elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Únete al Grupo Steam elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  novato pidiendo consejos o guia
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: novato pidiendo consejos o guia  (Leído 3,306 veces)
RaistlinM84

Desconectado Desconectado

Mensajes: 1


Ver Perfil
novato pidiendo consejos o guia
« en: 1 Septiembre 2017, 00:34 »

tengo un problema hace poco me meti en esto de el hacking y me encontre con un problema que no encuentro solucion.

.../cms_error?query=query%27+AND+%271%27%3D%271%27+--+

Method GET
Parameter query
Attack query' AND '1'='1' --

.../login

Method GET
Parameter query
Attack query' AND '1'='1' --

.../recruitafriend?query=query%27+AND+%271%27%3D%271%27+--+

Method POST
Parameter login_submit
Attack Conexión AND 1=1 --

estos datos los obtuve mediante un escaneo de Owasp, hasta ahi todo correcto ejecuto el Sqlmap para intentar las inyecciones pero, creo que es por el WAF o algo similar porque me sale un aviso de algo de eso, pero no injecta nada de nada alguno me da algun consejo.

 :rolleyes:
En línea

Sentex

Desconectado Desconectado

Mensajes: 87


Programador


Ver Perfil WWW
Re: novato pidiendo consejos o guia
« Respuesta #1 en: 8 Octubre 2017, 19:06 »

No es un sqlinjection el owasp lo que esta intentando es bypassear el login
En línea

Preguntas o peticiones en twitter o discord:

Discord: MrSentex#1227
Twitter: @fbi_sentex
Skali

Desconectado Desconectado

Mensajes: 100



Ver Perfil
Re: novato pidiendo consejos o guia
« Respuesta #2 en: 9 Octubre 2017, 18:43 »

No es un sqlinjection el owasp lo que esta intentando es bypassear el login

Una cosa no saca a la otra. Que intente bypassear el login no significa que no se trate de una sqlinjection. Siempre que se ingrese una consulta SQL que el servidor la interprete y la mande al DBMS, se está tratando de una inyección SQL.

Proba hacer esa misma inyección manualmente, o captura el tráfico HTTP a través de wireshark, y analiza bien el response, para estar más seguro de que se trate de un WAF. Porque el sqlmap me parece que te advierte de los WAF al recibir varios responses con código 40* o 50*. Tal vez se deba a que el sitio no es inyectable o que estés ingresando mal la URL. Si realmente hay un WAF, tenés que saber que funcionan a través de regex (expresiones regulares), lo que tenes que hacer es encontrar la forma de hacer una consulta que saque los datos que vos quieras pero sin que tu consulta machee con alguna regla del WAF. Entonces tendrías que ofuscar tu consulta. Aca te dejo un par de guías en español que te explican como bypassear WAF con sqlmap:

https://underc0de.org/foro/pentest/bypasseando-waf-con-sqlmap-tamper/
http://antisec-security.blogspot.com.ar/2014/04/sqlmap-bypass-waf-ofuscacion.html

Saludos!
« Última modificación: 9 Octubre 2017, 18:47 por Skali » En línea

WHK
Moderador
***
Desconectado Desconectado

Mensajes: 6.329


The Hacktivism is not a crime


Ver Perfil WWW
Re: novato pidiendo consejos o guia
« Respuesta #3 en: 13 Octubre 2017, 18:26 »

tienes la url para darle un vistazo?
En línea

Telegram: @WHK102 - Semáforo Epidemiologico Chile
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
ingenieria inversa y una guia del novato « 1 2 »
Ingeniería Inversa
Potato 18 5,991 Último mensaje 16 Agosto 2012, 22:58
por platonak
Guía: Consejos para poder ahorrar al imprimir
Noticias
wolfbcn 0 766 Último mensaje 17 Noviembre 2014, 21:26
por wolfbcn
Guía Pokémon GO, trucos y consejos para iPhone, Android
Noticias
wolfbcn 0 1,046 Último mensaje 5 Septiembre 2016, 21:43
por wolfbcn
Guía: Consejos básicos para elegir tu nuevo monitor
Noticias
wolfbcn 0 671 Último mensaje 20 Marzo 2017, 02:30
por wolfbcn
Solicito consejos, Soy novato.
Programación C/C++
WTFrank 4 2,082 Último mensaje 15 Noviembre 2017, 01:05
por WTFrank
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines