elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  novato pidiendo consejos o guia
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: novato pidiendo consejos o guia  (Leído 1,209 veces)
RaistlinM84

Desconectado Desconectado

Mensajes: 1


Ver Perfil
novato pidiendo consejos o guia
« en: 1 Septiembre 2017, 00:34 »

tengo un problema hace poco me meti en esto de el hacking y me encontre con un problema que no encuentro solucion.

.../cms_error?query=query%27+AND+%271%27%3D%271%27+--+

Method GET
Parameter query
Attack query' AND '1'='1' --

.../login

Method GET
Parameter query
Attack query' AND '1'='1' --

.../recruitafriend?query=query%27+AND+%271%27%3D%271%27+--+

Method POST
Parameter login_submit
Attack Conexión AND 1=1 --

estos datos los obtuve mediante un escaneo de Owasp, hasta ahi todo correcto ejecuto el Sqlmap para intentar las inyecciones pero, creo que es por el WAF o algo similar porque me sale un aviso de algo de eso, pero no injecta nada de nada alguno me da algun consejo.

 :rolleyes:
En línea

Sentex

Desconectado Desconectado

Mensajes: 51


Programador


Ver Perfil WWW
Re: novato pidiendo consejos o guia
« Respuesta #1 en: 8 Octubre 2017, 19:06 »

No es un sqlinjection el owasp lo que esta intentando es bypassear el login
En línea

Peticiones de programas por MD twitter o skype

Skype: live:suturno18
Twitter: @LaleCSGO
Skali

Desconectado Desconectado

Mensajes: 58



Ver Perfil
Re: novato pidiendo consejos o guia
« Respuesta #2 en: 9 Octubre 2017, 18:43 »

No es un sqlinjection el owasp lo que esta intentando es bypassear el login

Una cosa no saca a la otra. Que intente bypassear el login no significa que no se trate de una sqlinjection. Siempre que se ingrese una consulta SQL que el servidor la interprete y la mande al DBMS, se está tratando de una inyección SQL.

Proba hacer esa misma inyección manualmente, o captura el tráfico HTTP a través de wireshark, y analiza bien el response, para estar más seguro de que se trate de un WAF. Porque el sqlmap me parece que te advierte de los WAF al recibir varios responses con código 40* o 50*. Tal vez se deba a que el sitio no es inyectable o que estés ingresando mal la URL. Si realmente hay un WAF, tenés que saber que funcionan a través de regex (expresiones regulares), lo que tenes que hacer es encontrar la forma de hacer una consulta que saque los datos que vos quieras pero sin que tu consulta machee con alguna regla del WAF. Entonces tendrías que ofuscar tu consulta. Aca te dejo un par de guías en español que te explican como bypassear WAF con sqlmap:

https://underc0de.org/foro/pentest/bypasseando-waf-con-sqlmap-tamper/
http://antisec-security.blogspot.com.ar/2014/04/sqlmap-bypass-waf-ofuscacion.html

Saludos!
« Última modificación: 9 Octubre 2017, 18:47 por Skali » En línea

WHK
吴阿卡
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.834


The Hacktivism is not a crime


Ver Perfil WWW
Re: novato pidiendo consejos o guia
« Respuesta #3 en: 13 Octubre 2017, 18:26 »

tienes la url para darle un vistazo?
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
ingenieria inversa y una guia del novato « 1 2 »
Ingeniería Inversa
Potato 18 4,994 Último mensaje 16 Agosto 2012, 22:58
por platonak
Guía: Consejos para poder ahorrar al imprimir
Noticias
wolfbcn 0 528 Último mensaje 17 Noviembre 2014, 21:26
por wolfbcn
Guía Pokémon GO, trucos y consejos para iPhone, Android
Noticias
wolfbcn 0 765 Último mensaje 5 Septiembre 2016, 21:43
por wolfbcn
Guía: Consejos básicos para elegir tu nuevo monitor
Noticias
wolfbcn 0 439 Último mensaje 20 Marzo 2017, 02:30
por wolfbcn
Solicito consejos, Soy novato.
Programación C/C++
WTFrank 4 528 Último mensaje 15 Noviembre 2017, 01:05
por WTFrank
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines