Buenas, espero que alguien pueda arrojar luz sobre mi dilema. Trataré de explicar lo mejor que pueda...
Resulta ser que encontré un script en PHP, por supuesto lo descargué y jugé. Encontré varios errores (En localhost conseguí inyectar una shell)... En una de los tantos errores que encontré. Fue: La posibilidad de inyectar parámetros SQL a través de el buscador.
El programador utilizó htmlentitles() pero se olvidó de su mejor amigo ENT_QUOTES. La cuestión es que si bien pude perfectamente conseguir acceso a nivel localhost, llevé el test a la "vida real" y me pasó algo "raro", cuando trato de inyectar las secuencias "SELECT" o "FROM" directamente la página me da un Error 404.
Busqué y encontré que podría ser que el parámetro se encontrase como variable de un directorio o un recurso. (O eso es lo que entendí). Pero el script no delimita ni bloquea las consultas UNION. Cabe rescatar que he intentado ofuscar las sentencias y no pude lograr que se ejecutara. Además que tampoco existe ningún recurso con "UNION" (es decir no existe ningún post o artículo relacionado).
Mi pregunta es: ¿Qué se puede hacer para remediar la situación? Intenté con SQL Map pero me larga warnings respecto a que podría no ser vulnerable. (Lo que no tiene lógica porque conseguí obtener a través de SQL Blind el @@datadir) Al no poder utilizar SELECT me limita. Otra cosa el servidor usa MariaDB.
Desde ya, muchas gracias. Espero que alguien me pueda ayudar.
Resulta ser que encontré un script en PHP, por supuesto lo descargué y jugé. Encontré varios errores (En localhost conseguí inyectar una shell)... En una de los tantos errores que encontré. Fue: La posibilidad de inyectar parámetros SQL a través de el buscador.
El programador utilizó htmlentitles() pero se olvidó de su mejor amigo ENT_QUOTES. La cuestión es que si bien pude perfectamente conseguir acceso a nivel localhost, llevé el test a la "vida real" y me pasó algo "raro", cuando trato de inyectar las secuencias "SELECT" o "FROM" directamente la página me da un Error 404.
Busqué y encontré que podría ser que el parámetro se encontrase como variable de un directorio o un recurso. (O eso es lo que entendí). Pero el script no delimita ni bloquea las consultas UNION. Cabe rescatar que he intentado ofuscar las sentencias y no pude lograr que se ejecutara. Además que tampoco existe ningún recurso con "UNION" (es decir no existe ningún post o artículo relacionado).
Mi pregunta es: ¿Qué se puede hacer para remediar la situación? Intenté con SQL Map pero me larga warnings respecto a que podría no ser vulnerable. (Lo que no tiene lógica porque conseguí obtener a través de SQL Blind el @@datadir) Al no poder utilizar SELECT me limita. Otra cosa el servidor usa MariaDB.
Desde ya, muchas gracias. Espero que alguien me pueda ayudar.