sqlmap error 403 forbidden

Iniciado por LKI, Julio 09, 2020, 05:54:20 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Julio 09, 2020, 05:54:20 PM Ultima modificación: Julio 15, 2020, 10:20:38 PM por LKI
Hola amigos, estoy tratando de usar sqlmap para testear una vulnerabilidad, pero a la hora de ejecutar el comando
Código: php
sqlmap.py -u "tagetwebsite.com?example=1"
obtengo el error 403 forbidden y luego cuando el script termina me indica que obtuvo todos errores 403 forbidden. Lo raro es que al usar postman puedo ejecutar dicha url sin ninguna cookie o token de autorización, lo mismo desde el browser o incógnito. ¿Alguna idea?
Dejo las imágenes con los resultados y errores de la consola:

Ser mejor cada día es mi meta

=LKI=

Buenas! Los problemas pueden ser varios, entre ellos de que no tenga los permisos suficientes para analizar ese directorio o también que haya un Firewall Web o IDS que esté evitando cualquier tipo de inyección de código, por lo que lo redirige a un error 403.

Saludos!
-Kirari

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Buenas! Los problemas pueden ser varios, entre ellos de que no tenga los permisos suficientes para analizar ese directorio o también que haya un Firewall Web o IDS que esté evitando cualquier tipo de inyección de código, por lo que lo redirige a un error 403.

Saludos!
-Kirari

Gracias por tu respuesta lo raro, es que dicha url es accesible desde el browser sin añadir ninguna cookie o token de seguridad y lo mismo con postman. Parece que el servidor detecta de alguna forma que es un script, no se como.
Ser mejor cada día es mi meta

=LKI=

Julio 09, 2020, 11:11:59 PM #3 Ultima modificación: Julio 09, 2020, 11:13:34 PM por Kirari
Como le dije anteriormente, al intentar inyectar código, el mismo sitio puede que lo evite y lo redireccione un error 403. Sin embargo, entrando desde el navegador no se "notaría nada raro", por lo que una vez que se detecta algo inusual, directamente es bloqueado. Te dejo un enlace de un post del foro, en el que explica cómo puede detectar el WAF mediante la misma herramienta y bypassearlo (obviamente, esto no siempre funciona), de ahí puede que se saque la duda:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Espero haberte ayudado en algo. Saludos!
-Kirari

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

También deberías considerar que no te estén restringiendo el acceso por el agente de usuario (User Agent, en inglés) dependiendo de la ruta que estés accediendo y el que estés usando, puedes cambiarlo a uno muy conocido (como el de Mozilla Firefox o Google Chrome). En el manual (No tienes permitido ver los links. Registrarse o Entrar a mi cuenta) te indica cómo puedes cambiarlo.

~ DtxdF
PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Como le dije anteriormente, al intentar inyectar código, el mismo sitio puede que lo evite y lo redireccione un error 403. Sin embargo, entrando desde el navegador no se "notaría nada raro", por lo que una vez que se detecta algo inusual, directamente es bloqueado. Te dejo un enlace de un post del foro, en el que explica cómo puede detectar el WAF mediante la misma herramienta y bypassearlo (obviamente, esto no siempre funciona), de ahí puede que se saque la duda:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Espero haberte ayudado en algo. Saludos!
-Kirari

Gracias no creo que sea WAF ya que al inyectar código sql desde la url del navegador el servidor responde con un "Internal server error" en el body de la página a diferencia de sqlmap que devuelve el código de error HTTP 403.
Ser mejor cada día es mi meta

=LKI=

Julio 10, 2020, 12:46:47 AM #6 Ultima modificación: Julio 10, 2020, 01:16:36 AM por d3adly
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Gracias no creo que sea WAF ya que al inyectar código sql desde la url del navegador el servidor responde con un "Internal server error" en el body de la página a diferencia de sqlmap que devuelve el código de error HTTP 403.

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta no es lo mismo realizar un ataque manual que usar una herramienta automatizada. Herramientas como sqlmap generan mucho trafico, y puede que el sitio tenga algun IDS, por lo cual te deniega el acceso al recurso. Mencionaste que en el navegador te funciona, y a menos que tengas deshabilitadas las cookies, este va a setear las que le ofrezca el servidor. Por lo cual puedes probar a usar la cookie que te ofrece desde sqlmap:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
you have not declared cookie(s), while server wants to set its own ...

Saludos.
Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn

hola  el problema parece ser la persistencia

sqlmap intenta atacar http y tu victima parece ser https  necesitas agregar persistencia  --keep-alive
--identify-waf  No esta demas para identificar posible firewall o ids , este es muy limitado se recomienda utilizar wafw00f
--threads 10 es necesario para no causar trafico
--level=3 para saber que esta sucediendo
--technique=  En ocaciones resulta util si el error se presenta nuevamente ,

Por otro lado es mejor utilizar esas herramientas en un sistema linux ,
windows presenta muchos errores con librerias y deja evidencia


Injeccion :  vpn - sqlmap -u  -site --drop-set-cookie --threads 10 --random-agent --identify-waf --ignore-401 --keep-alive
injeccion ssl :  vpn - sqlmap -u  -site --drop-set-cookie --threads 10 --random-agent --identify-waf --ignore-401 --force-ssl --keep-alive
Injeccion http : vpn - sqlmap -u  -site --drop-set-cookie --threads 10 --random-agent --identify-waf --ignore-401 --hpp --keep-alive

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

También deberías considerar que no te estén restringiendo el acceso por el agente de usuario (User Agent, en inglés) dependiendo de la ruta que estés accediendo y el que estés usando, puedes cambiarlo a uno muy conocido (como el de Mozilla Firefox o Google Chrome). En el manual (No tienes permitido ver los links. Registrarse o Entrar a mi cuenta) te indica cómo puedes cambiarlo.

~ DtxdF

Gracias, es correcto el error en definita era del User Agent. Agregué la siguiente flag al cmd y el ataque funcionó sin ningún problema:
Código: php
--random-agent
Ser mejor cada día es mi meta

=LKI=

No tienes permitido ver los links. Registrarse o Entrar a mi cuentaGracias, es correcto el error en definita era del User Agent. Agregué la siguiente flag al cmd y el ataque funcionó sin ningún problema:
Código: php
--random-agent



Sí, algunas páginas web's tienen la mira puesta en el agente de usuario de Python o cualquiera que haga estos trabajos "exóticos".

~ DtxdF
PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF