D0znpp blog

В очередной раз раскручивая тему HiJacking нашел веселый способ получать худо-бедную информацию о целевом ресурсе, когда пользователь находится на странице злоумышленника. Уже заезженный тэг <img> открывает новые возможности с помощью метода fileSize, описанного тут: http://msdn.microsoft.com/en-us/library/ms533752(v=VS.85).aspx Рассмотрим простейший пример – веб-приложение после авторизации предоставляет какую-то картинку для пользователя, например: http://example.com/getImage.php?image=myAvatar Злоумышленник, зная это, может создать страницу [...]

Однако плодотворная выдалась неделька… В процессе исследования безопасности веб-приложения наткнулся на возможность проведения атаки типа внедрения операторов СУБД необычным образом. Все пользовательские данные, которые попадают в базу при запросе типа INSERT фильтровались с помощью функции mysql_real_escape_string(). Однако, при определенном стечении обстоятельств, данные из базы являлись составной частью другого запроса к СУБД, в котором они уже [...]

Сдал статью в майский Х на тему инъекций в SQLite. Но вот сегодня пришлось работать с ней в “боевых” условиях и нашлась еще одна веселая возможность. Так что в дополнение к статье, которая скоро выйдет, вот еще один хинт: – Если можно записать в базу значения без фильтрации, например в колонки varchar. – Если можно [...]

Хочу долить еще ложку мёда дегтя, в бочку того, что написано про уязвимости межсайтового скриптинга. Инъекции HTML тэгов – это, конечно, здорово, и все такое, но дополнительный вес эти инъекции получают, когда такие тэги попадают в статический кэш. Об этом самом статическом кэшэ и хочу поговорить. Веб-приложения не редко воспринимают оттуда  конструкции интерпретатора или, по [...]

Выходит в свет новый журнал, куда написал немного текста. Хотелось написать чего-нибудь нестандартного, нового, чтобы заставить мозг немного отвлечься. Получилось или нет, решать вам. Форбу вроде бы понравилось Суть простая – провокация ошибок интерпретатора с целью получения 500 ошибки с указанием места, где обрушился код. По месту обрушения строим дерево вызовов, в котором можно обнаружить, [...]

Недавно столкнулся с задачкой повышения привилегий в ОС. Метод типа “найти эксплоит” не проходил, crontab был адекватно настроен, исследовать каждый сервис вручную времени не было. Короче говоря, оставалось только посмотреть setuid-setgid. Кроме базовых утилит были замечены картинки в директориях веб-сервера и несколько php скриптов. Их владельцем был, конечно, не root, но пользователь с правами повыше, [...]

Сегодня столкнулся с реализацией вывода полезной информации из БД через инъекцию в сообщению об ошибке. Воспользовался техниками Qwazar, здоровья ему и попутного ветра. Версия СУБД была 4ой, поэтому идея с rand(0) (в комметариях Д.Евтеева) отвалилась, использовал вероятностный подход. Результат функции version() попал в ошибку практически сразу, а вот на этапе получения данных пришлось труднее. Общаясь [...]

Недавно прочитал интересное исследование от CoreSecurity, касательно уязвимостей веб-серверов Nginx, Cherokke и Mongoose на win системах. Суть в том, что для обратной совместимости с DOS все файлы на виндах имеют альтернативные имена. Имя составляется так:  <Первые 6 букв реального имени файла>~1.<Первые три буквы расширения файла> Для файла C:\foobarfoo.barfoo короткое имя будет C:\foobar~1.bar Если же короткие [...]

В недавнем номере Х вместе с Дмитрием Евтеевым из PT написали статью про слепые инъекции. Там был статистический анализ слов английского языка, ставившей своей целью увеличение вероятность подбора следующего символа по предыдущему. Собственно, этот анализ и был моей частью статьи Метод был назван “фонетическими цепочками”. После публикации статьи в голову пришла идея найти цепочкам новые [...]

Часто после обнаружения инъекции атакующий хочет веб-шелл. Ну вот хочется человеку, что поделаешь Столкнулся с интересной реализацией, которой и хочу поделиться с миром. За что все любят INTO? за то, что его можно писать после WHERE и это работает! В конкретном примере мне надо было в среде винды пробиться к веб-шеллу, имея инъекцию и права [...]