Практическая работа №3

Практическая работа №3 == # SQL-injection ## Login bypass Посмотрим запрос: ![](https://i.imgur.com/ReWYgZX.png) При добавлении кавычки видим internal server error: ![](https://i.imgur.com/X0kvMPz.png) Добавим комментарий и аутентификация успешна: ![](https://i.imgur.com/ZGM9tT7.png) Итого: ![](https://i.imgur.com/6w8TCpj.png) ![](https://i.imgur.com/EOyja1g.png) ## Retrieving of hidden data Добавили кавычку и internal error: ![](https://i.imgur.com/itIdhsO.png) Поскольку цель - показать все товары из всех категорий, то нужно условие в "where" сделать всегда верным, для этого такой юзаем такой запрос: ![](https://i.imgur.com/OFNi9fL.png) Результат: ![](https://i.imgur.com/UFGwaur.png) ## Retrieving data from other tables Здесь обычная union sqli, нам известны название таблицы и название полей, поэтому запрос формируем легко: ![](https://i.imgur.com/6FuYsbp.png) Результат: ![](https://i.imgur.com/TxgnwK0.png) Логинимся: ![](https://i.imgur.com/Wzg1dzz.png) ## Querying the database type and version Сначала также с помощью кавычки понимаем, что запрос можно модифицировать. Поскольку понятно, что здесь union based sqli, то сначала поймем сколько столбцов возвращает оригинальный запрос. Также после пары пробных запросов понимаем, что комметарий это # Попробуем так: ![](https://i.imgur.com/RpGQf8S.png) Видим ошибку: ![](https://i.imgur.com/ok5P52q.png) Так: ![](https://i.imgur.com/R985vTY.png) Вывод полноценный, значит 2 столбика Теперь нам нужно убрать весь вывод первой части запроса и оставить только результат второй части (той, которую мы модифицируем): ![](https://i.imgur.com/4AIDGYU.png) Ошибки нет и вывода тоже - то, что нужно Теперь пишем нужный запрос: ![](https://i.imgur.com/cTEKDSN.png) Результат: ![](https://i.imgur.com/r7Wltqr.png) # XSS ## Stored XSS into HTML Заполняем форму: ![](https://i.imgur.com/TbZYrYn.png) Результат: ![](https://i.imgur.com/RKQxXP0.png) ## DOM XSS in document.write Видим, что поисковый запрос отображается на странице: ![](https://i.imgur.com/fEqAGQm.png) При этом теги не отображаются: ![](https://i.imgur.com/ao6LUZk.png) Попробуем еще нескольких неудачных запросов: ![](https://i.imgur.com/4H0SlfT.png) ![](https://i.imgur.com/BU5y2vR.png) После этого в режиме разработчика просто ищем наш запрос и находим такое: ![](https://i.imgur.com/zWCKeyo.png) Тег img, у которого src зависит от нашего запроса И без проблем находим код, который этот тег добавляет: ![](https://i.imgur.com/mBmrjwp.png) Дальше становится легко, формируем такой запрос: ![](https://i.imgur.com/ve8E4b6.png) Результат: ![](https://i.imgur.com/dwrRAX2.png) ## Reflected XSS into a JavaScript Запросим что-нибудь: ![](https://i.imgur.com/DHuAcbm.png) Посмотрим source page и ужаснемся - пользовательский ввод отправляется прямо в тег script: ![](https://i.imgur.com/bIFfyNe.png) Некоторые из спецсимволов кодируются через html - скобки тегов: ![](https://i.imgur.com/jpEXCpS.png) Попробуем вставить свой код с помощью доступных ' и ; : ![](https://i.imgur.com/lPsTKEx.png) Видим, что у нас остается лишняя кавычка: ![](https://i.imgur.com/0bY9dwx.png) Поменяем запрос на такой - избавимся от непарной кавычки с помощью переменной: ![](https://i.imgur.com/i5whOwF.png) Результат: ![](https://i.imgur.com/Nel6y7L.png) Сгенерированный код: ![](https://i.imgur.com/NNMZQbD.png) ## Reflected DOM Поиск на сайте состоит из двух запросов к серверу. Первый выглядит так: ![](https://i.imgur.com/AoXWC6M.png) В ответе содержится вызов функции search(): ![](https://i.imgur.com/teyigVJ.png) Второй выглядит так, реализуется функцией search: ![](https://i.imgur.com/aoppPpU.png) Найдем функцию search в файле /resources/js/searchResults.js: ![](https://i.imgur.com/iJIeMFi.png) Видим сначала AJAX запрос, потом отображение его результата. В запросе используется eval: ![](https://i.imgur.com/8q78reV.png) Переменная this.responseText это то, что возвращает запрос (второй): ![](https://i.imgur.com/35igNGl.png) Он возвращает такие вещи: ![](https://i.imgur.com/ZAoe0dX.png) То есть через подделку searchTerm можно использовать XSS Понимаем, что эта страница экранирует символы " / и не экранируются ' \ Таким образом обеспечим легитимное продолжение строки. Теперь мы хотим добавить выполнение алерта: ![](https://i.imgur.com/r1R4eAD.png) Теперь нужно как-то завершить строку, поскольку сейчас она некорректна по синтаксису. Просто закончим ее } и комментарием: ![](https://i.imgur.com/g5wFJxr.png) Результат: ![](https://i.imgur.com/CAJdtch.png) # CSRF ## CSRF vulnerability with no defenses Посмотрим запрос для смены мейла: ![](https://i.imgur.com/XPhE9yh.png) В exploit server пишем так: ![](https://i.imgur.com/ZpLsIOK.png) Протестируем на себе, емейл сменился: ![](https://i.imgur.com/s4MeiC7.png) Отправляем такое же письмо админу, пройдено: ![](https://i.imgur.com/8ZQz3in.png) ## CSRF with token validation Запрос на смену адреса, тут есть CSRF токен: ![](https://i.imgur.com/sQkglPz.png) В этом задании суть та же, поэтому полезная нагрузка такая же, кроме метода и поля csrf: ![](https://i.imgur.com/6MA6WzM.png) Попробовали на себе: ![](https://i.imgur.com/mhdZnFF.png) Потом на админе: ![](https://i.imgur.com/Xw8CFI8.png) # SSRF ## Basic SSRF Видим запрос проверки наличия: ![](https://i.imgur.com/GUKo423.png) Адрес там такой: ![](https://i.imgur.com/psPytXE.png) Запросим админку: ![](https://i.imgur.com/L0AHotz.png) Видим там такую ссылку: ![](https://i.imgur.com/Yxw5q4E.png) Вызываем метод delete с нужными параметрами: ![](https://i.imgur.com/pYaPNOT.png) Снова перейдем по localhost/admin и убедимся: ![](https://i.imgur.com/NwHQzSg.png) На главной: ![](https://i.imgur.com/hZLbCin.png) ## SSRF with filter bypass Запрос проверки наличия: ![](https://i.imgur.com/kZuygIW.png) Переход по ссылке next product: ![](https://i.imgur.com/AFHrZHS.png) Видно, что проходит переход по /product/nextProduct, потом на строне сервера запрашивается содержимое параметра path Поэтому формируем такой запрос: ![](https://i.imgur.com/gMhrecP.png) В ответе видим содержимое админки: ![](https://i.imgur.com/kidf2XA.png) Меняем запрос на такой: ![](https://i.imgur.com/jLH12gb.png) Результат: ![](https://i.imgur.com/furWh12.png) ![](https://i.imgur.com/rXxe5Te.png) # RCE ## simple OS command injection Как сказано в задании - наличие товара проверяется shell скриптом. Найдем этот запрос: ![](https://i.imgur.com/bsYI0X3.png) Попробуем поменять так - результата нет: ![](https://i.imgur.com/FIGTW9y.png) Так - результат есть: ![](https://i.imgur.com/OkOO2TW.png) Окончательный запрос: ![](https://i.imgur.com/VsxQPR5.png) # Path traversal ## Simple file path traversal Немного осмотримся и найдем такой запрос картинки: ![](https://i.imgur.com/xCUtxR2.png) Поменяем параметр: ![](https://i.imgur.com/JBGYx7D.png) Такой запрос не сработал, значит там относительный путь: ![](https://i.imgur.com/Hkf04KR.png) Щедро сыпем ../ и получаем нужное: ![](https://i.imgur.com/eZjQyOb.png) ## Traversal sequences blocked with absolute path bypass Тот же запрос картинки: ![](https://i.imgur.com/uR96KkO.png) Видим, что запросы с относительным путем блокируются: ![](https://i.imgur.com/sA3MYGZ.png) Пробуем прямой - успех: ![](https://i.imgur.com/77a0A4g.png) # Статистика ![](https://i.imgur.com/9NO5UVI.png)