Entries in the ‘Методы и техники’ Category:

SQL инъекции цепного типа

Однако плодотворная выдалась неделька…
В процессе исследования безопасности веб-приложения наткнулся на возможность проведения атаки типа внедрения операторов СУБД необычным образом.
Все пользовательские данные, которые попадают в базу при запросе типа INSERT фильтровались с помощью функции mysql_real_escape_string().
Однако, при определенном стечении обстоятельств, данные из базы являлись составной частью другого запроса к СУБД, в котором они уже не проходили фильтрацию.
Таким [...]

Tags: , , ,

Comments (1)

XSS в файле БД Sqlite

Сдал статью в майский Х на тему инъекций в SQLite.
Но вот сегодня пришлось работать с ней в “боевых” условиях и нашлась еще одна веселая возможность.
Так что в дополнение к статье, которая скоро выйдет, вот еще один хинт:
- Если можно записать в базу значения без фильтрации, например в колонки varchar.
- Если можно обращаться к файлу базы [...]

Tags: , , , ,

Comments (2)

Еще один повод не любить XSS

Хочу долить еще ложку мёда дегтя, в бочку того, что написано про уязвимости межсайтового скриптинга.
Инъекции HTML тэгов – это, конечно, здорово, и все такое, но дополнительный вес эти инъекции получают, когда такие тэги попадают в статический кэш.
Об этом самом статическом кэшэ и хочу поговорить.
Веб-приложения не редко воспринимают оттуда  конструкции интерпретатора или, по крайней мере, конструкции [...]

Tags: , , ,

Comments (2)

Уязвимость ГСЧ в PHP. Опять 2^25 :)

Не прошло и полугода…
Andreas Bogk порадовал репортом о слабости ГСЧ в любимом интерпретаторе.
Оригинал: http://seclists.org/fulldisclosure/2010/Mar/519

Условия уязвимости:
5.3.2 и более ранние версии PHP
Приложение использует стандартный механизм сессии
Есть доступ к выводу функции uniquid()
Злоумышленник знает адрес жертвы, сессию которой подбирает

Андреас обратил внимание на код, который генерит ид. сесии:
—- ext/session/session.c, php_session_create_id() —–
spprintf(&buf, 0, “%.15s%ld%ld%0.8F”,
remote_addr ? remote_addr : “”,
tv.tv_sec,
(long int)tv.tv_usec,
php_combined_lcg(TSRMLS_C) * 10);
switch [...]

Tags: , ,

Leave a Comment

Статья в Х #135

Выходит в свет новый журнал, куда написал немного текста.

Хотелось написать чего-нибудь нестандартного, нового, чтобы заставить мозг немного отвлечься. Получилось или нет, решать вам.
Форбу вроде бы понравилось
Суть простая – провокация ошибок интерпретатора с целью получения 500 ошибки с указанием места, где обрушился код.
По месту обрушения строим дерево вызовов, в котором можно обнаружить, например, открытые [...]

Tags: , , ,

Comments (4)

Повышение привилегий на *nix машинах

Недавно столкнулся с задачкой повышения привилегий в ОС.
Метод типа “найти эксплоит” не проходил, crontab был адекватно настроен, исследовать каждый сервис вручную времени не было.
Короче говоря, оставалось только посмотреть setuid-setgid.
Кроме базовых утилит были замечены картинки в директориях веб-сервера и несколько php скриптов.
Их владельцем был, конечно, не root, но пользователь с правами повыше, чем были у меня [...]

Tags: , ,

Leave a Comment

Особенность использования информации об ошибке в MySQL 4.1

Сегодня столкнулся с реализацией вывода полезной информации из БД через инъекцию в сообщению об ошибке.
Воспользовался техниками Qwazar, здоровья ему и попутного ветра.
Версия СУБД была 4ой, поэтому идея с rand(0) (в комметариях Д.Евтеева) отвалилась, использовал вероятностный подход.
Результат функции version() попал в ошибку практически сразу, а вот на этапе получения данных пришлось труднее.
Общаясь параллельно с Д.Евтеевым, мы [...]

Tags: , , , ,

Comments (4)

Альтернативные имена файлов для Win систем

Недавно прочитал интересное исследование от CoreSecurity, касательно уязвимостей веб-серверов Nginx, Cherokke и Mongoose на win системах.
Суть в том, что для обратной совместимости с DOS все файлы на виндах имеют альтернативные имена.
Имя составляется так:  <Первые 6 букв реального имени файла>~1.<Первые три буквы расширения файла>
Для файла C:\foobarfoo.barfoo короткое имя будет C:\foobar~1.bar
Если же короткие имена совпадают для разных [...]

Tags: , , ,

Leave a Comment

Фонетические цепочки нашли еще одно применение

В недавнем номере Х вместе с Дмитрием Евтеевым из PT написали статью про слепые инъекции.
Там был статистический анализ слов английского языка, ставившей своей целью увеличение вероятность подбора следующего символа по предыдущему. Собственно, этот анализ и был моей частью статьи
Метод был назван “фонетическими цепочками”.
После публикации статьи в голову пришла идея найти цепочкам новые применения. [...]

Tags: , ,

Comments (2)

Особенности и практика. Mysql инъекций с INTO OUTFILE

Часто после обнаружения инъекции атакующий хочет веб-шелл.
Ну вот хочется человеку, что поделаешь
Столкнулся с интересной реализацией, которой и хочу поделиться с миром.
За что все любят INTO? за то, что его можно писать после WHERE и это работает!
В конкретном примере мне надо было в среде винды пробиться к веб-шеллу, имея инъекцию и права на запись файлов от [...]

Tags: , , ,

Comments (4)

Этот домен продается здесь: telderi.ru, и еще много других