Записки на бумажках |

2022-12-05 11:57:54 #бесполезная_информация

Запилил канал команды Try Hard, будем туда пилить обзоры на ивенты и наши успехи, также пора бы пилить лого уже, задумка есть, своими кривыми ручками нарисовал детский вариант лого (именно поэтому сюда заливать не буду этот вариант), осталось перенести в цифру. (скоро скину заметку по volatility3 для arch linux, а то чет команды не работали так, как нужно) Открыть/Комментировать

2022-10-06 12:25:07 #portswigger

upload files

при неявной проверки загружаемых файлов (то есть не проверяется содержимое), можно изменить тип файла на "ожидаемый" в поле Content-Type:

Content-Type: image/jpeg


Нужно понимать, что файл может грузиться во временный каталог для проверки, можно попробовать загрузить его в другой, изменив поле Content-Disposition:

Content-Disposition: form-data; name="avatar"; filename="../exploit.php"

Если в ответе вы заметите, что удаляются символы для обхода каталога из имени, то можно также попробовать заменить слэш на %2f (в хексах "/"):

Content-Disposition: form-data; name="avatar"; filename="..%2fexploit.php"

Может быть настроен черный список для форматов файлов.

То есть будут удаляться символы из расширения, чтобы запретить загрузку исполняемых файлов, то тогда подойдет формат изменения расширения на такой, после "форматирования" которого останется нужное нам расширение (если проверка не рекурсивна):

shell.p.phphp

Но бывает так, что даже, если загрузка файлов и возможно, но файлы не исполняются. Для исполнения файлов на серверах Apache необходимо, чтобы в конфиге apache2.conf была строчка:

LoadModule php_module /usr/lib/apache2/modules/libphp.so
AddType application/x-httpd-php .php

Для этого мы можем попробовать подгрузить этот самый файлик.
Загружая картинку, мы добавим на сервер в конфиг .htaccess информации:

Content-Disposition: form-data; name="avatar"; filename=".htaccess"
Content-Type: text
/plain

AddType application/x-httpd-php .shell (тут произвольное расширение)

Так как используется модуль mod_php, который интерпретирует php файлы. Но вроде как он не используется или отключается по умолчанию. Открыть/Комментировать

2022-09-27 11:58:37 #volatility
#форензика


На часах 3 утра, volatility2 наконец-то поддалась и вывела корректно хэши пользователей системы с дампа памяти :)
.\volatility.exe -f .\memory.mem imageinfo
.\volatility.exe -f .\memory.mem --profile=Win2016x64_14393 hivelist
kali# python vol.py hashdump -f /root/memory.mem --profile=Win2016x64_14393 -y 0xffff808fe7e41000 -s 0xffff808fef172000
получаем заветные хэши и остается только сбрутить для получения пароля.

Итог: лучше не вставать на виндуевые грабли и собрать volatility под Kali (если как и я не поставили одну галку во время установки Kali) и лучше всего отрабатывает 3-я версия volatility, так как volatility2 выдал ложные результат, черт пойми откуда выдал хэши (которые естественно сбрутить даже не удалось).

Ниже рабочая команда для volatility3, а также ссылка на ресурс, чтобы корректно все собрать для использования:
kali# python vol.py hashdump -f /root/memory.mem --profile=Win2016x64_14393 -y 0xffff808fe7e41000 -s 0xffff808fef172000 Открыть/Комментировать

2022-09-22 10:00:41 #sql

SQL инъекции возникают из-за недостаточной обработки данных, передаваемых пользователей.

Обработка данных, которая так необходима:

Санитизация
Валидация
Типизация

—#—#—#—#—#—

Как пихать кавычки и как это так работает?

условно у нас есть запрос
GET /checkid?id=2

Берется наше значение и кладется в переменную и с ней идет запрос к БД.

SELECT * FROM users WHERE id='%2%'

Мы можем в тело запроса поместить одинарную кавычку, чтобы запрос выглядел уже так:

SELECT * FROM users WHERE id='%2'%'
Нам в ответ вывалится ошибка, так как вопрос будет не валидным из-за не соответствия количества кавычек в конечном запросе.

Приведя запрос к корректному виду, мы сможем осуществить базовую инъекцию (или не сможем).

SELECT * FROM users WHERE id='%2' -- 1%' // возьмем и закомментируем вторую часть запроса.

Добавляя логику, мы сможем заставить вопрос выполняться.

id=2' or 1=1--1 —>

Запрос:
SELECT * FROM users WHERE id='%2' or 1=1-- 1%'

Комментарии двух видов:

однострочные — "#", "--",
многострочные — /* comment */


Важное дополнение!!!
После комментария "--" необходимо ставить пробел (так говорит спецификация) и лучше символ/цифру после него, так как без пробела+символа это не будет так восприниматься как комментарий, а просто заигнорируется.

#sql_injection

в MySQL до версии [5.0] комментарии можно не закрывать

Передавать в параметры можно так:

test_param=test-- 1

test_param=test/*


Если запихнуть вот такую конструкцию /*! comment*/, то комментарйи внутри нее исполнится.

Пример: SELECT * FROM users WHERE last_name = 'Petya'/*! or 1=1*/;

SELECT * FROM users WHERE last_name = 'Petya'/*!12345 or 1=1*/;
|| Команда выполнится, если версия mysql равно или больше указанному числу (1.23.45 чет тип такого)

ДОПОЛНЯЕТСЯ

————читаем-изучаем————
http://websec.ca/kb/sql_injection
http://pentestmonkey.net/category/cheat-sheet/sql-injection
https://portswigger.net/web-security/sql-injection/cheat-sheet Открыть/Комментировать

2022-09-22 10:00:27 #xss

HTML Entities:

кодировка, тэги с этими символами не рендерятся браузером, как код.

' - '
" - "
> - >
< - <
& - &

XSS:

(с учетом того, что в коде все входные данные переводятся в верх регистр, полезную нагрузку под видом сущностей html, чтобы браузер сам расковырял и расшарил для себя что это такое и запустил, а в связке

click to trigger js