SQLI

47linux · 2015-09-21 12:45:19

SQLI в последней сборке от Visman:

python sqlmap.py -u "http://forum1" --headers="X-Forwarded-For: 1'"\" --drop-set-cookie --keep-alive --flush-session --level=5 --risk=3
         _
 ___ ___| |_____ ___ ___  {1.0-dev-nongit-20150920}
|_ -| . | |     | .'| . |
|___|_  |_|_|_|_|__,|  _|
      |_|           |_|   http://sqlmap.org

[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage caused by this program

[*] starting at 12:44:12

[12:44:12] [WARNING] you've provided target URL without any GET parameters (e.g. www.site.com/article.php?id=1) and without providing any POST parameters through --data option
do you want to try URI injections in the target URL itself? [Y/n/q] y
[12:44:14] [INFO] testing connection to the target URL
sqlmap got a 301 redirect to 'http://forum1/'. Do you want to follow? [Y/n] y
[12:44:15] [INFO] testing if the target URL is stable
[12:44:15] [WARNING] URI parameter '#1*' does not appear dynamic
[12:44:17] [WARNING] heuristic (basic) test shows that URI parameter '#1*' might not be injectable
[12:44:18] [INFO] testing for SQL injection on URI parameter '#1*'
[12:44:18] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[12:44:18] [WARNING] reflective value(s) found and filtering out
[12:44:31] [INFO] testing 'OR boolean-based blind - WHERE or HAVING clause'
[b][12:44:32] [INFO] URI parameter '#1*' seems to be 'OR boolean-based blind - WHERE or HAVING clause' injectable [/b]
[12:44:32] [INFO] testing 'MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause'
[12:44:32] [INFO] testing 'MySQL >= 5.0 OR error-based - WHERE, HAVING, ORDER BY or GROUP BY clause'
[12:44:32] [INFO] testing 'MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXTRACTVALUE)'
[12:44:32] [INFO] testing 'MySQL >= 5.1 OR error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXTRACTVALUE)'
[12:44:32] [INFO] testing 'MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (UPDATEXML)'
[12:44:32] [INFO] testing 'MySQL >= 5.1 OR error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (UPDATEXML)'
[12:44:32] [INFO] testing 'MySQL >= 5.5 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXP)'
[12:44:33] [INFO] testing 'MySQL >= 5.5 OR error-based - WHERE, HAVING clause (EXP)'
[12:44:33] [INFO] testing 'MySQL >= 5.5 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (BIGINT UNSIGNED)'
[12:44:33] [INFO] testing 'MySQL >= 5.5 OR error-based - WHERE, HAVING clause (BIGINT UNSIGNED)'
[12:44:33] [INFO] testing 'MySQL >= 4.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause'
[12:44:33] [INFO] testing 'MySQL >= 4.1 OR error-based - WHERE, HAVING clause'
[12:44:33] [INFO] testing 'MySQL OR error-based - WHERE or HAVING clause'
[12:44:33] [INFO] testing 'PostgreSQL AND error-based - WHERE or HAVING clause'
[12:44:34] [INFO] testing 'PostgreSQL OR error-based - WHERE or HAVING clause'
[12:44:34] [INFO] testing 'Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause'
[12:44:34] [INFO] testing 'Microsoft SQL Server/Sybase OR error-based - WHERE or HAVING clause'
[12:44:34] [INFO] testing 'Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause (IN)'
[12:44:34] [INFO] testing 'Microsoft SQL Server/Sybase OR error-based - WHERE or HAVING clause (IN)'
[12:44:35] [WARNING] user aborted during detection phase
how do you want to proceed? [(S)kip current test/(e)nd detection phase/(n)ext parameter/(c)hange verbosity/(q)uit] q
[12:44:36] [WARNING] HTTP error codes detected during run:
404 (Not Found) - 135 times
[12:44:36] [ERROR] user quit

[*] shutting down at 12:44:36

Редактировался 47linux (2015-09-21 12:49:50)

artoodetoo · 2015-09-21 12:49:46

И?

47linux · 2015-09-21 12:50:20

[12:44:32] [INFO] URI parameter '#1*' seems to be 'OR boolean-based blind - WHERE or HAVING clause' injectable

artoodetoo · 2015-09-21 12:51:24

Яснее не стало.

47linux · 2015-09-21 12:55:19

может это не инъекция ?

artoodetoo · 2015-09-21 13:00:19

А я думал ты объянишь что это значит

47linux · 2015-09-21 13:04:31

sqlmap ищет уязвимости в сайтах

47linux · 2015-09-21 13:06:41

на https://fluxbb.qb7.ru/forum/ нет таких уязвимостей:

python sqlmap.py -u "https://fluxbb.qb7.ru/forum" --headers="X-Forwarded-For: 1'"\" --drop-set-cookie --keep-alive --flush-session --level=5 --risk=3

       _
 ___ ___| |_____ ___ ___  {1.0-dev-nongit-20150920}
|_ -| . | |     | .'| . |
|___|_  |_|_|_|_|__,|  _|
      |_|           |_|   http://sqlmap.org

[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage caused by this program

[*] starting at 13:05:36

[13:05:36] [WARNING] you've provided target URL without any GET parameters (e.g. www.site.com/article.php?id=1) and without providing any POST parameters through --data option
do you want to try URI injections in the target URL itself? [Y/n/q] y
[13:05:37] [INFO] testing connection to the target URL
[13:05:37] [INFO] heuristics detected web page charset 'ascii'
sqlmap got a 301 redirect to 'https://fluxbb.qb7.ru/forum/'. Do you want to follow? [Y/n] y
[13:05:38] [INFO] testing if the target URL is stable
[13:05:38] [WARNING] URI parameter '#1*' does not appear dynamic
[13:05:38] [WARNING] heuristic (basic) test shows that URI parameter '#1*' might not be injectable
[13:05:38] [INFO] testing for SQL injection on URI parameter '#1*'
[13:05:39] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[13:05:47] [INFO] testing 'OR boolean-based blind - WHERE or HAVING clause'
[13:05:56] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause (Generic comment)'
[13:06:03] [INFO] testing 'OR boolean-based blind - WHERE or HAVING clause (Generic comment)'
[13:06:12] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause (MySQL comment)'
[13:06:19] [INFO] testing 'OR boolean-based blind - WHERE or HAVING clause (MySQL comment)'
[13:06:28] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause (Microsoft Access comment)'
[13:06:29] [WARNING] user aborted during detection phase
how do you want to proceed? [(S)kip current test/(e)nd detection phase/(n)ext parameter/(c)hange verbosity/(q)uit] q
[13:06:30] [WARNING] HTTP error codes detected during run:
400 (Bad Request) - 48 times
[13:06:30] [ERROR] user quit

[*] shutting down at 13:06:30

Редактировался 47linux (2015-09-21 13:07:17)

artoodetoo · 2015-09-21 13:10:43

Бро, я знаю что такое sqlmap. Вопрос не в этом. Как по твоему интерпретировать данное сообщение. Как использовать уязвимость, если она есть?

Я здесь вижу вот что: упоминается заголовок X-Forwarded-For, в который обычно прокси помещают свои адреса. И некоторые глупые PHP скрипты считают, что эта информация так же достоверна, как REMOTE_ADDR. Что неправда — на этот заголовок нельзя полагаться, он легко может быть сфабрикован.

Если ты взялся тестировать через sqlmap, то наверное у тебя есть пособие как интерпретировать результаты и где искать более подробную информацию.

47linux · 2015-09-21 13:12:57

Я не знаю как это интерпретировать, но на официальной сборке нет сообщения
[13:01:26] [INFO] heuristic (basic) test shows that URI parameter '#1*' might be injectable

artoodetoo · 2015-09-21 13:13:58

Кстати, раздел "Сообщения об ошибках" предназначен вот для чего, цитирую описание:

Добавляйте сюда замеченные ошибки в движке. Одна ошибка — одна новая тема

Если ты утверждаешь, что это ошибка движка, то покажи как её воспроизвести.

Я не знаю как это интерпретировать, но на официальной сборке нет сообщения

В таком случае это не ошибка движка и ты ошибся адресом. Это хз что за ошибка ошибка в хз что за сборке — ты даже не упомянул в какой.

Упс! Это я был невнимателен! Сказано Сборка Visman-а.

47linux · 2015-09-21 13:18:54

artoodetoo пишет:

Это хз что за ошибка ошибка в хз что за сборке — ты даже не упомянул в какой.
Эх, Семен Семеныч! …

В последней сборке Висмана: https://github.com/MioVisman/FluxBB_by_ … master.zip

artoodetoo · 2015-09-21 13:26:05

Я не могу утверждать, но предположу, что дело таки не в сборке, а в настройках твоей тестовой установки. У тебя в конфиге упоминается такое:
FORUM_BEHIND_REVERSE_PROXY
???

47linux · 2015-09-21 13:37:58

В include/config.php ?
Там только:

<?php

$db_type = 'mysqli';
$db_host = 'localhost';
$db_name = 'forum';
$db_username = 'user';
$db_password = 'password';
$db_prefix = '';
$p_connect = false;

$cookie_name = 'pun_cookie_ce0ad1';
$cookie_domain = '';
$cookie_path = '/';
$cookie_secure = 0;
$cookie_seed = '31e438f3687b3933';

$salt1 = '';
define('PUN', 1);

define('PUN_DEBUG', 1);
//define('PUN_SHOW_QUERIES', 1);
define('PUN_MAX_POSTSIZE', 65535);
//define('FORUM_EOL', "\r\n"); // possible values can be PHP_EOL, "\r\n", "\n" or "\r"
//define('FORUM_UA_OFF', 1);
define('FORUM_AJAX_JQUERY', '//ajax.googleapis.com/ajax/libs/jquery/1.11.3/jquery.min.js');

artoodetoo · 2015-09-21 14:22:31

Наплевать и забыть. Пока я не вижу чтобы была обнаружена "ошибка движка". Переношу тему в другой раздел.

Visman · 2015-09-21 15:35:34

@47linux, меня тоже интересует: удалось чего взломать или нет? А то много, много непонятных буков и все.

47linux · 2015-09-21 15:46:17

Мне недавно взломали сайт, но там стоял старый движок вашей сборки где sqlmap выдавал немного другую ошибку:
[13:01:26] [INFO] heuristic (basic) test shows that URI parameter '#1*' might be injectable (possible DBMS: 'MySQL')

Редактировался 47linux (2015-09-21 15:52:03)

47linux · 2015-09-21 16:08:03

Только что установил последний fluxbb, sqlmap выдаёт те же ошибки что и на вашей сборке:
[16:03:58] [WARNING] heuristic (basic) test shows that URI parameter '#1*' might not be injectable
[16:03:58] [INFO] testing for SQL injection on URI parameter '#1*'
[16:03:58] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[16:03:59] [WARNING] reflective value(s) found and filtering out
[16:04:11] [INFO] testing 'OR boolean-based blind - WHERE or HAVING clause'
[16:04:14] [INFO] URI parameter '#1*' seems to be 'OR boolean-based blind - WHERE or HAVING clause' injectable

Может это вообще не ошибки ?

Visman · 2015-09-21 17:23:01

@47linux, sqlmap тестирует какую-то конкретную страницу или все страницы сайта? А то не понятно что и где смотреть

Visman · 2015-09-21 17:35:55

@47linux, и в первом сообщение же отрицание стоит

[12:44:17] [WARNING] heuristic (basic) test shows that URI parameter '#1*' might not be injectable

47linux · 2015-09-21 18:35:00

Visman пишет:

@47linux, sqlmap тестирует какую-то конкретную страницу или все страницы сайта? А то не понятно что и где смотреть

Не знаю, я просто ввёл команду которую мне посоветовали чтобы найти уязвимость:

python sqlmap.py -u "http://site.ru/fluxbb" --headers="X-Forwarded-For: 1'"\" --drop-set-cookie --keep-alive --flush-session --level=5 --risk=3

На вашей и на официальной сборке англоязычной сборке sqlmap выдаёт одинаковые сообщения:
[18:32:35] [WARNING] URI parameter '#1*' does not appear dynamic
[18:32:39] [WARNING] heuristic (basic) test shows that URI parameter '#1*' might not be injectable
[18:32:39] [INFO] testing for SQL injection on URI parameter '#1*'
[18:32:39] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[18:32:39] [WARNING] reflective value(s) found and filtering out
[18:32:51] [INFO] testing 'OR boolean-based blind - WHERE or HAVING clause'
[18:32:52] [INFO] URI parameter '#1*' seems to be 'OR boolean-based blind - WHERE or HAVING clause' injectable

Редактировался 47linux (2015-09-21 18:36:31)

47linux · 2015-09-21 18:45:23

Говорят что параметр #1 возможно подвержен слепой sql инъекции.

Visman · 2015-09-21 18:56:34

@47linux, в первом выделении стоит отрицание -> not be. Про второе выделение ни чего сказать не могу, тут переводчики внятно перевести не могут.

Разве в этой программе нет лога нормального? Обзор сканеров мельком смотрел пока гуглил, так там у них все расписано по пунктам. Покажи лог с указанием ссылок найденных уязвимостей.

47linux · 2015-09-21 19:40:51

Без понятия, я не разбираюсь.

Русское сообщество fluxbb

Объявление

#1 2015-09-21 12:45:19

SQLI

#2 2015-09-21 12:49:46

Re: SQLI

#3 2015-09-21 12:50:20

Re: SQLI

#4 2015-09-21 12:51:24

Re: SQLI

#5 2015-09-21 12:55:19

Re: SQLI

#6 2015-09-21 13:00:19

Re: SQLI

#7 2015-09-21 13:04:31

Re: SQLI

#8 2015-09-21 13:06:41

Re: SQLI

#9 2015-09-21 13:10:43

Re: SQLI

#10 2015-09-21 13:12:57

Re: SQLI

#11 2015-09-21 13:13:58

Re: SQLI

#12 2015-09-21 13:18:54

Re: SQLI

#13 2015-09-21 13:26:05

Re: SQLI

#14 2015-09-21 13:37:58

Re: SQLI

#15 2015-09-21 14:22:31

Re: SQLI

#16 2015-09-21 15:35:34

Re: SQLI

#17 2015-09-21 15:46:17

Re: SQLI

#18 2015-09-21 16:08:03

Re: SQLI

#19 2015-09-21 17:23:01

Re: SQLI

#20 2015-09-21 17:35:55

Re: SQLI

#21 2015-09-21 18:35:00

Re: SQLI

#22 2015-09-21 18:45:23

Re: SQLI

#23 2015-09-21 18:56:34

Re: SQLI

#24 2015-09-21 19:40:51

Re: SQLI

Подвал доски