Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

CBA

2011.10.21. 12:59 | buherator | 13 komment

 Sup3rn4tural küldte a következőt:

Hali! Minap nézelődtem a CBA weboldalán és elég egyszerűen sikerült bejutnom, a webáruházuk admin felületére. (Egyszerű sql injection, amit bárki meg tud csinálni..) A jelszavak md5 ben vannak tárolva, körülbelül 30 "admin" felhasználó van. Egy felhasználó van aki mindent tud szerkeszteni. Minden sql ismeret nélkül is ki lehet találni, mivel a felhasználónév és jelszó: iXXXXXXXXXa/cXXXXX4

A CBA-nak október 14-én jeleztem a problémát, válasz nem jött :(

 

Címkék: cba az olvasó ír

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

kino 2011.10.21. 14:30:30

vagy javították, vagy béna vagyok :)
most tuti, hogy escape-eli a '-t

Joe80 2011.10.21. 15:55:37

Milyen béna környezetet kell ahhoz használni hogy sqli működhessen? PHP-ban már régesrég alapból magic quotes gpc van.

buherator · http://buhera.blog.hu 2011.10.21. 15:57:48

@Joe80:
FYI: a magic_quotes_gpc egy látszatintézkedés, csomó esetben nem ér semmit, vagy megkerülhető.

sghctoma · http://sghctoma.extra.hu 2011.10.21. 18:23:41

mellesleg - pont a buherator altal emlitett okok miatt - mar regesreg deprecated..

Joe80 2011.10.21. 18:29:10

Linkeljetek légyszi valami docot ahol elmondják milyen esetben nem ér semmit. Köszi.

buherator · http://buhera.blog.hu 2011.10.21. 18:35:42

@Joe80:

Triviálisan pl.:

mysql_query('select * from t where id=$userInput')

Ilyenkor nem kellenek aposztrófok egyáltalán. 'SQL Smuggling'-ra érdemes még guglizni.

euAgWzgmmtq7K 2011.10.21. 18:38:49

@Joe80: pont ezért veszélyes, mert a biztonság látszatát kelti. lásd még: IE 8 beépített XSS filter.

k4rdhal 2011.10.22. 09:21:04

@kino:
webshop.cba.hu/ProductTree.php?CategoryID=273%27

Egyébként még xss-re is van lehetőség! :)

kino 2011.10.22. 13:58:58

Na jó. Ha majd már kijavították, posztoljátok már ki ide a megfejtést, egyszerűen nem hagy nyugodni...

Nem tudok rájönni, hol a trükk, az admin felületre egyszerűen nem ereszt be, pedig szerintem be kéne :)

Azért néhány dolgot UNION-nal kiderítettem, de túl sokra nem megyek vele.

Joe80 2011.10.22. 19:51:26

Na ez az hogy ilyenkor nem is kellenek aposztrofok, tehat ezt ne emlitsük egy lapon a magic_quotes_gpc-vel. Ez ellen a strip slashes sem véd!

Joe80 2011.10.22. 19:54:27

mysql_real_escape_string -re gondoltam, vagy valami hasonlóra.

buherator · http://buhera.blog.hu 2011.10.22. 20:02:25

@Joe80:

Akkor leírom én is még egyszer: a magic quotes a biztonság látszatát kelti, mivel attól, hogy be van kapcsolva, még lehet SQLi-s kódot írni. Remélem így érthető!

CConstantine · http://www.xenu.net 2011.10.25. 22:14:00

CBA-val óvatosan, nehogy a maffia válaszoljon a megkeresésre ;-)