Paweł Goleń, blog - Formularz komentarzy "There's more than one way to skin a cat"

Paweł Goleń: There's more than one way to skin a cat

nospam@example.com (Paweł Goleń) — Tue, 18 Sep 2012 21:52:16 +0200

W tym zadaniu raczej musisz wyciągać znak po znaku. W innych bazach mógłbyś próbować wyciągnąć dane np. przez DNS czy HTTP.

Hubert L: There's more than one way to skin a cat

nospam@example.com (Hubert L) — Mon, 17 Sep 2012 23:45:42 +0200

Oj, coś mi poucinalo kod który wstawić chciałem :-). W każdym bądź razie użyłem prostej funkcji iterujacej po tablicy i sprawdzającej, czy dany znak na danej pozycji zwraca tekst "Nieprawidłowy (...)" czy nie :-). Dzięki za zadanie, bo jak dla mnie było mistrzowskie. Nauczyłem się z niego dużo :-). Mam jeszcze pytanie: czy można było jakoś inaczej wyciągnąć hasło niż znak po znaku odpytywac? Pozdrawiam! :-)

Hubert L: There's more than one way to skin a cat

nospam@example.com (Hubert L) — Mon, 17 Sep 2012 01:49:16 +0200

or (i=0; i

Hubert L: There's more than one way to skin a cat

nospam@example.com (Hubert L) — Mon, 17 Sep 2012 01:47:45 +0200

Cześć, To ja też się pochwalę swoim rozwiązaniem :). Przez 2 dni z nim walczyłem, i dopiero teraz się udało (Paweł, ostro musiałem Ci przy tym serwer pytaniami bombardować :)). Ja sobie napisałem funkcję, którą narzędziem developerskim (np. firebug'iem) można wstrzyknąć i odpalić: function getPass(user){ var oReq = new XMLHttpRequest(); var params1 = "login="; var params2 = "&password="; var params3 = "&token="; var tmpParams = ""; var pass = ""; var chars = ["0","1","2","3","4","5","6","7","8","9" ,"a","b","c","d","e","f","g","h","i","j","k","l","m","n","o","p","q","r","s","t","u","v","w","x","y","z" ,"A","B","C","D","E","F","G","H","I","J","K","L","M","N","O","P","Q","R","S","T","U","V","W","X","Y","Z"]; var login1 = user + "' AND (SELECT substr(password,"; var login2 = ",1) from users where login='" + user + "') = '"; var login3 = "' --"; for (i=0; i

Paweł Goleń: There's more than one way to skin a cat

nospam@example.com (Paweł Goleń) — Thu, 01 Mar 2012 18:08:18 +0100

Ale przecież w tym przykładzie dane nie są wypisywane na wyjściu, więc tą drogą hashy się nie osiągnie. Przykłady w tym wpisie dotyczą "wstrzyknięcia" hasha znanego hasła, ale nie do poznania tych hashy, które istnieją w systemie.

Piotr Bratkowski: There's more than one way to skin a cat

nospam@example.com (Piotr Bratkowski) — Thu, 01 Mar 2012 16:48:04 +0100

Witam, Na początek, bardzo fajny kurs:) Druga sprawa, że walczę cały dzień z tym wyzwaniem i nie mogę tego ogarnąć. Próbuję pobrać hash dla użytkownika admin czymś takim: admin' union select password form users where login='admin Czyli to drugie zapytanie by wyglądało w ten sposób, że: select password from users WHERE login='admin' UNION SELECT password form users where login='admin'; Nie mam pojęcia czemu to nei działa.

Paweł Goleń: There's more than one way to skin a cat

nospam@example.com (Paweł Goleń) — Wed, 30 Dec 2009 16:59:41 +0100

Nie, nie zadziała, z dwóch powodów. Albo inaczej - może nie zadziałać z dwóch powodów. Po pierwsze trzeba pamiętać, że $login wchodzi do DWÓCH zapytań SQL, z czego w pierwszym z nich nie ma kolumny password, więc wystąpi błąd przy wykonaniu pierwszego zapytania. Nie jest to jednak problem nie do obejścia, wystarczy zmienić na ORDER BY 1 DESC. I tu pojawia się potencjalnie drugi problem, który znów w zależności od okoliczności "zewnętrznych" spowoduje, że całość zadziała, lub nie. Konkretnie w wynikach pierwszego zapytania w pierwszym rekordzie MUSI znajdować się wartość 1, a w wyniku drugiego zapytania, "wstrzyknięty" hash. Czyli trzeba tak dobrać hash i kolejność sortowania, by w pierwszym zapytaniu wstrzyknięty hash znalazł się na drugiej pozycji, natomiast w drugim - na pierwszej. Upraszczając zależność przy sortowaniu musi być taka: 1 < wstrzykniety hash < hash hasla. Nie jest to oczywiście nie do osiągnięcia, ale znów by znaleźć to "w ciemno", trzeba mieć sporo szczęścia :)

Borys Łącki: There's more than one way to skin a cat

nospam@example.com (Borys Łącki) — Wed, 30 Dec 2009 16:27:11 +0100

Rewelacja na całego, chyba na którymś albo securityday albo CTFie na Confidence kiedyś ktoś miał coś podobnego jeśli mnie pamięć nie myli. A gdyby w MySQLu dorzucić na końcu: order by password desc to powinno zadziałać :}