Hola amigos, estoy tratando de usar sqlmap para testear una vulnerabilidad, pero a la hora de ejecutar el comando sqlmap.py -u "tagetwebsite.com?example=1" obtengo el error 403 forbidden y luego cuando el script termina me indica que obtuvo todos errores 403 forbidden. Lo raro es que al usar postman puedo ejecutar dicha url sin ninguna cookie o token de autorización, lo mismo desde el browser o incógnito. ¿Alguna idea?
Dejo las imágenes con los resultados y errores de la consola:
(https://i.ibb.co/QdcQ5ht/Captura2.png)
(https://i.ibb.co/30FPNkN/Captura.png)
Buenas! Los problemas pueden ser varios, entre ellos de que no tenga los permisos suficientes para analizar ese directorio o también que haya un Firewall Web o IDS que esté evitando cualquier tipo de inyección de código, por lo que lo redirige a un error 403.
Saludos!
-Kirari
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Buenas! Los problemas pueden ser varios, entre ellos de que no tenga los permisos suficientes para analizar ese directorio o también que haya un Firewall Web o IDS que esté evitando cualquier tipo de inyección de código, por lo que lo redirige a un error 403.
Saludos!
-Kirari
Gracias por tu respuesta lo raro, es que dicha url es accesible desde el browser sin añadir ninguna cookie o token de seguridad y lo mismo con postman. Parece que el servidor detecta de alguna forma que es un script, no se como.
Como le dije anteriormente, al intentar inyectar código, el mismo sitio puede que lo evite y lo redireccione un error 403. Sin embargo, entrando desde el navegador no se "notaría nada raro", por lo que una vez que se detecta algo inusual, directamente es bloqueado. Te dejo un enlace de un post del foro, en el que explica cómo puede detectar el WAF mediante la misma herramienta y bypassearlo (obviamente, esto no siempre funciona), de ahí puede que se saque la duda:
https://underc0de.org/foro/pentest/bypasseando-waf-con-sqlmap-tamper/
Espero haberte ayudado en algo. Saludos!
-Kirari
Hola @LKI (https://underc0de.org/foro/index.php?action=profile;u=27369)
También deberías considerar que no te estén restringiendo el acceso por el agente de usuario (User Agent, en inglés) dependiendo de la ruta que estés accediendo y el que estés usando, puedes cambiarlo a uno muy conocido (como el de Mozilla Firefox o Google Chrome). En el manual (manpages.org/sqlmap) te indica cómo puedes cambiarlo.
~ DtxdF
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Como le dije anteriormente, al intentar inyectar código, el mismo sitio puede que lo evite y lo redireccione un error 403. Sin embargo, entrando desde el navegador no se "notaría nada raro", por lo que una vez que se detecta algo inusual, directamente es bloqueado. Te dejo un enlace de un post del foro, en el que explica cómo puede detectar el WAF mediante la misma herramienta y bypassearlo (obviamente, esto no siempre funciona), de ahí puede que se saque la duda:
https://underc0de.org/foro/pentest/bypasseando-waf-con-sqlmap-tamper/
Espero haberte ayudado en algo. Saludos!
-Kirari
Gracias no creo que sea WAF ya que al inyectar código sql desde la url del navegador el servidor responde con un "Internal server error" en el body de la página a diferencia de sqlmap que devuelve el código de error HTTP 403.
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Gracias no creo que sea WAF ya que al inyectar código sql desde la url del navegador el servidor responde con un "Internal server error" en el body de la página a diferencia de sqlmap que devuelve el código de error HTTP 403.
@LKI (https://underc0de.org/foro/index.php?action=profile;u=27369) no es lo mismo realizar un ataque manual que usar una herramienta automatizada. Herramientas como
sqlmap generan mucho trafico, y puede que el sitio tenga algun IDS, por lo cual te deniega el acceso al recurso. Mencionaste que en el navegador te funciona, y a menos que tengas deshabilitadas las cookies, este va a setear las que le ofrezca el servidor. Por lo cual puedes probar a usar la cookie que te ofrece desde sqlmap:
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
you have not declared cookie(s), while server wants to set its own ...
Saludos.
hola el problema parece ser la persistencia
sqlmap intenta atacar http y tu victima parece ser https necesitas agregar persistencia --keep-alive
--identify-waf No esta demas para identificar posible firewall o ids , este es muy limitado se recomienda utilizar wafw00f
--threads 10 es necesario para no causar trafico
--level=3 para saber que esta sucediendo
--technique= En ocaciones resulta util si el error se presenta nuevamente ,
Por otro lado es mejor utilizar esas herramientas en un sistema linux ,
windows presenta muchos errores con librerias y deja evidencia
Injeccion : vpn - sqlmap -u -site --drop-set-cookie --threads 10 --random-agent --identify-waf --ignore-401 --keep-alive
injeccion ssl : vpn - sqlmap -u -site --drop-set-cookie --threads 10 --random-agent --identify-waf --ignore-401 --force-ssl --keep-alive
Injeccion http : vpn - sqlmap -u -site --drop-set-cookie --threads 10 --random-agent --identify-waf --ignore-401 --hpp --keep-alive
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Hola @LKI (https://underc0de.org/foro/index.php?action=profile;u=27369)
También deberías considerar que no te estén restringiendo el acceso por el agente de usuario (User Agent, en inglés) dependiendo de la ruta que estés accediendo y el que estés usando, puedes cambiarlo a uno muy conocido (como el de Mozilla Firefox o Google Chrome). En el manual (manpages.org/sqlmap) te indica cómo puedes cambiarlo.
~ DtxdF
Gracias, es correcto el error en definita era del User Agent. Agregué la siguiente flag al cmd y el ataque funcionó sin ningún problema:
--random-agent
No tienes permitido ver enlaces.
Registrate o Entra a tu cuentaGracias, es correcto el error en definita era del User Agent. Agregué la siguiente flag al cmd y el ataque funcionó sin ningún problema:
--random-agent
(https://memegenerator.net/img/instances/64183814/lo-sospech-desde-un-principio.jpg)
Sí, algunas páginas web's tienen la mira puesta en el agente de usuario de Python o cualquiera que haga estos trabajos "exóticos".
~ DtxdF