Когда новый таск ждать?

Пока не знаю.

Не планировал ничего, был минутный порыв, отчасти внутренний протест против затянувшегося периода нехватки времени.

Но полагаю, если будет интерес, в группах его поддержат обязательно.

Возможно и у меня получится.

Задание закрыто

Постараюсь дать более подробное объяснение, чем принято в заданиях, поскольку хочется показать, что никакая это не уличная магия и не развлекаловка исключительно для групп.

Обычная задачка, доступная всякому, освоившему синтаксис мускула и php, и умеющему мыслить логически.

Ну, может быть, иногда нужно включать хакерскую догадку, если конкретных знаний пока недостаточно.

Задание можно разбить на две подзадачи:

- получить вывод информации через SQLi

- вывести информацию, уже конкретно из таблицы admin_site

Смотрим запрос

Инъекция возможна в переменные $_GET['$key'] и $_GET['$id'].

Нам привычнее крутить тут

т.е. вызов будет выглядеть так:

поехали

(далее буду писать только ту часть, что начинается со знака вопроса)

сработает фильтр на пробел

тогда заменим пробел на варианты из %09 ,%0а, %0b, %0d

запрос невалидный, мешает участок " and kmag=1", поле kmag отсутствует в запросе union select.

Его нужно отрезать комментариями, или достроить до валидного.

Штатные комментарии фильтром запрещены ("-- ","#", "/**/", и даже нештатный ";%00"), поэтому достраиваем запрос.

Я пытался подтолкнуть к использованию backtick "`", как эффективного и красивого аналога многострочного комментария и незаслуженно "забытого" в паблике ачата.

В данном случае, все, что идет после обратной кавычки до конца строки (в т.ч. и символы \r\n) будет воспринято, как алиас поля 3, поскольку закрывающая кавычка отсутствует, что эквивалентно действию многострочного комментария.

т.е. даже если запрос был бы многострочным

[CODE]
$sql="select tovar, dataprice, cena
from pricelist where $key = $id
and kmag>0
and kmag0
and kmag$id){

(Здесь $key определяет имя переменной, а $id - ее значение.)

И тут либо вспоминаем эту разницу, либо методом хакерского тыка проверяем инъекцию в $_GET['key'].

А разница действительно есть и она даже описана в документаци к php http://php.net/manual/ru/language.variables.external.php

Смысл в том, что в именах переменных (но не в значениях), переданных через массивы $_GET и $_POST некоторые символы запрещены и преобразуются к знаку подчеркивания "_".

А символы эти - пробел, левая квадратная скобка и точка (" ", "[", ".").

Фигасе! То, что нужно!

Пробел и скобку фильтр детектит, а вот точку пропускает, поэтому окончательный вызов будет таким.

(здесь "=xek" не несет смысловой нагрузки, просто смайлик )

запрос приобрел вид

и вернул нужные данные из admin_site

В условиях, когда backtik перестал работать на новых версиях мускула (во всей линейке 5.7), можно достроить запрос таким образом, чтобы хвост "and kmag=1"

не приводил к ошибке выполнения запроса.

В таблице admin_site нет поля "kmag", поэтому запрос валится, но такое поле есть в pricelist, поэтому тем, или иным способом добавим таблицу в запрос и достроим до валидного.

Например так:

соответственно запрос приобрел вид

и уже выполняется нормально.

Как искать, когда не знал или не помнил это правило?

Гугл: "php переменная get подчеркивание".

Или сразу - метод хакерского тыка, можно и более надежное средство - фаззер (кто не знаком, обязательно освойте).

Обычно в проблемное место вставляют вывод генератора из 1-3 символов.

Как вариант, свой скрипт быстренько накидать.

.SpoilerTarget" type="button">Spoiler: Скрипт

Про backtik.

К сожалению этот удобный способ отходит в историю, как в свое время ушел незакрытый комментарий "/*".

Видимо патчили тут

https://dev.mysql.com/doc/relnotes/m...ws-5-5-29.html

https://dev.mysql.com/doc/relnotes/m...ws-5-6-11.html

https://dev.mysql.com/doc/relnotes/m...ews-5-7-1.html

.SpoilerTarget" type="button">Spoiler: Info
Replication: Backtick (`) characters were not always handled correctly in internally generated SQL statements, which could sometimes lead to errors on the slave. (Bug #16084594, Bug #68045)

References: This issue is a regression of: Bug #14548159, Bug #66550.

И остался еще один интересный вопрос, каким образом точка с запятой ";" делает запрос валидным (смотрим прохождения ниже).

Не понимаю, как это работает.

Это точно не php и не mysql.

Есть подозрение, что-то дополнительно обрабатывает запрос, возможно предпроцессор какой то оптимизирует строку запроса.

Очень хотелось бы разобраться в причине такого аномального поведения, как минимум, двух серверов.

Во первых, нужно понимать причину аномалии и условия возникновения.

Во вторых, около этого могут находится и другие интересные эффекты.

Может владельцы помогут прояснить причину.

Прохождения:

.SpoilerTarget" type="button">Spoiler: Прохождения

Задание безусловно, безусловно интересное. В первую очередь благодарю за детально описанные решения, причем несколько.

Но, говорить, что всё это очевидные вещи понятные новичкам... В общем мне это напомнило вот такое обсуждение: https://rdot.org/forum/showthread.php?t=741

Ситуация аналогичная имхо, тем более что уважаемый dooble не понял трюк с ; хотя для некоторых он тоже очевиден.

Если имеется ввиду не расщепление запросов (что не может служить терминатором, вот при mq=off работало в связке с ";%00"), то большая просьба объяснить феномен.

Давайте разжуем.

MySQL поддерживает расщепление запросов (можно проверить в консольном клиенте), но клиент php должен обратиться, как

Смотрим http://www.php.net/manual/ru/mysqli.multi-query.php

а в скрипте идет обычное $db->query($sql) и если после ";" будет продолжение строки то восприниматься будет, как ошибка, встретился "конец запроса", а следом идет опровержение, текст запроса продолжается.

Но и в случае mysqli_multi_query () запросы должны быть валидные, а мы после ";" передаем мусор, который мускул не сможет обработать и вывалит ошибку синтаксиса.

Т.е. на этих серверах "нечто" убирает этот мусор, перед тем, как отдать на выполнение СУБД.

Либо существует настройка мускула (о которой я не знаю) и она позволяет обрабатывать запрос только до ";".

Версия на обоих аномальных серверах - 10.1.20-MariaDB, поднимал ее локально для проверки, в конфигурации из коробки реагирует на мусор после ";" привычной ошибкой.

dooble, я предполагаю, что все гораздо проще, сейчас возможно кто нибудь скинет ссылку на документацию мускуля или php, где будет всё просто и понятно, возможно с аналогичной формулировкой, мол вы разве такую элементарность не знали?

Ещё раз благодарю за квест, столько нового разом узнал. Я вообще ничего этого не знал, ни про ` ни про замену [ или точки на _, и уж тем более про ; а тут сколько нового.

Подобные квесты, когда их суть сводится к полуприватным(назовем это так) техникам, очень полезны, но иногда чуток бомбит, когда делаются заявления, что это очевидно. Очевидно для того, кто читая мануалы мускуля или php случайно находит какую нибудь фичу, которую можно использовать для байпассов... Ну ссылку на подобные рассуждения на рдоте я кидал.

Это правильное разжевывание. Одорямс.)))) Главное показать направление. Это отличный ход.

Спасибо за задание,как говорится все проще если вдуматься,но полез куда сложнее))

КрасавчиГ что делаешь такое,

Респект и Уважуха

Вот всплыл еще вариант использования, вроде отдельная тема, но грабли те же:

Загрязнение параметров в приложениях на PHP

PHP использует parse_str() для синтаксического анализа параметров, таким образом, что символы "[", "." и "_" воспринимаются как одинаковые. По умолчанию PHP будет использовать последний параметр как действительный.

Таким образом, в случаях, когда PHP работает на бэкэнде, но фронтенд (API шлюз или WAF) проверяет параметр, мы можем передать в PHP поддельные параметры.

http://example.com/hpp.php?account_id=real&account[id=fake

==

Принимается скриптом по типу:

[CODE]