D0znpp blog

В недавнем номере Х вместе с Дмитрием Евтеевым из PT написали статью про слепые инъекции.

Там был статистический анализ слов английского языка, ставившей своей целью увеличение вероятность подбора следующего символа по предыдущему. Собственно, этот анализ и был моей частью статьи

Метод был назван “фонетическими цепочками”.

После публикации статьи в голову пришла идея найти цепочкам новые применения. И вот что придумалось… [Read the rest of this entry...]

Вот вернул блог, даже перенес с blogspot-a те сообщения, которые успел там набрать.

Заодно реорганизовал категории и избавился от MySQL вообще.

Так что все, что ни делается – все к лучшему!

Часто после обнаружения инъекции атакующий хочет веб-шелл.

Ну вот хочется человеку, что поделаешь

Столкнулся с интересной реализацией, которой и хочу поделиться с миром.

За что все любят INTO? за то, что его можно писать после WHERE и это работает!

В конкретном примере мне надо было в среде винды пробиться к веб-шеллу, имея инъекцию и права на запись файлов от пользователя БД.

Инъекция была в поисковом запросе и показывала контент сайта. Недолго порыскав, нашел что можно изменить в контенте без фильтрации таких нужных символов как

Оставалось только сохранить в файл onsec.php нужный код, он не тут-то было. [Read the rest of this entry...]

На практике часто работают только совокупности уязвимостей.

Недавно на эту тему интересный опыт показал Дмитрий Евтеев.

У меня пример попроще:

а) Найдена SQL инъекция в UPDATE, которая не позволяет сделать ничего полезного кроме как получить доступ к админ. консоли.

б) Найдена уязвимость попадания спецсимволов в данные, создаваемые через админ. консоль (конфиг системы).

в) Найдена уязвимость URL-encode в функции copy, которая позволяет обойти ограничения пути и расширения файла при экспорте данных п. (б).

1. Через SQL инъекцию получаем доступ к ученой записи администратора.
2. Используя отсутствия фильтрации символов в конфиге системы дописываем туда PHP код.
3. Используя уязвимость фильтрации в имени и типе файла экспортируем конфиг системы в файл expl.php в корне веб-сервера.
4. Получаем пользователя с правами веб-сервера.

Часто встречал описание уязвимостей функций move_uploaded_file() и copy(), основывающееся на url-encode.
В примерах используют нулл-байт для обхода фильтра расширения файла.

Вот на практике столкнулся с такой уязвимостью, которая была омрачена записью файлов в директорию, где .htaccess не позволяет запускать php.

[Read the rest of this entry...]