Вопросы по уязвимостям

[Faaax]

Есть скуля,читаю файлы,могу писать файлы,но нет ни одной диры на запись кроме /tmp/
так вот можно ли как нить ещё залиться?

[Abadd0N]

Цитата:

Характерная ошибка MySQL, однако данные в запрос не попадают, есть предположение что это и не SQL вовсе, а может просто у меня раскрутить не получилось, подскажите, можно ли данную SQL раскрутить, или это не SQL inj

Возможно передаваемая переменная приводится к числовому типу, по этому не попадает в запрос, т.к. вызывает ошибку преобразование типов.

Цитата:

Есть скуля,читаю файлы,могу писать файлы,но нет ни одной диры на запись кроме /tmp/
так вот можно ли как нить ещё залиться?

Только через мускул получается никак. Но есть другие варианты, к примеру к скуле найти какой нибудь (R/L)FI/Code exec.

Цитата:

но нет ни одной диры на запись кроме

Ты так уверенно говоришь о этом, у тебя есть листинги фс сервера?
Возможно стоит почитать конфиги веб сервера, смотреть, возможно ещё какие нибудь движки стоят, а там есть папки на записи...

[BigBear]

Цитата:

Сообщение от Faaax

Есть скуля,читаю файлы,могу писать файлы,но нет ни одной диры на запись кроме /tmp/
так вот можно ли как нить ещё залиться?

Попробуй получить рута в MySQL через этот способ.

А дальше уже смотри по обстоятельствам, мож новые БД появятся с аутентификационными данными.

[Faaax]

Цитата:

Abadd0N

Больше ничего нет.
Потому что знаю,был до этого шелл там и была одна папка на запись,сейчас увы она значит прикрыта.

Цитата:

BigBear

Жаль,но не помогло.

+ ещё при заходе на site/index.php и т.д. пхп'ные файлы сразу кидает на главную.

[Abadd0N]

Конечно маловероятно, но попробуй проверить на запись диру с либами мускула, если есть права, есть рут, возможность выполнять стековые запросы и права на созадние udf (либо баженый мускул, чтоб подняться до рута), то можно получить выполнение системных команд.
Конечно такое весьма маловероятно, но вдруг у админа както случилась белая горячка и он дал права на запись в диру с либами

[Сергей Бардюр]

Друзья, снова нужна ваша помощь в двух SQL иньекциях которые я не могу самостоятельно раскрутить, иньект первый:

Код:

http://www.***.**/login/remind')/**/union/**/select/**/1,2,3/**/--/**/1/

Это SQL, но есть сомнения по поводу возможности её раскрутить, так как он отрезает всё что длиннее 20 символов, возможно я не верно запрос составляю, и надо как то без спец символов, потому что например так:

Код:

http://www.***.**/login/remind')/**/union/**/select/**/1/111111111111111111111111111111111111111111111122222222/

Он ничего не укорачивает, а обычные SQL запросы укорачивает, возможно что раскрутить можно, поэтому друзья, прошу вашей помощи в раскрутке, и выводе информации на экран.

И вторая SQL:

Код:

http://***.**/index.php?bycity&cityid=1&filtercity&fcity=1&date_start=2013-11-01'&date_end=2013-11-31

Тут кавычка попадает бог знает куда, SQL то есть, но вот как вытащить информацию, когда запрос вообще совершенно непонятный, скорее всего двойной…
Тоже надеюсь на вашу помощь.

[S00pY]

Цитата:

Сообщение от Сергей Бардюр

Друзья, снова нужна ваша помощь в двух SQL иньекциях которые я не могу самостоятельно раскрутить, иньект первый:
Это SQL, но есть сомнения по поводу возможности её раскрутить, так как он отрезает всё что длиннее 20 символов, возможно я не верно запрос составляю, и надо как то без спец символов, потому что например так:

Он ничего не укорачивает, а обычные SQL запросы укорачивает, возможно что раскрутить можно, поэтому друзья, прошу вашей помощи в раскрутке, и выводе информации на экран.

blinde
(обрезается из за запятых, + как пробел не канает(остальное не пробовал), урл парсят по слешам )
true domen.com/login/remind')or(substring((version())FROM(1)FOR(1))=5)o r('1'='1/
false domen.com/login/remind')or(substring((version())FROM(1)FOR(1))=4)o r('1'='1/

Цитата:

Тут кавычка попадает бог знает куда, SQL то есть, но вот как вытащить информацию, когда запрос вообще совершенно непонятный, скорее всего двойной…
Тоже надеюсь на вашу помощь.

В этом же скрипте, в другом параметре - нормальная инъекция с выводом (union based)

[Сергей Бардюр]

Цитата:

Сообщение от S00pY

В этом же скрипте, в другом параметре - нормальная инъекция с выводом (union based)

Спасибо тебе, не сочти за трудность, покажи в каком параметре эта раскручиваемая SQL, я так найти и не смог кроме второго числового параметра, но там тоже самое.

[S00pY]

Цитата:

Сообщение от Сергей Бардюр

Спасибо тебе, не сочти за трудность, покажи в каком параметре эта раскручиваемая SQL, я так найти и не смог кроме второго числового параметра, но там тоже самое.

Плохо искали, там много не фильтруемых параметров. Не стоит бездумно тыкать кавычку.

Цитата:

Сообщение от Воришко

.ru/news'/
никак не получается добиться вывода ни в ошибку не на экран в обоих случаях, помогите плиз.

true /news'and(select(if((substring(version(),1,1)=5),1, (select'1'union(select'2')))))='1 - redirect
false /news'and(select(if((substring(version(),1,1)=4),1, (select'1'union(select'2')))))='1 - ошибка

[Воришко]

Имею читалку на одном сайте, нашёл такой кусок кода:

Код:

           global $link, $table_tov_descr, $name;
	$sql2 = "SELECT descr, image, smallimage, smimg_width, smimg_height  FROM tov_descr Where id=$_GET['img'] ";
	$res2 = mysql_query ($sql2, $link);
	$row2 = mysql_fetch_array($res2, MYSQL_ASSOC) ;
	if (mysql_num_rows($res2) ==0) return "";
	extract($row2);

Насколько я знаю, объявление глобальных переменных в сочетании с функцией extract() может привести к выполнению кода, в данном случае возможно ли как то выполнить произвольный php код? Если да, то подскажите как.