Ya solo nos quedan 3 laboratorios de la gente de PortSwigger, quitando el que vamos a hacer ahora. Como os vengo diciendo, si no habéis leído las entradas anteriores, podéis hacerlo desde aquí.
Bien, en esta ocasión empezamos a utilizar algunas herramientas chulas que trae Burp, así que, si aún no lo tienes, te recomiendo que lo descargues.
En este lab se usan entidades externas HTML (out-of-band) para que con el Burp Collaborator podamos insertar la URL (peticiones DNS o HTTP). Utilizando los servidores externos seremos capaces de sacar la información.
En concreto, en este caso, vamos a realizar simplemente una petición a burpcollaborator.net a través de una búsqueda DNS en el servidor, como nos comentan en el propio lab.
Pues la inyección quedaría así:
'UNION+SELECT+extractvalue(xmltype('<%3fxml+version="1.0"+encoding="UTF-8"%3f>+%25remote%3b]>'),'/|')+FROM+dual--
Ojo, porque hay que URLencodear los caracteres que filtran y los espacios, si no, no te va a ir.
Y nada más, este ya estaría. Voy a explotar la SQLi del siguiente lab también. Ahora sí que hay que sacar datos, así que, vamos a ello.
Debéis revisar que el tic que muestro en la imagen esté activado.
Ahora vamos a la parte del Burp Collaborator Client y lo dejamos como muestro.
Bien, pues vamos a comprobar que funciona. Damos al botón de "copy to clipboard" y eso lo pegamos en la URL que teníamos antes del Brup, quedando así.
Lo único que cambiamos respecto al payload del lab anterior, es que pegamos lo que hemos copiado del Collaborator, solo eso. Una vez, hecho, si le damos a enviar la petición y vamos al Collaborator, vemos que funciona.
Ahora viene la parte en la que sacamos la contraseña del usuario administator.
La petición es como siempre, le pedimos la contraseña de usuario administrator, pero a través del subdominio del Burp Collaborator.
Estamos concatenando en el inicio de la URL la inyección, y con el segundo par de pipes (||) concatenamos el subdominio del Collaborator.
Lo "gracioso" de este ataque, es que en la petición DNS, tenemos, en el primero de los subdominios (la inyección que hemos hecho), la contraseña.
Esa primera parte alfanumérica, es la contraseña del usuario administrator.
Y esto es todo por hoy.
Nos vemos en la siguiente.
0 comentarios:
Publicar un comentario