Sólo texto | Texto con Imágenes

Underc0de

[In]Seguridad Informática => Bugs y Exploits => Mensaje iniciado por: q3rv0 en Julio 19, 2013, 07:21:00 PM

Título: LFI+SQLI [Incluyendo ficheros a travez de valores enteros]
Publicado por: q3rv0 en Julio 19, 2013, 07:21:00 PM
No es necesario que un parametro trabaje con valores tipo "string" para incluir ficheros localmente, hay ciertos parametros que trabajan con funciones como include(), require(), etc pero lo hacen por medio de un valor entero,por ejemplo:

Tenemos la siguiente url:

http://www.webvuln.com/path/index.php?op=11

La cual se encarga de mostrar cierto contenido dependiendo del valor que sea ingresado en el "id".En este caso el script realiza una sentencia en la base de datos para obtener el nombre del fichero, el cual luego sera pasado a include().
Código (php) [Seleccionar]

$query=mysqli_query($conexion, "SELECT path FROM archivos WHERE id=".$_GET['id'].";");
$fichero=mysqli_fetch_array($query, MYSQLI_ASSOC);
include($fichero['path']);

Ahora vamos a un caso real.

La vulnerabilidad se da del lado del admin, al ingresar una comilla simple vemos el siguiente error.

(http://i.imgur.com/tKimFbT.png?2)

El problema es que no podemos realizar un path traversal directamente por lo que se explicaba en lineas anteriores, pero si podriamos comprobar si el mismo parametro es vulnerable a inyeccion de comandos SQL.

(http://i.imgur.com/PnFMDtY.png?1)

Definitivamente si, y nos arroja la columna 3 la cual hace referencia a la seleccion de la ruta del archivo.

Entonces podriamos probar a inyecctar una sentencia para poder divisar cualquier fichero (siempre dentro de los limites) a nuestro antojo.

Veamos el fichero /etc/passwd.

http://www.webvuln.com/path/index.php?op=11 union select 1,2,0x2f6574632f706173737764,4,5--

(http://i.imgur.com/UCnFB83.png?1)

Como dije anteriormente este parametro vulnerable se encuentra detras del panel de administracion, pero hay muchas veces en las que la reglas de un upload no pueden ser evadidas y hay que buscar otra manera de subir una shell, tranquilamente se podria explotar mediante una jpg file inclusion y proseguir con la intrusion.
Título: Re:LFI+SQLI [Incluyendo ficheros a travez de valores enteros]
Publicado por: ANTRAX en Julio 20, 2013, 05:03:50 PM
Excelente Cuervo!
Derecho al blog!
http://blog.underc0de.org/2013/07/lfi-sqli-incluyendo-ficheros-travez-de.html
Título: Re:LFI+SQLI [Incluyendo ficheros a travez de valores enteros]
Publicado por: ZanGetsu en Julio 20, 2013, 05:30:55 PM
muy bueno, se agradece :D
Título: Re:LFI+SQLI [Incluyendo ficheros a travez de valores enteros]
Publicado por: Mr_Pack en Julio 21, 2013, 12:33:31 AM
como siempre post con calidad ;)

gracias por compartir bro
Título: Re:LFI+SQLI [Incluyendo ficheros a travez de valores enteros]
Publicado por: M5f3r0 en Julio 24, 2013, 01:43:36 PM
Excelente! Buen post :D

Saludos.
Sólo texto | Texto con Imágenes