Старый 01.11.2015, 15:45   #3481
NameSpace
 
Регистрация: 21.12.2012
Сообщений: 146
Репутация: 52
По умолчанию

Цитата:
Сообщение от Molofya Посмотреть сообщение
Имеется POST XSS дырка самая простейшая:
test.ru/script.html
POST:
search=123"><h1>XSS</h1>

Все бы ничего, но при таком POST запросе сайт проверяет наличие рефа, и чтобы обязательно там был test.ru (левые домены не катят).
Вопрос. При таких условиях возможно провести XSS атаку, или в данном случае вариантов проэксплуатировать уязвимость нету?
Код:
http://test.ru.qwerty.ru/
http://test.ru.qwerty.ru:81//test.ru/
http://test.ru.qwerty.ru/%0A/
http://test.ru._qwerty.ru/
http://qwerty.ru/test.ru/
http://qwerty.ru/http://test.ru/
http://qwerty.ru/%0Ahttp://test.ru/
http://test.ru:1@qwerty.ru/
http://www:test.ru@qwerty.ru/
ftp://qwerty.ru/
etc
Попытайтесь определить алгоритм. Поэксплуатировать можно только случае, если запрос работает без Referer, вы можете обойти валидацию или имеете внутренний Redirect (когда параметр можно передать через GET).
__________________
На правах рекламы.

Последний раз редактировалось NameSpace; 01.11.2015 в 15:48..
NameSpace вне форума   Ответить с цитированием
Старый 06.11.2015, 18:15   #3482
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Существует ли возможность в PHP, при LFI/RFD на Windows, обратиться к файлу на другом диске?

Последний раз редактировалось crlf; 07.11.2015 в 02:07..
crlf вне форума   Ответить с цитированием
Старый 08.11.2015, 16:17   #3483
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Существет возможность инициировать mysql соединение (на подконтрольный хост) средствами PHP. Есть ли какие-то техники для эксплуатации багов в PHP модуле mysql? Другими словами, что можно вредоносного ответить при подключении?

PHP код:
    $this->DBConn mysql_connect($this->DBHost$this->DBLogin$this->DBPassword);
    if(!
mysql_query("CREATE DATABASE ".$this->DBName$this->DBConn))
...
    if(!
mysql_select_db($this->DBName$this->DBConn))
    {
        return 
false;
    }
...
    
mysql_query("SET NAMES '".$cp."'"$this->DBConn);
    
mysql_query("SET CHARACTER SET '".$cp."'"$this->DBConn); 
Контролирую $this->DBHost, $this->DBLogin, $this->DBPassword, $this->DBName.

Последний раз редактировалось crlf; 08.11.2015 в 16:39..
crlf вне форума   Ответить с цитированием
Старый 08.11.2015, 16:20   #3484
mistix
 
Регистрация: 08.11.2015
Сообщений: 1
Репутация: 0
По умолчанию

Подскажите, что за уязвимость такая Reflection Injection, и как ею воспользоваться?
Цитата:

call_user_func_array(array($cnt, 'action_' . $_REQUEST['action']), $args);
12: $cnt = $at->getcontroller();

requires:
11: if(is_object($at))
18: if(method_exists($cnt, 'action_' . $_REQUEST['action']))
Это мне выдал сканнер, сам я уже врядли вспомню как подобрать количество полей в union+select, сильно не пинайте :3
mistix вне форума   Ответить с цитированием
Старый 08.11.2015, 16:55   #3485
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

mistix, сходу ничего не сделать. Можно обратиться, к произвольным методам класса $cnt, с префиксом action_. Стоит их грепнуть и вручную смотреть, что в них можно интересного сделать. Посмотри так же, есть ли возможности контролировать $cnt.
crlf вне форума   Ответить с цитированием
Старый 08.11.2015, 17:01   #3486
Лаврушкин
 
Регистрация: 05.07.2010
Сообщений: 27
Репутация: 15
По умолчанию

Цитата:
Сообщение от crlf Посмотреть сообщение
Существет возможность инициировать mysql соединение (на подконтрольный хост) средствами PHP. Есть ли какие-то техники для эксплуатации багов в PHP модуле mysql? Другими словами, что можно вредоносного ответить при подключении?

PHP код:
    $this->DBConn mysql_connect($this->DBHost$this->DBLogin$this->DBPassword);
    if(!
mysql_query("CREATE DATABASE ".$this->DBName$this->DBConn))
...
    if(!
mysql_select_db($this->DBName$this->DBConn))
    {
        return 
false;
    }
...
    
mysql_query("SET NAMES '".$cp."'"$this->DBConn);
    
mysql_query("SET CHARACTER SET '".$cp."'"$this->DBConn); 
Контролирую $this->DBHost, $this->DBLogin, $this->DBPassword, $this->DBName.
Не уверен, но посмотри http://www.slideshare.net/qqlan/database-honeypot-by-design-25195927
В подробностях не разбирал.
Лаврушкин вне форума   Ответить с цитированием
Старый 08.11.2015, 20:31   #3487
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Цитата:
Сообщение от Лаврушкин Посмотреть сообщение
Не уверен, но посмотри http://www.slideshare.net/qqlan/database-honeypot-by-design-25195927
В подробностях не разбирал.
Лаврушкин, вот ты красавец!!1 Работает как часы, я в шоке)
crlf вне форума   Ответить с цитированием
Старый 09.11.2015, 01:40   #3488
Лаврушкин
 
Регистрация: 05.07.2010
Сообщений: 27
Репутация: 15
По умолчанию

Цитата:
Сообщение от crlf Посмотреть сообщение
Существует ли возможность в PHP, при LFI/RFD на Windows, обратиться к файлу на другом диске?
Подробно разобрано https://rdot.org/forum/showthread.php?t=926
в особенности https://rdot.org/forum/showpost.php?p=10994&postcount=27
Лаврушкин вне форума   Ответить с цитированием
Старый 09.11.2015, 02:37   #3489
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Цитата:
Сообщение от Лаврушкин Посмотреть сообщение
Подробно разобрано https://rdot.org/forum/showthread.php?t=926
в особенности https://rdot.org/forum/showpost.php?p=10994&postcount=27
Забыл деталь, у меня fopen($_SERVER["DOCUMENT_ROOT"].'/somedir/'.$_REQUEST['file']);.

DOCUMENT_ROOT = D:\host\

Хотелось почитать что-нибудь с диска C:\. Похоже, что без вариантов, а инфу по ссылкам на днях перечитывал, много полезного.
crlf вне форума   Ответить с цитированием
Старый 13.11.2015, 21:06   #3490
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Код:
GET /script?param=what_you_want_not_filtered_<>'" HTTP/1.1
Код:
HTTP/1.1 200 OK
X-Frame-Options: SAMEORIGIN
Cache-Control: max-age=0, must-revalidate
Content-Length: 31
Vary: Accept-Encoding
Connection: Keep-Alive
Content-Type: application/javascript;charset=UTF-8

what_you_want_not_filtered_<>'"
Пробовал заинжектить сжатую SWF c XSS, но скрипт не выполняется если подгружать с другого домена. Есть варианты как это можно использовать?
crlf вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot