ANTICHAT — форум по информационной безопасности, OSINT и технологиям

В MySQL существуют системные переменные:

@@basedir
@@datadir
@@tmpdir
@@version_compile_os

Пример запроса:
С их помощью можно раскрыть пути:
-к файлам конфигурации MySQL(my.ini, my.cnf);
-к логам MySQL(hostname.err, mysql.log, mysql.err, etc..);

В некоторых случаях при наличии локального инклуда, через логи мускула можна осуществить заливку шела (как через логи апача).

С помощью @@version_compile_os, можно определить тип ОС.

Определить тип ОС часто, но не всегда, можно через version(), если в возвращенной строке версии есть:
строка "-log" - значит ОС *nix/linux типа;
строка "-nt" - значит ОС Windows типа.

Все хорошо в ФАКах, но не очень они раскрывают один вопрос - варианты запросов используемых в скриптах. Пример:
вот такой запрос дает количество полей
http://www.site.org/article.php?id=3+order+by+4
а вот этот запрос возвращает ошибку
http://www.site.org/article.php?id=3+union+select+1,2,3,4
The used SELECT statements have a different number of columns
В каком варианте запроса такое может случиться? Сразу замечу, что кавычка или скобка после значения параметра дают ошибку.

Ясно, что кроме простейшего запроса SELECT x FROM t WHERE p='nn' могут быть и более сложные варианты, в т.ч. и с использованием скобок. Хотелось бы знать методы, которыми можно "вычислить" структуру запроса. Есть идеи?

коммент поставь.
order by 4/*
select 1,2,3,4/*

__________________
ПИУ-ПИУ...

вобщем представь такую фигню, есть два запроса подряд:
ты вводишь инъект: $id=-1 order by 4/*
в конечном итоге все будет так:
ошибки как видишь быть не должно
если ты поставишь $id=-1 order by 5/* то во втором запросе будет ошибка
и ты думаешь, что полей 4...

дальше ты вставляешь инъект:
$id=-1 union select 1,2,3,4/*
тут же первый запрос выплевывает ошибку
т.к в первом запросе полей 5
если ты вставишь инъект:
$id=-1 union select 1,2,3,4,5/*
то эту ошибку выплюнет второй запрос...

вот в этом вся причина твоих бед...

при таком раскладе возможно только использование подзапросов

__________________
Карфаген должен быть разрушен...

Мысль понятна, но... разве объединение запросов через ";" в мускуле разрешено?
Впрочем, это частный случай заморочки, поэтому очень хотелось бы в каком-нибудь FAQ-е увидеть анализ возможных конструкций запросов в скриптах и варианты инжектов.

Scipio
Смотрел скули, чтоб разобраться как это работает, и вот заинтересовала такая вещь, здесь это прокатывает во вторм поле:
http://www.tamizdat.org/article.php?id=99999+union+select+1,2,3,4,5,6,7,8, 9,10,11,12,13+from+mysql.user/*

а здесь в нескольких полях:

http://www.saworship.com/article-page.php?ID=-1+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,3 2,33,34,35,36,37,38,39/*

Почему так?

Посмотрел эти скули шелл можно залить как я описал при наличии папки на запись (в эти подробности не вдовался)
почему так? ну я привел пример гда объясняется вся поднаготная почему так, дерзай!

__________________
Карфаген должен быть разрушен...

Я наверно задам глупый вопрос но может у кого нибуть есть все команды sql и что они обозначяют???

А ещё лучьше напишите статью в каких случаях какие применять!

зарание спосибо!!!


Да и ещё если ктото будет не против обьеснить пару маментов ( бесплатно ) пастучите пожалусто icq 412264840 ( хотя токие врятли будут )

и за что -5 поставили?

Хай алл. Кароче фак суперский, но есть пара дополнений например, место того чтобы до куя раз писать limit+1,1 limit+2,1 не легче ли просто написать limit+1,200 и все таблицы выдут пробывал =). Ещё такой вопрос я нашёл дрявый сайт http://www.feldgrau.com/articles.php?ID=73+union+select+1,2,3,4,5,6,@@base dir,8/* ну раскрутил до нельзя, но не могу загнать шелл потому что там нет админки и через Into outfile тоже не получается кто знает помогите до конца освоить =)