cyphor sql-injection

Discussion in 'Песочница' started by anybeni, 3 Jan 2016.

  1. anybeni

    anybeni New Member

    Joined:
    3 Jan 2016
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Пробовал вот эту sql инъекцию: cxsecurity.com/issue/WLB-2005110041 на форуме Cyphor версии: 0.19
    Выдает сообщение "MySQL Error: Invalid SQL: SELECT * FROM cyphor_ WHERE id=-10 union select id,null,null,null,null,nick,password,null,null,null from users where id=1
    Database error: 1064 (You have an error in your SQL syntax near 'union select id,null,null,null,null,nick,password,null,null,null from users wher' at line 1)
    Please contact us [info@сайт.org] and specify the exact error message.
    Session halted.
    Это из-за того, что фильтруются слова select и union? Замена их на шестнадцатеричные значения дала тот же результат.

    Подскажите из-за чего может вылетать это сообщение?
     
    #1 anybeni, 3 Jan 2016
  2. anybeni

    anybeni New Member

    Joined:
    3 Jan 2016
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Запросы с кавычкой не прокатывают, потому что экранируются слешем.

    Например пишу: http://www.site.com/forum/cyphor/show.php?fid=4' SELECT * FROM cyphor_forums WHERE '1'='1'/*

    И получаю: Database error: 1064 (You have an error in your SQL syntax near '\' SELECT * FROM cyphor_forums WHERE \'1\'=\'1\'/*' at line 1)

    Замена кавычки на %27 или 0х27 или всего запроса на hex выдает ту же ошибку.

    Можно ли как-то обойти магические кавычки?

    п.с.: в гугле был.

    п.п.с.: попробовал еще конвертировать строку ' SELECT * FROM cyphor_forums WHERE id=4 в hex. Получилось
    Code:
    http://www.site.com/forum/cyphor/show.php?fid=4+char(0x272053454c454354202a2046524f4d20637970686f725f666f72756d732057484552452069643d34)+--
    но сайт отозвался той же ошибкой
     
    #2 anybeni, 4 Jan 2016
    Last edited: 4 Jan 2016
  3. AlexG

    AlexG Member

    Joined:
    26 Sep 2015
    Messages:
    56
    Likes Received:
    12
    Reputations:
    5
    http://www.cantus.de/forum/cyphor/show.php?fid=4 order by 4
    Т.к. уязвимость аж 2005 года - то скорее всего она везде так или иначе прикрыта. Как например на одном немецком сайте, на котором, как я подозреваю, вы тренируетесь :)
     
    #3 AlexG, 5 Jan 2016
  4. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,664
    Likes Received:
    913
    Reputations:
    363
    при чем тут конвертирование в хекс или урленкод? стоит лучше разобраться в вопросе. ошибка из-за того, что запрос некорректен, и находится он в int параметре, где кавычки вам и не нужны. уверены, что подобрали верное количество полей? версия mysql какая?
     
    _________________________
    #4 yarbabin, 5 Jan 2016
  5. anybeni

    anybeni New Member

    Joined:
    3 Jan 2016
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    AlexG, да, я на этом сайте тренируюсь)
    yarbabin, я пробовал с кавычками и без кавычек и без WHERE.
    В ответ на запросы в которых были команды union, select, from, show или +--+ сайт возвращал все ту же ошибку синтаксиса.
    В ответ на or concat(version()) или or concat_ws(0x3a,version()) открывается обычная страница и ничего похожего на версию. При этом в конце строки были символы комментария /* или # Если параметру fid присвоить не существующее значение, то открывается урезанная версия страницы.
    Инъекция через поля логин/пароль и поиск не удалась, тоже все фильтруется.
    Видимо мне этот сайт не по зубам.
     
    #5 anybeni, 5 Jan 2016
(You must log in or sign up to post here.)