Нужна помощь во взломе базы данных

muther · #1 05-06-2025, 05:34 PM

Имеется база данных одной игры.
Через python и sqlmap нашел уязвимость, выдает список баз. (не всех)
Некоторые таблицы/колонки дампит, некоторые нет.
Нужно:
получить доступ к остальным таблицам.
получить возможность редактировать (обновлять) значения в ячейках.
В иеале нужна консультация человека, который в этом шарит. Интерфейс sqlmap в командной строке не сильно удобен, и поиск любой информации занимает огромное кол-во времени. Быть может, есть возможность захода в эту же базу через MSSql или MySql напрямую. Хелп

Zinka · #2 05-06-2025, 06:08 PM

Через python и sqlmap нашел уязвимость
есть возможность захода в эту же базу через MSSql или MySql напрямую.
я смотрю сам то ты далек от этой сферы) mssql и mysql это разное серверное ПО, а не софт для подключение к той или иной базе, для каждого из них есть свои клиенты для удобства работы, я так думаю в базе просто доступны таблицы для чтения для nobody. По дефолту для учетной записи nobody доступны для чтения некоторые таблицы не несущие особо важной инфы.
Данный баг если его можно таковым назвать, особо ничего не дает кроме информации о таблицах которые там есть и то не всегда о всех, используется эта инфа в комплексе, тоесть когда ты ищешь sql инъекции через php скрипты которые обращаются к базе, удобно знать имена таблиц и колонок в которые пытаешься сделать запись или наоборот вытащить инфу.
Другими словами можешь забыть про этот ресурс, либо учить матчасть и потом вернуться к нему, либо заплатить за получение доступа, но возьмут с тебя за полноценный хак, т.к. nobody доступ как я написал выше ценности не имеет, только небольшая вспомогательная функция.
p.s. по подключениям напрямую, как я понял у тебя mysql сервер, есть ихний оф. клиент, через него таблицы смотреть удобней, качаешь ставишь галочку анонимный вход, вводишь ипи и в путь.
Описание 10 разных клиентов тут:
https://freshdesignweb.com/mysql-client/

muther · #3 05-06-2025, 06:20 PM

Благодарю за ответ. Дело в том, что некоторая информация есть в общем доступе. Некоторые логи, база данных master например и так далее.
Из инфы по базе:
Parameter: serv (GET)
Type: stacked queries
Title: Microsoft SQL Server/Sybase stacked queries (comment)
Payload: serv=1;WAITFOR DELAY '0:0:5'--&it=AH`
---
web application technology: Nginx
back-end DBMS: Microsoft SQL Server 2008
https://prnt.sc/kfioh8 - sys.config
Если же не забывать об этом ресурсе, то с чего начать?) Или это чисто физически невозможно?

aleg · #4 05-06-2025, 06:42 PM

bard047, поищи соседей - мб у них есть скули.
Проскань сайт еще на скули полностью, бывает такое что через одну не выводятся данные, через другую выводятся.
Пробуй разный софт, по мимо sqlmap haviji pangolin, бывает что один софт не берет, другой берет.
получить возможность редактировать (обновлять) значения в ячейках.
Если есть права, с помощью sqlmap пробовать залиться.
Ну или ручками, мб там XSS есть, впарить админу линк, найти пароль к админке или админкам, мб он и к мылу подойдет таким образом получить хост или сервер. В общем, атаковать как только можно, если есть сильное желание

Удачи.

Steven · #5 05-06-2025, 06:53 PM

привет может не по теме )Подскажите проверенных людей , нужны базы данных Паспартов + права +айди Германии.