Имеем уязвимый запрос типа SELECT ...

однако, скрипт выводит данные из таблиц не сразу, а предварительно из обрабатывает следующим образом:

- обрабатываются только определенные целые числовые значения, например, 343, 45, 34556, 12345

полный список известен

- повторяющиеся значения исключаются

Да, есть вариант выводить информацию посимвольно. А есть ли более быстрый метод?

скажем ... UNION SELECT ascii(mid(version(),1,1)) UNION select ascii(mid(version(),2,1))

ну и как-то преобразовать, чтобы они в набор попали.

Выведет примерно так:

53

128

78

Поразмыслив около часа, нашел одно решение. Делим выходной диапазон на 2. Теперь перекрываем 2 диапазона. Получаем

UNION SELECT 500+instr('a...z',mid(version(),1,1)) union select 6000 UNION SELECT 500+instr('a...z',mid(version(),2,1)) union select 6001 ...

Потом разбираем полученные результаты, если повторений нет, имеем чередование и все хорошо. Ну допустим мы поставили 40, т.е. 40/2=20 различных символов. При повторении символов картина будет иная и диапазоны чередоваться не будут, значит формируем новый запрос с того места, где прекратилось чередование.

Итог, до 20 символов из БД за один запрос. И это в слепой инъекции. Круто?

/threads/119047/ (https://antichat.live/threads/119047/)

yarbabin said:
↑ (https://antichat.live/posts/3975792/)
/threads/119047/ (https://antichat.live/threads/119047/)


читал, там нет такого способа

Придумал новый сверхбыстрый способ для слепой инъекции. Если у нас 160 разных значений, получим где-то 22 символа за запрос. Фишка вот в чем, приводим представление выводимых комбинаций значений к бинарному коду. Для одного символа потребуется всего 7 бит, вот и посчитайте. Притом, что у меня значения сортирует, а если без сортировки, то это будет дискретизация разряда бинарной последовательности, но это уже теория комплексных чисел, а я в школе плохо учился)

чето я туплю сегодня, давайте с примерами из консоли на вывод хеша

слепая инъекция != фильтрация выходных данных

слепая инъекция = отсутствие каких либо выходных данных

под данными подразумеваются данные полученные из бд с помощью sql-j

оперировать можно только на реакции приложения(https://www.owasp.org/index.php/Blind_SQL_Injection)

может быть я чего то не понимаю, действительно покажите пример

Yarbabin в сверху уже кинул ссылку, ситуация как в примере [4], только новости не в get, a формируются списком из номеров на странице. Так понятно? Т.е. Совсем ничего не выводиться, а только номера. Всего около 160 новостей, которые отсортированы попорядку. Суть метода пояснил выше. Чуть позже выложу реализацию, код весьма длинный.

Тема не новая, но я ее люблю (больше, чем бинарный поиск). Называется Bit Shifting, вот оригинальный ресерч (https://www.exploit-db.com/papers/17073/).

В октябре писал PoC (https://gist.github.com/cyberpunkych/1f345413c9205c07ed5dc34f3ceb4fb8), где используется как раз эта техника + тема с keep-alive (https://xakep.ru/2015/06/03/web-app-hack-keep-alive/). Не знаю, работает ли он сейчас, поправить будет не сложно, а мне самому лень. Вот результаты, которые он мне давал на реальном сайте:

http://i.imgur.com/51fnPIJ.png

Те же условия с sqlmap'ом:

http://i.imgur.com/iyxm6vg.png

За ссылку спасибо, но Keep-Alive здесь как то не совсем в тему, ведь число запросов к sql- серверу от этого никак не изменится

user6334 said:
↑ (https://antichat.live/posts/3976036/)
За ссылку спасибо, но Keep-Alive здесь как то не совсем в тему, ведь число запросов к sql- серверу от этого никак не изменится


Это было добавлено просто как "фича" для оптимизации вышеупомянутого способа.

said:
↑ (https://antichat.live/posts/3976038/)
Это было добавлено просто как "фича" для оптимизации вышеупомянутого способа.


ок, слушай может скажешь, а способ с перекрытием диапазонов может кто-нибудь описывал ранее, или я сам каким-то чудом допёр?

t0ma5 said:
↑ (https://antichat.live/posts/3975900/)
слепая инъекция != фильтрация выходных данных
слепая инъекция = отсутствие каких либо выходных данных
под данными подразумеваются данные полученные из бд с помощью sql-j
оперировать можно только на реакции приложения(
https://www.owasp.org/index.php/Blind_SQL_Injection
)
может быть я чего то не понимаю, действительно покажите пример


... union select if(ascii(mid(version(),1,1))&1,55453457,0) union select if(ascii(mid(version(),1,1))>>1&1,853463423061,0) union select if(ascii(mid(version(),1,1))>>2&1,3536345585,0) union select if(ascii(mid(version(),1,1))>>3&1,35346436595,0) union select if(ascii(mid(version(),1,1))>>4&1,3345081218,0) union select if(ascii(mid(version(),1,1))>>5&1,12834682877,0) union select if(ascii(mid(version(),1,1))>>6&1,538534643604,0) union select if(ascii(mid(version(),2,1))&1,3455453457,0) union select if(ascii(mid(version(),2,1))>>1&1,45853463423061,0) union select if(ascii(mid(version(),2,1))>>2&1,563536345585,0) union select if(ascii(mid(version(),2,1))>>3&1,1035346436595,0) union select if(ascii(mid(version(),2,1))>>4&1,81218,0) union select if(ascii(mid(version(),2,1))>>5&1,877,0) union select if(ascii(mid(version(),2,1))>>6&1,3604,0)

Таким макаром извлекаем 2 символа за один запрос. Дальше я думаю все понятно. Количество извлекаемых символов за один запрос зависит от длины списка новостей