comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Evadir Mod_Security con Tampers de SQLMAP

  • 4 Respuestas
  • 3876 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado rreedd

  • *
  • Underc0der
  • Mensajes: 113
  • Actividad:
    0%
  • Reputación 6
  • Somos Nada Señores
    • Ver Perfil
« en: Marzo 06, 2016, 05:00:43 pm »
RREEDD
Hola !!
como a todos nos habrá pasado alguna vez que intentas hacer una inyección por GET en una pagina y aparece
aparece el famoso anuncio de Mod_Security que no deja inyectar.




Pero si creíste que con eso se acababa el juego estas muy equivocado, siempre estará SQLMAP al rescate con sus 47 Tampers (que son los que vienen por defecto en la ultima versión ) los cuales te sacaran de mas de un apuro   ;).

Para este ejemplo usaremos "modsecurityversioned.py" (el cual solo funciona con MySQL).


Si quieres mas información sobre cada uno tienes que ir a sqlmap/tamper/,   donde encontraras todos los disponibles y dentro de cada archivo existe una explicación de su funcionalidad
 
Para usar un Tamper en SQLMAP es muy simple solo se le debe agregar la opción
 
Código: You are not allowed to view links. Register or Login
--tamper [nombre del tamper]
El ejemplo de inyección lo haremos con una pagina Peruana de venta de artículos electrónicos (espero no les moleste) ;D .

URL :You are not allowed to view links. Register or Login
Herramienta : SQLMAP  Tamper : modsecurityzeroversioned.py
Xploit :
Código: You are not allowed to view links. Register or Login
sqlmap.py -u "https://impulso.com.pe/detalle_marca.php?marca_id=24&cat_id=5" --dbms "MySQL"  -p "marca_id" --tamper "modsecurityzeroversioned.py" --batch
RESULTADO

REPORTADO : NO


Saludos desde Chile

Desconectado WHK

  • *
  • Underc0der
  • Mensajes: 68
  • Actividad:
    16.67%
  • Reputación 3
  • 吴阿卡
    • Ver Perfil
    • WHK
« Respuesta #1 en: Marzo 11, 2016, 01:33:42 am »
No es tan dificil evadir el mod security, solo basta un poco de imaginación, finalmente el mod security se basa en una blacklist sobre expreisones regulares, no es algo 100% fiable.

Por ejemplo:
You are not allowed to view links. Register or Login

Código: You are not allowed to view links. Register or Login
<img width="365" height="64" src="images/categoria/5.5.42-37.1-log">
MySQL 5.5.42

El mod security te detecta todo lo que tenga "union select" y sus derivados como union all select, union/**/all/**/select o union%0a%0cselect, pero basta con quebrar la consulta uniendo comentarios mas saltos de linea: union -- %0a%0c select y listo, el motor interpretador de la base de datos interpretará union\nselect. Fuera de esto también te detecta select 1,1, pero no te detecta select '1','1'. Detecta ...'1',user(),'1'... pero no detecta ...'1',(user()),'1'... , por ejemplo:

You are not allowed to view links. Register or Login

Código: You are not allowed to view links. Register or Login
<img width="365" height="64" src="images/categoria/micronic_base@localhost">micronic_base@localhost

Finalmente datos que te pueden servir para leer el usuario y contraseña o hash de acceso para paginas como esta:
You are not allowed to view links. Register or Login

Por esto por lo general prefiero no utilizar sqlmap porque en muchos caso te encuentras con mucha ofuscación, si no es el mod security es el waf, el firewall o el ids, vas sacando las inyecciones en el camino y vas sorteando los filtros a medida que van apareciendo.

Al final la persona siempre será mas hábil que una maquina, por eso no me gusta dejarle el trabajo a un software.
« Última modificación: Marzo 11, 2016, 01:39:02 am por WHK »
You are not allowed to view links. Register or Login - The Hacktivism is not a crime - Si no lo hago yo, que lo hagan otros -

Desconectado rreedd

  • *
  • Underc0der
  • Mensajes: 113
  • Actividad:
    0%
  • Reputación 6
  • Somos Nada Señores
    • Ver Perfil
« Respuesta #2 en: Marzo 11, 2016, 08:40:46 pm »
You are not allowed to view links. Register or Login
No es tan dificil evadir el mod security, solo basta un poco de imaginación, finalmente el mod security se basa en una blacklist sobre expreisones regulares, no es algo 100% fiable.

Por ejemplo:
You are not allowed to view links. Register or Login

Código: You are not allowed to view links. Register or Login
<img width="365" height="64" src="images/categoria/5.5.42-37.1-log">
MySQL 5.5.42

El mod security te detecta todo lo que tenga "union select" y sus derivados como union all select, union/**/all/**/select o union%0a%0cselect, pero basta con quebrar la consulta uniendo comentarios mas saltos de linea: union -- %0a%0c select y listo, el motor interpretador de la base de datos interpretará union\nselect. Fuera de esto también te detecta select 1,1, pero no te detecta select '1','1'. Detecta ...'1',user(),'1'... pero no detecta ...'1',(user()),'1'... , por ejemplo:

You are not allowed to view links. Register or Login

Código: You are not allowed to view links. Register or Login
<img width="365" height="64" src="images/categoria/micronic_base@localhost">micronic_base@localhost

Finalmente datos que te pueden servir para leer el usuario y contraseña o hash de acceso para paginas como esta:
You are not allowed to view links. Register or Login

Por esto por lo general prefiero no utilizar sqlmap porque en muchos caso te encuentras con mucha ofuscación, si no es el mod security es el waf, el firewall o el ids, vas sacando las inyecciones en el camino y vas sorteando los filtros a medida que van apareciendo.

Al final la persona siempre será mas hábil que una maquina, por eso no me gusta dejarle el trabajo a un software.

Gracias @WHK por comenta y ahora lo hice sin SQLMAP de forma manual You are not allowed to view links. Register or Login

Desconectado Maaiion

  • *
  • Underc0der
  • Mensajes: 5
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #3 en: Octubre 20, 2016, 03:49:59 am »
¿Alguien me podria ayudar en una pagina? intento inyectarla con php pero me sale " ¡Acceso prohibido!

Usted no tiene permiso de accesar al objeto solicitado. Existe la posibilidad de que este protegido contra lectura o que no haya podido ser leido por el servidor.

Por favor contacte con el webmaster en caso de que usted crea que existe un error en el servidor.

Error 403

tantra-origin.com
20/10/2016 7:47:54
Apache/2.2.14 (Win32) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l mod_autoindex_color PHP/5.3.1 mod_apreq2-20090110/2.7.1 mod_perl/2.0.4 Perl/v5.10.1"


Quiero las tablas de tantra-origin.com pero no se con que herramienta, lo intente con el sqlmap pero me daba errores

Saludos, gracias!

Desconectado WHK

  • *
  • Underc0der
  • Mensajes: 68
  • Actividad:
    16.67%
  • Reputación 3
  • 吴阿卡
    • Ver Perfil
    • WHK
« Respuesta #4 en: Diciembre 10, 2016, 01:34:53 am »
Hola, eso sucede porque ese sitio tiene un sistema de seguridad que impide hacer inyecciones sql, no se si alguna herramienta te sirva, pero mi consejo es que aprendas sql y que trates de sacar la inyección a mano.
You are not allowed to view links. Register or Login - The Hacktivism is not a crime - Si no lo hago yo, que lo hagan otros -

 

¿Te gustó el post? COMPARTILO!



¿Como Usar SQLMAP? Mini-Tutorial

Iniciado por Assed [In]Seguridad Informática

Respuestas: 6
Vistas: 11010
Último mensaje Octubre 11, 2016, 04:16:35 pm
por Maaiion
Bypasseando WAF con SQLMAP & TAMPER

Iniciado por BrowserNet

Respuestas: 1
Vistas: 4725
Último mensaje Mayo 23, 2016, 11:37:33 am
por BrowserNet
Aprendiendo SQLMAP avanzado

Iniciado por BrowserNet

Respuestas: 8
Vistas: 4322
Último mensaje Noviembre 23, 2016, 12:04:46 pm
por PikachuDorado