commix -u http://test_site/ --method=POST --data="cmd=
Как видим, мы особо ничего не вводили, а сразу получили командную строку терминала, где выполнили системную команду. Если нам нужно только прочитать какой-то файл в целевой системе, мы можем сделать так:
В общем ничего сложного, но инструмент прекрасно справляется с раскруткой уязвимостей, при этом обладает обширным функционалом по обходу WAF. Инструкцию по его использованию можно легко найти в сети. Различные примеры использования можно найти здесь.
Вот в принципе и все, что я хотел сегодня рассмотреть. Для других типов веб-уязвимостей также существуют средства автоматизации, например, для эксплуатации XXE есть XXEinjector, а для SSRF – SSRFmap, autoSSRF, SSRFire и т.д. Поэтому сейчас я хочу объявить конкурс для студентов WAPT. Первый, кто напишет мне в
личку решение одной или нескольких задач курса при помощи этих инструментов получит приз в размере 100 BIT, а его решение я вставлю в эту статью. В комментариях к статье я объявлю о завершении конкурса и назову победителей.
На этом все. Всем удачи и спасибо за внимание!!!
Линейный вид
